Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?

Und warum braucht man ihn?

Was ist ein Auftragsverarbeitungsvertrag

Ein AV-Vertrag (Abkürzung für Auftragsverarbeitungsvertrag) im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

In einem solchen Fall muss diese Auftragsverarbeitung schriftlich zwischen den Parteien vereinbart werden, Art. 4 Nr. 8 DSGVO.

Solche Leistungen sind z.B.

  • Auslagerung der E-Mail-Verwaltung
  • Lohnabrechnung über einen Anbieter der ein entsprechendes cloud-basiertes IT-System zur Abrechnung stellt
  • Verarbeitung von Adressen in einem Lettershop
  • Verarbeitung von Kundendaten durch ein Callcenter

Keine Auftragsverarbeitung, sondern eigene Verantwortlichkeit liegt vor, wenn eine Stelle für eine andere Stelle fachliche Dienstleistungen anderer Art erbringt. Das heißt, bei solchen Dienstleistungen steht nicht die Datenverarbeitung für einen anderen im Vordergrund und macht keinen Kernbestandteil der Leistung aus.

Somit sind keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO (sondern eigene Verantwortlichkeit):

  • Leistungen von Banken für den Geldtransfer
  • Postdienste für den Paket- oder Brieftransport
  • Tätigkeiten von Ärzten, Steuerberatern und Rechtsanwälten
  • WEG-Verwalter
  • Plattformbetreiber im Internet, die zwischen Anbietern und Nachfragern vermitteln, wie z.B. E-Bay Kleinanzeigen

Ebenfalls keine Auftragsverarbeitung sind Aufträge, deren Inhalt im Wesentlichen auf eine andere Tätigkeit abzielt und nur nebenbei personenbezogene Daten verarbeitet werden, wie z.B. der Transport von Waren durch Speditionen.

Unter welchen Voraussetzungen muss man einen AV-Vertrag abschließen?

Um einen Auftragsverarbeitungsvertrag abschließen zu müssen, muss eine Verarbeitung im Auftrag des Verantwortlichen stattfinden, Art. 28 DSGVO.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Klassische Beispiele sind Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), DatenerfassungDatenkonvertierung oder Einscannen von Dokumenten, Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt; Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, etc.).

Abgrenzung zu einer eigenen Verantwortlichkeit in der Verarbeitung:

  • Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, z.B. Tätigkeiten von Steuerberater, Rechtsanwälten und Wirtschaftsprüfer, Bankinstitute für den Geldtransfer, Postdienste für den Brief- oder Pakettransport;
  • Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit, z.B. Bewachungsdienstleistungen, Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Transport von Unterlagen und Waren durch Kurierdienste oder Speditionen, etc.;

Sehr schöne Übersicht zur Abgrenzung der Auftragsverarbeitung mit den anderen Formen der Verarbeitung: Link zur pdf-Datei des BayLDA

Muss ein AV-Vertrag von beiden Vertragsparteien unterschrieben werden?

Ausgangspunkt zum Thema Schriftlichkeit bei AV-Verträgen“ ist Art. 28. Abs. 9 DSGVO:

„Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“

Hierzu der Auszug aus dem Kommentar Paal/Pauly/Martini DS-GVO zu Art. 28:

„Der Vertrag (bzw. das andere Rechtsinstrument) muss schriftlich abgefasst sein. Das gilt sowohl für die rechtliche Absicherung der Auftragsverarbeitung zwischen Verantwortlichem und Auftragsverarbeiter nach Abs. 3 als auch für das Verhältnis zwischen Auftragsverarbeiter und Unterauftragnehmer nach Abs. 4. Die Verschriftlichung darf nach dem ausdr. Willen des Normgebers – anders als im Falle der Genehmigung einer Unterauftragserteilung (→ Rn. 62) – „auch in einem elektronischen Format“ (Hervorhebung d. Verf.), etwa als PDF, erfolgen; einer Verkörperung in Gestalt eines Ausdrucks bedarf es somit nicht. Die elektronische Form iSd § 126a BGB müssen die Parteien nicht einhalten (vgl. insoweit auch Bertermann in Ehmann/Selmayr DS-GVO Art. 28 Rn. 12; Hartung in Kühling/Buchner DS-GVO Art. 28 Rn. 94 ff.).

