Auftragsverarbeitungsvertrag-Muster

Wenn Sie jemanden mit der Verarbeitung von Daten beauftragen, muss in der Regel ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Wir verraten Ihnen alles, was Sie wissen müssen und wie Sie einen individuellen Mustervertrag erstellen können.

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag, oder auch einfach AV-Vertrag oder noch kürzer AVV, ist eine vertragliche Vereinbarung zum Zwecke der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers (auch Verantwortlicher oder verantwortliche Stelle genannt).

Übersetzt heißt dies, personenbezogene Daten werden an einen einem Dienstleister übermittelt, der diese weisungsgebunden verarbeitet. In diesem Fall muss zwischen Auftraggeber und Auftragnehmer ein solcher Vertrag existieren, da ansonsten gegen die EU-DSGVO und das BDSG verstoßen wird.

Gesetzliche Grundlage für die Auftragsdatenverwaltung ist dabei Art. 28 EU-DSGVO, wobei der Begriff des Auftragsverarbeiters in Art. 4 Nr.8 EU-DSGVO genauer beschrieben ist. Danach kann ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet sein.

Ebenso ist der Begriff des Verantwortlichen nach Art. 4 Nr. 7 EU-DSGVO klar definiert. Hierzu heißt es in Art. 4 Nr.7 EU-DSGVO, dass ein Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Nicht immer einfach zu beantworten ist die Frage, wann genau eine Auftragsdatenverarbeitung zwischen einem Auftraggeber und einem Auftragnehmer vorliegt. Grundsätzlich müssen zwei Voraussetzungen gegeben sein. Zum einen muss der Auftragnehmer personenbezogene Daten, welche ihm der Auftraggeber zur Verfügung gestellt hat in irgendeiner Art erheben, verarbeiten oder nutzen. Diese Voraussetzung ist noch leicht zu prüfen. Zum anderen muss dieses Erheben, Verarbeiten oder Nutzen der zur Verfügung gestellten personenbezogenen Daten in einer strengen weisungsgebundenen Art und Weise geschehen. Die strenge weisungsgebundene Tätigkeit ist dabei entscheidend.

Man könnte es so verdeutlichen, dass der Auftragnehmer lediglich der „verlängerte Arm“ des Auftraggebers ist und aufgrund der strengen Weisungsgebundenheit keine eigenständigen Entscheidungen bei der Erfüllung seiner Tätigkeit treffen kann, sondern eben nur die Weisungen des Auftraggebers umsetzt. Dem am nächsten kommen dürfte damit der Erfüllungsgehilfe nach § 278 S.1 BGB, was aber hier einmal vernachlässigbar sein sollte.

Was muss ein Auftragsdatenverarbeitungsvertrag (Muster) beinhalten?

Wie bei jedem Vertrag müssen auch beim AV-Vertrag die entsprechenden wesentlichen Vertragsinhalte, schriftlich fixiert werden. Der AV-Vertrag ist zwar ein selbstständiger Vertrag, der zwischen Auftraggeber und Auftragnehmer geschlossen werden muss, allerdings richtet sich der AV-Vertrag nach dem der Tätigkeit zu Grunde liegendem Dienstleistungsvertrag. Dies bedeutet, dass sich der AV-Vertrag lediglich auf die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten konzentriert.

Konkret müssen in einem AV-Vertrag folgende Punkte festgehalten werden: Zunächst müssen der Auftraggeber und der Auftragnehmer benannt werden. Des Weiteren müssen Gegenstand, Dauer des Vertrages und Ort der Leistungserbringung (falls Tätigkeit im Ausland stattfindet, muss Art. 44 EU-DSGVO beachtet werden) bestimmt werden, wobei hier auf den zu Grunde liegenden Dienstleistungsvertrag verwiesen werden kann.

Mit DSM-Online kann ein solcher Auftragsverarbeitungsvertrag (AVV) innerhalb der Vertragserstellung schnell, einfach und strukturiert erstellt werden, sowohl als Auftraggeber wie auch als Auftragnehmer. Die Eingaben werden innerhalb der Vertragserstellung im Tool gemacht.

Weiterhin müssen Art und Zweck nach Art. 4 Nr. 2 EU-DSGVO definiert werden. Zwingend erforderlich ist auch die Fixierung der Art der Daten, also der Datenkategorien, die man verarbeitet und die betroffenen Personengruppen.

Ebenso muss ein Verantwortlicher nach Art. 28 und Art. 4 Nr. 7 EU-DSGVO und die Weisungsbefugnis des Auftraggebers geregelt werden. Des Weiteren beinhaltet ein AV-Vertrag auch eine Verschwiegenheitsverpflichtung für den Auftragnehmer, die eine Verpflichtung zur Vertraulichkeit für die Mitarbeiter des Auftragsverarbeiters voraussetzt. Eine solche Verpflichtung stellt DSM-Online den Anwendern ebenfalls zur Verfügung. Die Sicherheit der Verarbeitung nach Art. 32 EU- muss durch den Auftragsverarbeiter gewährleistet werden. Dies geschieht durch die so genannten TOMs, die technischen und organisatorischen Maßnahmen. Bei einem Vertrag als Auftragsverarbeiter werden TOMs automatisch bei DSM-Online in einer gesonderten Anlage 1 zum Vertrag aufgelistet. Bei einem AV-Vertrag als Auftraggeber bekommt der Auftragsverarbeiter in der Anlage 1 die Möglichkeit diese einzutragen und zu definieren.

Zusätzlich muss der Auftragnehmer, falls notwendig, seine Subunternehmer, welche er für die Bearbeitung bereits einsetzt in einer gesonderten Anlage 2 zum Vertrag auflisten.

Ebenso notwendig ist eine Mitteilungspflicht bei Störungen und Verletzungen des Schutzes personenbezogener Daten nach Art. 33 und 34 EU-DSGVO. Dies ist wichtig, für die Störungen und Verletzungen beim Auftragnehmer. Eine sofortige Meldung an den Auftraggeber ist hier entscheidend, da ggf. Meldungszeiten (innerhalb 72 Stunden) vom Verantwortlichen eingehalten werden müssen. Die Verwaltung von Störungen und Verletzungen kann ebenfalls in DSM-Online dokumentiert werden.

Eine Verpflichtung zur Datenlöschung nach Vertragsende ist ebenfalls sinnvoll und sollte deshalb mit aufgenommen werden bzw. eine Regelung wie mit den Daten nach Vertragsende umgegangen wird (z.B. Rückgabe an den Verantwortlichen).

Wann muss ein Auftragsverarbeitungsvertrag geschlossen werden?

Ein Auftragsverarbeitungsvertrag muss geschlossen werden, wenn zwei wichtige Voraussetzungen vorliegen:

  1. Bei einer Erhebung, Verarbeitung oder Nutzung von personenbezogener Daten, welche vom Auftraggeber zur Verfügung gestellt werden
  2. Strenge weisungsgebundene Abhängigkeit des Auftragnehmers vom Auftraggeber, das bedeutet keine eigenen Entscheidungen bei der Bearbeitung des Auftrages (Stichwort: „verlängerter Arm“)

 

Ein paar Beispiele für einen AV-Vertrag sollen diese zwei Voraussetzungen verdeutlichen:

  • IT-Wartung und Fernzugriff des IT-Dienstleisters
  • Buchhaltungen durch Rechenzentren
  • Cloud-Computing
  • Werbeadressenverarbeitung durch einen Lettershop
  • Datenträgerentsorgung durch Dienstleister
  • Shared Services-Dienstleistungen innerhalb eines Konzerns
  • DSM-Online als Datenschutzmanagement Software

Keine Auftragsdatenverarbeitung sind beispielsweise:

  • Alle Dienstleister, welche Berufsgeheimnisträger sind (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
  • Inkassobüros
  • Bankinstitute für Geldtransfer
  • Postdienste für den Brieftransport

 

Grundsätzlich können Sie einen Mustervertrag mit den genannten Komponenten erstellen. Oder Sie testen DSM-Online, die den Punkt Erstellung von Auftragsverarbeitungsverträge beinhaltet und Ihnen dabei hilft diese strukturiert zu verwalten. Testen Sie!