AVV prüfen: Auftragsverarbeitungsvertrag kostenlos checken

Ist Ihr Auftragsverarbeitungsvertrag DSGVO-konform? Ein unvollständiger AVV (Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO — nicht Abfallverzeichnis-Verordnung) kann Bußgelder nach Art. 83 Abs. 4 DSGVO auslösen. Auf dieser Seite erfahren Sie, wie Sie Ihren AVV kostenlos prüfen können und worauf Sie achten müssen.

Die Bedeutung eines rechtskonformen AVV kann nicht hoch genug eingeschätzt werden. Er ist das Fundament einer datenschutzkonformen Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter. Ein mangelhafter AVV birgt erhebliche rechtliche und finanzielle Risiken. Dies betrifft beide Vertragsparteien.

Mehr zum Thema: Übersicht: AVV Vorlage & Muster

Warum Ihren AVV prüfen?

Gemäß Art. 28 Abs. 3 DSGVO müssen Auftragsverarbeitungsverträge acht Mindestinhalte enthalten. Viele Unternehmen haben AVV-Vorlagen von Dienstleistern erhalten, die unvollständig oder veraltet sind. Eine regelmäßige Prüfung ist daher notwendig — insbesondere wenn:

  • Sie den AVV vor 2018 (also vor DSGVO-Inkrafttreten) abgeschlossen haben. Diese Verträge entsprechen fast nie den aktuellen Anforderungen.
  • Der Dienstleister Unterauftragsverarbeiter eingesetzt hat ohne Ihre Genehmigung. Dies ist ein häufiger Verstoß gegen Art. 28 Abs. 2 DSGVO.
  • Die verarbeiteten Datenkategorien sich geändert haben. Eine Anpassung des AVV an neue Verarbeitungstätigkeiten ist zwingend erforderlich.
  • Der Dienstleister seine TOM-Anlage nicht aktualisiert hat. Technische und organisatorische Maßnahmen müssen dem Stand der Technik entsprechen (Art. 32 DSGVO).
  • Es zu einem Datenleck beim Auftragsverarbeiter kam. In diesem Fall sind Ihre Kontrollpflichten besonders relevant.
  • Sie die Zusammenarbeit mit dem Dienstleister beendet haben. Die Pflichten zur Datenlöschung oder Rückgabe müssen klar geregelt sein.

Ein Urteil des BGH (VI ZR 396/24) verdeutlicht die anhaltende Verantwortung des Auftraggebers. Verantwortliche haften auch nach Vertragsende für Datenlecks beim Auftragsverarbeiter. Die Kontrollpflichten enden nicht mit dem Vertrag. Dies unterstreicht die Notwendigkeit einer sorgfältigen AVV-Prüfung.

AVV prüfen: Die 8 Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Prüfen Sie Ihren AVV anhand dieser Checkliste. Jeder der 8 Punkte muss eindeutig geregelt sein:

  1. Gegenstand, Dauer und Zweck der Verarbeitung definiert? Dies bildet den Rahmen der Datenverarbeitung. Ohne klare Definitionen ist keine Kontrolle möglich.
  2. Art der personenbezogenen Daten und betroffene Personen beschrieben? Eine präzise Beschreibung ist für die Risikobewertung unerlässlich. Beispiele: Kundendaten, Mitarbeiterdaten, Gesundheitsdaten.
  3. Weisungsgebundenheit des Auftragsverarbeiters festgelegt? Der Auftragsverarbeiter darf Daten nur auf Weisung des Verantwortlichen verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
  4. Vertraulichkeitspflicht der autorisierten Personen vereinbart? Alle Mitarbeiter des Auftragsverarbeiters müssen zur Vertraulichkeit verpflichtet sein (Art. 28 Abs. 3 lit. b DSGVO).
  5. TOM (Art. 32 DSGVO) als Anlage beigefügt? Die technischen und organisatorischen Maßnahmen müssen detailliert beschrieben werden. Sie müssen ein angemessenes Schutzniveau gewährleisten.
  6. Unterauftragsverarbeiter-Regelung vorhanden (Vorabgenehmigung oder Liste)? Der Einsatz von Subunternehmern bedarf der vorherigen schriftlichen Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO).
  7. Rückgabe oder Löschung der Daten nach Vertragsende geregelt? Nach Beendigung der Dienstleistung müssen alle Daten gelöscht oder zurückgegeben werden (Art. 28 Abs. 3 lit. g DSGVO).
  8. Unterstützungspflichten (Betroffenenrechte, Datenpannen, Audits) vereinbart? Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung seiner Pflichten unterstützen (Art. 28 Abs. 3 lit. e und f DSGVO).

