kostenlos starten

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Unternehmen personenbezogene Daten durch externe Dienstleister verarbeiten lässt. Sei es beim Hosting von Daten, bei der Lohnabrechnung oder bei Marketingaktivitäten. Sobald dabei personenbezogene Daten im Auftrag verarbeitet werden, schreibt die Datenschutz-Grundverordnung (DSGVO) klare Regeln vor: Es muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. 

Der AVV schützt beide Seiten – Verantwortliche und Auftragsverarbeiter – und ist eine gesetzliche Pflicht. Wer hier nachlässig ist, riskiert hohe Bußgelder und Reputationsschäden. In diesem Beitrag erfahren Sie, wann ein Auftragsverarbeitungsvertrag notwendig ist, welche Inhalte er enthalten muss und worauf Sie bei der Vertragsgestaltung achten sollten.


Sie arbeiten mit externen Dienstleistern und wollen sich rechtlich absichern? Prüfen Sie jetzt mit // PRIMA, ob Ihre Verträge zur Auftragsverarbeitung DSGVO-konform sind. Unser All-in-One-Tool wurde von Experten entwickelt und ermöglicht einen einfachen Einstieg in eine DSGVO-konforme Dokumentation. Jetzt 14 Tage kostenlos testen anfordern.  

Was ist ein AV-Vertrag nach Art. 28 DSGVO? 

Der Auftragsverarbeitungsvertrag (kurz: AV-Vertrag oder AVV) ist notwendig, um die Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter rechtlich abzusichern. Art. 28 Abs. 3 DSGVO schreibt genau vor, welche Inhalte ein solcher Vertrag enthalten muss und wann er verpflichtend ist. 

Gesetzliche Pflicht zur Vertragsschließung 

Sobald personenbezogene Daten im Auftrag verarbeitet werden, muss zwischen den Parteien ein schriftlicher oder elektronischer Vertrag geschlossen werden. Der Vertrag kann auch in elektronischer Form abgeschlossen werden, etwa per E-Mail oder über digitale Vertragsplattformen. Wichtig ist nur, dass die Einhaltung der Anforderungen nachweisbar dokumentiert ist, etwa für eine Prüfung durch die Datenschutzaufsichtsbehörde.

Die Pflicht zur Vertragsschließung ergibt sich unmittelbar aus Art. 28 Abs. 3 Satz 1 DSGVO. Ohne diesen Auftragsverarbeitungsvertrag ist die Datenverarbeitung unzulässig, auch wenn sonst alle datenschutzrechtlichen Vorgaben eingehalten werden.

Pflicht zur regelmäßigen Kontrolle und Überwachung  

Mit Abschluss eines Auftragsverarbeitungsvertrags endet die Verantwortung des Verantwortlichen nicht. Nach Art. 28 Abs. 3 Satz 2 lit. h DSGVO ist er verpflichtet, die Einhaltung der vertraglich festgelegten Maßnahmen regelmäßig zu kontrollieren.

Diese Kontrolle kann durch Audits, Anforderung von Zertifikaten oder Sicherheitsberichten sowie gezielte Nachfragen erfolgen. Eine unterlassene Kontrolle kann als Datenschutzverstoß gewertet werden und haftungsrechtliche Konsequenzen nach sich ziehen. Die regelmäßige Überprüfung ist daher ein wesentlicher Bestandteil eines funktionierenden Datenschutzkonzepts.

Inhaltliche Anforderungen des AV-Vertrags  

Der Auftragsverarbeitungsvertrag muss zahlreiche Punkte regeln. Dazu gehören unter anderem: 

  • Gegenstand und Dauer der Verarbeitung, 
  • Art und Zweck der Datenverarbeitung, 
  • Art der personenbezogenen Daten und Kategorien betroffener Personen, 
  • Rechte und Pflichten des Verantwortlichen
  • Pflichten des Auftragsverarbeiters

Zu den Pflichten des Auftragsverarbeiters gehören insbesondere: 

  • Verarbeitung ausschließlich auf Weisung 
  • Verpflichtung des Personals auf Vertraulichkeit 
  • Zustimmungspflicht bei Subunternehmern (Art. 28 Abs. 2 DSGVO) 
  • Unterstützung bei der Wahrung der Betroffenenrechte (Art. 15–22 DSGVO) 
  • Unterstützung bei der Meldung von Datenschutzverletzungen (Art. 33 DSGVO) 
  • Unterstützung bei Anfragen der Aufsichtsbehörde. 

