Der AVV Vertrag und die Parteien

Die Auftragsdatenverarbeitung ist heute gängige Praxis. Denn in unserer globalen, arbeitsteiligen Welt ist es an der Tagesordnung Aufgaben auszulagern und an spezialisierte Dienstleister zu vergeben. Wenn es dabei um die Verarbeitung von personenbezogenen Daten geht, ist der Abschluss eines AVV Vertrags nötig. Darin wird genau geregelt, welche Daten verarbeitet werden. Das soll den Schutz der betroffenen Personen und einen professionellen Umgang mit den sensiblen Daten gewährleisten. Grundsätzlich unterscheidet man in der Auftragsverarbeitung verschiedene Rollen:

  • Verantwortlicher (Unternehmen, das die Daten erhoben hat)
  • Verarbeiter (Externer Dienstleister)
  • Weiterverarbeiter (Sub-Unternehmer des Verarbeiters)

Gemäß der Datenschutzgrundverordnung ist der Datenschutzbeauftragte eines Unternehmens dafür zuständig, dass die Rechte der betroffenen Personen gewahrt werden. Das gilt insbesondere auch bei der Auftragsdatenverarbeitung. Auch wenn ein Vertrag über Verarbeitungstätigkeiten geschlossen wurde, ist immer das beauftragende Unternehmen als der Verantwortliche anzusehen. Daher ist es für das Unternehmen wichtig, einen AVV Vertrag abzuschließen und die Weiterverarbeitung der Daten gesetzeskonform zu regeln.

AVV Verträge werden zum Beispiel in folgenden Fällen abgeschlossen:

  • Wenn ein externer Programmierer oder ein IT-Unternehmen Software installiert, überprüft oder Korrekturen vornimmt.
  • Wenn externe Firmen die Installation, Prüfung oder den Tausch von Hardware vornehmen.
  • Bei der Wartung von Systemen durch technische Dienstleister
  • Wenn ein Unternehmen externe Tools im Marketing nutzt, zum Beispiel eine Software für den Versand von Newslettern.
  • Wenn die Webseite des Unternehmens auf externen Servern gehostet wird.
  • Bei der Aktenvernichtung durch externe Dienstleister
  • Bei der Nutzung eines externen Rechenzentrums
  • Bei allen Spielarten des Cloud-Computing
  • Bei der Nutzung von Software-as-a-Service

Ein AVV Vertrag muss übrigens bereits dann abgeschlossen werden, wenn der Verarbeiter theoretisch die Möglichkeit hätte auf die Daten zuzugreifen. Eine wirkliche Verarbeitung der Daten ist nicht Voraussetzung.

Typische Pflichten des Verantwortlichen

Der Verantwortliche hat die Aufgabe sicherzustellen, dass die Daten auch beim Zugriff durch eine externe Partei sicher sind und die Rechte der betroffenen Personen gewahrt werden. Es zählt nicht, dass der Auftraggeber sich darauf verlässt, dass der Dienstleister sich an die Anforderungen des Datenschutzes hält. Der Auftraggeber bzw. der Datenschutzbeauftragte des Unternehmens müssen sich bei Beauftragung eines Dritten aktiv um die Einhaltung der Sicherheit von Daten kümmern. Denn er ist und bleibt in der Hauptverantwortung für den Datenschutz gegenüber den Personen, deren Daten erhoben wurden. Der Verantwortliche kann diese Verantwortung nicht einfach abgeben und delegieren.

Bei jeder Art von Auftragsdatenverarbeitung ist es wichtig, die Grundsätze der Verarbeitung von personenbezogenen Daten einzuhalten. Dabei muss der Auftraggeber technische und organisatorische Maßnahmen festlegen, um für die Sicherheit bei der Verarbeitung sorgen.

Der Verantwortliche erstellt eine Weisung an den Verarbeiter in schriftlicher Form. Damit instruiert er den Verarbeiter sowie dessen Mitarbeiter bezüglich der vertragskonformen Handhabung der Daten.

Typische Aufgaben des Verantwortlichen in Bezug auf einen Vertrag zur Auftragsdatenverarbeitung

Der Verantwortliche sorgt für den Entwurf und den Abschluss eines Vertrags zur Auftragsdatenverarbeitung (Art. 28 DSGVO). Darin sind alle für die Auftragsdatenverarbeitung notwendigen Sachverhalte geregelt. Das gilt auch bereits dann, wenn die theoretische Möglichkeit besteht, dass ein Dritter auf die Daten zugreift. In der Regel arbeitet der Datenschutzbeauftragte des Unternehmens zusammen mit einer Anwaltskanzlei oder den internen Juristen einen Vertragsentwurf aus.

