Verarbeiten Sie personenbezogene Daten im Auftrag eines anderen Unternehmens oder lassen Sie dies durch andere Unternehmen für sich tun, muss ein AVV geschlossen werden. Eine Auftragsverarbeitung liegt regelmäßig bei IT-Dienstleistungen vor, inklusive dem Hosting von Webseiten, der Nutzung von Microsoft Office oder der G Suite.

Wann braucht man einen Auftragsverarbeitungsvertrag?

Ein AVV regelt die Zuständigkeiten und Verantwortlichkeiten, wenn ein Unternehmen im Auftrag eines anderen Unternehmens personenbezogene Daten verarbeitet. Der AVV stellt die Rechtsgrundlage für die Übermittlung der personenbezogenen Daten an den Auftragnehmer dar.

Es ist nicht immer klar ersichtlich, ob bei einer Geschäftsbeziehung eine Auftragsverarbeitung vorliegt. Bevor man einen Experten hinzuzieht, der das für einen klärt, kann man auf den Seiten 4–5 dieser Erläuterung eine Liste mit Beispielen für Dienstleistungen finden, die als Auftragsverarbeitung eingestuft werden von der Datenschutzkonferenz (DSK), also dem Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder.

(Hat man seinen Unternehmenshauptsitz in Bayern, kann man sich auch noch die Liste mit Beispielen in dieser Auslegungshilfe des Bayerischen Landesamt für Datenschutzaufsicht [BayLDA] anschauen. Ob andere deutsche Landesämter dieser Auslegung folgen, ist offen, aber nicht unwahrscheinlich.)

Und was ist das so genauer?

Diese Beispiele der Aufsichtsbehörden gelten jedoch nur für den Regelfall der genannten Beispiele. Was aber nun, wenn der Einzelfall davon abweichen sein könnte?

Um etwas mehr Klarheit zu erlangen, ob eine Dienstleistung eine Auftragsverarbeitung darstellt, überprüft man, ob sie folgende drei Kriterien erfüllt, die zur Sicherheit strenger gefasst sind als die Kriterien der Aufsichtsbehörden:

Kriterium 1: Die Verarbeitung personenbezogener Daten macht einen wichtigen Bestandteil der Dienstleistung aus („Schwerpunkttheorie“).

Kriterium 2: Der Auftragnehmer hat keinen Einfluss auf die Festlegung der Zwecke der Verarbeitung („Mitbestimmung der Zwecke“).

Kriterium 3: Der Auftragnehmer hat kaum Freiheiten in der Wahl von Arbeitsort und ‑zeit und verwendet nur die Arbeitsmittel des Auftraggebers („Weisungsgebundenheit“).

Zu Kriterium 1: Das erste Kriterium schließt Dienstleistungen aus, bei denen die Verarbeitung personenbezogener Daten nicht im Zentrum stehen, wie Postversand, Geldtransfer durch Bankinstitute oder beauftragte Warenzusendung. Wenn die Dienstleistung das erste Kriterium nicht erfüllt, liegt keine Auftragsverarbeitung vor und es muss eine Rechtsgrundlage für die Datenübermittlung gemäß Art. 6 DS‑GVO vorliegen. Wird das erste Kriterium erfüllt, liegt womöglich eine Auftragsverarbeitung vor und man prüft, ob das zweite Kriterium auch erfüllt wird.

Zu Kriterium 2: Wird das zweite Kriterium nicht erfüllt, weil der Dienstleister oder Geschäftspartner Einfluss auf die Festlegung der Zwecke der Verarbeitung ausüben kann, liegt keine Auftragsverarbeitung vor, sondern eine gemeinsame Verantwortlichkeit. Dann müssen sich die Vertragspartner für die entsprechenden Verarbeitungstätigkeiten in Form einer gemeinsamen, internen Erklärung einigen, wer den Informationspflichten gegenüber den Personen nachkommt, deren personenbezogene Daten verarbeitet werden, das heißt, wer von ihnen den Betroffenen eine Datenschutzerklärung zur Verfügung stellt. Das Wesentliche der internen Erklärung muss in den Datenschutzerklärungen mit erläutert werden. Die Betroffenenrechte müssen beide Parteien gleichermaßen erfüllen. Wird das zweite Kriterium ebenfalls erfüllt, betrachtet man das dritte Kriterium.

