Auftragsverarbeitung und Auftragsverarbeitungsverträge (AVV)

In der heutigen Geschäftswelt ist die Zusammenarbeit mit externen Dienstleistern eine alltägliche Praxis. Doch wenn es um die Verarbeitung personenbezogener Daten geht, stellt sich oft die Frage, wie diese Daten rechtlich sicher weitergegeben und verarbeitet werden können. Die Datenschutz-Grundverordnung (DSGVO) bietet hierfür klare Regelungen und Vorgaben.

Szenario 1: Verarbeitung personenbezogener Daten durch einen Dienstleister
Ein klassisches Beispiel ist ein Unternehmen, das einen externen Dienstleister mit einer Dienstleistung beauftragt, bei der personenbezogene Daten des Unternehmens verarbeitet werden. Dies könnte beispielsweise ein IT-Dienstleister sein, der Kundendaten verwaltet, oder ein Marketingunternehmen, das personenbezogene Daten für Kampagnen nutzt. In solchen Fällen ist es entscheidend, dass die Weitergabe und Verarbeitung dieser Daten den Anforderungen der DSGVO entspricht.

Szenario 2: Zugriff des Dienstleisters auf personenbezogene Daten
Ein weiteres häufiges Szenario ist die Situation, in der der Dienstleister zwar nicht direkt in die Verarbeitung personenbezogener Daten eingebunden ist, aber dennoch Zugang zu diesen Daten hat oder Kenntnis davon erlangen kann. Ein Beispiel hierfür könnte ein Wartungsdienstleister für IT-Systeme sein, der potenziell Zugriff auf gespeicherte Daten hat.

Rechtsgrundlage für die Datenweitergabe an Dienstleister
Die zentrale Frage lautet: Auf welcher Rechtsgrundlage kann ein Unternehmen einem Dienstleister den Zugang zu personenbezogenen Daten ermöglichen? Die Einwilligung der betroffenen Personen scheidet im Massengeschäft häufig aus, da die Verwaltung der Einwilligungen aufwendig ist und die Gefahr eines Widerrufs besteht, was die Datenverarbeitung abrupt stoppen könnte. Auch die Verarbeitung auf Basis der Erfüllung vertraglicher Pflichten gemäß Art. 6 Abs. 1 lit. b DSGVO kommt selten in Betracht, da es meist nicht erforderlich ist, zur Vertragserfüllung Daten an einen externen Dienstleister weiterzugeben.

Die Lösung: Auftragsverarbeitung nach Art. 28 DSGVO
Aus diesem Grund sieht die DSGVO mit Art. 28 eine spezielle Regelung für die Verarbeitung personenbezogener Daten im Auftrag vor: die Auftragsverarbeitung. Diese Vorschrift erlaubt es Unternehmen, personenbezogene Daten an externe Dienstleister weiterzugeben, sofern bestimmte Voraussetzungen erfüllt sind. Dazu gehört insbesondere der Abschluss eines schriftlichen Vertrags, der sicherstellt, dass der Dienstleister die Daten nur im Rahmen der Weisungen des Auftraggebers und unter Einhaltung der datenschutzrechtlichen Anforderungen verarbeitet.

Durch die Auftragsverarbeitung nach Art. 28 DSGVO können Unternehmen sicherstellen, dass die Verarbeitung personenbezogener Daten durch externe Dienstleister rechtlich abgesichert ist und die Rechte der betroffenen Personen geschützt werden.

Um das Konzept der Auftragsverarbeitung nach der Datenschutz-Grundverordnung (DSGVO) vollständig zu verstehen, ist es wichtig, sich zunächst die relevanten Begriffe und deren Definitionen anzuschauen. Diese Begriffe sind in Artikel 4 der DSGVO festgelegt.

Definition des Auftragsverarbeiters gemäß Art. 4 DSGVO
8. „Auftragsverarbeiter“ (ist) eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

Synonyme und weitere Begriffe
In der Praxis werden verschiedene Begriffe und Synonyme verwendet, um die beteiligten Parteien zu beschreiben:

• Auftraggeber bzw. Verantwortlicher: 
  Auch als „Controller“ bezeichnet. Dies ist die Partei, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
• Auftragnehmer bzw. Auftragsverarbeiter: 
  Auch als „Processor“ bekannt. Dies ist der Dienstleister, der die personenbezogenen Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.

Unterschied zwischen Verantwortlichem und Auftragsverarbeiter
Der wesentliche Unterschied zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht in ihrer jeweiligen Rolle und ihren Aufgaben:

• Verantwortlicher (Auftraggeber): 
  Bestimmt den Zweck und die Art der Verarbeitung personenbezogener Daten. Er trägt die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung und für die Einhaltung der Datenschutzvorschriften. Der Verantwortliche bleibt zudem für alle Informationspflichten gegenüber den betroffenen Personen und deren Rechte verantwortlich.
• Auftragsverarbeiter (Auftragnehmer): 
  Verarbeitet personenbezogene Daten ausschließlich nach den Anweisungen des Verantwortlichen. Der Auftragsverarbeiter darf keine eigenen Entscheidungen über die Datenverarbeitung treffen und ist an die Weisungen des Verantwortlichen gebunden.

Fiktion der Nicht-Übermittlung und erweiterte Werkbank
Durch diese klare Aufgabenteilung entsteht eine sogenannte „Fiktion der Nicht-Übermittlung“. Das bedeutet, dass der Auftragsverarbeiter als verlängerter Arm des Verantwortlichen agiert und somit die Weitergabe der Daten an den Auftragsverarbeiter nicht als Übermittlung an Dritte gilt. Stattdessen wird der Dienstleister als Teil der Organisation des Verantwortlichen betrachtet, was ihn zu einem bloßen Empfänger der Daten macht und nicht zu einem Dritten.