Der Vertrag sollte klar und individuell auf die jeweilige Datenverarbeitung zugeschnitten sein. Allgemeine Standardverträge ohne Bezug zur konkreten Tätigkeit reichen nicht aus. 

Nutzen Sie unseren kostenlosen Leitfaden zur Erstellung von Auftragsverarbeitungsverträgen – coming soon

AV-Verträge mit Anbietern im Ausland 

Wird ein Auftragsverarbeiter außerhalb der EU oder des EWR eingesetzt, gelten zusätzliche Anforderungen. In diesen Fällen müssen geeignete Garantien nach Art. 46 DSGVO vorliegen, etwa durch: 

  • den Abschluss von Standardvertragsklauseln
  • einen Angemessenheitsbeschluss der EU-Kommission, 
  • oder andere geeignete Schutzmechanismen. 

Diese Vorgaben müssen ausdrücklich im Auftragsverarbeitungsvertrag oder in ergänzenden Vereinbarungen berücksichtigt werden. 

Konsequenzen bei fehlendem AV-Vertrag

Wird ein erforderlicher AVV nicht abgeschlossen oder inhaltlich fehlerhaft gestaltet, stellt dies einen Verstoß gegen die DSGVO dar. Verantwortliche riskieren empfindliche Bußgelder nach Art. 83 DSGVO. Neben finanziellen Folgen drohen auch Reputationsschäden und der Verlust von Kundenvertrauen. 

Abgrenzung zur Funktionsübertragung  

Nicht jede Verarbeitung personenbezogener Daten durch einen externen Dienstleister ist eine Auftragsverarbeitung. In bestimmten Fällen liegt eine sogenannte Funktionsübertragung vor. Dabei übernimmt der Dienstleister eine eigene Aufgabe mit eigenständiger Verantwortung. 

Eine Funktionsübertragung liegt beispielsweise vor, wenn der Dienstleister selbst über Zwecke und Mittel der Verarbeitung entscheidet und nicht mehr weisungsgebunden handelt. Typische Beispiele sind Steuerberater bei der Erstellung von Jahresabschlüssen oder Ärzte im Rahmen von Gutachten. Auch eine Anwaltskanzlei, die Mandanten berät, verarbeitet personenbezogene Daten eigenverantwortlich und nicht im Auftrag. 

Die Abgrenzung zwischen Auftragsverarbeitung und Funktionsübertragung ist in der Praxis oft schwierig. Als Orientierung gilt: 

  • Je mehr der Dienstleister eigenständig entscheidet, desto eher liegt eine eigene Verantwortlichkeit vor. 
  • Je enger die Weisungen des Auftraggebers sind, desto eher handelt es sich um eine Auftragsverarbeitung. 
     

Eine fehlerhafte Einordnung kann schwerwiegende Folgen haben. Wird ein Dienstleister irrtümlich als Auftragsverarbeiter behandelt oder umgekehrt, drohen Bußgelder und Haftungsrisiken. 

Wann ist kein Auftragsverarbeitungsvertrag notwendig? 

Nicht jede Datenweitergabe an einen externen Dienstleister erfordert den Abschluss eines AVV. Der Vertrag ist nur dann notwendig, wenn der Dienstleister ausschließlich auf Weisung des Verantwortlichen handelt und keine eigenen Zwecke verfolgt. Liegt das nicht vor, handelt es sich in der Regel nicht um eine Auftragsverarbeitung. 

Eigenverantwortliche Dienstleister 

Ein typisches Beispiel sind Steuerberater, Rechtsanwälte oder Ärzte. Diese Berufsgruppen unterliegen eigenen berufsrechtlichen Pflichten und entscheiden selbst über die Zwecke und Mittel der Datenverarbeitung – etwa im Rahmen ihrer Beratung oder ärztlichen Behandlung. Sie gelten daher datenschutzrechtlich als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO – ein AV-Vertrag ist hier nicht erforderlich

Gemeinsame Verantwortlichkeit 

In bestimmten Fällen liegt keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor. Das ist dann der Fall, wenn beide Beteiligten gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden.  