Zu Kriterium 3: Das dritte Kriterium zielt auf Freelancer, Freiberufler, Praktikanten, Leiharbeiter, freie Mitarbeiter und dergleichen ab. Diese werden in der Fachliteratur als Teil des Unternehmens betrachtet und müssen auf die Vertraulichkeit verpflichtet werden. Freie Mitarbeiter und Praktikanten wirken intuitiv vielleicht wie „Externe“ im Unternehmen, verarbeiten personenbezogene Daten jedoch nur innerhalb der Räume und mit den Arbeitsmitteln des Unternehmens. Ob eine Entscheidungsbefugnis „externer“ Mitarbeiter über den Arbeitsort und die Arbeitsmittel schon ausreicht, um diese Mitarbeiter als Auftragsverarbeiter zu werten, ist in der Fachliteratur umstritten und wird von den Aufsichtsbehörden bislang nur pauschal beantwortet.

Was regelt ein Auftragsverarbeitungsvertrag?

Abgesehen von der Vermeidung von Bußgeldern und Haftstrafen für die Beteiligten sind AVV ein Werkzeug des Datenschutzmanagements. Der Auftragnehmer (d. h. Auftragsverarbeiter) räumt dem Auftraggeber (Verantwortlichen) Kontrollrechte ein und garantiert Sicherheitsvorkehrungen, die im Vertrag festgehalten werden. Diese garantierten Sicherheitsvorkehrungen finden sich gemeinhin als Anlage zum AVV in Form einer TOM-Liste (Pflicht 2).

Genau genommen sind AVV nur eine von mehreren Möglichkeiten, eine Rechtsgrundlage für die Auftragsverarbeitung zu schaffen. Die DS‑GVO schreibt nur einen „Rechtsakt“ vor. Die Fachliteratur nimmt daher an, dass eine einseitig bindende Erklärung des Auftragnehmers ausreicht. Diese Variante stellt eine effiziente Lösung dar, wenn der Auftraggeber sich seinen Pflichten nicht nachkommen möchte, man als Auftragnehmer rechtlich aber sicher dastehen möchte, oder wenn die Vertragspartner sich auf die detaillierten Vorgaben der DS-GVO zum Inhalt von AVV bzw. einseitig bindender Erklärung beschränken und keine Details zu klären haben.

Es werden insgesamt drei Dinge benötigt:

1. ein AVV oder eine einseitig bindende Erklärung;
2. eine Liste der garantierten Sicherheitsvorkehrungen als Anlage zum AVV oder der einseitig bindenden Erklärung, auch TOM-Liste (Pflicht 2) genannt.
3. eventuelle Angestellte (inkl. Freien Mitarbeitern, Freelancern, unbezahlten Praktikanten oder wen man sonst noch nicht als „richtigen“ Angestellten begreift) im Unternehmen des Auftragnehmers müssen auf die Vertraulichkeit verpflichtet werden.

Die Form

Der AVV bzw. die einseitig bindende Erklärung ist schriftlich festzuhalten, in Papierform oder elektronisch.

Der Gegenstand

Ein AVV orientiert sich gewöhnlich strikt an den Vorgaben in Art. 28 DS‑GVO und

• legt die Rechte und Pflichten des Auftraggebers und des Auftragnehmers fest und
• bindet den Auftragnehmer in Bezug auf den Auftraggeber, die zu verarbeitenden Kategorien von personenbezogenen Daten, die Kategorien betroffener Personen, sowie die Art, den Zweck und die Dauer der Verarbeitung.

