Schlagwort: Auftragsverarbeitungsvertrag

Datenpanne beim Dienstleister

Wer haftet wohl, wenn der Dienstleister gehackt wird?

Viele Unternehmen arbeiten mit externen Dienstleistern zusammen, die personenbezogene Daten verarbeiten. Klassische Beispiele sind Abrechnung, IT oder Personalsuche. Das Outsourcing ist zwar praktisch, birgt aber Risiken für Ihr Unternehmen. Wenn Ihr Dienstleister nämlich eine Datenpanne hat, wie im Fall von Unimed im April 2026, sind Sie weiterhin Verantwortlicher. Also Augen auf bei der Wahl des Auftragsverarbeiters. Ich schildere Ihnen hier kurz den Unimed-Fall und gehe dann darauf ein, was Sie daraus lernen sollten.

Infos zum Hackerangriff

Mitte April 2026 wurde der Abrechnungsdienstleister Unimed Opfer eines Cyberangriffs. Das Unternehmen erstellt Abrechnungen für Privatpatienten und ist nach eigenen Angaben für etwa 95 Prozent aller deutschen Universitätskliniken tätig. Nach aktueller Berichterstattung gelangen über 120.000 Patientendatensätze in die Hände der Cyberkriminellen. Dazu gehören Stammdaten der Patienten, Rechnungen und in einigen Fällen auch Diagnosen und Angaben zum Gesundheitszustand. Das BSI und die Datenschutzbehörden wurden noch im April benachrichtigt und mittlerweile werden auch die Betroffenen informiert.

Dass Diagnosedaten und Daten zum Gesundheitszustand bei dieser Datenpanne abgeflossen sind, ist besonders heikel, denn dabei handelt es sich um Daten gemäß Art. 9 DSGVO. Sie genießen den höchsten Schutz in der DSGVO; ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt. Wenn solche Daten im Rahmen einer Auftragsverarbeitung einem externen Dienstleister zugänglich gemacht werden, steigen die Anforderungen hinsichtlich der Auswahl des Dienstleisters, der Vertragsgestaltung und auch der Kontrolle erheblich.

Nicht Ihre Datenpanne, aber trotzdem Ihre Verantwortung

Ich stelle immer wieder fest, dass vielen Unternehmern nicht klar ist, dass auch im Falle einer Auftragsverarbeitung die datenschutzrechtliche Verantwortung bei ihnen bleibt. Deshalb hier noch einmal ganz deutlich: Wer personenbezogene Daten an einen externen Dienstleister weitergibt, bleibt Verantwortlicher im Sinne von Art. 24 und Art. 4 Nr. 7 DSGVO. Der Dienstleister agiert als Auftragsverarbeiter nach Art. 28 DSGVO, das heißt er verarbeitet Daten nicht eigenständig, sondern im Auftrag und nach Weisung des Verantwortlichen. Die Pflicht zur Meldung einer Datenpanne an die Aufsichtsbehörde nach Art. 33 DSGVO trifft den Verantwortlichen ebenso wie die Pflicht zur Information betroffener Personen nach Art. 34 DSGVO. Die Haftung erfolgt in der Regel nach Art. 82 DSGVO gesamtschuldnerisch.

Mit wem arbeiten Sie da eigentlich zusammen?

Diese Frage sollten Sie sich am besten stellen, bevor Sie mit einem Dienstleister zusammenarbeiten. Wenn Sie das bisher nicht gemacht haben, holen Sie das bitte nach. Denn wer einen Auftragsverarbeiter einsetzt, ist nach Art. 28 I DSGVO verpflichtet, nur solche Dienstleister zu beauftragen, die hinreichende Garantien dafür bieten, dass die Verarbeitung DSGVO-konform erfolgt. Dabei genügt es nicht, auf die Webseite des Dienstleisters zu schauen, denn nur weil jemand behauptet, er würde DSGVO-konform arbeiten, heißt das nicht, dass dem auch so ist. Auch Unimed hat seine hohen Sicherheitsstandards bisher gelobt. Genützt hat es offensichtlich nicht. Die Erfüllung der Vereinbarungen im AV-Vertrag muss außerdem regelmäßig überprüft werden.