Diese Punkte sind nicht nur formale Anforderungen. Sie sind essenziell für die Einhaltung der DSGVO. Ein Verstoß kann erhebliche Konsequenzen haben. Das EuGH-Urteil C-252/21 (Meta/Facebook) zeigt, dass die Beweislast beim Verantwortlichen liegt. Er muss die Einhaltung der DSGVO nachweisen können.

Kostenloser AVV-Check mit DPA-CHECK

Mit dem DPA-CHECK von PLANIT PRIMA prüfen Sie Ihren AVV automatisch auf DSGVO-Konformität. Das Tool analysiert alle 8 Pflichtinhalte nach Art. 28 Abs. 3 DSGVO und gibt Ihnen einen strukturierten Prüfbericht.

Der DPA-CHECK ist ein wertvolles Werkzeug für Datenschutzbeauftragte und Rechtsabteilungen. Er ermöglicht eine schnelle und effiziente Erstbewertung. So können Sie potenzielle Schwachstellen identifizieren. Dies spart Zeit und Ressourcen bei der manuellen Prüfung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt regelmäßige Audits von Auftragsverarbeitern — der DPA-CHECK ermöglicht eine erste automatische Prüfung als Vorstufe zu einem manuellen Audit. Ein manuelles Audit kann dann gezielt auf die im Bericht identifizierten Punkte eingehen.

AVV prüfen: Drittland-Transfer prüfen

Ein oft übersehener Aspekt bei der AVV-Prüfung: Datentransfers in Länder außerhalb der EU/EWR (sogenannte Drittländer) benötigen nach Art. 44 ff. DSGVO eine zusätzliche Rechtsgrundlage. Insbesondere die Nutzung von US-amerikanischen Diensten (Google, Microsoft, AWS, Salesforce) erfordert seit dem Schrems-II-Urteil des EuGH (Az. C-311/18, 16.07.2020) besondere Achtsamkeit.

Prüfen Sie bei jedem AVV: Gibt es einen Drittland-Transfer? Wenn ja, müssen zusätzlich Standard-Vertragsklauseln (SCCs) der EU-Kommission oder ein Angemessenheitsbeschluss vorhanden sein. Nur ein AVV nach Art. 28 DSGVO reicht in diesem Fall nicht aus. Es sind ergänzende Maßnahmen (Transfer Impact Assessments) erforderlich. Diese müssen die Risiken des Drittlandtransfers bewerten. Weitere Informationen finden Sie auf der Webseite des BfDI.

Die Komplexität von Drittlandtransfers erfordert spezialisiertes Wissen. Eine fehlerhafte Bewertung kann zu hohen Bußgeldern führen. Die DSGVO ist hier sehr streng. Die Einhaltung ist für internationale Unternehmen unerlässlich. Ein Blick auf dsgvo-gesetz.de bietet weitere Details.

So verwenden Sie den DPA-CHECK richtig

Der DPA-CHECK von PLANIT PRIMA ist in wenigen Schritten nutzbar:

  1. Laden Sie Ihren bestehenden AVV (PDF oder DOCX) hoch. Das Tool verarbeitet gängige Dateiformate.
  2. Das Tool analysiert automatisch alle 8 Pflichtinhalte nach Art. 28 Abs. 3 DSGVO. Die Analyse erfolgt in Echtzeit.
  3. Sie erhalten einen Prüfbericht mit konkreten Handlungsempfehlungen. Dieser Bericht ist leicht verständlich.
  4. Bei Lücken: Nutzen Sie den AVV-Workflow zur automatischen Erstellung eines ergänzenden Vertrags. So schließen Sie schnell und effizient Lücken.