Verantwortlichkeit und Pflichten
Trotz der Zusammenarbeit bleibt der Verantwortliche weiterhin für die Beurteilung der Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er muss sicherstellen, dass alle datenschutzrechtlichen Anforderungen eingehalten werden. Zudem ist er für die Erfüllung der Informationspflichten und die Wahrung der Rechte der betroffenen Personen zuständig. Der Auftragsverarbeiter unterstützt den Verantwortlichen hierbei, indem er die Daten gemäß den Weisungen des Verantwortlichen verarbeitet und geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergreift.

Die Identifizierung eines Auftragsverarbeiters ist entscheidend für die korrekte Anwendung der Datenschutz-Grundverordnung (DSGVO). Doch wer gilt eigentlich als typischer Auftragsverarbeiter und wer nicht? Die Abgrenzung zwischen einem Auftragsverarbeiter und einem eigenständigen Dienstleister kann oft schwierig sein. Es hängt nicht nur davon ab, ob personenbezogene Daten verarbeitet werden, sondern auch davon, wie eng die Verarbeitung mit den Kernaufgaben des Dienstleisters verbunden ist und ob dieser die Kontrolle über die Zwecke und Mittel der Verarbeitung hat. 

Typische Auftragsverarbeiter
Auftragsverarbeiter sind Dienstleister, die personenbezogene Daten im Auftrag und nach den Weisungen des Verantwortlichen verarbeiten. Klassische Beispiele für solche Auftragsverarbeiter sind:

• IT-Dienstleister: 
  Diese umfassen Firmen, die Installation, Wartung oder Fernzugriff auf IT-Systeme durchführen.
• Web- und Marketingagenturen: 
  Diese verarbeiten Daten im Rahmen von Kampagnen, Webseitenmanagement oder Online-Werbung.
• SaaS- und Cloudanbieter: 
  Software-as-a-Service (SaaS) und Cloudlösungen, die Daten speichern oder verarbeiten, z.B. für CRM oder Personalmanagement.
• Webhoster: 
  Unternehmen, die Websites und Datenbanken für ihre Kunden hosten.
• Datenerfasser und -konvertierer: 
  Dienstleister, die Daten erfassen oder in verschiedene Formate konvertieren.
• Datenentsorger: 
  Firmen, die sich um die sichere Vernichtung von Datenträgern kümmern.
• Lettershops: 
  Dienstleister, die im Auftrag von Unternehmen Briefe und andere Postsendungen verarbeiten und verschicken.
• Callcenter:
  Unternehmen, die ohne eigene Entscheidungsbefugnis Kundensupport anbieten.
• E-Mail-Marketing-Dienste: 
  Unternehmen, die Massen-E-Mails (Newsletter) für Marketingzwecke im Auftrag des Kunden versenden.

Keine typischen Auftragsverarbeiter
Es gibt jedoch auch Dienstleister, die in der Regel nicht als Auftragsverarbeiter gelten, da sie eigenständige Verantwortliche sind oder anderen speziellen rechtlichen Regelungen unterliegen:

• Berufsgeheimnisträger: 
  Dazu zählen Anwälte, Steuerberater, Ärzte und Wirtschaftsprüfer. Diese unterliegen besonderen Berufsgeheimnissen und sind eigenständige Verantwortliche für die von ihnen verarbeiteten Daten.
• Inkassodienstleister: 
  Diese agieren meist als eigenständige Verantwortliche bei der Durchsetzung von Forderungen.
• Bankinstitute: 
  Banken sind eigenständige Verantwortliche für die Verarbeitung von Daten im Rahmen ihrer Finanzdienstleistungen.
• Postdienstleister: 
  Diese verarbeiten Daten in eigener Verantwortung zur Erbringung postalischer Dienstleistungen.
• Insolvenzverwalter:
  Insolvenzverwalter verarbeiten Daten zur Erfüllung eigener Aufgaben, unabhängig von Weisungen Dritter.
• Vom Vermieter beauftragte Handwerker: 
  Sie führen Arbeiten durch, die keine Verarbeitung personenbezogener Daten als Kerntätigkeit beinhalten.
• Sachverständige für Gutachten: 
  Verarbeiten Daten für die Erfüllung ihrer eigenen Aufgaben.
• Schulungsanbieter: 
  Verarbeiten Teilnehmendendaten für ihre eigenen Schulungszwecke.
   

Orientierungshilfe des LDA Bayern
Da die Entscheidung, ob es sich um eine Auftragsverarbeitung handelt oder nicht, nicht immer einfach ist, hat das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) eine Orientierungshilfe veröffentlicht. Diese Hilfestellung soll Unternehmen dabei unterstützen, die Rollen und Verantwortlichkeiten klarer zu definieren und datenschutzrechtliche Vorgaben korrekt umzusetzen.

Ein zentrales Element der Auftragsverarbeitung gemäß der DSGVO ist der Auftragsverarbeitungsvertrag. Dieser Vertrag regelt die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter und stellt sicher, dass personenbezogene Daten im Einklang mit den Datenschutzbestimmungen verarbeitet werden. Der Auftragsverarbeitungsvertrag wird unter verschiedenen Bezeichnungen geführt, die alle das gleiche Konzept beschreiben:

• Auftragsverarbeitungsvereinbarung
• AVV
• Data Processing Addendum
• Data Processing Agreement
• DPA

Zusätzlich sind noch Begriffe wie Auftragsdatenverarbeitung, Auftragsdatenverarbeitungsvereinbarung oder ADV im Umlauf. Diese stammen jedoch aus der Zeit vor der DSGVO und beziehen sich auf Regelungen des alten Bundesdatenschutzgesetzes (BDSG a.F.). Mit der Einführung der DSGVO wurden diese Begriffe weitgehend durch die oben genannten Synonyme ersetzt.