Das sollten Unternehmen jetzt tun

Dieser Fall ist nur ein Beispiel von vielen, denn die Zahl der Hackerangriffe steigt stetig. Jedes Unternehmen, das personenbezogene Daten an Auftragsverarbeiter wie Lohnbüros, Cloud-Anbieter oder Abrechnungssysteme weitergibt, sollte daher einmal prüfen, ob die Daten in guten Händen sind. Hier ist eine kurze Checkliste:

  • Haben Sie Ihre Dienstleister überprüft?
  • Liegt für jeden Dienstleister mit Datenzugang ein vollständiger AV-Vertrag nach Art. 28 III DSGVO vor?
  • Sind die technischen und organisatorischen Maßnahmen des Dienstleisters konkret dokumentiert und geprüft?
  • Gibt es bei Ihnen einen Prozess für den Fall, dass der Dienstleister eine Datenpanne meldet?

Wenn Sie nicht alle Fragen mit Ja beantworten können, besteht Handlungsbedarf.

Und jetzt?

Haben Sie am Ende dieses Artikels ein ungutes Gefühl, wenn Sie an Ihre Auftragsverarbeiter denken? Aus meiner Erfahrung kann ich Ihnen sagen, dass Sie auf Ihr Gefühl hören sollten. Vereinbaren Sie einen Termin mit mir, damit ich Ihre Verträge und ihre Dokumentation überprüfen kann. Sollte ich Defizite erkennen, stellen wir sie gemeinsam ab.

Wenn Sie mehr über IT-Sicherheit und Datenschutz lernen möchten, buchen Sie eins meiner Seminare.

AV-Vertrag richtig einsetzen

AV-Vertrag richtig einsetzen: Wann einer nötig ist – und wann nicht

Der Auftragsverarbeitungsvertrag (AV-Vertrag) gehört zu den Themen rund um die DSGVO, die regelmäßig für Verwirrung sorgen. Wann muss ein AV-Vertrag geschlossen werden und wann nicht? Muss ich selbst einen erstellen oder nutze ich Vorlagen des Dienstleisters?

Es ist wichtig, auf diese Fragen die richtigen Antworten zu kennen, denn ein AV-Vertrag, der dort abgeschlossen wird, wo er gar nicht hingehört, schafft Haftungsrisiken, die man besser beim Dienstleister belassen hätte. Fehlt er ganz oder ist er inhaltlich nicht korrekt, riskiert man datenschutzrechtliche Konsequenzen bis hin zu einem Bußgeld nach Art. 83 IV DSGVO. Doch keine Sorge, das Thema kann aus meiner Sicht ganz leicht gelöst werden. Man muss einfach genau hinschauen.

Kurze Einführung: Sinn und Zweck eines AV-Vertrags

Sie wissen wahrscheinlich, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Es sei denn, es liegt ein Erlaubnistatbestand nach Art. 5 und Art. 6 DSGVO vor wie eine Einwilligung oder ein berechtigtes Interesse. Das Prinzip der DSGVO heißt: Verbot mit Erlaubnisvorbehalt.

Beauftragt ein Unternehmen nun externe Dienstleister mit der Verarbeitung, ändert das an der Grundstruktur nichts. Die Verantwortung für die ordnungsgemäße Verarbeitung bleibt beim Auftraggeber. Damit der Dienstleister also tätig werden kann, muss ein Vertrag geschlossen werden, der sicherstellt, dass dieser im Sinne der DSGVO und des Unternehmens handelt. Und dieser Vertrag, wer hätte es gedacht, ist der Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO.

Wann ist ein AV-Vertrag erforderlich?

Einige Unternehmen glauben, dass mit jedem Dienstleister, der irgendwie mit Daten in Berührung kommt, ein AV-Vertrag abgeschlossen werden muss. Das ist falsch. Der AV-Vertrag ist immer dann erforderlich, wenn ein externer Dienstleister – auch Auftragsverarbeiter genannt – im Rahmen eines Auftrags weisungsgebunden personenbezogene Daten des Auftraggebers verarbeitet. Typische Beispiele sind Cloud-Anbieter, Lohnbüros, Lettershops oder externe IT-Dienstleister, die Zugriff auf Ihre Systeme haben.

Liegt eine solche Konstellation vor, ist der Abschluss eines AV-Vertrags Pflicht. Und zwar vor Beginn der Datenverarbeitung, nicht irgendwann später. Doch glauben Sie nicht, dass ein AV-Vertrag Sie von der Verantwortung für die ordnungsgemäße Verarbeitung entbindet. Sie sind weiterhin verantwortlich und müssen folglich auch überprüfen, dass Ihr Dienstleister die Vereinbarungen einhält.