Der Verantwortliche muss kontrollieren und sicherstellen, dass der beauftragte Verarbeiter die gesetzlichen Vorgaben der DSGVO zu jeder Zeit einhält. Dazu kann er Kontrollen vor Ort durchführen oder einen Sachverständigen damit beauftragen. Es ist auch möglich, dass der Auftraggeber eine schriftliche Stellungnahme des Verarbeiters einholt. Eine genaue Regelung darüber, wie oft diese Kontrollen nötig sind, gibt es in der DSGVO nicht.

Das Maß der Kontrollen hängt eng mit dem Umfang der Daten, der Art und Sensibilität der Daten sowie der möglichen Gefährdung von Personen bei einem Datenverlust zusammen. Je mehr Daten verarbeitet werden und je sensibler sie sind desto häufiger sind Kontrollen durch den Auftraggeber beim Verarbeiter ratsam. Werden zum Beispiel Gesundheitsdaten oder Daten zur finanziellen Situation von Personen im großen Stil verarbeitet oder geht es um Profiling aus verschiedenen Datenquellen, sind regelmäßige Kontrollen vor Ort empfehlenswert. Verarbeitet dagegen ein Dienstleister nur eine kleine Zahl von Daten, zum Beispiel die Adressen von 50 Kunden, ist eine schriftliche Stellungnahme im Sinne der Verhältnismäßigkeit völlig ausreichend.

Der Verantwortliche muss die Kontrollen beim externen Dienstleister aber in jedem Fall protokollieren. Ein derartiges Protokoll dient im Streitfall als Nachweis gegenüber den Aufsichtsbehörden.

4. AVV Vertrag – Die Parteien im AVV Vertrag: Der Verarbeiter

Der Verarbeiter von Daten: Seit der DSGVO noch mehr in der Pflicht

Der Verarbeiter von Daten wird seit Einführung der DSGVO bei einem Vertrag über Verarbeitungstätigkeiten stärker in die Pflicht genommen, als das bisher der Fall war. Das äußert sich zum Beispiel darin, dass ein Auftragsverarbeiter zahlreiche Pflichten im Bezug auf den Schutz der Daten selbstständig erfüllen müssen, wenn er Daten im Auftrag verarbeitet. Bei einer Datenpanne können seit Inkrafttreten der DSGVO beide Parteien eines AVV Vertrags in die Pflicht genommen werden. Es kann nun also sowohl der Datenverantwortliche als auch der Verarbeiter für den Schaden haftbar gemacht werden.

Die typischen Pflichten des Verarbeiters zur Sicherstellung des Datenschutzes

Ein Verarbeiter von Daten muss dem Verantwortlichen Garantien dafür bieten, dass er personenbezogene Daten gemäß den Bestimmungen der DSGVO verarbeitet und alle rechtlichen Bestimmungen einhält. Der Verarbeiter kann dies zum Beispiel mit Zertifizierungen nachweisen.

Die Verarbeitung von Daten erfolgt nur auf ausdrückliche und dokumentierte Weisung des Verantwortlichen.

Ein Verarbeiter von Daten ist verpflichtet ein schriftliches Verfahrensverzeichnis zu führen. Das ist in Art. 30 Abs. 2 DSGVO geregelt. In diesem Verzeichnis müssen alle Tätigkeiten aufgeführt werden, die im Rahmen der Auftragsdatenverarbeitung durchgeführt werden. Es muss der Aufsichtsbehörde auf Verlangen im Sinne einer guten Zusammenarbeit vorgezeigt werden und folgende Informationen enthalten:

  • Namen und Kontaktdaten des Auftragsverarbeiters
  • Name des Verantwortlichen, in dessen Auftrag die Verarbeitung stattfindet
  • Benennung der Kategorien, für die Daten verarbeitet werden
  • Pflicht zur Information, wenn personenbezogene Daten an ein Drittland übermittelt werden
  • Beschreibung der organisatorischen und technischen Maßnahmen zum Schutz der Daten

Ein Verarbeiter hat außerdem die Pflicht einen betrieblichen Datenschutzbeauftragen zu ernennen.

Zudem ist er verpflichtet, den Verantwortlichen zu informieren, wenn Weisungen gegen die DSGVO oder andere Bestimmungen des Datenschutzes verstoßen. Auch wenn konkrete Verstöße gegen den Datenschutz vorliegen, muss dies dem Verantwortlichen gemeldet werden.

Im Falle einer Kontrolle ist der Verarbeiter verpflichtet mit den Behörden zusammenzuarbeiten. Um alle Vorgänge im Nachhinein nachvollziehen zu können, musss ein Verarbeiter zudem alle Handlungen zur Datenverarbeitung speichern und auf Verlangen vorweisen können.

Beauftragt ein Verarbeiter Subunternehmer mit der Verarbeitung von Daten, muss er dafür eine schriftliche Genehmigung des Verantwortlichen einholen. Und zwar zwingend vorab und nicht erst im Nachhinein. Ebenso muss eine schriftliche Vereinbarung zwischen dem Verarbeiter und dem Weiterverarbeiter abgeschlossen werden. Bei dieser Vereinbarung gelten die gleichen Standards, die auch zwischen dem Verantwortlichen und dem Verarbeiter gültig sind.

Der Verarbeiter muss alle technischen und organisatorischen Maßnahmen treffen, um sicherzustellen, dass die Daten ausreichend geschützt sind.

Die typischen Aufgaben des Datenverarbeiters

Wird die Verarbeitung von Daten im Zuge einer Auftragsdatenverarbeitung ausgelagert, handelt es sich oft um Aufgaben aus diesen Bereichen:

  • Gehaltsabrechnungen
  • Personalmanagement
  • Rechnungs- und Forderungsmanagement
  • Hosting von Anwendungen
  • Miete von Servern
  • Verträge für die Nutzung von Software
  • Nutzung von Cloud-Diensten
  • Marketingdienstleistungen (z.B. Newsletter-Versand, Email-Marketing etc.)

5. AVV Vertrag – Parteien im AVV Vertrag: Der Weiterverarbeiter

Die Parteien im AVV Vertrag: Der Weiterverarbeiter

Es ist gängige Praxis, dass Verarbeiter von Daten ihrerseits Subunternehmer beauftragen, die ebenfalls an der Verarbeitung der Daten beteiligt sind. In Zeiten von globaler Arbeitsteilung ist das nicht ungewöhnlich und gerade im Falle von Cloud Computing kommt dieses Szenario sehr häufig vor. Zum Beispiel wenn der Cloudanbieter aus den USA ein großes Support-Team in Indien bei einem externen Dienstleister nutzt.

Für die Weiterverarbeiter von Daten gelten aber immer die gleichen Pflichten, wie für den Verarbeiter der Daten.

Typische Pflichten des Weiterverarbeiters

  • Der Weiterverarbeiter hat in Bezug auf den Schutz der Daten die gleichen Pflichten wie der Verarbeiter der Daten. Das verhindert, dass durch die Weitergabe von Aufgaben die Bestimmungen der DSGVO unterlaufen werden und die Verantwortung für die Daten im Sande verläuft.
  • Der Weiterverarbeiter muss ebenfalls den AVV Vertrag unterzeichnen und sich bei all seinen Aktivitäten an die Bestimmung des Vertrages halten.
  • Der Weiterverarbeiter muss gegenüber dem Verarbeiter das gleiche Maß an Datenschutz gewährleisten, wie es der Verarbeiter gegenüber dem Verantwortlichen gewährleistet.
  • Der Weiterverarbeiter muss dem Verarbeiter eine Zusammenfassung seiner technischen und organisatorischen Maßnahmen im Hinblick auf den Datenschutz übermitteln.
  • Der Weiterverarbeiter ist gegenüber dem Verarbeiter verpflichtet im Rahmen einer Kontrolle alle Daten und Prozesse offenzulegen.
  • Ein Weiterverarbeiter muss garantieren, dass seine Subunternehmen seinerseits sich ebenfalls an die Bestimmungen der DSGVO halten.
  • Ein Weiterverarbeiter hat die Pflicht alle Vorgänge in Bezug auf die Datenverarbeitung schriftlich zu dokumentieren.

Typische Aufgaben des Weiterverarbeiters

Typische Aufgaben des Weiterverarbeiters sind oft Supportdienstleistungen, die den Verarbeiter in seiner Tätigkeit unterstützt. Im Prinzip kann ein Verarbeiter aber auch alle oben genannten Aufgaben ebenfalls an einen Dienstleister auslagern.

Um die Bestimmungen der DSGVO einhalten zu können, sind AVV Verträge richtig und wichtig. Datenverantwortliche sichern sich damit rechtlich gegenüber ihren Partnern ab. Besonders hervorzuheben ist, dass seit Inkrafttreten der DSGVO auch die weisungsabhängigen Verarbeiter bzw. Weiterverarbeiter von Daten genauso in der Pflicht sind, wie die Datenverantwortlichen. Auch sie müssen alle notwendigen Maßnahmen treffen, um alle verarbeiteten Daten zu schützen und damit Schaden von den betroffenen Personen abzuwenden.