Wie der Name schon sagt, basiert die Auftragsverarbeitungsvereinbarung auf einem schriftlich oder elektronisch geschlossenen Vertrag. In der Praxis handelt es sich dabei oft um zusätzliche Verträge zum Hauptvertrag oder zur Leistungsvereinbarung. Diese Verträge beinhalten mehrere Anhänge, in denen detaillierte Informationen zur Verarbeitung und zu den Pflichten des Auftragsverarbeiters festgehalten sind. Die Mindestinhalte einer solchen Auftragsverarbeitungsvereinbarung ergeben sich aus Artikel 28 der DSGVO.

Die Datenschutz-Grundverordnung (DSGVO) legt in Artikel 28 Absatz 3 klar fest, welche Mindestinhalte ein Auftragsverarbeitungsvertrag (AVV) enthalten muss, um die Verarbeitung personenbezogener Daten rechtlich abzusichern. Zu diesen Inhalten gehören:

• Gegenstand und Dauer der Verarbeitung: 
  Der Vertrag muss den genauen Umfang der beauftragten Verarbeitungstätigkeiten sowie die Dauer der Datenverarbeitung festlegen. Dies umfasst auch den Beginn und das Ende der Verarbeitung.
• Art und Zweck der Verarbeitung: 
  Es muss genau beschrieben werden, welche Arten von Verarbeitungstätigkeiten durchgeführt werden und zu welchem Zweck die Daten verarbeitet werden. Dies dient der Transparenz und Nachvollziehbarkeit der Datenverarbeitung.
• Art personenbezogener Daten: 
  Der Vertrag muss spezifizieren, welche Arten von personenbezogenen Daten verarbeitet werden. Dies können z.B. Namen, Adressen, Kontaktdaten, Finanzinformationen oder besondere Kategorien personenbezogener Daten wie Gesundheitsdaten sein.
• Kategorien betroffener Personen: 
  Es muss klar festgelegt werden, welche Personengruppen von der Verarbeitung betroffen sind. Dies können z.B. Kunden, Mitarbeiter, Lieferanten oder andere Geschäftspartner sein.
• Pflichten und Rechte des Verantwortlichen: 
  Der Vertrag muss die Rechte und Pflichten des Verantwortlichen detailliert beschreiben. Dies umfasst die Verpflichtung, den Auftragsverarbeiter anzuweisen und zu überwachen sowie sicherzustellen, dass die Verarbeitung im Einklang mit den geltenden Datenschutzvorschriften erfolgt.

Regelungen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter
Wesentlicher Bestandteil eines Auftragsverarbeitungsvertrags sind darüber hinaus die spezifischen Regelungen, wie der Auftragsverarbeiter den Verantwortlichen unterstützt und welche Pflichten er dabei übernimmt. Diese Regelungen umfassen:

• Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung: 
  Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß den schriftlichen Anweisungen des Verantwortlichen verarbeiten.
• Verpflichtung der Beschäftigten auf Verschwiegenheit: 
  Alle Beschäftigten des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten haben, müssen zur Vertraulichkeit verpflichtet werden.
• Benennung eines Datenschutzbeauftragten (DSB): 
  Falls erforderlich, muss der Auftragsverarbeiter einen Datenschutzbeauftragten benennen, der die Einhaltung der Datenschutzvorschriften unterstützt und als Ansprechpartner agiert.
• Bestellung eines EU-Vertreters: 
  Wenn das Unternehmen außerhalb der EU ansässig ist, muss ein Vertreter in der EU benannt werden.
• Einhaltung vereinbarter technischer und organisatorischer Maßnahmen (TOM): 
  Der Auftragsverarbeiter muss sicherstellen, dass alle im Vertrag festgelegten Sicherheitsmaßnahmen umgesetzt werden, um die personenbezogenen Daten zu schützen.
• Meldung von Datenschutzverletzungen sowie Benachrichtigung Betroffener: 
  Der Auftragsverarbeiter ist verpflichtet, Datenschutzverletzungen unverzüglich dem Verantwortlichen zu melden, damit dieser die notwendigen Maßnahmen ergreifen kann, einschließlich der Benachrichtigung der betroffenen Personen und der zuständigen Aufsichtsbehörde.
• Zusammenarbeit mit der Aufsichtsbehörde: 
  Der Auftragsverarbeiter muss bei Anfragen und Untersuchungen der Datenschutzaufsichtsbehörden kooperieren.
• Regelungen zur Drittlandsübermittlung: 
  Der Vertrag muss klar regeln, unter welchen Bedingungen personenbezogene Daten in Drittländer übermittelt werden dürfen, um den Schutz der Daten gemäß den DSGVO-Vorschriften zu gewährleisten.
• Unterstützung bei der Bearbeitung von Betroffenenanfragen: 
  Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung der Rechte der betroffenen Personen unterstützen, wie z.B. Auskunftsrechte, Recht auf Berichtigung, Löschung und Widerspruch.
• Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA): 
  Der Auftragsverarbeiter muss den Verantwortlichen bei der Durchführung einer DSFA unterstützen, einschließlich der vorherigen Konsultation mit der Aufsichtsbehörde, wenn erforderlich.
• Führen eines Verzeichnisses der Verarbeitungstätigkeiten: 
  Der Auftragsverarbeiter muss ein Verzeichnis aller Verarbeitungstätigkeiten führen, die er im Auftrag des Verantwortlichen durchführt.
• Regelungen zur Beauftragung von Unterauftragnehmern: 
  Der Vertrag muss festlegen, ob und unter welchen Bedingungen der Auftragsverarbeiter weitere Unterauftragnehmer beauftragen darf. Dies kann entweder keine Genehmigung, eine Einzelgenehmigung oder eine allgemeine Genehmigung mit Widerspruchslösung umfassen.
• Ermöglichung von Kontrollen durch den Auftraggeber: 
  Der Auftragsverarbeiter muss dem Verantwortlichen ermöglichen, Kontrollen und Audits durchzuführen, um die Einhaltung der Datenschutzvorschriften zu überprüfen.
• Löschung und Entsorgung nach Beendigung der Verarbeitung: 
  Nach Abschluss der Verarbeitungstätigkeiten müssen die personenbezogenen Daten nach Weisung des Verantwortlichen gelöscht oder sicher entsorgt werden.
• Allgemeine Dokumentations- und Rechenschaftspflichten: 
  Der Auftragsverarbeiter muss alle getroffenen Maßnahmen dokumentieren und auf Anfrage nachweisen, dass die Datenschutzvorschriften eingehalten werden.