Gemeinsame Verantwortlichkeit ist keine Auftragsverarbeitung

Neben der gerade beschriebenen Auftragsverarbeitung gibt es noch eine weitere mögliche Konstellation im Bereich der Verarbeitung personenbezogener Daten: die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Sie liegt vor, wenn zwei oder mehr Unternehmen gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden. Jede Partei hat also eigene Interessen an den Daten. Typische Beispiele sind Social-Media-Plattformen, die Nutzerdaten für eigene Zwecke auswerten, oder die Schufa, die Bonitätsdaten nicht weisungsgebunden verarbeitet, sondern für ihr eigenes Scoring-Modell verwendet.

In diesen Fällen ist kein AV-Vertrag zu schließen, sondern eine Vereinbarung nach Art. 26 DSGVO, die regelt, wer welche Datenschutzpflichten übernimmt. Wer in dieser Situation reflexartig zum AV-Vertrag greift, hat die Rollen falsch eingeordnet und riskiert Haftungsfolgen.

Zur inhaltlichen Gestaltung

Mindestinhalt nach Art. 28 III DSGVO sind Gegenstand und Dauer der Verarbeitung, Art und Zweck der Datenverarbeitung, Weisungsbefugnisse, technisch-organisatorische Maßnahmen (TOM) sowie Regelungen zu Subunternehmern. Letztere sind besonders relevant, wenn Ihr Dienstleister seinerseits Subdienstleister einbindet. Dann müssen die vereinbarten Datenschutzpflichten weitergegeben werden. Auch das wird in der Praxis oft vergessen.

Im Bereich der Subunternehmer gehe ich sogar noch einen Schritt weiter. Um auf der sicheren Seite zu sein, sollten Sie Ihren Auftragsverarbeiter verpflichten, seine Subunternehmer im Vorfeld zu nennen, damit Sie diese genehmigen können. Das gilt auch, wenn später ein Wechsel erfolgt oder weitere Subunternehmer hinzukommen. Nur so können Sie sicherstellen, dass geeignete Subunternehmer eingesetzt werden, die ihrerseits in der Lage sind, die TOMs einzuhalten. Denken Sie immer daran: Sie sind verantwortlich und müssen folglich Verantwortung übernehmen.

Auch wichtig: AV-Verträge müssen nicht nur abgeschlossen, sondern auch dokumentiert und aktuell gehalten werden. Das Thema Auftragsverarbeitung sollte also regelmäßig auf der Agenda stehen.

Wer erstellt den AV-Vertrag?

Viele Dienstleister stellen Unternehmen einen AV-Vertrag zur Verfügung. Das klingt auf den ersten Blick verlockend, ist aber nicht immer eine gute Idee. Der Grund ist folgender: Der Dienstleister erstellt den AV-Vertrag aus seiner Sicht, doch das Unternehmen ist Verantwortlicher im Sinne der DSGVO. Das Unternehmen sollte also die Regeln vorgeben.

Für Hoster und ähnliche, die nicht „aktiv“ personenbezogene Daten verarbeiten, genügt es aus meiner Sicht, die Vorlage des Anbieters herunterzuladen, diese zu prüfen und zu unterzeichnen. Anders sieht es zum Beispiel bei IT-Systemdienstleistern aus. Hier empfehle ich dringend, dass das Unternehmen den AV-Vertrag selbst erstellt beziehungsweise durch seinen betrieblichen Datenschutzbeauftragten erstellen lässt.

Um das Thema alltagstauglich zu gestalten, rate ich dazu, einen Grundvertrag zu erstellen, der für alle Dienstleister gleich ist. Die TOMs sind jeweils individuell als Anhang zum Vertrag hinzuzufügen. Deren Abstimmung sollte idealerweise gemeinsam mit dem Verarbeiter erfolgen, da dieser die Vorgaben natürlich auch umsetzen muss.

Fazit

AV-Verträge sind zentraler Bestandteil der DSGVO und damit wichtig für jedes Unternehmen, das personenbezogene Daten verarbeitet. Wer sich nicht sicher ist, in welchem Fall ein AV-Vertrag erforderlich ist, fragt einfach seinen betrieblichen Datenschutzbeauftragten. Wer keinen hat, fragt gerne mich. Denn unnötig abgeschlossene AV-Verträge produzieren Arbeit und schaffen Haftungsrisiken. Und wer sie dort weglässt, wo sie zwingend wären, oder fachlich falsche Verträge verwendet, riskiert Bußgelder nach Art. 83 IV DSGVO von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres. Und dann ist da noch die regelmäßige Überprüfung der Auftragsverarbeiter. Tja, es gibt eben viel zu tun, wenn man die Verantwortung hat.

Sie haben Fragen zum Thema oder wissen nicht, ob Ihre bestehenden AV-Verträge DSGVO-konform und sinnvoll sind? Sprechen Sie mich gerne direkt an.