Auftragsverarbeitungsverträge (AV-Verträge) nach Artikel 28 DSGVO leicht verwalten

Das Thema Auftragsverarbeitungsverträge (AV-Verträge) und Auftragsverarbeitung stellt viele Verantwortliche vor eine große Herausforderung. In diesem Beitrag erfahren Sie was eine Auftragsverarbeitung im Sinne von Artikel 28 DSGVO ist, wie Sie Auftragsverarbeiter leicht und einfach identifizieren können und Sie erhalten viele praktische Tipps.

Was ist eine Auftragsverarbeitung im Datenschutz?

Laut Artikel 28 Abs. 1 DSGVO ist eine Auftragsverarbeitung das Verarbeiten personenbezogener Daten durch einen Dienstleister. Dieser Dienstleister wird dann als Auftragsverarbeiter bezeichnet. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen (z. B. seines Kunden) im Auftrag.

In einigen Fällen ist es nicht immer einfach zu bewerten, ob ein Dienstleister auf ein Auftragsverarbeiter ist. Eine Frage, die dabei helfen kann ist: „Wer bestimmt über Zweck und Mittel der zu verarbeitenden Daten?“. Wenn der Dienstleister nicht darüber bestimmt, ist er wahrscheinlich Auftragsverarbeiter.

In Artikel 4 Abs. 2 DSGVO ist eindeutig definiert, was unter „Verarbeitung“ zu verstehen ist:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Auftragsverarbeiter können sein:

• IT-Dienstleister
• ERP-Dienstleister
• Dienstleister Dokumentenmanagement-Systeme
• Anbieter/ Dienstleister für die Fahrparkverwaltung
• Dienstleister für Telefonanlagen
• Dienstleister für die Videoüberwachung
• Webseiten-Dienstleister
• Hoster der Webseite
• Dienstleister für Lohn- und Gehaltsabrechnung (ohne Steuerberater)
• Call-Center-Dienstleister
• Cloud-Anbieter
• Dienstleister für die Vernichtung von Akten
• Dienstleister für die Vernichtung von Datenträgern

Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?

Nachdem nun geklärt ist, wer Auftragsverarbeiter im Sinne des Artikel 28 DSGVO ist, ist nun zu klären, warum die Rolle des Auftragsverarbeiters im Datenschutz eine wichtige Rolle einnimmt. Dazu regelt Artikel 28 Abs. 3 DSGVO:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Das bedeutet, dass Verantwortliche mit Auftragsverarbeitern einen Vertrag über die Auftragsverarbeitung schließen müssen. Dieser Vertrag wird im Datenschutz „Auftragsverarbeitungsvertrag“ (kurz AV-Vertrag oder AVV) genannt.

Wichtige Bestandteile eines AV-Vertrages

Damit AV-Verträge DSGVO-konform geschlossen werden können, müssen Sie nach Artikel 28 Abs. 3 DSGVO folgendes regeln:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien betroffener Personen
• Rechte und Pflichten des Verantwortlichen
• Umfang der Weisungsbefugnisse
• Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person
• Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter
• Anforderungen an die Hinzuziehung von Subunternehmern
• Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
• Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung
• Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
• Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
• Regelung wie der Nachweis der Einhaltung der genannten Pflichten erfolgt

Die Praxis zeigt immer wieder, dass AV-Verträge nicht DSGVO-konform geschrieben sind. Aus diesem Grund empfehlen wir die zumindest formelle Prüfung von AV-Verträgen. Hilfreich ist eine Checkliste mit den Anforderungen. Zudem empfehlen wir die aufgefüllte Checkliste als Nachweis jedem AV-Vertrag beizufügen.

Wie können Auftragsverarbeiter identifiziert werden?

Die Erfahrung zeigt, dass verantwortliche Stellen immer wieder vor der Herausforderung stehen, Auftragsverarbeiter zu identifizieren. So kommt es vor, dass eine Abteilung z. B. einen Cloud-Dienst in Anspruch nimmt, ohne dies der IT-Abteilung und dem Datenschutzbeauftragten bzw. der Datenschutzbeauftragten zu melden. Daher sollten durch interne Richtlinien sichergestellt werden, dass Dienstleister immer über eine zentrale Stelle beauftragt werden.

Für Organisationen, die dieses Thema neu erarbeiten, empfehlen wir die Erstellung einer Kreditorenübersicht aus der Buchhaltung. Wenn diese Übersicht vorliegt, sollte bewertet werden, mit welchem Dienstleister ein AV-Vertrag geschlossen werden muss. Wichtig: Nicht jeder Dienstleister in ein Auftragsverarbeiter im Sinne von Artikel 28 DSGVO! Als weiterer Schritt sollte von jeder Abteilung, jedem Fachbereich eine Übersicht erstellt werden, welche Dienstleister beauftragt werden. Auch hier sollte dann bewertet werden, mit welchen Dienstleistern ein AV-Vertrag geschlossen werden muss.

Was sind Auftragskontrollen?

Der Verantwortliche darf nur mit solchen Auftragsverarbeitern zusammenarbeiten, die während des gesamten Zeitraums der Zusammenarbeit geeignete Garantien bieten. Das bedeutet für den Verantwortlichen, dass er seine Auftragsverarbeiter regelmäßig prüfen muss. Diese Prüfungen nennt man Auftragskontrollen.

Diese Auftragskontrollen können auf verschiedenen Wegen stattfinden. Z. B. kann der Verantwortliche bei einer Vor-Ort-Prüfung von den garantierten technischen und organisatorischen Maßnahmen überzeugen. Der Verantwortliche kann aber auch einen Nachweis vom Auftragsverarbeiter vorlegen lassen. Artikel 28 Abs. 3 lit. h) DSGVO sieht solch einen Nachweis vor, ohne genauere Angaben zu machen.

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Wir empfehlen zumindest bei den Auftragsverarbeitern anzufragen und um genau diesen Nachweis zu bitten. Dieser Nachweis könnte z. B. ein Zertifikat eines externen Prüfers sein oder auch ein Datenschutz-Auditbericht des Datenschutzbeauftragten bzw. der Datenschutzbeauftragten.

Bei der Bewertung, wie die Auftragskontrollen durchgeführt werden, sollte davon abhängig gemacht werden, wie sensibel die Daten sind, die der Auftragsverarbeiter verarbeitet.

Fazit

Das Thema AV-Verträge und Auftragsverarbeitung stellt viele Verantwortliche vor eine große Herausforderung. Immer wieder kommt es vor, dass Dienstleister auf Anfragen bezüglich des zu schließenden AV-Vertrages nicht reagieren. Liegt ein AV-Vertrag dann endlich vor, kommt es regelmäßig vor, dass dieser nicht DSGVO-konform gestaltet ist.

Die letzten Jahre zeigen, dass es daher wichtig ist dieses Thema immer wieder neu zu fokussieren und so den Reifegrad des AV-Vertragsmanagements stetig zu erhöhen. Eine regelmäßige Auditierung dieses Themas ist daher sehr sinnvoll.

Wir unterstützen Sie gerne beim dem Themenbereich: AV-Verträge.