Nicht in einen AVV gehören Klauseln, die nichts mit der Datenverarbeitung zu tun haben, wie beispielsweise allgemeine Geschäftsbedingungen oder rein kaufmännische Vereinbarungen. Häufige Fehler sind auch die Aufnahme von Regelungen, die die Verantwortlichkeit verwischen oder den Auftragsverarbeiter in eine eigene Verantwortlichkeit zwingen. Achte darauf, dass der AVV klar die Rollen und Verantwortlichkeiten festlegt.

Im Internet gibt es unzählige, teils kostenfreie Muster für Auftragsverarbeitungsverträge (AVV) zum Download. Während viele dieser Muster nützlich sein können, möchten wir an dieser Stelle ausdrücklich das Muster von Datenschutz-Guru (RA Stephan Hansen-Oest) empfehlen. Dieses Muster deckt alle notwendigen Formulierungen ab und vertritt die Interessen der Auftraggeber und Auftragnehmer gleichermaßen. Es bietet eine solide Grundlage für die Erstellung eines individuellen und rechtskonformen AVV und kann dazu beitragen, den Aufwand und die Komplexität der Vertragsgestaltung zu reduzieren:

Versand des finalen AVV
Nachdem ein Auftragsverarbeitungsvertrag (AVV) final ausformuliert wurde, kann er an die entsprechenden Dienstleister verschickt werden. Im Folgenden findest du eine mögliche Formulierung für das Anschreiben an die Dienstleister:

AVV von Dienstleistern
Viele Dienstleister, insbesondere große Dienstleister, Cloud-Anbieter und SaaS-Anbieter, haben auch ihre eigenen AVV. In diesen Fällen gilt leider oft das Recht des Stärkeren, sodass der AVV des Dienstleisters übernommen werden muss. Dennoch ist es wichtig, diese Verträge gründlich zu prüfen und sicherzustellen, dass alle wesentlichen Datenschutzanforderungen und Interessen des eigenen Unternehmens berücksichtigt werden.

Beschäftigte müssen wissen, was zu tun ist, wenn sie beispielsweise einen neuen Lieferanten beauftragen möchten. In einem solchen Fall ist zu klären, ob es sich um eine Auftragsverarbeitung handelt. Hierbei kann und sollte immer das Datenschutz-Team konsultiert werden. Idealerweise sollte der AVV unterzeichnet werden, bevor ein Hauptvertrag, eine Leistungsvereinbarung oder ein Rahmenvertrag unterzeichnet wird, oder gleichzeitig. Dies ist notwendig, damit das Unternehmen sich vor der ersten Datenverarbeitung von den hinreichenden Garantien des Dienstleisters überzeugen kann.

Vorgehensweise bei der Beauftragung eines neuen Lieferanten

1. Prüfung auf Auftragsverarbeitung: 
   Zunächst ist zu prüfen, ob die Tätigkeit des neuen Lieferanten eine Auftragsverarbeitung im Sinne der DSGVO darstellt.
2. AVV anfordern oder eigenen AVV zusenden: 
   Wenn es sich um eine Auftragsverarbeitung handelt, braucht es einen Auftragsverarbeitungsvertrag. Wenn möglich, sollte ein finales Muster des eigenen Unternehmens dafür verwendet werden. Alternativ kann auch beim Dienstleister nach einem AVV gefragt werden.
3. AVV an das Datenschutz-Team: 
   Der AVV mit allen Anhängen muss an das Datenschutz-Team weitergeleitet werden.
4. Prüfung und Feedback abwarten: 
   Das Datenschutz-Team wird den AVV prüfen und gegebenenfalls Anpassungen vorschlagen.
5. Vertragsunterzeichnung: 
   Erst nach Freigabe durch das Datenschutz-Team sollten alle Verträge unterzeichnet werden
6. Verarbeitungsbeginn:
   Ab jetzt kann mit der Verarbeitung begonnen werden bzw. Daten an den Auftragsverarbeiter übermittelt werden.

Bei der Erstellung eines Auftragsverarbeitungsvertrags (AVV) bietet die DSGVO Unternehmen eine gewisse Gestaltungsfreiheit. Das bedeutet, dass bestimmte Regelungen individuell ausgehandelt und festgelegt werden können, um die spezifischen Bedürfnisse und Anforderungen der Zusammenarbeit zu berücksichtigen. Insbesondere können dabei die Übermittlung von Daten in Drittländer sowie die Beauftragung von Unterauftragnehmern erlaubt oder verboten werden.

Ein Beispiel hierfür ist die Datenübermittlung in ein Drittland. Unternehmen können im AVV festlegen, dass eine solche Übermittlung grundsätzlich ausgeschlossen ist. Alternativ kann die Übermittlung erlaubt werden, jedoch nur unter der strikten Einhaltung der Vorgaben von Artikel 44ff. DSGVO, die sicherstellen, dass das Datenschutzniveau gewährleistet bleibt.

Ähnlich verhält es sich mit der Beauftragung von Unterauftragnehmern. Hier gibt es in der Praxis drei gängige Optionen: Ausschluss der Unterbeauftragung, Einzelfallgenehmigungen oder eine allgemeine Genehmigung.