Der Inhalt

Der Auftragnehmer verpflichtet sich

1. die festgelegte Auftragsverarbeitung nur auf Grundlage einer dokumentierten Weisung des Verantwortlichen durchzuführen;
2. alle eventuellen Mitarbeiter, die auf die betreffenden personenbezogenen Daten Zugriff haben, auf die Vertraulichkeit zu verpflichten, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. alle erforderlichen Sicherheitsvorkehrungen getroffen zu haben, dokumentiert durch eine TOM-Liste (Pflicht 2) als Vertragsanlage;
4. Unterauftragnehmer nur mit schriftlicher Genehmigung des Auftraggebers in Anspruch zu nehmen und den Auftraggeber über jede beabsichtigte Änderung der eingesetzten Unterauftragnehmer zu informieren, damit der Auftraggeber die Möglichkeit hat, dagegen Einspruch zu erheben;
5. für Pflichtverletzungen eventueller Unterauftragnehmer gegenüber dem Auftraggeber zu haften;
6. den Auftraggeber bei Erfüllung von Betroffenenrechten, bei der Meldung von Datenschutzverletzungen bei Behörden, der eventuellen Benachrichtigung von Betroffenen über Datenschutzverletzungen, bei Datenschutz-Folgeabschätzungen und bei Vorabkonsultationen der zuständigen Aufsichtsbehörde vor der Aufnahme einer riskanten Verarbeitungstätigkeit zu unterstützen;
7. den Auftragnehmer unverzüglich über eigene Verletzungen des Datenschutzes bei der Auftragsverarbeitung zu informieren;
8. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Auftraggebers zurück zu geben oder zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten für den Auftragnehmer bestehen;
9. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung zu stellen und räumt ihm das Recht auf Überprüfung der Einhaltung dieser Pflichten ein, ggf. durch einen beauftragten Prüfer (etwa die Caladan GmbH).

Muster für Auftragsverarbeitungsverträge

Viele Unternehmen, die regelmäßig Auftragsverarbeitungen vornehmen, bieten den Abschluss ihrer eigenen AVV an, zum Beispiel über die Verwaltung des Nutzerkontos beim Anbieter oder über ein Formular auf ihrer Webseite. Dies ist eine schnelle und unkomplizierte Möglichkeit, einen AVV einzugehen, jedoch sind diese AVV womöglich nicht gesetzeskonform und der Auftragsverarbeiter schließt womöglich weitreichend Haftung aus.

Das BayLDA hat eine Formulierungshilfe für AVV erstellt. Da bei AVV gemeinhin nicht stark von den Vorgaben von Art. 28 DS‑GVO abgewichen wird, kann man sich an dieser Formulierungshilfe orientieren, die allerdings auf eine bestimmte Gruppe von Sachverhalten zugeschnitten ist.

In Formularhandbüchern sowie einigen Praxishandbüchern, die im Handel erhältlich sind, findet man noch allgemeinere AVV-Vorlagen.

Die einseitig bindende Verpflichtung ist ein noch selten genutztes Werkzeug, da vor dem Inkrafttreten der DS-GVO ein dem AVV sehr ähnliches Werkzeug, ADV-Verträge, gängig waren. Ein konkretes Beispiel für einen konkreten Sachverhalt findet man öffentlich zugänglich beim DDV Deutscher Dialogmarketing Verband e. V.

Wer erstellt den Auftragsverarbeitungsvertrag?

Am besten beraten ist man natürlich von einem Experten, insbesondere wenn man nach der Prüfung der oben genannten Kriterien noch Zweifel hegt, ob die Inanspruchnahme einer Dienstleistung eine Auftragsverarbeitung sein könnte oder nicht.

Nochmal in trocken!

• Art. 28 DS-GVO schreibt den Inhalt eines AVV vor.
• Art. 26 und 24 DS‑GVO geben über die Abgrenzung von Auftragsverarbeitung zu gemeinsamer Verantwortlichkeit Auskunft.

Wo erfahre ich mehr darüber?

• In Gesetzeskommentaren zur DS‑GVO finden sich ausführliche Erläuterungen zum Begriff des Auftragsverarbeiters unter Art. 4 Nr. 8 DS-GVO und zu den Kriterien von Auftragsverarbeitung unter Art. 28 DS‑GVO.
• Die Beispiele der DSK für Dienstleistungen, die Auftragsverarbeitung, keine Auftragsverarbeitung oder eigenständige Verantwortlichkeit darstellen finden sich in deren Kurzpapier Nr. 13.
• Die Beispiele des BayLDA finden sich in dieser Auslegungshilfe.
• Beide Beispiel-Listen verweisen auf das Arbeitspapier 169 der ehemaligen Artikel-29-Datenschutzgruppe, die mit Inkrafttreten der DS‑GVO durch den Europäischen Datenschutzausschuss (EDSA) abgelöst wurde. In der Fachliteratur und von den Aufsichtsbehörden wird dieses Papier als Auslegungshilfe mit Rechtsquellenwert akzeptiert.