Reine Datenübermittlung 

Auch eine bloße Weitergabe von Daten an Dritte stellt keine Auftragsverarbeitung dar, wenn der Empfänger die Daten für eigene Zwecke nutzt. Beispiel: Ein Unternehmen übermittelt Kundendaten an eine Versicherung, damit diese den Kunden direkt kontaktiert. Hier ist kein AV-Vertrag notwendig, weil die Versicherung selbst Verantwortliche ist. 

Technische Hilfsdienste ohne Personenbezug 

In manchen Fällen arbeiten Dienstleister mit anonymisierten Daten oder haben keinen Zugriff auf personenbezogene Daten – etwa beim reinen Transport von Datenträgern oder beim Betrieb einer Infrastruktur ohne Datenzugriff. Auch hier ist kein AV-Vertrag erforderlich, weil keine Verarbeitung im Sinne der DSGVO vorliegt. 

Vorsicht bei Standardlösungen 

Ein häufiger Fehler in der Praxis: Unternehmen schließen pauschal mit allen Dienstleistern AV-Verträge – auch wenn diese gar keine Auftragsverarbeiter sind. Das kann rechtlich problematisch sein, denn damit wird eine falsche Rollenverteilung dokumentiert. Wichtig ist daher immer eine sorgfältige Prüfung der tatsächlichen Verhältnisse

Nutzen Sie unseren kostenlosen Leitfaden zur Prüfung von Auftragsverarbeitungsverträgen (AVVs) – coming soon

Fazit 

Der Abschluss eines Auftragsverarbeitungsvertrags ist ein unverzichtbarer Bestandteil eines funktionierenden Datenschutzmanagements. Unternehmen müssen sorgfältig prüfen, ob ein AVV erforderlich ist, die Verträge individuell anpassen und die Einhaltung der Pflichten regelmäßig kontrollieren. 

Ein fehlerhafter oder fehlender Auftragsverarbeitungsvertrag kann erhebliche Bußgelder und Reputationsschäden nach sich ziehen. Wer hier von Anfang an professionell vorgeht, schützt nicht nur sich selbst, sondern stärkt auch das Vertrauen seiner Kunden und Geschäftspartner. 

Sie benötigen Unterstützung im Datenschutz? Wir helfen Ihnen gerne. Erstellen Sie jetzt mit // PRIMA DSGVO-konforme Dokumentationen. Alles an einem Ort in unserem All-in-One-Tool.
Jetzt 14 Tage kostenlos testen anfordern.  

Weitere Beiträge

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Unternehmen personenbezogene Daten

Datenschutzbeauftragter Pflicht – Wann ist ein Datenschutzbeauftragter nach DSGVO und BDSG erforderlich?

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet viele Unternehmen und öffentliche Stellen, einen Datenschutzbeauftragten (DSB) zu benennen.Ergänzt

Kosten Datenschutzbeauftragter – Interner vs. Externer DSB im transparenten Kostenvergleich

Wann ist ein Datenschutzbeauftragter verpflichtend? Ein DSB ist erforderlich, wenn u. a.: Er kann

Interner Datenschutzbeauftragter – Aufgaben, Haftung und Herausforderungen nach DSGVO

Mit Art. 37 Abs. 6 DSGVO steht Unternehmen frei, einen internen oder externen Datenschutzbeauftragten

Externer Datenschutzbeauftragter – Rechte, Pflichten und Vorteile im Überblick

Wer personenbezogene Daten verarbeitet, steht früher oder später vor der Frage:Soll der Datenschutzbeauftragte intern

Datenschutz im Unternehmen: Pflichten, Aufgaben & häufige Fehler nach DSGVO

In Zeiten zunehmender Digitalisierung und verschärfter Datenschutzgesetze ist Datenschutz im Unternehmen längst mehr als

Datenschutzbeauftragter Schulung – Inhalte, Anbieter & Fördermöglichkeiten im Überblick

Datenschutz Schulung, Fortbildung und Lehrgänge für betriebliche Datenschutzbeauftragte sind zentrale Bausteine für eine rechtskonforme

Kündigung eines Datenschutzbeauftragten: Rechte, Fristen und Stolperfallen

Die Kündigung eines Datenschutzbeauftragten (DSB) ist rechtlich komplex und für viele Unternehmen ein sensibles

Aufgaben eines Datenschutzbeauftragten – Diese Pflichten schreibt die DSGVO vor

Die Bestellung eines Datenschutzbeauftragten (DSB) ist für viele Unternehmen Pflicht. Welche Aufgaben ein Datenschutzbeauftragter

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024