Drittlandsübermittlung
Wenn ein Unternehmen mit einem Dienstleister zusammenarbeitet, der außerhalb der EU, des Europäischen Wirtschaftsraums (EWR) oder der Europäischen Freihandelsassoziation (EFTA) (mit Ausnahme der Schweiz) ansässig ist, muss das Datenschutzniveau sichergestellt werden. Dies erfolgt in mehreren Schritten:

1. Prüfung des Datenschutzniveaus im Drittland: 
   Zunächst wird geprüft, ob der Dienstleister in einem sicheren Drittland sitzt. Sichere Drittländer sind solche, die von der EU-Kommission mittels eines Angemessenheitsbeschlusses als sicher eingestuft wurden. Beispiele für solche Länder sind Andorra, Argentinien, Kanada (nur für kommerzielle Organisationen), Japan und Neuseeland. Eine Besonderheit stellt hierbei die USA dar, wo es keinen generellen Angemessenheitsbeschluss gibt. Stattdessen gibt es das Data Privacy Framework (DPF), dem sich Unternehmen in den USA freiwillig unterwerfen können. Diese selbstzertifizierten Unternehmen können auf der Website des amerikanischen Handelsministeriums eingesehen werden.
2. Verwendung von EU-Standardvertragsklauseln (SCC): 
   Wenn der Dienstleister nicht in einem Land mit Angemessenheitsbeschluss ansässig ist, greifen in der Praxis häufig die EU-Standardvertragsklauseln (SCC). Diese standardisierten Mustervorlagen werden von der EU-Kommission verabschiedet und sind unveränderbar, wodurch sichergestellt ist, dass beide Parteien die Mindeststandards einhalten. Die EU-SCC sind in verschiedenen Modulen verfügbar, je nach Beziehung zwischen den Parteien (z.B. Controller to Processor, Controller to Controller). Im häufigsten Fall wird das Modul „Controller to Processor“ verwendet, wobei der Verantwortliche (Datenexporteur) in der EU sitzt und der Auftragsverarbeiter (Datenimporteur) außerhalb.
   Zusätzlich zu den EU-SCC müssen die regionalen Gesetzmäßigkeiten des Ziellands berücksichtigt und potenzielle Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet und möglichst ausgeschlossen werden. Dies erfolgt durch ein Transfer Impact Assessment (TIA), eine Risikoanalyse für Drittlandsübermittlungen.
3. Weitere Möglichkeiten der Drittlandsübermittlung: 
   Neben den EU-SCC gibt es weitere, in der Praxis weniger häufig gesehene Möglichkeiten für eine rechtssichere Drittlandsübermittlung. Dazu gehören genehmigte verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR), genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder Zertifizierungen gemäß Art. 42 DSGVO. Während sich im Bereich der Zertifizierungen bereits etwas tut, wird es noch einige Zeit dauern, bis diese in der Praxis weit verbreitet sind.
4. Ultima Ratio – Ausnahmen: 
   Als letzter Ausweg gibt es einige Ausnahmen, unter denen eine Übermittlung möglich ist, darunter die Einwilligung der betroffenen Person, die Erforderlichkeit der Übermittlung zur Vertragserfüllung, im Interesse der betroffenen Person, aus wichtigen Gründen des öffentlichen Interesses, zur Rechtsverteidigung oder Durchsetzung oder zum Schutz lebenswichtiger Interessen.

Beauftragung von Unterauftragnehmern
Die Entscheidung, ob und wie ein Unterauftragnehmer vom Auftragnehmer hinzugezogen werden kann, muss im Auftragsverarbeitungsvertrag (AVV) klar und detailliert geregelt werden. Hierbei gibt es verschiedene Möglichkeiten, die je nach den Anforderungen und Präferenzen der beteiligten Parteien gestaltet werden können:

• Ausschluss der Beauftragung von Unterauftragnehmern
  Wenn vertraglich festgelegt wird, dass kein Unterauftragnehmer hinzugezogen werden darf, muss der Dienstleister alle Leistungen selbst erbringen. Dies stellt sicher, dass die Verarbeitung ausschließlich durch den ursprünglich beauftragten Dienstleister erfolgt. In der Praxis ist diese Regelung jedoch selten, da sie die Flexibilität und Skalierbarkeit der Dienstleistungen erheblich einschränkt. Als Dienstleister ist eine solche Regelung nicht empfehlenswert, da sie den Betrieb und die Fähigkeit zur Erfüllung von Aufträgen beeinträchtigen kann.
• Einzelfallgenehmigung für Unterauftragnehmer
  Eine weitere Möglichkeit ist die vertragliche Vereinbarung, dass jeder neue Unterauftragnehmer sowie der Wechsel eines bestehenden Unterauftragnehmers vom Auftraggeber genehmigt werden muss. Diese Regelung gibt dem Auftraggeber eine hohe Kontrollmöglichkeit, kann jedoch in der Praxis sehr einengend sein. Der neue Unterauftragnehmer darf erst tätig werden, nachdem der Auftraggeber seine Genehmigung erteilt hat. Dies kann im schlimmsten Fall zu Verzögerungen oder einem Stillstand führen, insbesondere wenn die Genehmigung aufgrund interner Prozesse des Auftraggebers lange dauert.
• Allgemeine Genehmigung mit Widerspruchslösung
  Als praktikabler Mittelweg hat sich die allgemeine Genehmigung mit einer Widerspruchslösung bewährt. In diesem Modell muss der Auftragnehmer jede Änderung der Unterauftragsverhältnisse dem Verantwortlichen fristgerecht (mindestens 14 Tage im Voraus) mitteilen. Die Mitteilung muss den konkreten Unterauftragnehmer, einschließlich Rechtsform und Anschrift, sowie die geplante Tätigkeit (zumindest stichpunktartig) beinhalten. Der Auftraggeber hat dann die Möglichkeit, die geplante Änderung zu prüfen und gegebenenfalls aus besonderen Gründen und Umständen Widerspruch einzulegen, beispielsweise wenn der neue Unterauftragnehmer ein direkter Wettbewerber ist. Diese Regelung ermöglicht es dem Auftragnehmer, flexibel zu agieren, während der Auftraggeber dennoch die Kontrolle über kritische Entscheidungen behält.
• Bekannte Unterauftragnehmer bei Vertragsschluss
  Sollte bereits bei Vertragsschluss klar sein, dass bestimmte Unterauftragnehmer beteiligt sind, müssen diese im Vertrag, in der Regel im Anhang, namentlich genannt werden. Diese Unterauftragnehmer gelten dann mit Vertragsschluss als genehmigt. Es ist jedoch nicht ausreichend, lediglich auf eine Liste auf einer Website zu verweisen oder eine allgemeine Beschreibung oder Kategorien von Unterauftragnehmern anzugeben. Die Nennung muss spezifisch und detailliert sein, um Transparenz und Klarheit zu gewährleisten.