Gleichwohl genügt nicht jede elektronische Form den Anforderungen des Abs. 9. Denn der Normgeber verfolgt mit dem Formerfordernis – anders als Art. 17 Abs. 4 DSRL, der explizit nur auf „Zwecke der Beweissicherung“ abhob, dafür aber jede „andere Form“ genügen ließ – Dokumentations-, Beweissicherungs- und Authentizitätssicherungszwecke. Er will damit die Rechtssicherheit stärken. Die Form soll verbürgen, dass sich die Parteien, die in dem Dokument genannt sind, zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekannt haben. Nur wenn das elektronische Format diesen Anforderungen genügt, insbes. die Echtheit der in dem Dokument genannten Verpflichtungen – gerade mit Blick auf die Gefahr späterer Änd. oder Fälschungen – sicherstellt, ist die Schriftform iSd Abs. 9 gewahrt. Eine einfache E-Mail genügt dem regelmäßig nicht (da sie die Authentizität des Erklärten nicht belegt) – anders aber der Einsatz elektronischer Signaturen (vgl. auch Art. 32 Rn. 36b).“

 

Das BayLDA schreibt dazu:

„Nach Art. 28 Abs. 9 DS-GVO ist der Vertrag zur Auftragsverarbeitung schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. Was mit dem elektronischen Format genau gemeint ist und auf welchen Wegen solche Verträge geschlossen werden können, wird derzeit unterschiedlich diskutiert.

Jedenfalls ist es dabei aber Sache der Vertragspartner, den elektronischen Vertragsabschluss (per übereinstimmender Willenserklärungen) für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden sowie anderer Aufsichtsinstanzen (bei den Kreditinstituten: BaFin, Prüfungsverband, Bundesbank etc.) hinreichend und beweiskräftig zu dokumentieren, z. B. durch unterschriebene und eingescannte Texte mit Protokollierung des dazu geführten E-Mail-Verkehrs, durch eine Verfahrensweise nach § 126a BGB mit einer qualifizierten elektronische Signatur usw. Eine qualifizierte elektronische Signatur ist also nicht zwingend, sondern nur eine der denkbaren elektronischen Möglichkeiten, so zumindest die herrschende Auffassung in Deutschland.“

Fazit:

Unserer Ansicht nach ist somit mittels einer elektronischen Signatur und der Einbeziehung als AGB durchaus eine rechtmäßige AV-Vereinbarung möglich. Wichtig ist die beweiskräftige Dokumentation. Eine beidseitige Unterschrift braucht es damit nicht.

 

Wann ist ein Abschluss eines AVV nötig?

Bei produzierenden Gewerben braucht man keinen AV-Vertrag, da im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern der Auftrag zielt auf eine andere Tätigkeit.

Ausführlich dazu mit vielen Beispielen das BayLDA in einem Merkblatt

Wann müssen neue AVV abgeschlossen werden oder über Änderungen informiert werden?

Der Auftragsverarbeiter ist in der Regel eine natürliche oder juristische Person, Letztere z.B. eine GmbH. Eine GmbH hat v.a. die Geschäftsführung und die Gesellschafter als Organe der GmbH eingerichtet. Eine Geschäftsführung muss immer vorhanden sein. Wie sie personell besetzt ist, spielt im Rahmen von Verträgen keine Rolle. Daher muss auch kein neuer AV-Vertrag bei Änderungen in der Geschäftsführung abgeschlossen werden. Auch eine Information ab die Vertragspartner braucht es in aller Regel nicht. Durch die Publizität des Handelsregisters werden solche Informationen öffentlich bekannt gemacht.

Gleiches gilt bei Sitzänderung des Unternehmens.

Angenommen, es wurde nun (leider unnötigerweise) ein AV mit den Kunden geschlossen: ist dann das produzierende Unternehmen Auftragsverarbeiter aus Sicht des Kunden?

Der AV-Vertrag alleine stellt kein Auftragsverarbeitungsverhältnis her.

Hauptargument: ein AV-Vertrag soll nach dem Willen des Gesetzgebers bei Auftragsverarbeitung abgeschlossen werden. Die u.a. schuldrechtlichen Regelungen folgen also der tatsächlichen Situation („Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags…“, vgl. Art. 28 Abs. 3 DSGVO).

