Wichtigste Punkte

• Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist nach Art. 28 Datenschutz-Grundverordnung (DSGVO) erforderlich, wenn ein Unternehmen (Verantwortlicher) einen Dienstleister (Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten beauftragt.

• Der Vertrag regelt Rechte und Pflichten beider Parteien im Hinblick auf den Datenschutz, insbesondere die Weisungsbefugnis des Verantwortlichen und die Datensicherheitspflichten des Verarbeiters.

• Zu den Mindestinhalten gehören u.a. Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten, Kategorien betroffener Personen sowie die Verpflichtung des Auftragsverarbeiters auf Vertraulichkeit, technische und organisatorische Maßnahmen (TOMs), Unterauftragsverhältnisse und Löschung der Daten nach Auftragsende.

• Ohne AV-Vertrag verstößt die Datenweitergabe an den Dienstleister gegen die DSGVO; es drohen Bußgelder und zivilrechtliche Haftungsrisiken.

• Startups sollten frühzeitig prüfen, wo sie externe Dienstleister (z.B. Cloud-Hosting, Newsletter-Services) einsetzen, und entsprechende AV-Verträge abschließen.

Zweck und Anwendungsbereich

Der Auftragsverarbeitungsvertrag (auch Data Processing Agreement, DPA genannt) dient dem Schutz personenbezogener Daten, wenn diese im Auftrag verarbeitet werden. Sobald ein Verantwortlicher (das beauftragende Unternehmen) einen externen Dienstleister einschaltet, der für ihn personenbezogene Daten erhebt, nutzt oder speichert, schreibt die DSGVO vertragliche Garantien für den Datenschutz vor. Typische Beispiele: Cloud-Dienste, Hosting-Provider, Newsletter-Versanddienst, Analytic-Tools oder externe Lohnbuchhaltung. Durch den AV-Vertrag wird sichergestellt, dass der Dienstleister Daten nur nach Weisung des Verantwortlichen und im Rahmen der DSGVO verarbeitet.

Gesetzliche Anforderungen (Art. 28 DSGVO)

Art. 28 DSGVO legt detailliert fest, welche Punkte ein AV-Vertrag mindestens regeln muss:

• Gegenstand und Dauer der Verarbeitung: Welche Dienstleistung wird erbracht und wie lange werden die Daten verarbeitet.

• Art und Zweck der Verarbeitung: z.B. Speicherung von Kundendaten zum Newsletterversand.

• Art der personenbezogenen Daten und Kategorien der betroffenen Personen: z.B. Kontaktdaten von Kunden.

• Pflichten und Rechte des Verantwortlichen: Der Verantwortliche hat z.B. ein Weisungsrecht und muss von diesem Gebrauch machen können.

• Pflichten des Auftragsverarbeiters: Dazu zählt insbesondere, dass er die Daten nur entsprechend den dokumentierten Weisungen verarbeitet, alle Personen, die mit den Daten umgehen, auf Vertraulichkeit verpflichtet, und geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten umsetzt (z.B. Verschlüsselung, Zugriffsbegrenzungen).

• Unterauftragsverhältnisse: Der Verarbeiter darf weitere Subunternehmer nur mit Genehmigung des Verantwortlichen hinzuziehen und muss diese vertraglich gleichermaßen verpflichten.

• Unterstützungspflichten: Der Verarbeiter muss den Verantwortlichen bei der Einhaltung von Betroffenenrechten (z.B. Auskunft, Löschung) und bei Pflichten wie Datenschutz-Folgenabschätzungen unterstützen.

• Rückgabe/Löschung: Nach Abschluss der Verarbeitung muss der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben (sofern keine gesetzliche Aufbewahrungspflicht besteht).

• Kontrollen und Nachweise: Der Verantwortliche hat ein Recht zur Kontrolle (Audit) der Datenverarbeitung beim Verarbeiter; der Verarbeiter muss die Einhaltung der getroffenen Maßnahmen nachweisen können.

Pflichten von Verantwortlichem und Auftragsverarbeiter

Der Abschluss eines AV-Vertrags allein genügt nicht – beide Seiten müssen die vereinbarten Pflichten laufend erfüllen:

• Verantwortlicher: Er bleibt Herr der Daten und muss den Verarbeiter sorgfältig auswählen (Gewährleistung ausreichender Garantien), Weisungen klar erteilen und dokumentieren, sowie Überprüfungen/Audits durchführen, wenn nötig. Zudem obliegt ihm die Information der Betroffenen und ggf. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten, in dem auch die Auftragsverarbeitung vermerkt ist.

• Auftragsverarbeiter: Er darf Daten nur wie vertraglich festgelegt und nach Weisung verwenden, muss die Sicherheitsmaßnahmen auf aktuellem Stand halten und Datenschutzverstöße dem Verantwortlichen melden (Art. 33 DSGVO – Meldepflicht bei Verletzungen). Auch muss er alle unterstützenden Tätigkeiten (z.B. Hilfe bei Auskunftsersuchen) ohne unzumutbare Verzögerung erbringen.

Beide Seiten sollten den AV-Vertrag schriftlich oder in Textform abschließen (DSGVO verlangt Schriftform, elektronisch wird aber akzeptiert) und gut archivieren.

Konsequenzen und Bedeutung für Startups

Verstößt ein Unternehmen gegen Art. 28 DSGVO, indem es personenbezogene Daten ohne erforderlichen AV-Vertrag durch Dritte verarbeiten lässt, drohen empfindliche Bußgelder (in schweren Fällen bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes). Zudem besteht im Datenschutzrecht das Risiko von Schadensersatzansprüchen betroffener Personen bei Datenpannen.

Für Startups ist es daher essentiell, frühzeitig einen Überblick über alle ausgelagerten Datenverarbeitungen zu gewinnen. Typischerweise werden Dienste wie Web-Analytics, Cloud-Hosting, externe Support-Dienstleister oder Marketing-Tools genutzt. Bei all diesen muss geprüft werden, ob ein Auftragsverhältnis vorliegt und ein AV-Vertrag benötigt wird. Die meisten großen Dienstleister bieten bereits vorformulierte AV-Verträge an, die nur noch abgeschlossen (oft online) werden müssen. Es ist ratsam, diese Dokumente sorgfältig aufzubewahren und regelmäßig zu überprüfen, ob die Verarbeitungen noch im vereinbarten Rahmen stattfinden.