Auftragsverarbeitungsvertrag (AVV): Definition, Inhalt & Fallstricke

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein zivilrechtlicher Vertrag, dessen Gegenstand in der Erbringung von Datenverarbeitungstätigkeiten liegt. Als zivilrechtlicher Vertrag steht der Inhalt eines AVV - mit Ausnahme des Pflichtinhalts aus Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO) – aufgrund der Privatautonomie grundsätzlich zur Disposition der Vertragsparteien.

Das bedeutet, dass der Verantwortliche und der Auftragsverarbeiter in dem AVV weitergehende Rechte und Pflichten nach eigenem Ermessen vereinbaren können, solange dadurch nicht gegen die Vorgaben des Art. 28 DSGVO verstoßen, in unzulässiger Weise abgewichen oder durch vertragliche Regelungen der Pflichtinhalt ausgehöhlt wird.

Was ist Auftragsverarbeitung und wann braucht man einen Auftragsverarbeitungsvertrag?

Unter einer Auftragsverarbeitung ist die Verarbeitung von personenbezogenen Daten durch eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle im Auftrag des Verantwortlichen zu verstehen (Art. 4 Nr. 8 DSGVO). Vereinfacht gesagt stellt eine Auftragsverarbeitung das Outsourcing von Datenverarbeitungen an Externe dar. In diesen Fällen besteht stets die Pflicht, einen entsprechenden AVV abzuschließen.  

Die Prüfung der konkreten Konstellation ist insofern von Bedeutung, als es im Zusammenspiel mit den anderen Akteuren nach der DSGVO die Verantwortung für die Datenverarbeitung zuweist und absteckt. Eine Auftragsverarbeitung kennzeichnet sich durch zwei Merkmale, die gemeinsam vorliegen müssen:

1. Der Verantwortliche entscheidet über die Zwecke und Mittel der Datenverarbeitung, und
2. der Auftragsverarbeiter unterliegt den Weisungen des Verantwortlichen.

Daneben ist es erforderlich, dass es sich bei einem Auftragsverarbeiter um eine rechtlich außerhalb des Verantwortlichen stehende juristische oder natürliche Person handelt. Daher können die Beschäftigten oder Abteilungen eines Unternehmens niemals Auftragsverarbeiter für ihren Arbeitgeber (den Verantwortlichen) sein.  

Zu der Frage, welche konkreten Verarbeitungstätigkeiten eine Auftragsverarbeitung darstellen könnten, schweigt die DSGVO. Grundsätzlich können damit alle Formen von Verarbeitungstätigkeiten als Auftragsverarbeitung angesehen werden.  

Typische Beispiele für eine Auftragsverarbeitung sind:

• Cloud-Computing- bzw. SaaS-Anwendungen
• Hosting / Backup-Verwaltung
• Callcenter-Tätigkeiten
• Newsletter-Dienstleister
• Digitalisierung von Dokumenten und/oder Archivierung

Daneben werden jedoch auch Tätigkeiten erfasst, deren Hauptgegenstand nicht in der Verarbeitung personenbezogener Daten liegt, jedoch einen systematischen, umfangreichen Zugang zu personenbezogenen Daten unvermeidlich mit sich bringen.

Dies kann z. B. für einen IT-Support angenommen werden, da diese regelmäßig eine faktische Zugriffsmöglichkeit auf die Daten haben. Des Weiteren werden Tätigkeiten erfasst, bei denen die Datenverarbeitung nur nebensächlich erfolgt, wie etwa bei der Kundenbetreuung im Call-Center.  

Was ist keine Auftragsverarbeitung?

Eine mustergültige Aussage, welche Datenverarbeitungstätigkeiten keine Auftragsverarbeitung darstellen, lässt sich nur schwer treffen. Vielmehr muss anhand des konkreten Einzelfalls und anhand der zu erbringenden Tätigkeit geprüft werden, ob es sich um eine Auftragsverarbeitung handelt.

