AV-Vertrag richtig einsetzen: Wann einer nötig ist – und wann nicht
Der Auftragsverarbeitungsvertrag (AV-Vertrag) gehört zu den Themen rund um die DSGVO, die regelmäßig für Verwirrung sorgen. Wann muss ein AV-Vertrag geschlossen werden und wann nicht? Muss ich selbst einen erstellen oder nutze ich Vorlagen des Dienstleisters?
Es ist wichtig, auf diese Fragen die richtigen Antworten zu kennen, denn ein AV-Vertrag, der dort abgeschlossen wird, wo er gar nicht hingehört, schafft Haftungsrisiken, die man besser beim Dienstleister belassen hätte. Fehlt er ganz oder ist er inhaltlich nicht korrekt, riskiert man datenschutzrechtliche Konsequenzen bis hin zu einem Bußgeld nach Art. 83 IV DSGVO. Doch keine Sorge, das Thema kann aus meiner Sicht ganz leicht gelöst werden. Man muss einfach genau hinschauen.
Kurze Einführung: Sinn und Zweck eines AV-Vertrags
Sie wissen wahrscheinlich, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Es sei denn, es liegt ein Erlaubnistatbestand nach Art. 5 und Art. 6 DSGVO vor wie eine Einwilligung oder ein berechtigtes Interesse. Das Prinzip der DSGVO heißt: Verbot mit Erlaubnisvorbehalt.
Beauftragt ein Unternehmen nun externe Dienstleister mit der Verarbeitung, ändert das an der Grundstruktur nichts. Die Verantwortung für die ordnungsgemäße Verarbeitung bleibt beim Auftraggeber. Damit der Dienstleister also tätig werden kann, muss ein Vertrag geschlossen werden, der sicherstellt, dass dieser im Sinne der DSGVO und des Unternehmens handelt. Und dieser Vertrag, wer hätte es gedacht, ist der Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO.
Wann ist ein AV-Vertrag erforderlich?
Einige Unternehmen glauben, dass mit jedem Dienstleister, der irgendwie mit Daten in Berührung kommt, ein AV-Vertrag abgeschlossen werden muss. Das ist falsch. Der AV-Vertrag ist immer dann erforderlich, wenn ein externer Dienstleister – auch Auftragsverarbeiter genannt – im Rahmen eines Auftrags weisungsgebunden personenbezogene Daten des Auftraggebers verarbeitet. Typische Beispiele sind Cloud-Anbieter, Lohnbüros, Lettershops oder externe IT-Dienstleister, die Zugriff auf Ihre Systeme haben.
Liegt eine solche Konstellation vor, ist der Abschluss eines AV-Vertrags Pflicht. Und zwar vor Beginn der Datenverarbeitung, nicht irgendwann später. Doch glauben Sie nicht, dass ein AV-Vertrag Sie von der Verantwortung für die ordnungsgemäße Verarbeitung entbindet. Sie sind weiterhin verantwortlich und müssen folglich auch überprüfen, dass Ihr Dienstleister die Vereinbarungen einhält.
Gemeinsame Verantwortlichkeit ist keine Auftragsverarbeitung
Neben der gerade beschriebenen Auftragsverarbeitung gibt es noch eine weitere mögliche Konstellation im Bereich der Verarbeitung personenbezogener Daten: die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Sie liegt vor, wenn zwei oder mehr Unternehmen gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden. Jede Partei hat also eigene Interessen an den Daten. Typische Beispiele sind Social-Media-Plattformen, die Nutzerdaten für eigene Zwecke auswerten, oder die Schufa, die Bonitätsdaten nicht weisungsgebunden verarbeitet, sondern für ihr eigenes Scoring-Modell verwendet.
In diesen Fällen ist kein AV-Vertrag zu schließen, sondern eine Vereinbarung nach Art. 26 DSGVO, die regelt, wer welche Datenschutzpflichten übernimmt. Wer in dieser Situation reflexartig zum AV-Vertrag greift, hat die Rollen falsch eingeordnet und riskiert Haftungsfolgen.
Zur inhaltlichen Gestaltung
Mindestinhalt nach Art. 28 III DSGVO sind Gegenstand und Dauer der Verarbeitung, Art und Zweck der Datenverarbeitung, Weisungsbefugnisse, technisch-organisatorische Maßnahmen (TOM) sowie Regelungen zu Subunternehmern. Letztere sind besonders relevant, wenn Ihr Dienstleister seinerseits Subdienstleister einbindet. Dann müssen die vereinbarten Datenschutzpflichten weitergegeben werden. Auch das wird in der Praxis oft vergessen.
Im Bereich der Subunternehmer gehe ich sogar noch einen Schritt weiter. Um auf der sicheren Seite zu sein, sollten Sie Ihren Auftragsverarbeiter verpflichten, seine Subunternehmer im Vorfeld zu nennen, damit Sie diese genehmigen können. Das gilt auch, wenn später ein Wechsel erfolgt oder weitere Subunternehmer hinzukommen. Nur so können Sie sicherstellen, dass geeignete Subunternehmer eingesetzt werden, die ihrerseits in der Lage sind, die TOMs einzuhalten. Denken Sie immer daran: Sie sind verantwortlich und müssen folglich Verantwortung übernehmen.
Auch wichtig: AV-Verträge müssen nicht nur abgeschlossen, sondern auch dokumentiert und aktuell gehalten werden. Das Thema Auftragsverarbeitung sollte also regelmäßig auf der Agenda stehen.
Wer erstellt den AV-Vertrag?
Viele Dienstleister stellen Unternehmen einen AV-Vertrag zur Verfügung. Das klingt auf den ersten Blick verlockend, ist aber nicht immer eine gute Idee. Der Grund ist folgender: Der Dienstleister erstellt den AV-Vertrag aus seiner Sicht, doch das Unternehmen ist Verantwortlicher im Sinne der DSGVO. Das Unternehmen sollte also die Regeln vorgeben.
Für Hoster und ähnliche, die nicht „aktiv“ personenbezogene Daten verarbeiten, genügt es aus meiner Sicht, die Vorlage des Anbieters herunterzuladen, diese zu prüfen und zu unterzeichnen. Anders sieht es zum Beispiel bei IT-Systemdienstleistern aus. Hier empfehle ich dringend, dass das Unternehmen den AV-Vertrag selbst erstellt beziehungsweise durch seinen betrieblichen Datenschutzbeauftragten erstellen lässt.
Um das Thema alltagstauglich zu gestalten, rate ich dazu, einen Grundvertrag zu erstellen, der für alle Dienstleister gleich ist. Die TOMs sind jeweils individuell als Anhang zum Vertrag hinzuzufügen. Deren Abstimmung sollte idealerweise gemeinsam mit dem Verarbeiter erfolgen, da dieser die Vorgaben natürlich auch umsetzen muss.
Fazit
AV-Verträge sind zentraler Bestandteil der DSGVO und damit wichtig für jedes Unternehmen, das personenbezogene Daten verarbeitet. Wer sich nicht sicher ist, in welchem Fall ein AV-Vertrag erforderlich ist, fragt einfach seinen betrieblichen Datenschutzbeauftragten. Wer keinen hat, fragt gerne mich. Denn unnötig abgeschlossene AV-Verträge produzieren Arbeit und schaffen Haftungsrisiken. Und wer sie dort weglässt, wo sie zwingend wären, oder fachlich falsche Verträge verwendet, riskiert Bußgelder nach Art. 83 IV DSGVO von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres. Und dann ist da noch die regelmäßige Überprüfung der Auftragsverarbeiter. Tja, es gibt eben viel zu tun, wenn man die Verantwortung hat.
Sie haben Fragen zum Thema oder wissen nicht, ob Ihre bestehenden AV-Verträge DSGVO-konform und sinnvoll sind? Sprechen Sie mich gerne direkt an.