In jedem Fall ist der Auftragnehmer bei der Beauftragung von Unterauftragnehmern gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten verantwortlich. Neben der Entscheidung, “ob” und “wie” Unterauftragnehmer zu beauftragen sind, gelten für die Unterbeauftragung folgende weitere Anforderungen:

• Pflichten der Unterauftragnehmer: 
  Unterauftragnehmer müssen denselben Datenschutzanforderungen und Verpflichtungen unterliegen wie der ursprüngliche Auftragsverarbeiter. Dies stellt sicher, dass die Verarbeitung personenbezogener Daten durch alle Beteiligten datenschutzkonform erfolgt.
• Kontrollmöglichkeiten des Verantwortlichen: 
  Der Verantwortliche muss jederzeit die Möglichkeit haben, Kontrollen und Audits durchzuführen, um sicherzustellen, dass die Datenschutzanforderungen auch bei den Unterauftragnehmern eingehalten werden.
• Vertragliche Bindung: 
  Der Auftragsverarbeiter muss sicherstellen, dass Unterauftragnehmer vertraglich verpflichtet werden, die gleichen Datenschutzstandards einzuhalten, die im ursprünglichen Auftragsverarbeitungsvertrag festgelegt sind.

Artikel 28 der DSGVO regelt, dass der Auftragsverarbeiter alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift. Dies schließt insbesondere technische und organisatorische Maßnahmen (TOM) ein, um den Schutz personenbezogener Daten sicherzustellen. Zu den wichtigsten Maßnahmen gehören:

• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste: 
  Der Auftragsverarbeiter muss in der Lage sein, diese Eigenschaften der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft zu gewährleisten.
• Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten bei Zwischenfällen: 
  Es muss die Fähigkeit bestehen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen.
• Pseudonymisierung und Verschlüsselung: 
  Der Auftragsverarbeiter sollte Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten ergreifen, um die Sicherheit der Daten zu erhöhen.
• Regelmäßige Überprüfung und Evaluierung: 
  Es sollte ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vorhanden sein.

Obwohl aus Artikel 28 DSGVO nicht direkt hervorgeht, dass die TOM des Auftragsverarbeiters als Anhang mitgeschickt werden müssen, ist es für den Verantwortlichen unerlässlich, sich bereits vor der Übermittlung der Daten davon zu überzeugen, dass der Auftragsverarbeiter hinreichende Garantien für den Schutz der Daten bietet. Daher wird empfohlen, sich die TOM des Auftragsverarbeiters vorlegen zu lassen bzw. an den AVV anzuhängen.

Eine alternative und möglicherweise effektivere Herangehensweise besteht darin, dass der Verantwortliche basierend auf Art und Umfang der Verarbeitung sowie der Kritikalität der Daten Mindeststandards für die notwendigen technischen und organisatorischen Maßnahmen definiert und diese dem Auftragsverarbeiter übermittelt. Der Auftragsverarbeiter sollte dann zustimmen, mindestens diese Standards einzuhalten. Auf diese Weise kann sichergestellt werden, dass die Schutzmaßnahmen genau den Anforderungen des Verantwortlichen entsprechen und ein hohes Maß an Datensicherheit gewährleistet ist.

Wir haben einen Vorschlag für Mindeststandards erstellt, die bei jeder Auftragsverarbeitung empfohlen werden:

• Mindeststandards für TOM

Der Verantwortliche ist verpflichtet, sich sowohl vor als auch während der Zusammenarbeit davon zu überzeugen, dass der Auftragsverarbeiter gemäß den datenschutzrechtlichen Gesetzen sowie den vertraglich vereinbarten Pflichten handelt. Dies erfordert regelmäßige Kontrollen und Audits des Auftragsverarbeiters.

Rechte und Pflichten bei Kontrollen
Der Verantwortliche muss jederzeit die Möglichkeit haben, den Auftragsverarbeiter zu kontrollieren, einschließlich Vor-Ort-Kontrollen. Der Auftragsverarbeiter hat die Pflicht, diese Kontrollen zu dulden und aktiv dazu beizutragen, indem er alle notwendigen Informationen an den Auftraggeber übermittelt. Dies kann im Auftragsverarbeitungsvertrag (AVV) auf verschiedene Weisen geregelt werden:

• Gesetzeswortlaut: 
  Eine Möglichkeit besteht darin, den Gesetzeswortlaut zu übernehmen, wonach der Auftragsverarbeiter „Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“
• Konkrete Regelungen: 
  Alternativ können spezifische Regelungen getroffen werden, die im Einzelfall als ausreichend bewertet werden. Diese Regelungen müssen jedoch sicherstellen, dass der Prüfer nicht daran gehindert wird, sich ein umfassendes Bild vom Gegenstand der Prüfung zu machen und zu überprüfen, ob der Auftragsverarbeiter seine Pflichten einhält.

Einschränkungen der Kontrollrechte
Das Kontrollrecht darf nur in einem engen Rahmen eingeschränkt werden, zum Beispiel:

• Wenn Prüfer in einem unmittelbaren Wettbewerbsverhältnis mit dem Auftragsverarbeiter stehen.
• Wenn Kontrollen zu übermäßigen Beeinträchtigungen des Geschäftsablaufs führen. Dies ist grundsätzlich restriktiv auszulegen und soll nur Rechtsmissbrauch verhindern. Im Falle konkreter Probleme können auch erhebliche Beeinträchtigungen des Geschäftsablaufs nicht als übermäßig angesehen werden.