Jedenfalls keine Auftragsverarbeitung liegt in den Fällen vor, in denen der Beauftragte (auch) Entscheidungen über die Zwecke und Mittel der Verarbeitung trifft, bzw. personenbezogene Daten (auch) zu eigenen Zwecken verarbeitet.

Nicht als Auftragsverarbeitung gelten zumindest die nachfolgenden Tätigkeiten:

• Post- und Transportdienstleistungen
• Bankinstitute und Zahlungsdienstleister
• Tätigkeiten der Berufsgeheimnisträger (Rechtsanwälte, Ärzten, Steuerberater, etc.)

Wovon ist die Auftragsverarbeitung abzugrenzen?

Die Auftragsverarbeitung ist strikt von einer gemeinsamen oder getrennten Verantwortlichkeit abzugrenzen.  

Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (sog. Joint Control)

Bei der gemeinsamen Verantwortlichkeit legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest. Wie auch die Auftragsverarbeitung bedarf es auch für die gemeinsame Verantwortlichkeit eines Vertrages zwischen den Verantwortlichen.

Wesentliche Unterschiede zur Auftragsverarbeitungen bestehen darin, dass bei der gemeinsamen Verantwortlichkeit jeder Verantwortliche jeweils die für ihn geltenden Pflichten nach der DSGVO erfüllen muss. So muss etwa jeder Verantwortliche nachweisen können, dass die Datenverarbeitung auf eine Rechtsgrundlage gestützt ist. Auch die Informationspflichten aus Art. 13 und 14 DSGVO muss jeder Verantwortliche selbständig erfüllen.  

Getrennte Verantwortlichkeit

Die getrennte Verantwortlichkeit ist in der DSGVO nicht explizit geregelt. Bei der getrennten Verantwortlichkeit wird - anders als bei Joint Control - nicht gemeinsam über die Zwecke und Mittel entschieden, sondern jeder Verantwortliche trifft diese Entscheidung selbständig und getrennt voneinander. Auch fehlt es in der Beziehung der getrennt Verantwortlichen zueinander an einer Weisungsgebundenheit.

Was kann bzw. muss im Auftragsverarbeitungsvertrag geregelt werden?

In Art. 28 DSGVO ist der erforderliche Pflichtinhalt eines AVV geregelt.  

Beschreibung der Datenverarbeitung (Art. 28 Abs. 3 S. 1 DSGVO)

Zunächst muss der AVV die Datenverarbeitung im Detail und präzise beschreiben. Dies umfasst die Bestimmung des Gegenstandes, der Dauer sowie der Art und Zweck der Datenverarbeitung. Des Weiteren müssen auch die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen aufgelistet werden (z. B. Beschäftigte, Kund:innen, Lieferanten, etc.).

Pflichten und Rechte des Verantwortlichen (Art. 28 Abs. 3 S. 1 DSGVO)

Des Weiteren sollen die Rechte und Pflichten des Verantwortlichen festgelegt werden. Um welche Rechte und Pflichten es sich dabei konkret handeln soll, wird nicht näher erläutert. Denkbar sind vor allem Regelungen, die festlegen, dass die Prüfung der generellen Zulässigkeit und Rechtmäßigkeit einer Datenverarbeitung dem Verantwortlichen obliegt.  

Weisungsgebundenheit des Auftragsverarbeiters (Art. 28 Abs. 3 S. 2 lit. a DSGVO)

Erforderlich ist eine vertragliche Regelung, die den Auftragsverarbeiter verpflichtet, die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.

Die Weisungen dienen als vertragliche Festlegung über die durch den Auftragsverarbeiter zu erbringenden Leistungen einschließlich technischer und organisatorischer Maßnahmen und können darüber hinaus auch weitere Vorgaben hinsichtlich des Umgangs mit den Daten enthalten.

Die Weisungsgebundenheit umfasst neben der konkreten Art und Weise der Datenverarbeitung u.a. auch die Frage, ob die personenbezogenen Daten außerhalb des Geltungsbereichs der DS-GVO verarbeitet werden dürfen. Im Vertrag muss jedoch auch die gesetzlich vorgesehene Ausnahme von der Weisungsgebundenheit aufgenommen werden.