Der DPA-CHECK ist ein unverzichtbares Werkzeug für eine effiziente Datenschutz-Compliance. Er hilft Ihnen, rechtliche Risiken zu minimieren. Er sorgt für eine sichere Datenverarbeitung. Weitere rechtliche Grundlagen finden Sie auf EUR-Lex.

Zur vollständigen Muster-Übersicht: Übersicht: AVV Vorlage & Muster

Häufig gestellte Fragen

Wie oft sollte ich meinen AVV prüfen?

Mindestens einmal jährlich und bei jeder wesentlichen Änderung der Verarbeitungstätigkeiten oder der Dienstleisterbeziehung. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen Prüfungen und Audits zu ermöglichen — nutzen Sie dieses Recht. Auch bei neuen Risiken oder Technologien ist eine Prüfung ratsam.

Was passiert wenn mein AVV unvollständig ist?

Ein unvollständiger AVV verstößt gegen Art. 28 DSGVO. Die Aufsichtsbehörde kann ein Bußgeld gemäß Art. 83 Abs. 4 DSGVO von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Zusätzlich kann die Nutzung des Dienstleisters untersagt werden. Auch Schadensersatzforderungen nach Art. 82 DSGVO sind möglich.

Kann ich AVV von Dienstleistern einfach akzeptieren?

Grundsätzlich ja — wenn der AVV alle Pflichtinhalte enthält. In der Praxis empfiehlt es sich jedoch, jeden vom Dienstleister vorgelegten AVV mit der 8-Punkte-Checkliste zu prüfen, da nicht alle Dienstleister aktuelle und vollständige AVV-Vorlagen verwenden. AVV kostenlos prüfen mit DPA-CHECK. Das EuGH-Urteil C-683/21 zeigt, dass der Verantwortliche nicht für Datenverarbeitungen des Auftragsverarbeiters für eigene Zwecke haftet. Dennoch bleibt die Verantwortung für die vertragliche Einhaltung bestehen.

Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter?

Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten (Art. 4 Nr. 7 DSGVO). Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Art. 4 Nr. 8 DSGVO). Ein Beispiel: Ein Unternehmen (Verantwortlicher) beauftragt einen Cloud-Anbieter (Auftragsverarbeiter) mit dem Hosting von Kundendaten.

Wann liegt eine gemeinsame Verantwortlichkeit vor?

Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Dies erfordert eine transparente Vereinbarung. Ein Beispiel: Zwei Unternehmen betreiben gemeinsam eine Website und teilen sich die Datenverarbeitung. Hierfür ist eine Vereinbarung nach Art. 26 Abs. 1 DSGVO notwendig.

Welche Rolle spielen technische und organisatorische Maßnahmen (TOM) im AVV?

Die TOM sind ein zentraler Bestandteil des AVV gemäß Art. 28 Abs. 3 lit. c DSGVO. Sie beschreiben die Sicherheitsmaßnahmen, die der Auftragsverarbeiter zum Schutz der Daten ergreift (Art. 32 DSGVO). Ohne eine detaillierte und aktuelle TOM-Anlage ist der AVV unvollständig und nicht DSGVO-konform.

Was sind die Konsequenzen, wenn ein Auftragsverarbeiter die Weisungen des Verantwortlichen missachtet?

Missachtet der Auftragsverarbeiter die Weisungen des Verantwortlichen, handelt er nicht mehr im Auftrag. Er wird dann selbst zum Verantwortlichen (Art. 28 Abs. 10 DSGVO). Dies hat zur Folge, dass er die volle Haftung für die Datenverarbeitung trägt. Der Verantwortliche kann zudem den Vertrag kündigen.

Wie kann ich sicherstellen, dass mein Auftragsverarbeiter die DSGVO einhält?

Neben einem rechtskonformen AVV (Art. 28 DSGVO) sollten Sie regelmäßige Kontrollen und Audits durchführen (Art. 28 Abs. 3 lit. h DSGVO). Fordern Sie Nachweise über die Einhaltung der TOM an. Nutzen Sie Tools wie den DPA-CHECK zur Vorprüfung. Bleiben Sie im Austausch mit Ihrem Auftragsverarbeiter. Das BGH-Urteil VI ZR 396/24 betont die Kontrollpflichten.

Weitere Beiträge