Regelungen, die Kontrollen grundsätzlich einschränken, sind unzulässig. Dazu gehören:

• Einschränkungen bezüglich der Dauer, bestimmter Orte oder auf stichprobenartige Kontrollen.
  Beschränkungen der Kontrollen nur auf den Auftragsverarbeiter und nicht auf die Unterauftragnehmer.
• Eine absolut feste Ankündigungsfrist.
• Beschränkungen auf bestimmte Prüfer.
• Kontrollen dürfen dem Auftraggeber auch nicht grundsätzlich in Rechnung gestellt werden, insbesondere wenn diese notwendig wurden, weil der Auftragsverarbeiter einen potentiellen Gesetzes- oder Vertragsverstoß begangen hat.

Praktische Herausforderungen und Lösungsansätze
In der Praxis erweisen sich Vor-Ort-Kontrollen, insbesondere bei großen Cloud- und SaaS-Anbietern, als schwierig. Diese Anbieter versuchen in der Regel, die Einhaltung der Datenschutzvorschriften durch Zertifikate (z.B. ISO 27001) oder andere externe Audits nachzuweisen. Es wird daher empfohlen, regelmäßig (alle 1-2 Jahre oder bei Bedarf) mit dem Auftragsverarbeiter in Kontakt zu treten und ihn aufzufordern, zu bestätigen, dass die Datenschutzvorschriften weiterhin eingehalten werden.

Checkliste und Anschreiben
Zur Unterstützung dieses Prozesses kann eine Checkliste hilfreich sein. Wir haben einen Fragebogen sowie einen Formulierungsvorschlag für das Anschreiben erstellt:

• Fragebogen zur Kontrolle von Auftragsverarbeitern

Im Rahmen der Auftragsverarbeitung muss der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Pflichten aus Artikel 33 und Artikel 34 der DSGVO unterstützen. Dies umfasst insbesondere die unverzügliche Meldung von Datenschutzverletzungen, die beim Auftragsverarbeiter selbst oder bei seinen Unterauftragnehmern auftreten.

Einhaltung der Frist von 72 Stunden
Da der Auftragsverarbeiter im Sinne der „Fiktion der Nichtübermittlung“ handelt, tritt er in der Regel nicht direkt auf. Somit bleibt die Frist von 72 Stunden zur Meldung einer Datenschutzverletzung an die Aufsichtsbehörde für den Verantwortlichen bestehen. Es ist daher entscheidend, dass der Auftragsverarbeiter den Verantwortlichen rechtzeitig über jede (auch vermutete) Datenschutzverletzung informiert. Im Auftragsverarbeitungsvertrag (AVV) findet man in der Praxis häufig die Angabe „unverzüglich“ (also ohne schuldhaftes Zögern) als Meldefrist. Empfehlenswert wäre jedoch die Festlegung einer festen Frist, beispielsweise 48 Stunden. Dies gibt dem Verantwortlichen ausreichend Zeit, die Verletzung innerhalb der 72-Stunden-Frist bei der Aufsichtsbehörde zu melden.

Mindestinformationen bei der Meldung
Die Meldung des Auftragsverarbeiters sollte bestimmte Mindestinformationen enthalten, um dem Verantwortlichen eine schnelle und umfassende Bewertung der Datenschutzverletzung zu ermöglichen. Zu diesen Informationen gehören:

• Beschreibung des Vorfalls: 
  Was genau ist geschehen?
• Zeitpunkt des Vorfalls: 
  Wann ist die Datenschutzverletzung aufgetreten?
• Betroffene Personen: 
  Wer ist von der Datenschutzverletzung betroffen?
• Anzahl der betroffenen Personen: 
  Wie viele Personen sind von der Verletzung betroffen?
• Potenzielle Risiken: 
  Welche potenziellen Risiken ergeben sich aus der Datenschutzverletzung?
• Sofortige Maßnahmen: 
  Welche Maßnahmen wurden bereits ergriffen, um den Vorfall zu beheben?
• Geplante Maßnahmen: 
  Welche weiteren Maßnahmen sind geplant, um ähnliche Vorfälle in Zukunft zu verhindern?

Datenschutzverletzungen: Umgang und Checkliste
Um Verantwortliche und Auftragsverarbeiter bei der Bewältigung von Datenschutzverletzungen zu unterstützen, stellen wir eine Checkliste zur Verfügung. Diese Checkliste soll sicherstellen, dass alle notwendigen Schritte befolgt werden und keine wichtigen Details übersehen werden:

• Hinweise und Checkliste für den Umgang mit Datenschutzverletzungen

Grundsätzlich sollte der Auftragsverarbeiter seinen Pflichten aus dem Vertrag und der DSGVO kostenfrei nachkommen. Das bedeutet, dass die Erfüllung der grundlegenden datenschutzrechtlichen Anforderungen und vertraglichen Pflichten keine zusätzlichen Kosten für den Verantwortlichen verursachen sollte.

Allerdings ist es möglich (wenn auch unter den Aufsichtsbehörden umstritten), dass einzelne Leistungen dem Auftraggeber in Rechnung gestellt werden können. Dies ist insbesondere der Fall, wenn sehr häufig, wiederkehrend und umfangreich Unterstützung benötigt wird, beispielsweise:

• Bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA)
• Bei der Unterstützung zur Einhaltung der Betroffenenrechte
• Wenn der Auftraggeber häufiger als jährlich die Verarbeitung kontrollieren möchte

In solchen Fällen können die entstandenen Kosten dem Auftraggeber in Rechnung gestellt werden. Wichtig ist, dass diese Regelungen vertraglich transparent und fair gestaltet werden. Es sollte klar definiert sein, welche zusätzlichen Leistungen kostenpflichtig sind und wie die Kosten berechnet werden.

In keinem Fall darf der Auftraggeber durch (zu hohe) Kosten daran gehindert sein, seine Rechte auszuüben, wie beispielsweise Kontrollrechte oder Weisungsrechte. Die Kostenstruktur muss verhältnismäßig sein und sicherstellen, dass der Auftraggeber weiterhin in der Lage ist, seine datenschutzrechtlichen Pflichten und Rechte vollumfänglich wahrzunehmen.

Das Fehlen einer Auftragsverarbeitungsvereinbarung (AVV) kann schwerwiegende Konsequenzen sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter haben. Gemäß der DSGVO ist der Abschluss eines solchen Vertrags zwingend erforderlich, um die rechtliche Grundlage für die Verarbeitung personenbezogener Daten durch Dritte sicherzustellen. Fehlt dieser Vertrag, drohen verschiedene Sanktionen und Risiken:

• Bußgelder: 
  Die Datenschutzbehörden können erhebliche Bußgelder verhängen, wenn festgestellt wird, dass keine AVV abgeschlossen wurde. Diese Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens betragen, je nachdem, welcher Betrag höher ist.
• Rechtsunsicherheit: 
  Ohne eine AVV fehlt die klare vertragliche Regelung der Rechte und Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Dies kann zu rechtlicher Unsicherheit und Streitigkeiten führen, insbesondere im Falle einer Datenschutzverletzung.
• Haftungsrisiken: 
  Bei Datenschutzverletzungen ohne eine gültige AVV kann der Verantwortliche haftbar gemacht werden. Dies kann zu Schadensersatzforderungen seitens der betroffenen Personen führen, die durch die unsichere Datenverarbeitung geschädigt wurden.
• Reputationsschäden: 
  Datenschutzverstöße und das Fehlen einer AVV können das Vertrauen der Kunden und Geschäftspartner erheblich beeinträchtigen. Reputationsschäden können langfristige negative Auswirkungen auf das Geschäft haben.
• Einschränkungen der Datenverarbeitung: 
  In Ermangelung einer AVV müssen möglicherweise die Datenverarbeitungen ausgesetzt oder sogar gestoppt werden, bis eine ordnungsgemäße Vereinbarung getroffen wurde. Dies kann betriebliche Abläufe erheblich stören.

Auftragsverarbeitungsverträge (AVV) spielen eine zentrale Rolle im Datenschutzmanagement von Unternehmen. Sie bieten nicht nur eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten durch Dritte, sondern stellen auch sicher, dass alle Beteiligten klare Verantwortlichkeiten und Pflichten haben. Wie bei jedem rechtlichen Instrument gibt es sowohl Vorteile als auch Nachteile, die Unternehmen bei der Implementierung und Nutzung von AVVs berücksichtigen sollten.

Vorteile von Auftragsverarbeitungsverträgen

• Absicherung der Verarbeitung: 
  Ein AVV bietet eine rechtliche Absicherung der Verarbeitung personenbezogener Daten, selbst wenn nicht sicher ist, ob es sich um eine Auftragsverarbeitung handelt. Dies schafft Klarheit und Sicherheit für beide Parteien.
• Erhöhung des Datenschutzniveaus: 
  Durch die vertragliche Festlegung spezifischer Datenschutzmaßnahmen wird das Datenschutzniveau insgesamt erhöht. Dies trägt zum Schutz der personenbezogenen Daten bei und stärkt das Vertrauen der betroffenen Personen.
• Legitimierung durch vorhandene Rechtsgrundlage: 
  Der AVV bietet eine klare Rechtsgrundlage für die Weitergabe und Verarbeitung personenbezogener Daten. Dies stellt sicher, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt.
• Einfluss auf die Datenverarbeitung: 
  Als Auftraggeber hat man durch den AVV Einfluss auf die Art und Weise der Datenverarbeitung durch den Auftragnehmer. Dies ermöglicht es, spezifische Anforderungen und Bedingungen festzulegen, die eingehalten werden müssen.

Nachteile von Auftragsverarbeitungsverträgen

• Aufwändige Pflichten für den Auftragnehmer: 
  Die Einhaltung der vertraglichen und gesetzlichen Pflichten kann für den Auftragnehmer aufwändig und kostspielig sein. Dazu gehören umfangreiche technische und organisatorische Maßnahmen sowie die Dokumentation und Nachweisführung.
• Weniger Entscheidungsspielraum für den Auftragnehmer: 
  Der Auftragnehmer hat weniger Entscheidungsspielraum, da er sich strikt an die Weisungen des Auftraggebers halten muss. Dies kann die Flexibilität und Effizienz der Datenverarbeitung beeinträchtigen.
• Hohe Dokumentations- und Überprüfungspflichten: 
  Beide Parteien, insbesondere der Auftraggeber, haben hohe Dokumentations- und Überprüfungspflichten. Dies umfasst regelmäßige Kontrollen und Audits, um sicherzustellen, dass der Auftragnehmer die Datenschutzvorschriften und vertraglichen Vereinbarungen einhält.

Insgesamt bieten Auftragsverarbeitungsverträge eine wichtige Grundlage für die sichere und rechtskonforme Verarbeitung personenbezogener Daten. Sie stellen sicher, dass die Datenschutzanforderungen eingehalten werden und bieten sowohl dem Auftraggeber als auch dem Auftragnehmer klare Richtlinien und Verantwortlichkeiten. Allerdings erfordern sie auch einen erheblichen administrativen Aufwand und eine sorgfältige Einhaltung der vertraglichen Pflichten.

Im Rahmen der Auftragsverarbeitung nach der DSGVO tauchen immer wieder Fragen auf, die sowohl Verantwortliche als auch Auftragsverarbeiter betreffen. Im Folgenden findest du Antworten auf einige der am häufigsten gestellten Fragen.