Denn der Auftragsverarbeiter ist nicht an die Weisungen gebunden, sofern er durch das Recht der Union oder das Recht des Mitgliedstaates, dem er unterliegt, zur Verarbeitung verpflichtet ist. Der Auftragsverarbeiter hat dann die Verarbeitung vorzunehmen, muss aber den Verantwortlichen vorab über die rechtlichen Anforderungen informieren.

Des Weiteren müssen die Weisungen dokumentiert werden, wobei eine konkrete Form nicht vorgeschrieben aber eine solche Festlegung im AVV empfehlenswert ist. Dadurch soll gewährleistet werden, dass die Datenverarbeitungsprozesse durch den Auftragsverarbeiter nachvollziehbar bleiben und bei Bedarf kontrolliert werden können.  

Vertraulichkeit (Art. 28 Abs. 3 S. 2 lit. b DSGVO)

Der Auftragsverarbeiter muss sicherstellen und sich dazu vertraglich verpflichten, dass die an der Datenverarbeitung beteiligten Beschäftigten zur Vertraulichkeit verpflichten oder einer angemessenen Verschwiegenheitsverpflichtung unterliegen. Regelmäßig sind die Beschäftigten bereits aufgrund des Arbeitsverhältnisses zur Vertraulichkeit verpflichtet.  

Technische und organisatorische Maßnahmen – TOMs (Art. 28 Abs. 3 S. 2 lit. c DSGVO)

In dem Vertrag muss festgelegt werden, dass der Auftragsverarbeiter alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen ergreift. Die zu ergreifenden Maßnahmen werden in Art. 32 DSGVO konkretisiert.  

Sub-Dienstleister (Art. 28 Abs. 2, Abs. 3 S. 2 lit. d und Abs. 4 DSGVO)

Der Vertrag muss Bedingungen aus Art. 28 Abs. 2 und 4 DSGVO für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhalten. Art 28 Abs. 2 DSGVO betrifft die Modalitäten, unter denen der Auftragsverarbeiter weitere Sub-Dienstleister beauftragen kann.

Hierfür sieht das Gesetz zwei Möglichkeiten vor: Zum einen kann die Inanspruchnahme von der gesonderten Genehmigung abhängig sein - in diesem Fall darf der Auftragsverarbeiter nur dann weitere Sub-Dienstleister beauftragen, wenn der Verantwortliche seine Zustimmung erteilt. Demgegenüber kann der Verantwortliche auch eine allgemeine schriftliche Genehmigung erteilen, die es dem Auftragsverarbeiter ermöglicht, ohne erneute Einholung einer Zustimmung Sub-Dienstleister zu beauftragen.

Unabhängig davon, auf welche Weise es dem Auftragsverarbeiter gestattet ist, neue Sub-Dienstleister einzusetzen, muss der Auftragsverarbeiter mit diesen nach Art. 28 Abs. 4 DSGVO ebenfalls einen Auftragsverarbeitungsvertrag abschließen. Der Vertrag muss den Anforderungen aus Art. 28 Abs. 3 DSGVO entsprechen.  

Unterstützung des Auftragsverarbeiters bei der Wahrung der Betroffenenrechte (Art. 28 Abs. 3 S. 2 lit. e DSGVO)

Der Auftragsverarbeiter muss den Verantwortlichen zur Gewährleistung einer effektiven Durchsetzung der Betroffenenrechte (Art. 12 bis 23 DSGVO) mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von entsprechenden Anträgen der unterstützen. So wird der Auftragsverarbeiter regelmäßig dazu verpflichtet sein, dass Auskunftsanfragen an den Verantwortlichen weiterzuleiten und die zur Beantwortung der Anfrage erforderlichen Informationen bereitzustellen.  

Unterstützung des Auftragsverarbeiters bei der Wahrnehmung der Pflichten nach Art. 32 bis 36 DSGVO (Art. 28 Abs. 3 S. 2 lit. f DSGVO)

Ferner ist der Auftragsverarbeiter zur Unterstützung bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen. Dies umfasst vor allem Unterstützungspflichten bei der Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Durchführung von Datenschutz-Folgenabschätzungen.

