Achten Sie auf Auftragsverarbeitungsverträge!
Data Privacy von Ioannis Dimas
Bevor wir in das Thema tiefer eintauchen, möchten wir darauf hinweisen, dass es sich hierbei um keine rechtsverbindliche Beratung zum Thema Auftragsdatenverarbeitungsvertrag handelt. Bitte lassen Sie sich von einem Rechtsanwalt beraten. Desweiteren raten wir dringend davon ab, sich per „Copy & Paste“ Verträge aus bestehenden Dokumenten zu erstellen.
Wer muss einen AV haben?
In der Datenschutzgrundverordnung (DS-GVO) wird in Artikel 28 definiert, wann ein Vertrag zur Auftragsverarbeitung (AV) notwendig wird. Ein AV regelt die Verarbeitung von personenbezogenen Daten im Auftragsverhältnis. Das ist der Fall, wenn zum Beispiel ein Dienstleister Daten des Auftraggebers (Kunde) in dessen Auftrag verarbeitet.
Ein solcher Vertrag wird in aller Regel vom Dienstleister proaktiv angeboten. Dieser regelt dann, wie der Dienstleister mit den ihm anvertrauten Daten umgeht. Wichtig ist, die AV abszuschließen, bevor der Dienstleister mit der Verarbeitung der Daten beginnt. Insofern ist es ratsam nicht zu warten, bis der Vertragspartner eine AV anbietet, sondern diese aktiv einzufordern und den Abschluss zu forcieren.
Beispiele für einen notwendigen Auftragsdatenverarbeitungsvertrag sind:
- Inanspruchnahme von Cloud Services, bei dem personenbezogene Daten verarbeitet werden (z.B. E-Mail, Dokumente, CRM, ERP aber auch webbasierte Analysedienste zur Leistungsmessung von Webseiteninhalten)
- Google Analytics oder andere Tracking Dienste (außer Sie betreiben z.B. Matomo selbst)
- Dienstleister, die Produkte oder Geschenke an Endkunden versenden (z.B. direkter Versand von Weihnachspräsenten)
- Nutzung von Fernwartungssystemen (wie z.B. Teamviewer oder AnyDesk)
- Lohnbuchhaltung durch einen Steuerberater (nur in Baden-Württemberg, NRW und Hessen)
Wann muss ich keinen AV schließen?
Ausgenommen von der AV-Pflicht sind:
- Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
- Inkassobüros mit Forderungsübertragung
- Bankinstituts für den Geldtransfer
- Postdienstes für den Brieftransport
Was muss ein Auftragsdatenverarbeitungsvertrag enthalten?
Hier eine unvollständige Aufzählung an Informationen, die zwingend in einem AV enthalten sein müssen.
- Gegenstand, Art und Zweck der Verarbeitung
- Die Art der verarbeiteten Daten und die Dauer der Verarbeitung
- Vorgaben zum Umgang der Daten (Löschung, Rückgabe etc.) bei Beendigung des Vertrags
- Definition der Pflichten, die der Auftragnehmer erfüllen muss
- Weisungsbefugnisse und Kontrollrechte, die der Auftraggeber hat
- Vorgaben zum Ort, an dem die Daten verarbeitet werden dürfen
- Festlegungen zum Einsatz Subunternehmern durch den Auftragnehmer zur Aufgabenerfüllung
- Kreis der Betroffenen deren Daten im Auftrag verarbeitet werden
- Berichtigung und Sperrung von Daten
- Benennung der Subunternehmer, die der Dienstleister mit der Verarbeitung betraut
- Verfahren bei Beendigung des Vertragsverhältnisses
- Offenlegung welche TOMs (technische und organisatorische Maßnahmen) vom Auftragnehmer angewendet werden um die Daten zu schützen
Da der Auftraggeber regelmäßig kontrollieren muss, ob die Verarbeitung ordnungsgmäß erfolgt, (Auditierungsrecht) ist der Passus zu den Kontrollrechten sehr wichtig.
Was passiert, wenn ich keinen AV abschließe?
Ein Auftragsdatenverarbeitungsvertrag ist verpflichtend. Die Aufsichtsbehörden verhängen bei fehlendem Vertrag Bußgelder in erheblicher Höhe.
Hier zwei Beispiele über verhänge Strafen:
- Januar 2019: 5000,- € Bußgeld wegen fehlendem Vertrag (zur Berichterstattung)
- August 2021: 400.000,- € gegen MONSANTO, u. a. da kein AV vorhanden war (zur Berichterstattung)
Ich habe einen AV erhalten - und nun?
Wenn Sie als Kunde einen AV erhalten, lohnt sich vor der Unterschrift ein detaillierter Blick in den Vertrag, da sie weiterhin verantwortlich für die Daten sind. Wenn Sie Fragen zu den Verträgen haben, wenden Sie sich idealerweise Ihren eigenen Datenschutzbbeauftragten, häuffig ist es einfacher, wenn die Datenschutzbeauftragten von Auftraggeber und und Auftragnehmer sich direkt zu offenen Fragen abstimmen.
Ein ganz besonderes Augenmerk sollten Sie auf die Passage legen, wo es um den Standort der Verarbeitung geht und ob die Daten in einem Drittland verarbeitet werden.
Gerne übernehmen wir die Prüfung und Kommunikation mit Ihrem Dienstleister für Sie. Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich gerne an uns!