Privacy Top 20 Ratgeber

Auftragsverarbeitungsverträge:
Damit sind Sie immer auf der sicheren Seite

Sobald Sie als Unternehmen die Verarbeitung personenbezogener Daten durch Dritte durchführen lassen, sind Sie dazu verpflichtet, einen entsprechenden Auftragsverarbeitungsvertrag aufzusetzen. Das ist beispielsweise dann nötig, wenn Sie mit Softwareprogrammen oder externen Dienstleistern zusammenarbeiten, für deren Arbeit persönliche Informationen notwendig sind.

Beachten Sie bitte, dass es sich bei dem Schriftstück um eine beidseitige Verpflichtung handelt. Es reicht demnach nicht, wenn Sie als Auftraggeber den Auftragnehmer dazu auffordern, das Dokument vorzubereiten. Alle Parteien sind dazu angehalten, sich um die Auftragsverarbeitungsverträge zu kümmern. Denn nur so können Sie sich folgender Punkte sicher sein:

a) Sie handeln DSGVO-konform und halten sich an die vorgeschriebenen Richtlinien.
b) Die Verarbeitung erfolgt auf einer fundierten Rechtsgrundlage,

Wir zeigen Ihnen in diesem Ratgeber, auf welche Faktoren Sie achten müssen und wie Sie Art. 28 DSGVO vernünftig umsetzen.

Wann müssen Sie Auftragsverarbeitungsverträge abschließen?

Im Grunde ist das Thema nicht neu. Denn bereits im Bundesdatenschutzgesetz ist verankert, dass Sie einen Auftragsdatenverarbeitungsvertrag formulieren müssen. Die neue EU-DSGVO hat die Vorgaben jedoch deutlich verschärft. Nun sind Sie zu einem AV-Vertrag in folgenden Fällen verpflichtet:

  • Sie setzen Fernwarnsysteme ein.
  • Sie beauftragen externe Dienstleister fürs Marketing (Call–Center), für die Buchhaltung etc.
  • Sie lagern Ihr Rechenzentrum beispielsweise durch Cloud Computing aus.
  • Sie verwenden eine Tracking-Software wie Google Analytics.

Auf Ihr Unternehmen absichernde Dokumente können Sie jedoch verzichten, sofern es sich um eine Funktionsübertragung handelt. Diese liegt vor, wenn zum Beispiel der engagierte Dienstleister ebenfalls ein Interesse an den erhobenen Daten hat.

Achtung: Gehen Sie stets auf Nummer sicher. Denn es gibt eine Vielzahl an Firmen, denen in keiner Weise bewusst ist, dass sie einen Auftragsverarbeitungsvertrag abschließen müssen. Oftmals erkennen sie die Tragweite dessen nicht, was sie beauftragt haben. Laut DSGVO müssen Sie sich ebenfalls absichern, wenn ein externer Dienstleister auch nur theoretisch in die Nähe personenbezogener Daten kommen könnte – also, sobald auch nur die Möglichkeit bestünde.

Der Inhalt eines Auftragsverarbeitungsvertrags gemäß DSGVO

Es heißt zwar immer, weniger ist mehr, jedoch empfehlen wir Ihnen dies nicht bei diesem Dokument. Es ist besser, wenn Sie folgende Punkte so detailliert wie möglich formulieren, um sich rundum abzusichern:

  1. Vertragspartner
  2. Dauer, Umfang, Zweck und Art des Auftrags sowie der Erhebung, Verarbeitung und Nutzung
  3. Art der Daten
  4. Betroffenenkreis
  5. Organisatorische und technische Maßnahmen
  6. Berechtigung sowie die Möglichkeit der Löschung und Sperrung bereits vorhandener Informationen
  7. Pflichten des Auftragnehmers (u.a. Kontrollen)
  8. Mitwirkungspflicht des Auftragnehmers
  9. Gegebenenfalls die Berechtigung für Unterauftragsverhältnisse
  10. Meldepflicht bei entstandenen Verstößen bzw. bei potenziellen Sicherheitslücken
  11. Umfang der Weisungsbefugnisse
  12. Vernichtung und Rückgabe aller Daten bei Vertragsende
  13. Potenzielle Klauseln

Mit dieser Checkliste behalten Sie den Überblick

Gerade bei der Datenschutz-Grundverordnung ist zu viel deutlich besser als zu wenig – zumindest wenn Sie sich vor DSGVO-Abmahnungen schützen wollen. Daher haben wir Ihnen eine Checkliste mit allen relevanten Punkten zusammengestellt, auf die Sie bei Ihren Auftragsverarbeitungsverträgen achten sollten.

Prüfung bestehender Dokumente

Wähnen Sie sich nicht in Sicherheit, nur weil Sie bereits seit Jahren Schriftstücke verwenden, die dem Bundesdatenschutzgesetz entsprechen. Die DSGVO hat die Vorgaben verschärft. Daher ist es unabdingbar, dass Sie alle aktuell genutzten Verträge genau unter die Lupe nehmen. Setzen Sie gegebenenfalls eine aktualisierte Version auf. Das ist sowohl in Ihrem persönlichen als auch im Interesse des anderen Unternehmens.

Vollständigkeit

Schnell, schnell ist in vielen Lebenslagen nicht immer das beste Vorgehen. Ebenso verhält es sich bei der Erstellung von Auftragsverarbeitungsverträgen. Nehmen Sie sich Zeit und prüfen Sie hinterher, ob Sie auch wirklich alle relevanten Inhalte aufgenommen haben. Was den Datenschutz betrifft, ist Vorsicht stets besser als Nachsicht, wenn Sie sich und die Betroffenenrechte ausreichend schützen wollen.

Richtigkeit

Nicht nur Vollständigkeit ist wichtig. Die Informationen des Schriftstücks sollten auch rechtlich korrekt sein. Dabei hilft Ihnen entweder eine Rechtsberatung zum Thema Datenschutz oder Sie werfen einen Blick in unsere Kategorie „externer Datenschutzbeauftragter im Vergleich“, um einen Experten für Ihr Unternehmen zu finden.

Kontrolle der Auftragnehmer

Nur weil Sie einen Auftragsverarbeitungsvertrag abgeschlossen haben, bedeutet das nicht automatisch, dass Sie die Zügel aus der Hand geben. Sie stehen auch weiterhin in der Pflicht, die Umsetzung der Datenschutz-Grundverordnung zu überprüfen. Dies erfolgt durch regelmäßige Kontrollen bei den von Ihnen engagierten Subunternehmen. Achten Sie darauf, alles schriftlich festzuhalten, um im Zweifelsfall Nachweise darlegen zu können.

Sonderfall Ausland

Innerhalb der EU sind alle Maßnahmen vorgeschrieben. Doch wie verhält es sich bei Partnern aus sogenannten Drittländern? Offizielle Vorgaben existieren für diesen Fall noch nicht. Wir empfehlen Ihnen daher, sich entweder mit Ihrem Datenschutzbeauftragten zusammenzusetzen oder sich Rat bei einem sogenannten Artikel 27-Vertreter einzuholen.

Nehmen Sie Auftragsverarbeitungsverträge nicht auf die leichte Schulter

Denn es gibt nicht nur die Aufsichtsbehörden, die all Ihre Schritte genau unter die Lupe nehmen. Auch die Betroffenen selbst wollen sichergehen, dass Sie die DSGVO einhalten und den Schutz personenbezogener Daten ernst nehmen. Zudem ist es immer häufiger der Fall, dass Wettbewerbskonkurrenten ebenfalls ganz genau nachsehen, ob Sie die Vorschriften einhalten. Ist dem nicht so, leiten immer mehr Firmen rechtliche Schritte gegen Mitbewerber ein.