Rückgabe bzw. Löschung der Daten nach Vertragsbeendigung (Art. 28 Abs. 3 S. 2 lit. g DSGVO)

Der Vertrag muss eine Regelung zur Rückgabe und / oder Löschung der im Auftrag verarbeiteten Daten enthalten. Ob die Daten zurückgegeben oder gelöscht werden sollen, kann der Verantwortliche entscheiden. Diese Pflicht gilt jedoch nicht für Daten, die der Auftragsverarbeiter zur Erfüllung gesetzlicher Pflichten aufbewahren muss.    

Kontroll- und Auditrechte des Verantwortlichen (Art. 28 Abs. 3 S. 2 lit. h DSGVO)

Der Auftragsverarbeiter muss dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO normierten Pflichten zur Verfügung stellen. Darüber hinaus muss der Verantwortliche berechtigt sein, Vor-Ort-Kontrollen entweder persönlich oder durch externe Prüfer durchzuführen.

Informationspflicht (Art. 28 Abs. 3 S. 3 DSGVO)

Zudem bedarf es einer Regelung, wonach der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren muss, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere anwendbare Datenschutzgesetze verstößt.

Wozu sind Auftragsverarbeiter verpflichtet?

Zunächst besteht für den Auftragsverarbeiter selbstverständlich eine Verpflichtung zur Einhaltung der vertraglichen Regelungen. Daneben gelten jedoch noch weitere Pflichten für den Auftragsverarbeiter aus der DSGVO.  

So ist der Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO verpflichtet, für die im Auftrag eines Verantwortlichen durchgeführten Verarbeitungen ein Verzeichnis über die Verarbeitungstätigkeiten (VVT) zu führen. Im Gegensatz zum VVT, welches der Verantwortliche führen muss, handelt es sich dabei um eine stark verkürzte Version. Auch hat der Auftragsverarbeiter gemäß Art. 33 Abs. 2 DSGVO dem Verantwortlichen unverzüglich zu melden, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.  

Des Weiteren besteht nach Art. 31 DSGVO die Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde. Regelmäßig muss der Auftragsverarbeiter zudem eine bzw. einen Datenschutzbeauftragten gemäß Art. 37 DSGVO benennen. In welchen Fällen eine bzw. ein Datenschutzbeauftragter erforderlich ist und was die Aufgaben sind, können Sie hier in diesem Beitrag nachlesen. Sofern der Auftragsverarbeiter über keine Niederlassung in der EU verfügt, muss nach Art. 27 DSGVO ein Vertreter bestellt werden.

Welche Fallstricke sind häufig in AVVs enthalten?

Der Inhalt eines AVV sollte stets eingehend und präzise geprüft werden. Denn es ist nicht unüblich, dass sich in dem Vertrag Klauseln verstecken, die eine Vertragspartei erheblich benachteiligen und im Einzelfall sogar unzulässig sein können.

Einschränkung der Kontroll- und Auditrechte

Nicht selten werden zum Beispiel die Kontroll- und Auditrechte des Verantwortlichen sehr stark eingeschränkt. Etwa indem es den Verantwortlichen nur zu bestimmten Zeiten und mit vorheriger längerer Ankündigungsfrist erlaubt ist, sein Kontrollrecht auszuüben oder dieses Kontrollrecht nur einmal pro Jahr ausgeübt werden darf. Ebenfalls anzutreffen sind Einschränkungen dahingehend, dass nicht der Verantwortliche, sondern ausschließlich externe, vom Auftragsverarbeiter selbst bestimmte Prüfer die Kontrolle vornehmen dürfen.

Kostentragungsregelungen

Sehr häufig enthalten Auftragsverarbeitungsverträge auch Regelungen zur Kostentragung z.B. für die Wahrnehmung der Kontrollrechte oder für die unterschiedlichen Unterstützungsleistungen: Allen voran bei der Unterstützung des Auftragsverarbeiters zur Beantwortung von Betroffenenanfragen und bei Datenschutzvorfällen. Solche Kostentragungsregelungen werden von Datenschutzaufsichtsbehörden kritisch gesehen, da Art. 28 DSGVO solche derartigen Kosten nicht vorsieht und es sich um gesetzliche Pflichten des Auftragsverarbeiters handelt.  

