Auftragsverarbeitungsvereinbarung. Ein perfektes Wort, um beim Galgenraten garantiert zu gewinnen. Und darüber hinaus spielt sie im Datenschutz von fast jedem Unternehmen eine wichtige Rolle.
Die Auftragsverarbeitungsvereinbarung, früher „Auftragsdatenverarbeitungsvertrag“, oder kurz AVV, müssen Sie nämlich immer dann schließen, wenn Sie einen externen Dienstleister mit der Verarbeitung der Daten Ihrer Kunden und Mitarbeiter beauftragen. Hier einmal einige Beispiele, wann das vorkommt:
- Sie leiten Anrufe über ein Callcenter um.
- Eine externe Buchhaltung kümmert sich um Ihre Lohn- und Gehaltsabrechnungen.
- Sie outsourcen Ihr Rechenzentrum – auch teilweise.
- Sie tracken die Aktionen Ihrer Webseitenbesucher über Google Analytics oder ähnliche Anbieter – oder lassen das in Ihrem Auftrag von einer Agentur durchführen.
- Sie nutzen einen Dienstleister wie Mailchimp oder ActiveCampaign, um E-Mails zu versenden.
- Sie führen Meetings und Kundengespräche über Videocall-Hosts wie Zoom oder Microsoft Teams durch.
Die Liste ließe sich noch um einige Punkte ergänzen – das Wichtigste wird jedoch deutlich: Um eine Auftragsverarbeitungsvereinbarung kommt kaum ein Unternehmen herum. Hintergrund: Auch wer auf einen Dienstleister oder ein externes Unternehmen setzt, muss natürlich dafür sorgen, dass die Bestimmungen der DSGVO eingehalten werden. In der Auftragsverarbeitungsvereinbarung wird festgelegt, wie das aussehen soll und welche Daten in welchem Rahmen verarbeitet werden dürfen.
Zwischen wem wird der Auftragsverarbeitungsvertrag geschlossen?
Die Auftragsverarbeitungsvereinbarung wird zwischen zwei Parteien geschlossen: Dem verarbeitenden Dienstleister und dem Auftraggeber. Der Dienstleister kann sich dabei nach der neuen DSGVO auch außerhalb der EU befinden. Er untersteht der Weisung des Auftraggebers und haftet bei Verstößen, solange sich diese aus einer Handlung entgegen der Weisung des Auftraggebers ergeben. Bei allgemeinen Verstößen haftet im Regelfall der Auftraggeber. Er ist auch der Datenschutzverantwortliche im Sinne der DSGVO, an den sich Betroffene bei Verdacht auf einen Verstoß wenden können.
Das gehört in die Auftragsverarbeitungsvereinbarung hinein
Im Vertrag wird genau definiert, welche Daten der Dienstleister wie verarbeiten darf. Wenn Sie eine Auftragsverarbeitungsvereinbarung aufsetzen, sollten Sie deshalb nach Art. 30 DSGVO folgende Punkte aufnehmen:
- Name und Kontaktdaten vom Verantwortlichen und dem Verarbeitenden
- Wie lauten die Weisungsbefugnisse und welchen Verpflichtungen müssen die an der Verarbeitung beteiligten Personen nachkommen?
- Was sind Gegenstand, Dauer, Art und Zweck der Verarbeitung?
- Mit welchen technischen und organisatorischen Maßnahmen wird der Datenschutz organisiert?
- Inwiefern dokumentiert die verarbeitende Partei ihre Tätigkeiten? Dazu gleich mehr.
- Dürfen Subunternehmen beauftragt werden – und wenn ja, in welchem Rahmen?
- Wie wird mit Ansprüchen umgegangen, die Betroffene von Verstößen stellen könnten?
- Wie ist die Meldepflicht von Verstößen geregelt?
- Wie hat sich der Verarbeitende zu verhalten, wenn Weisungen des Auftraggebers gegen die DSGVO verstoßen?