Dennoch sollte die vertragsrechtliche Situation korrigiert werden, wenn de facto keine Auftragsverarbeitung stattfindet. Wir würden hier eine einvernehmliche Aufhebung empfehlen, aufgrund offensichtlich falscher Anwendung der Vertragsart.

Greift hier der Zwang zum Abschluss von SCCs?

Nein, wenn schon kein AV-Vertrag notwendig ist, müssen auch keine SCC abgeschlossen werden.

Was sagt der EDSA/EDPD zum Thema AV-Vertrag?

In seinen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO äußert der EDSA auf S. 43 (Rn. 126) unter dem Punkt „1.3.3 Der Auftragsverarbeiter muss alle nach Artikel 32 erforderlichen Maßnahmen ergreifen (Artikel 28 Absatz 3 Buchstabe c DSGVO).“ folgende Auffassung:

„Der Vertrag (Anm.: Gemeint ist der AV-Vertrag) muss Informationen zu folgenden Punkten enthalten oder auf solche Informationen verweisen(Herv. der Autorin): die zu ergreifenden Sicherheitsmaßnahmen, eine Verpflichtung des Auftragsverarbeiters, die Zustimmung des Verantwortlichen einzuholen, bevor er Änderungen vornimmt, und eine regelmäßige Überprüfung der Sicherheitsmaßnahmen, um deren Angemessenheit im Hinblick auf Risiken, die sich im Laufe der Zeit entwickeln können, zu gewährleisten.“ 

Erst einmal ist festzuhalten, dass der EDSA davon ausgeht, dass Verweise im AV möglich sind. D.h. einem Verweis auf externe Dokumente dürften die Leitlinien nicht entgegenstehen. Außerdem sehen die Leitlinien in der zitierten Passage vor, dass der AV eine Verpflichtung enthalten muss, dass der Auftragsverarbeiter die Zustimmung des Verantwortlichen einholt, bevor er Änderungen (an den Sicherheitsmaßnahmen) vornimmt.

Mit „Änderungen“ sind dabei wohl nur wesentliche Änderungen gemeint. Denn die Pflicht zur Einholung bezüglich jeder kleinen Änderung, z.B. Einstellung eines neuen Mitarbeiters, kleine Änderung in Keycard-System o.ä., wäre realitätsfern und unwirtschaftlich. Dass dies wohl auch im Sinne des EDSA ist, lässt sich aus dem letzten Satz in Abschnitt 1.3.3 auf S. 44 (Rn. 127) folgern, in dem der EDSA ausführt:
„Der Verantwortliche übt seine Entscheidungsbefugnis über die wesentlichen Merkmale (Herv. der Autorin) der Sicherheitsmaßnahmen aus, sei es durch eine explizite Auflistung der Maßnahmen oder durch Genehmigung der vom Auftragsverarbeiter vorgeschlagenen Maßnahmen.“

Was bedeutet dies nun für Auftragsverarbeiter und Verantwortlichen?

Hier muss zuerst klargestellt werden, dass der EDSA davon spricht, dass der AV-Vertrag eine „Zustimmungseinholungspflicht“ bei Änderungen vorsehen muss, nicht dass eine Änderung durch den Auftragsverarbeiter gesetzlich durch die DSGVO untersagt ist. Sieht der AV-Vertrag keine solche Zustimmungseinholungspflicht vor, hält den Auftragsverarbeiter unserer Ansicht nach erst einmal rechtlich nichts davon ab, die TOMs selbstständig – ohne Genehmigung durch den Verantwortlichen – zu ändern. Denn eine Pflicht bei Änderungen der TOMs die Zustimmung des Verantwortlichen einzuholen, sieht die DSGVO – anders als in Art. 28 Abs. 2 DSGVO für die Einschaltung eines Unterauftragsverarbeiters – gerade nicht vor.

Dies folgt unseres Erachtens auch aus Art. 28 Abs. 1, Abs. 3 lit. c und f DSGVO. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden.

Nach Art. 28 Abs. 3 lit. c DSGVO muss der AV-Vertrag (nur) die Pflicht festlegen, dass der Auftragsverarbeiter alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift.