Grundsätzlich ist eine Regelung zur Kostentragung aufgrund des Grundsatzes der Privatautonomie nicht von vornherein verboten. Wenn aber die Kosten derart hoch (oder völlig unbestimmt) sind und eine abschreckende Wirkung entfalten, dass der Verantwortliche z.B. von der Ausübung seiner Kontroll- und Auditrechte absieht, kann dies dazu führen, dass die gesetzlichen Anforderungen aus Art. 28 Abs. 3 DSGVO als nicht erfüllt angesehen werden können.

Haftungsbegrenzungen

Häufig werden zudem Haftungsbegrenzungen in die AVVs implementiert oder per AVV auf die im Hauptvertrag festgesetzte Haftungsbegrenzung verwiesen. Die Haftungssummen sind hierbei meist so gering, dass nur ein Bruchteil der möglichen Bußgeldzahlungen des Verantwortlichen hiervon gedeckt wären. Der Verantwortliche bliebe damit im Endeffekt im Fall der Fälle auf einem Großteil des Bußgeldes sitzen, obwohl der Auftragsverarbeiter den Verstoßt ggf. größtenteils oder auch komplett verschuldet.

Einseitige Vertragsänderungen

Ein weiteres Konfliktfeld, welches weniger mit den vertraglichen Inhalten als mehr mit dem Verhalten des Vertragspartners zu tun hat, besteht in   "heimlichen" und einseitigen Vertragsänderung meist sehr marktbeherrschender Anbieter. Solche einseitigen Vertragsänderungen sind nur unter sehr strengen Voraussetzungen zulässig - ein Maßstab, den die meisten Vertragsänderungsklauseln nicht gerecht werden.

Zudem erschweren es ständige Vertragsänderungen nachzuvollziehen, welche Vertragsversion eigentlich Anwendung findet. Daher sollte der ursprünglich abgeschlossene AVV, einschließlich der TOM- und Subdienstleister-Liste gedownloadet und abgespeichert werden, um im Ernstfall nachweisen zu können, welche Vertragsversion und welcher Inhalt eigentlich Vertragsbestandteil geworden ist.

Was passiert, wenn ich keinen oder einen fehlerhaften Auftragsverarbeitungsvertrag geschlossen habe?

Ein mangelhafter oder gar fehlender (aber erforderlicher) AVV kann erhebliche Folgen für den Verantwortlichen haben.  

Zunächst kann ein Verstoß gegen Art. 28 DSGVO mit einem Bußgeld geahndet werden (Art. 83 Abs. 4 DSGVO). Die Geldbuße kann bis zu 10 Mio. Euro oder bis zu 2 % des weltweit jährlich erzielten Jahresumsatzes betragen.  

Daneben kann im Einzelfall ein Verstoß gegen Art. 28 DSGVO außerdem nach Art. 82 DSGVO zu Schadensersatzansprüchen der Betroffenen wegen materieller und immaterieller Schäden gegen den Verantwortlichen und den Auftragsverarbeiter führen.

Dabei ist zu beachten, dass der Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden nur dann haftet, wenn er seinen speziell auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat (Art. 82 Abs. 2 S. 2 DSGVO).

Wer haftet bei Auftragsverarbeitung für Bußgelder?

Grundsätzlich kann ein Bußgeld sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter verhängt werden. Dabei stellt sich jedoch die Frage, ob gegen den Verantwortlichen auch ein Bußgeld ergehen kann, wenn der Auftragsverarbeiter rechtswidrig Daten verarbeitet hat.  

Zu dieser Frage hat der Europäischen Gerichtshof (EuGH) in der Rechtssache C-683/21 Stellung bezogen. Nach der Rechtsprechung des EuGH bleibt der Verantwortliche auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich, sodass gegen ihn auch eine Geldbuße nach Art. 83 DSGVO verhängt werden kann, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden und die Verarbeitung durch einen Auftragsverarbeiter erfolgte.  

