Die Verarbeitung personenbezogener Daten ist für Unternehmen heute alltäglich. Doch sobald externe Dienstleister ins Spiel kommen, stellt sich die Frage: Benötigen wir eine Auftragsverarbeitungsvereinbarung (AVV)? In diesem Beitrag erklären wir, was eine AVV ist, wann sie erforderlich ist und worauf Unternehmen achten sollten.
Was ist eine Auftragsverarbeitung?
Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen einen externen Dienstleister beauftragt, personenbezogene Daten in seinem Auftrag zu verarbeiten. Dabei bleibt das beauftragende Unternehmen (der Verantwortliche) für den Datenschutz verantwortlich, während der Dienstleister (der Auftragsverarbeiter) die Daten nur gemäß den Weisungen des Verantwortlichen verarbeitet. Eine Definition findet sich in Art. 4 Nr. 8 DSGVO.
Der Auftragsverarbeiter ist vom Verantwortlichen zu unterscheiden. Er darf die Daten lediglich im Rahmen der Weisung des Verantwortlichen verarbeiten und ist an diese vertraglich gebunden. Es besteht ein Über- und Unterordnungsverhältnis zwischen den Parteien. Der Verantwortliche entscheidet über die Zwecke und Mittel der Datenverarbeitung und trägt daher auch die Hauptverantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften. Er bleibt auch für die Betroffenenrechte (z.B. Auskunftsrecht, Löschung) zuständig. Dem Auftragsverarbeiter hingegen steht keine Entscheidungsbefugnis zu.
Ob eine Auftragsverarbeitung vorliegt, entscheidet sich nach dem Einzelfall. Maßgebend sind die oben genannten Kriterien, insbesondere die Weisungsgebundenheit und Entscheidungsbefugnis.
Beispiele für Auftragsverarbeitung:
- Cloud-Dienste für die Speicherung von Kundendaten
- E-Mail-Marketing-Dienstleister
- Lohnbuchhaltung durch externe Dienstleister
- Hosting von Websites mit personenbezogenen Daten
- IT-Support mit Zugriff auf personenbezogene Daten
Einige Berufsgruppen wie Steuerberater und Anwälte haben eine besondere Stellung als Berufsgeheimnisträger. Diese sind niemals weisungsgebunden und können daher auch keine Auftragsverarbeiter sein.
Wann sollte eine AVV geschlossen werden?
Sobald die Voraussetzungen für eine Auftragsverarbeitung vorliegen, muss laut DSGVO eine Auftragsverarbeitungsvereinbarung geschlossen werden (Art. 28 DSGVO). Trotzdem hat diese lediglich deklatorische Wirkung. Eine AVV schützt den Verantwortlichen nicht automatisch vor Haftung, sondern dient eher als präventive Absicherung und kann die Verantwortung des Unternehmens begrenzen. Sie stellt sicher, dass die Datenverarbeitung DSGVO-konform geregelt ist und die Pflichten des Auftragsverarbeiters klar definiert sind.
Ohne AVV drohen Bußgelder: Die DSGVO schreibt vor, dass eine AVV abgeschlossen werden muss, wenn ein Unternehmen personenbezogene Daten durch einen Dritten verarbeiten lässt. Wird keine AVV abgeschlossen, kann die Aufsichtsbehörde hohe Strafen verhängen.
Was muss eine Auftragsverarbeitungsvereinbarung enthalten?
Eine AVV muss laut Art. 28 DSGVO bestimmte Mindestanforderungen erfüllen. Dazu gehören:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien der betroffenen Personen
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters, insbesondere zur Vertraulichkeit, Datensicherheit und Mitwirkung bei Betroffenenrechten
- Vorgaben zur Unterauftragsvergabe
- Regelungen zur Löschung oder Rückgabe der Daten nach Vertragsende
- Überwachungs- und Kontrollrechte des Verantwortlichen
Wer haftet für Verstöße?
Gemäß Art. 82 Abs. 1 DSGVO haften sowohl der Verantwortliche als auch der Auftragsverarbeiter im Außenverhältnis als Gesamtschuldner. Das bedeutet, dass sich die betroffene Person an beide wenden kann, um Schadensersatz geltend zu machen.
Entscheidend ist jedoch die Haftung im Innenverhältnis. Nach Art. 82 Abs. 2 S. 2 DSGVO haftet der Auftragsverarbeiter nur dann, wenn er gegen ausdrücklich festgelegte Pflichten des Verantwortlichen verstößt oder weisungswidrig handelt. Wird der Verantwortliche von einer betroffenen Person in Anspruch genommen, kann er Rückgriff auf den Auftragsverarbeiter nehmen, sofern dessen Fehlverhalten die Ursache des Datenschutzverstoßes war.
In der Praxis wird meist der Verantwortliche zuerst haftbar gemacht, da die betroffene Person typischerweise in einem vertraglichen oder sonstigen direkten Verhältnis zu ihm steht.