Achten Sie auf Auftragsverarbeitungsverträge!

Data Privacy von Ioannis Dimas

Vertrag unterschreiben
REDPIXEL.PL/Shutterstock.com

Bevor wir in das Thema tiefer eintauchen, möchten wir darauf hinweisen, dass es sich hierbei um keine rechtsverbindliche Beratung zum Thema Auftragsdatenverarbeitungsvertrag handelt. Bitte lassen Sie sich von einem Rechtsanwalt beraten. Desweiteren raten wir dringend davon ab, sich per „Copy & Paste“ Verträge aus bestehenden Dokumenten zu erstellen.

Wer muss einen AV haben?

In der Datenschutzgrundverordnung (DS-GVO) wird in Artikel 28 definiert, wann ein Vertrag zur Auftragsverarbeitung (AV) notwendig wird. Ein AV regelt die Verarbeitung von personenbezogenen Daten im Auftragsverhältnis. Das ist der Fall, wenn zum Beispiel ein Dienstleister Daten des Auftraggebers (Kunde) in dessen Auftrag verarbeitet.

Ein solcher Vertrag wird in aller Regel vom Dienstleister proaktiv angeboten. Dieser regelt dann, wie der Dienstleister mit den ihm anvertrauten Daten umgeht. Wichtig ist, die AV abszuschließen, bevor der Dienstleister mit der Verarbeitung der Daten beginnt. Insofern ist es ratsam nicht zu warten, bis der Vertragspartner eine AV anbietet, sondern diese aktiv einzufordern und den Abschluss zu forcieren.

Beispiele für einen notwendigen Auftragsdatenverarbeitungsvertrag sind:

  • Inanspruchnahme von Cloud Services, bei dem personenbezogene Daten verarbeitet werden (z.B. E-Mail, Dokumente, CRM, ERP aber auch webbasierte Analysedienste zur Leistungsmessung von Webseiteninhalten)
  • Google Analytics oder andere Tracking Dienste (außer Sie betreiben z.B. Matomo selbst)
  • Dienstleister, die Produkte oder Geschenke an Endkunden versenden (z.B. direkter Versand von Weihnachspräsenten)
  • Nutzung von Fernwartungssystemen (wie z.B. Teamviewer oder AnyDesk)
  • Lohnbuchhaltung durch einen Steuerberater (nur in Baden-Württemberg, NRW und Hessen)

Wann muss ich keinen AV schließen?

Ausgenommen von der AV-Pflicht sind:

  • Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstituts für den Geldtransfer
  • Postdienstes für den Brieftransport

Was muss ein Auftragsdatenverarbeitungsvertrag enthalten?

Hier eine unvollständige Aufzählung an Informationen, die zwingend in einem AV enthalten sein müssen.

  • Gegenstand, Art und Zweck der Verarbeitung
  • Die Art der verarbeiteten Daten und die Dauer der Verarbeitung
  • Vorgaben zum Umgang der Daten (Löschung, Rückgabe etc.) bei Beendigung des Vertrags
  • Definition der Pflichten, die der Auftragnehmer erfüllen muss
  • Weisungsbefugnisse und Kontrollrechte, die der Auftraggeber hat
  • Vorgaben zum Ort, an dem die Daten verarbeitet werden dürfen
  • Festlegungen zum Einsatz Subunternehmern durch den Auftragnehmer zur Aufgabenerfüllung
  • Kreis der Betroffenen deren Daten im Auftrag verarbeitet werden
  • Berichtigung und Sperrung von Daten
  • Benennung der Subunternehmer, die der Dienstleister mit der Verarbeitung betraut
  • Verfahren bei Beendigung des Vertragsverhältnisses
  • Offenlegung welche TOMs (technische und organisatorische Maßnahmen) vom Auftragnehmer angewendet werden um die Daten zu schützen

Da der Auftraggeber regelmäßig kontrollieren muss, ob die Verarbeitung ordnungsgmäß erfolgt, (Auditierungsrecht) ist der Passus zu den Kontrollrechten sehr wichtig.

Was passiert, wenn ich keinen AV abschließe?

Ein Auftragsdatenverarbeitungsvertrag ist verpflichtend. Die Aufsichtsbehörden verhängen bei fehlendem Vertrag Bußgelder in erheblicher Höhe.

Hier zwei Beispiele über verhänge Strafen:

Ich habe einen AV erhalten - und nun?

Wenn Sie als Kunde einen AV erhalten, lohnt sich vor der Unterschrift ein detaillierter Blick in den Vertrag, da sie weiterhin verantwortlich für die Daten sind. Wenn Sie Fragen zu den Verträgen haben, wenden Sie sich idealerweise Ihren eigenen Datenschutzbbeauftragten, häuffig ist es einfacher, wenn die Datenschutzbeauftragten von Auftraggeber und und Auftragnehmer sich direkt zu offenen Fragen abstimmen.

Ein ganz besonderes Augenmerk sollten Sie auf die Passage legen, wo es um den Standort der Verarbeitung geht und ob die Daten in einem Drittland verarbeitet werden.

Gerne übernehmen wir die Prüfung und Kommunikation mit Ihrem Dienstleister für Sie. Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich gerne an uns!

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Bitte rechnen Sie 8 plus 1.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.