- Wie wird mit den personenbezogenen Daten umgegangen, sollte die Auftragsverarbeitungsvereinbarung beendet werden?
- Wie kann der Auftraggeber kontrollieren, ob der Verarbeitende seinen Pflichten ordnungsgemäß nachkommt? Und welche Duldungspflichten hat der Auftraggeber?
- Inwiefern werden personenbezogene Daten in Drittländer übermittelt? Um welche(s) handelt es sich dabei? Wie wird garantiert, dass die Datenübermittlung dennoch der europäischen DSGVO entspricht?
Die DSGVO fordert: Für die Auftragsverarbeitungsvereinbarung kommen nur verlässliche Auftragsverarbeiter in Frage
Mit dem Aufsetzen der Auftragsverarbeitungsvereinbarung kommt also einiges an Arbeit auf Sie zu. Unter Umständen kann es jedoch sein, dass die Vereinbarung standardmäßig hinterlegt ist. Dieses übliche Vorgehen gibt es zum Beispiel bei großen Anbietern wie Microsoft, Zoom oder 1&1. Hier gilt auch: Sie müssen den AV-Vertrag des Anbieters akzeptieren oder einen anderen Dienstleister suchen.
Sicher – in manchen Bereichen haben Sie nicht viel Auswahl, was Ihren Partner angeht. Doch sollten Sie frei entscheiden können, müssen Sie natürlich darauf achten, dass der Datenschutz an oberster Stelle steht. Das regelt auch Art. 28 der DSGVO ganz klar:
„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Das macht einen verlässlichen Auftragsverarbeiter aus
- Der Auftragsverarbeiter schützt die Daten vor unbefugtem Zugriff – sowohl elektronisch (durch Firewalls, sichere Passwörter etc.) als auch „im echten Leben“ (abschließbare Türen und Schränke). Auch unbefugte Personen aus dem Unternehmen selbst sollten keinen Zugriff erhalten. Schließlich gehen sie die Daten Ihrer Kunden/Mitarbeiter nichts an.
- Jeder Zugriff auf Ihre Daten sollte kontrolliert und protokolliert werden. Kommt es zu einer Datenpanne, kann die Ursache dadurch schneller ausfindig gemacht werden.
- Datensätze dürfen nicht ohne Weiteres geändert, kopiert, weitergeleitet oder gelöscht werden. Deshalb muss die verarbeitende Partei der Auftragsverarbeitungsvereinbarung Sorge tragen, dass auch Datenträger nicht beschädigt werden oder verloren gehen.
- Weisungen werden eingehalten.
- Für den Fall einer Datenschutzpanne gibt es Notfallkonzepte, auf die alle Beteiligten direkten Zugriff haben.
- Zum Ende der Zusammenarbeit übergibt der Verarbeitende je nach Vereinbarung alle Daten oder löscht sie vollständig. Auch dafür sollte ein Konzept bereitstehen.
- Daten, die nichts miteinander zu tun haben, werden nicht gemeinsam/gemischt aufbewahrt – schon gar nicht, wenn es die Daten verschiedener Unternehmen sind.
Zertifizierungen nach ISO 9001 und ISO 27001 sind hilfreiche Indikatoren, dass es sich bei einem Unternehmen um einen vertrauenswürdigen Partner für die Auftragsverarbeitungsvereinbarung handelt.
Mein Appell lautet: Halten Sie sich auch bei diesem Thema an die DSGVO
Die DSGVO behandelt das Thema „Auftragsverarbeitungsvereinbarung“ in einem Kapitel mit 19 Artikeln. Das ganze Thema ist also recht komplex und angesichts dessen mögen einige Unternehmen zunächst zurückschrecken. Ich fordere Sie jedoch auf: Setzen Sie sich in Ruhe mit der Auftragsverarbeitung auseinander – und suchen Sie gezielt einen geeigneten Partner. Auch wenn das unter Umständen mehr Aufwand bedeutet, ist das weitaus angenehmer als ein saftiges Bußgeld oder gar ein Strafverfahren!