Art. 28 Abs. 3 lit. f DSGVO sieht die Verpflichtung des Auftragsverarbeiters vor, den Verantwortlichen bei der Einhaltung bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten zu unterstützen.

Aus diesen Regelungen lässt sich unseres Erachtens damit herleiten, dass es dem Auftragsverarbeiter obliegt, welche TOMs er ergreift, um seine Verpflichtung aus Artikel 32 zu erfüllen. Dies bedeutet aber nicht, dass dem Verantwortlichen dahingehend keinerlei Verpflichtungen mehr treffen. Dem Verantwortlichen trifft nach Art. 28 Abs. 1 DSGVO erst einmal die Pflicht einen geeigneten Auftragsverarbeiter auszuwählen. Gleichzeitig lässt sich aus Art. 24Art. 28 Abs. 1 und Artikel 32 auch eine gewisse Überwachungspflicht ableiten. Denn hiernach hat der Verantwortliche eine eigene Pflicht sicherzustellen, dass die Verarbeitung der DSGVO entspricht.

Was wenn der Vertrag keine Zustimmungsklausel vorsieht?

Auftragsverarbeiter:

Wie bereits gesagt, verstößt der Auftragsverarbeiter, wenn er die TOMs einseitig ändert, in diesem Moment weder gegen Vertrag noch gegen irgendwelche Verpflichtungen ggü. dem Verantwortlichen aus der DSGVO, soweit er ihm die notwendigen Informationen zu den TOMs bereitstellt (Art. 28 Abs. 3 lit. f DSGVO).

Ein Verstoß tritt dann ein, wenn die TOMs nicht den Anforderungen von Artikel 32 gerecht werden. In diesem Moment haftet er dem Verantwortlichen im Innenverhältnis, da er entsprechend Art. 28 Abs. 3 lit. c DSGVO die Verpflichtung eingegangen ist, alle erforderlichen Maßnahmen zu treffen, und entsprechend Art. 28 Abs. 3 lit. f DSGVO den Verantwortlichen bei Einhaltung von Artikel 32 zu unterstützen.

Verantwortlicher:

Interessant ist die Situation des Verantwortlichen. Art. 28 Abs. 3 DSGVO ist vor allem an den Verantwortlichen gerichtet. Der Gesetzgeber will damit erreichen, dass Verantwortliche mit ihren Auftragsverarbeitern AV-Verträge schließen, die geeignet sind, dem Datenschutz zu dienen, indem sie datenschutzrechtliche Mindestpflichten des Auftragsverarbeiters vorsehen. Enthält der AV-Vertrag nicht alle notwendigen Bestandteile liegt eine Verletzung der DSGVO durch den Verantwortlichen vor. 

Der EDSA scheint diesbezüglich der Auffassung zu sein, dass Art. 28 Abs. 3 DSGVO eine Plicht statuiert, eine Zustimmungsklausel im AVV-Vertrag vorzusehen.

In der Konsequenz würde der Verantwortliche die DSGVO verletzen und sich ggf. bußgeldpflichtig nach Art. 83 DSGVO machen, wenn seine AV-Verträge eine solche Klausel nicht vorsähen.

Unseres Erachtens ist die Gefahr eines Bußgeldes aber sehr gering. Insbesondere deshalb weil Art. 28 Abs. 3 DSGVO keine Pflicht zur Aufnahme einer Zustimmungsklausel in den AV-Vertrag explizit vorsieht (und daher auch die Rechtsauffassung des EDSA auf wackligen Beinen steht). Die (implizite) Pflicht eine Zustimmungsklausel in den AV-Vertrag aufzunehmen, leitet das EDSA nicht wirklich nachvollziehbar herbei. Dass dem Verantwortlichen ein Verschulden trifft, wenn ein Vertrag eine Zustimmungsklausel nicht vorsieht, ist damit (ebenfalls) zu bezweifeln.

Zusammenfassung

Die EDSA äußert hier eine Auslegungshilfe, sie ist aber nicht der Gesetzgeber und auch kein Gericht.