Dieser Grundsatz gilt jedoch nicht für Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte. Denn dann handelt der Auftragsverarbeiter gemäß Art. 28 Abs. 10 DSGVO für diese Verarbeitungen als Verantwortlicher.  

Regelmäßig enthalten Auftragsverarbeitungsverträge auch Regelungen zur Haftungsverteilung bzw. Haftungsbeschränkung. Oftmals werden in diesen Klauseln bestimmt, wer und in welchem Umfang etwa für Schadensersatzansprüche der betroffenen Personen haftet oder wer die Kosten eines Bußgeldes trägt.

Hierbei gilt es aufzupassen: Grundsätzlich können Unternehmen im B2B-Bereich vertragliche Regelungen zur Haftungsverteilung treffen. Diese Regelungen gelten jedoch nur im Innenverhältnis - also im Verhältnis Verantwortlicher zum Auftragsverarbeiter. Im Außenverhältnis, d. h. im Verhältnis des Verantwortlichen bzw. des Auftragsverarbeiters zu Dritten, entfalten Haftungsbeschränkungen keine Wirkung. Sie bezwecken lediglich, dass eine Vertragspartei entsprechend der Haftungsregelung unter Umständen Regress nehmen kann.  

Es ist daher nicht möglich, dass eine Haftungsbeschränkung zu Lasten der betroffenen Person wirkt oder dass sich eine vertragliche Regelung zur Haftungsverteilung bezüglich einer Geldbuße auf die Tätigkeit der Aufsichtsbehörde auswirkt.

Wer muss sich bei der Auftragsverarbeitung um den Datenschutz kümmern?

Auch wenn mit der Auftragsverarbeitung Datenverarbeitungstätigkeiten auslagert und somit nicht mehr unmittelbar durch den Verantwortlichen durchgeführt werden, entbindet dies den Verantwortlichen nicht von seinen datenschutzrechtlichen Pflichten.

Der Verantwortliche bleibt daher grundsätzlich für die Datenverarbeitung und insbesondere für die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung, für die Wahrung der Betroffenenrechte sowie grundsätzlich auch für eine Haftung gegenüber den betroffenen Personen verantwortlich.  

Das Outsourcing einer Datenverarbeitung geht für den Verantwortlichen also nicht auch mit Abwälzung seiner datenschutzrechtlichen Pflichten auf den Auftragsverarbeiter einher.

Was ist mit Auftragsverarbeitern aus Drittländern?

Bei der Beauftragung von Auftragsverarbeitern aus Drittstaaten - das sind solche Länder, die nicht Mitgliedstaaten der EU oder des EWR sind - müssen die zusätzlichen Anforderungen aus Art. 44 ff. DSGVO beachtet werden. Art. 44 DSGVO stellt den Grundsatz auf, dass Datenverarbeitungen außerhalb der EU / des EWR nur zulässig sind, wenn geeignete Garantien zur Aufrechterhaltung eines mit der DSGVO vergleichbaren Datenschutzniveaus ergriffen werden.  

Geeignete Garantien sind nach Art. 45 und 46 Abs. 2 DSGVO:

• Angemessenheitsbeschlüsse,
• Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules - BCR),
• Standardvertragsklauseln,
• Genehmigte Verhaltensregeln.

Ein Verantwortlicher, der einen Auftragsverarbeiter aus einem Drittland einsetzen möchte, muss daher eine dieser Garantien ergreifen, um die Datenverarbeitung abzusichern. Für den äußerst relevanten Fall des Einsatzes von US-amerikanischen Dienstleistern sind vor allem zwei Varianten von besonderer Bedeutung.

Zum einen kann die Datenverarbeitung auf den Angemessenheitsbeschluss für die USA, dem Data Privacy Framework (DPF), gestützt werden. Erforderlich ist hierfür, dass der Dienstleister nach dem DPF zertifiziert ist.  

Ein weiteres Mittel stellen die Standardvertragsklauseln der EU-Kommission für Datenübermittlungen in Drittländer dar. Die Standardvertragsklauseln können grundsätzlich für alle Datenübermittlungen in Drittländer eingesetzt werden.

Für die Vertragsklauseln stehen mehrere Module zur Verfügung, die auf verschiedene Konstellationen einer Datenübermittlung angepasst sind. Erforderlich ist dabei meist, dass ein sog. Transfer-Impact-Assessment durchgeführt werden muss, in dessen Rahmen die Datenschutzmodalitäten des Drittlandes beurteilt sowie technische und organisatorische Maßnahmen auf Ihre Angemessenheit hin geprüft werden.

Kann ich einfach ein Muster für den Auftragsverarbeitungsvertrag nutzen?

Grundsätzlich kann auch ein Mustervertrag genutzt werden. Bei Musterverträgen sollte der Vertrag jedoch unbedingt umfassend geprüft und insbesondere beurteilt werden, ob der Vertrag noch dem aktuellen Stand und den Anforderungen der Aufsichtsbehörden genügt. Auch sollte unbedingt überprüft werden, ob der Vertrag frei von nachteiligen Klauseln ist.  

Derweilen hat auch die EU-Kommission von ihrer Befugnis aus Art. 28 Abs. 7 DSGVO zum Erlass von Standardvertragsklauseln für einen Auftragsverarbeitungsvertrag Gebrauch gemacht und diese veröffentlicht.

Die Standardvertragsklauseln der EU-Kommission sind jedoch auf den gesetzlich notwendigen Inhalt aus Art. 28 Abs. 3 DSGVO beschränkt. Zudem muss der Verwender bei verschiedenen Klauseln Optionen auswählen. So muss etwa eine Auswahl getroffen werden, ob es dem Auftragsverarbeiter gestattet ist, neue Subdienstleister mit Widerspruchsrecht zu beauftragen oder ob dies von der Zustimmung des Verantwortlichen abhängig ist.

Im Ergebnis stellen die Standardvertragsklauseln der EU-Kommission jedoch ein solides Grundgerüst für einen AVV dar. Letztlich bleibt es jedoch stets dabei, dass ein Vertrag auf den Einzelfall angepasst und entsprechend geprüft werden sollte.

Was sollte man bei Auftragsverarbeitung unbedingt tun?

Zunächst sollten Auftragsverarbeitungsverträge unbedingt vor dem Vertragsschluss geprüft oder direkt von Anfang an unter Hinzuziehung von Datenschutzexperten professional gestaltet werden. In letzterem Fall könnten direkt auftraggeber- oder auftragnehmerfreundliche Klauseln implementiert werden.

Zudem sollte eine Dienstleister-Übersicht erstellt werden, in der alle Auftragsverarbeiter aufgelistet werden, die Verarbeitungstätigkeiten vornehmen, um schnell auf einen Änderungsbedarf z.B. nach Gerichtsentscheidungen oder nach der Veröffentlichungen durch Aufsichtsbehörden reagieren zu können. Die Verträge und weitere erforderliche Unterlagen sollten sorgfältig dokumentiert und abgelegt werden.

Wie unterstützt ISiCO beim AVV?

Unsere Datenschutzexpert:innen nehmen für Sie sowohl eine Prüfung des Auftragsverarbeitungsvertrages als auch des Dienstleisters vor. Dabei gleichen wir ab, ob die Informationen aus dem AVV auch mit den tatsächlichen Gegebenheiten der Verarbeitung übereinstimmen.

Im Rahmen der Prüfung geben wir Ihnen Feedback, ob der Vertrag anpassungsbedürftig ist und steigen - sofern gewünscht - auch in die Vertragsverhandlung mit dem Dienstleister ein.

Selbstverständlich erstellen wir für Sie auch einen eigenen Auftragsverarbeitungsvertrag und passen diesen maßgeschneidert auf Ihre Bedürfnisse an. Wir unterstützen Sie zudem bei der Implementierung eines Dienstleister-Managements, einschließlich der erforderlichen Dokumentation.