Auftragsverarbeitungsvertrag (AV-Vertrag) | IT-Medienrecht

Der Auftragsverarbeitungsvertrag (AV-Vertrag): Wichtige Punkte und gesetzliche Anforderungen

Die Einhaltung des Datenschutzes ist für Unternehmen unerlässlich. Besonders relevant wird dies, wenn personenbezogene Daten an externe Dienstleister weitergegeben werden. Hier kommt der sogenannte Auftragsverarbeitungsvertrag ins Spiel, ein zentrales Element der Datenschutz-Grundverordnung (DSGVO).

Die wichtigsten Aspekte des AV-Vertrags

• Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist nach Art. 28 DSGVO zwingend erforderlich. Er kommt zur Anwendung, wenn ein Unternehmen (Verantwortlicher) einen Dienstleister (Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten beauftragt.
• Der Vertrag regelt die Rechte und Pflichten beider Parteien hinsichtlich des Datenschutzes. Dazu gehören insbesondere die Weisungsbefugnis des Verantwortlichen sowie die Datensicherheitspflichten des Verarbeiters.
• Zu den Mindestinhalten gehören unter anderem der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Datenverarbeitung sowie die Kategorien der betroffenen Personen. Weiterhin muss der Vertrag die Verpflichtung des Auftragsverarbeiters auf Vertraulichkeit, technische und organisatorische Maßnahmen (TOMs), Regelungen zu Unterauftragsverhältnissen und die Löschung der Daten nach Auftragsende festlegen.
• Ohne einen gültigen AV-Vertrag verstößt die Weitergabe von Daten an Dienstleister gegen die DSGVO. Dies kann hohe Bußgelder und zivilrechtliche Haftungsrisiken nach sich ziehen. Für weitere Informationen zu Bußgeldern können Sie unseren Artikel "Neuerungen im Datenschutzrecht: EuGH-Urteil senkt Hürden für DSGVO-Bußgelder" lesen.
• Startups sollten frühzeitig prüfen, wo sie externe Dienstleister (z.B. Cloud-Hosting, Newsletter-Services) einsetzen. Entsprechende AV-Verträge müssen dann umgehend abgeschlossen werden, um rechtliche Konsequenzen zu vermeiden.

Zweck und Anwendungsbereich des AV-Vertrags

Der Auftragsverarbeitungsvertrag, auch Data Processing Agreement (DPA) genannt, dient dem Schutz personenbezogener Daten. Er ist immer dann notwendig, wenn diese Daten im Auftrag verarbeitet werden. Sobald ein Verantwortlicher – also das beauftragende Unternehmen – einen externen Dienstleister beauftragt, der für ihn personenbezogene Daten erhebt, nutzt oder speichert, schreibt die DSGVO spezifische vertragliche Garantien für den Datenschutz vor.

Typische Beispiele für solche Dienstleistungen sind Cloud-Dienste, Hosting-Provider, Newsletter-Versanddienste, Analytic-Tools oder externe Lohnbuchhaltungen. Ein AV-Vertrag stellt sicher, dass der Dienstleister Daten nur nach Weisung des Verantwortlichen und im Rahmen der DSGVO verarbeitet. Dies ist ein wichtiger Baustein für den betrieblichen Datenschutz.

Gesetzliche Anforderungen gemäß Art. 28 DSGVO

Art. 28 DSGVO legt detailliert fest, welche Punkte ein AV-Vertrag mindestens regeln muss, um rechtskonform zu sein:

• Gegenstand und Dauer der Verarbeitung: Welche Dienstleistung wird erbracht und wie lange werden die Daten verarbeitet?
• Art und Zweck der Verarbeitung: Zum Beispiel die Speicherung von Kundendaten für den Newsletterversand.
• Art der personenbezogenen Daten und Kategorien der betroffenen Personen: Beispielsweise Kontaktdaten von Kunden.
• Pflichten und Rechte des Verantwortlichen: Der Verantwortliche hat zum Beispiel ein Weisungsrecht und muss von diesem Gebrauch machen können.
• Pflichten des Auftragsverarbeiters: Hierzu gehört insbesondere, dass der Auftragsverarbeiter die Daten nur entsprechend den dokumentierten Weisungen verarbeitet und alle Personen auf Vertraulichkeit verpflichtet, die mit den Daten umgehen. Zudem muss er geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten umsetzen, wie etwa Verschlüsselung oder Zugriffsbegrenzungen.
• Unterauftragsverhältnisse: Der Verarbeiter darf weitere Subunternehmer nur mit Genehmigung des Verantwortlichen hinzuziehen. Er muss diese vertraglich gleichermaßen verpflichten, die Datenschutzstandards einzuhalten.
• Unterstützungspflichten: Der Verarbeiter muss den Verantwortlichen bei der Einhaltung von Betroffenenrechten (z.B. Auskunft, Löschung) und bei Pflichten wie Datenschutz-Folgenabschätzungen unterstützen.
• Rückgabe/Löschung: Nach Abschluss der Verarbeitung muss der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben. Dies gilt, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Kontrollen und Nachweise: Der Verantwortliche hat ein Recht zur Kontrolle (Audit) der Datenverarbeitung beim Verarbeiter. Der Verarbeiter muss die Einhaltung der getroffenen Maßnahmen nachweisen können.

Pflichten von Verantwortlichem und Auftragsverarbeiter

Der Abschluss eines AV-Vertrags allein genügt nicht. Beide Seiten müssen die vereinbarten Pflichten laufend erfüllen, um dem Datenschutz gerecht zu werden:

• Verantwortlicher: Er bleibt der Herr der Daten und muss den Verarbeiter sorgfältig auswählen, um ausreichende Garantien für den Datenschutz zu gewährleisten. Er muss Weisungen klar erteilen und dokumentieren sowie Überprüfungen oder Audits durchführen, wenn dies nötig ist. Zudem obliegt ihm die Information der Betroffenen und gegebenenfalls das Führen eines Verzeichnisses von Verarbeitungstätigkeiten, in dem auch die Auftragsverarbeitung vermerkt ist.
• Auftragsverarbeiter: Er darf Daten nur wie vertraglich festgelegt und nach Weisung verwenden. Er muss die Sicherheitsmaßnahmen auf aktuellem Stand halten und Datenschutzverstöße dem Verantwortlichen umgehend melden. Dies gilt gemäß Art. 33 DSGVO. Auch muss er alle unterstützenden Tätigkeiten (z.B. Hilfe bei Auskunftsersuchen) ohne unzumutbare Verzögerung erbringen.

Beide Seiten sollten den AV-Vertrag schriftlich oder in Textform abschließen. Die DSGVO verlangt zwar die Schriftform, elektronische Formen werden jedoch akzeptiert. Die Verträge sollten sorgfältig archiviert werden.

Konsequenzen und Bedeutung für Startups

Verstößt ein Unternehmen gegen Art. 28 DSGVO, indem es personenbezogene Daten ohne den erforderlichen AV-Vertrag durch Dritte verarbeiten lässt, drohen empfindliche Bußgelder. In schweren Fällen können diese bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Zudem besteht im Datenschutzrecht das Risiko von Schadensersatzansprüchen betroffener Personen bei Datenpannen.

Für Startups ist es daher essenziell, frühzeitig einen Überblick über alle ausgelagerten Datenverarbeitungen zu gewinnen. Häufig genutzte Dienste wie Web-Analytics, Cloud-Hosting, externe Support-Dienstleister oder Marketing-Tools erfordern eine genaue Prüfung. Bei all diesen muss geklärt werden, ob ein Auftragsverhältnis vorliegt und ein AV-Vertrag benötigt wird.

Die meisten großen Dienstleister bieten bereits vorformulierte AV-Verträge an, die nur noch abgeschlossen (oft online) werden müssen. Es ist ratsam, diese Dokumente sorgfältig aufzubewahren und regelmäßig zu überprüfen. So stellen Sie sicher, dass die Verarbeitungen noch im vereinbarten Rahmen stattfinden. Wenn Sie SaaS-Produkte anbieten, sollten Sie selbst entsprechende Verträge für Ihre Kunden bereithalten.

Fazit

Der Auftragsverarbeitungsvertrag ist ein unverzichtbares Instrument für den Datenschutz in modernen Unternehmen, insbesondere bei der Zusammenarbeit mit externen Dienstleistern. Seine korrekte Implementierung und Einhaltung schützt nicht nur vor hohen Bußgeldern, sondern stärkt auch das Vertrauen in den Umgang mit sensiblen Daten. Achten Sie daher stets auf vollständige und aktuelle AV-Verträge.