Unserer Ansicht nach verstößt ein Auftragsverarbeiter nicht gegen die DSGVO oder den AV-Vertrag, wenn er die TOMs einseitig ändert, solange er seine Informations- und Unterstützungsverpflichtung nach Art. 28 Abs. 3 lit. f DSGVO einhält, die geänderten TOMs Artikel 32 nicht widersprechen und der AV-Vertrag keine Zustimmungsklausel vorsieht.

Die EDSA meint, dass AV-Verträge (wohl) eine Zustimmungsklausel enthalten müssen, um Art. 28 Abs. 3 DSGVO gerecht zu werden (was jedoch stark zu bezweifeln ist). Enthält ein AV-Vertrag eine solche Klausel nicht, würde dies konsequent weitergedacht eine Verletzung der DSGVO darstellen. Dieser Auffassung folgen wir nicht.

Muss mit dem Webhoster einer Website immer ein AV-Vertrag abgeschlossen werden?

Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist immer dann notwendig, wenn eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar, vgl. BayLDA in seiner Auslegungshilfe zu AV-Verträgen

Beim Webhosting wird in jedem Fall weisungsgebunden gearbeitet. Fraglich ist aber, ob hier die Datenverarbeitung der personenbezogenen Daten einen wichtigen Kernbestandteil der Leistung ausmacht.

  1. Ansicht: LfD Niedersachsen ordnet Webhosting generell als Auftragsverarbeitung ein:

„Viele Unternehmen und Organisationen betreiben ihre Internetseite über einen externen Dienstleister (Webhoster). Dabei werden personenbezogene Daten von Besucherinnen und Besuchern der Seite verarbeitet. Häufig findet diese Datenverarbeitung im Auftrag des Verantwortlichen, also des Seitenbetreibers, statt. Das heißt, der Webhoster ist ein Auftragsverarbeiter. Um einen konkreten Rahmen für diese weisungsgebundene Tätigkeit festzulegen, müssen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung (AVV) schließen. Die Datenschutz-Grundverordnung (DS-GVO) beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.“

  1. Ansicht: BayLDA differenziert:

„Das Hosting von rein statischen Websites (zur Selbstdarstellung) z.B. von Vereinen oder Kleinunternehmen, ist, wenn keine personenbezogenen Daten über die Seitenaufrufe an den Verein oder das Kleinunternehmen fließen und auch kein Nutzer-Tracking stattfindet, keine Auftragsverarbeitung.

Die Tatsache, dass auch beim Hosting von statischen Webseiten zwangsläufig IP-Adressen, d.h. personenbezogene Daten, verarbeitet werden müssen, führt nicht zur Annahme einer Auftragsverarbeitung. Das wäre nicht sachgerecht. Die (kurzfristige) IP-Adressenspeicherung ist vielmehr noch der TK-Zugangsvermittlung des Website-Hosters nach dem TKG zuzurechnen und dient in erster Linie Sicherheitszwecken des Hosters.

 

Sonderfall

Ein Unternehmen beauftragt ein Softwarehaus  Aktualisierungen und/oder Umprogrammierungen an eigener Software bzw. deren Software, welche im Hause genutzt wird, vorzunehmen.
Muss hier ein AV-Vertrag geschlossen werden?

Die Mitarbeiter des Softwarehauses arbeiten entweder auf den Systemen des Unternehmens oder mittels Citrix Verbindung (getunnelt) auf der virtuellen Maschine des Unternehmens. Ein Herunterladen von Daten ist ausgeschlossen. Es kann maximal der Bildschirm abgefilmt werden, bzw. Daten werden dem Mitarbeiter des Softwarehause auf dem Endgerät des Softwarehauses angezeigt. Verschwiegenheitserklärungen wurden abgeschlossen.

Auch hier gilt, dass ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO dann notwendig, wenn eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar, vgl. BayLDA in seiner Auslegungshilfe zu AV-Verträgen

Es muss also die Frage beantwortet werden, ob die Leistung des Unternehmens im Kern  darin besteht, personenbezogen Daten zu verarbeiten.

Ist die reine Erstellung von Software oder das Customizing der zu erbringende Auftrag, ist kein AV-Vertrag notwendig.

Wird allerdings eine der folgenden Leistungen erbracht, ist von einer Auftragsverarbeitung auszugehen, sofern personenbezogene Daten betroffen sind:

  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten (v.a. auch Verwenden von Testdaten)
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation