Auftragsverarbeitungs-Vereinbarung - Ihr Anwalt zur AV-Vereinbarung

FAQs Auftragsverarbeitung - HK2 Rechtsanwälte

UNSERE ANTWORTEN AUF IHRE FRAGEN

Eine Auftragsverarbeitung besteht, wenn ein für die Datenverarbeitung Verantwortlicher in der Regel einen Dienstleister damit beauftragt, personenbezogene Daten zu verarbeiten. Dabei verarbeitet der Auftragnehmer die Daten nur aus Weisung des Verantwortlichen, also des Auftraggebers. Der Auftragnehmer darf keine eigenen Zwecke mit der Verarbeitung verfolgen. Damit unterscheidet sich die Auftragsverarbeitung von der gemeinsamen oder auch getrennten Verantwortlichkeit. Die Auftragsverarbeitung wird in einer Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO geregelt.
Eine AV-Vereinbarung wird gebraucht, wenn ein Dritter personenbezogene Daten, für die ich verantwortlich bin, in meinem Auftrag verarbeitet, also für mich erhebt, das erfasst, organisiert, ordnet, speichert, anpasst oder verändert, ausliest, abfragt, verwendet, offenlegt durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, abgleicht oder verknüpft, einschränkt, löscht oder vernichtet (vgl. Art. 4 Nr. 2 DSGVO).
Typische Beispiele für eine Auftragsverarbeitung können der Aktenvernichter, Cloud-Software, Newsletter-Tools, der Hoster einer Webseite etc. sein.
  • Was in der AV-Vereinbarung geregelt wird, legt Art. 28 DSGVO fest. Demnach werden in der AV-Vereinbarung eine Reihe an datenschutzrelevanten Aspekten der Dienstleistung geregelt, insbesondere die Garantien des Auftragsverarbeiters, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (vgl. Art. 28 Abs. 1 DSGVO).
  • Darüber hinaus enthält die AV-Vereinbarung Regelungen zur Weisungsbefugnis des Verantwortlichen, zur Beauftragung von Unterauftragnehmern, zum Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, zur Art der personenbezogenen Daten, zu den Kategorien betroffener Personen und zu den Pflichten und Rechte des Verantwortlichen.
  • Die AV-Vereinbarung verpflichtet den Auftragsverarbeiter außerdem zu einer Vertraulichkeitsvereinbarung mit dem für den Auftrag einzusetzenden Personal, zur Ergreifung technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten, zur Unterstützung des Verantwortlichen bei der Wahrnehmung von Betroffenenrechten und der Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde, zur Löschung oder Rückgabe der Daten nach Abschluss der Auftragsverarbeitung und zur Ermöglichung und Unterstützung von Überprüfungen und Audits durch den Verantwortlichen (vgl. Art. 28 Abs. 2-3 DSGVO).
Die Regelung der Auftragsverarbeitung muss gem. Art. 28 DSGVO in einer vom Leistungsvertrag getrennten Vereinbarung erfolgen. Es ist außerdem empfehlenswert, diese beiden Rechtsinstrumente voneinander zu trennen, da die AV-Vereinbarung zahlreiche Aspekte regelt, die mit dem eigentlichen Leistungsgegenstand höchstens nur mittelbar zu tun haben. Sollten Anpassungen in der einen oder der anderen Vereinbarung erforderlich sein, kann die jeweils andere oft bestehen bleiben.
Es ist grundsätzlich zulässig, auch Dienstleister mit Sitz außerhalb der EU oder des EWR (dem Anwendungsbereich der DSGVO) mit der Verarbeitung personenbezogener Daten zu beauftragen, wenn bestimmte Kriterien erfüllt sind. Die Übertragung der Daten in Drittstaaten muss über mindestens einen der folgenden Schutzmechanismen abgesichert sein, die sicherstellen sollen, dass bei dem Dienstleister im Drittland ein angemessenes Datenschutzniveau vorliegt:
  • Es liegt ein Angemessenheitsentscheidung der EU-Kommission vor.
  • Im Falle der USA ist der Auftragsverarbeiter Privacy Shield-zertifiziert.
  • Es wurden die Standardvertragsklauseln der EU-Kommission vereinbart.
  • Es liegen verbindliche interne Datenschutzvorschriften vor, die von der zuständigen Aufsichtsbehörde genehmigt wurden.
  • Es liegt eine Ausnahme nach Art. 49 DSGVO vor (Aufklärung und Einwilligung der betroffenen Personen, Vertragserfüllung, öffentliches Interesse, Verfolgung von Rechtsansprüchen, lebenswichtige Interessen).
Ja, das ist grundsätzlich unter Einhaltung gewisser Kriterien erlaubt: Art. 28 Abs. 2 DSGVO legt fest, dass der Auftragsverarbeiter hierfür eine vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen einholen muss. Dies kann auch in der AV-Vereinbarung geschehen. Der Verantwortlich hat zudem die Möglichkeit, einen Unterauftragsverarbeiter abzulehnen. Art. 28 Abs. 4 DSGVO legt außerdem fest, dass dem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten wie dem Auftragsverarbeiter auferlegt werden müssen. Der Hauptauftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten des Unterauftragsverarbeiters.
Die gemeinsame Verantwortlichkeit wird in Art. 26 DSGVO geregelt. Dieser legt fest, dass zwei oder mehr Parteien, die gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, gemeinsam Verantwortliche sind. Hier geschieht also keine Verarbeitung bei einer Partei im Auftrag und durch Weisung der anderen Partei, sondern beide Verantwortliche verfolgen mit der Verarbeitung das gleiche Ziel und Zweck sowie meist gleichgerichtete und dennoch eigene Interessen. Wenn also ein vermeintlicher Auftragsverarbeiter die Daten des Verantwortlichen für eigene, von der vermeintlichen Auftragsverarbeitung unabhängige Zwecke nutzt, z. B. eigene Datenbestände mit ihnen abgleicht oder anreichert, liegt keine Auftragsverarbeitung vor. Stattdessen handelt es sich möglicherweise um eine gemeinsame Verantwortlichkeit, deren Rechtsfolgen sich deutlich von denen der Auftragsverarbeitung unterscheiden und deshalb durch eine andere Vertragsgattung geregelt werden muss.
Wenn eine Auftragsverarbeitung nicht mit einer AV-Vereinbarung geregelt ist, stellt das einen Verstoß gegen Art. 28 DSGVO dar und ist damit bußgeldbewehrt. Gem. Art. 83 Abs. 4 kann die zuständige Aufsichtsbehörde ein Bußgeld von bis zu 10 000 000 EUR oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des Verantwortlichen verhängen.