Auftragsverarbeitungsverträge (AV-Verträge) nach Artikel 28 DSGVO leicht verwalten

Das Thema Auftragsverarbeitungsverträge (AV-Verträge) und Auftragsverarbeitung stellt viele Verantwortliche vor eine große Herausforderung. In diesem Beitrag erfahren Sie was eine Auftragsverarbeitung im Sinne von Artikel 28 DSGVO ist, wie Sie Auftragsverarbeiter leicht und einfach identifizieren können und Sie erhalten viele praktische Tipps.

Was ist eine Auftragsverarbeitung im Datenschutz?

Laut Artikel 28 Abs. 1 DSGVO ist eine Auftragsverarbeitung das Verarbeiten personenbezogener Daten durch einen Dienstleister. Dieser Dienstleister wird dann als Auftragsverarbeiter bezeichnet. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen (z. B. seines Kunden) im Auftrag.

In einigen Fällen ist es nicht immer einfach zu bewerten, ob ein Dienstleister auf ein Auftragsverarbeiter ist. Eine Frage, die dabei helfen kann ist: „Wer bestimmt über Zweck und Mittel der zu verarbeitenden Daten?“. Wenn der Dienstleister nicht darüber bestimmt, ist er wahrscheinlich Auftragsverarbeiter.

In Artikel 4 Abs. 2 DSGVO ist eindeutig definiert, was unter „Verarbeitung“ zu verstehen ist:

Auftragsverarbeiter können sein:

Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?

Nachdem nun geklärt ist, wer Auftragsverarbeiter im Sinne des Artikel 28 DSGVO ist, ist nun zu klären, warum die Rolle des Auftragsverarbeiters im Datenschutz eine wichtige Rolle einnimmt. Dazu regelt Artikel 28 Abs. 3 DSGVO:

Das bedeutet, dass Verantwortliche mit Auftragsverarbeitern einen Vertrag über die Auftragsverarbeitung schließen müssen. Dieser Vertrag wird im Datenschutz „Auftragsverarbeitungsvertrag“ (kurz AV-Vertrag oder AVV) genannt.

Wichtige Bestandteile eines AV-Vertrages

Damit AV-Verträge DSGVO-konform geschlossen werden können, müssen Sie nach Artikel 28 Abs. 3 DSGVO folgendes regeln:

Die Praxis zeigt immer wieder, dass AV-Verträge nicht DSGVO-konform geschrieben sind. Aus diesem Grund empfehlen wir die zumindest formelle Prüfung von AV-Verträgen. Hilfreich ist eine Checkliste mit den Anforderungen. Zudem empfehlen wir die aufgefüllte Checkliste als Nachweis jedem AV-Vertrag beizufügen.

Wie können Auftragsverarbeiter identifiziert werden?

Die Erfahrung zeigt, dass verantwortliche Stellen immer wieder vor der Herausforderung stehen, Auftragsverarbeiter zu identifizieren. So kommt es vor, dass eine Abteilung z. B. einen Cloud-Dienst in Anspruch nimmt, ohne dies der IT-Abteilung und dem Datenschutzbeauftragten bzw. der Datenschutzbeauftragten zu melden. Daher sollten durch interne Richtlinien sichergestellt werden, dass Dienstleister immer über eine zentrale Stelle beauftragt werden.

Für Organisationen, die dieses Thema neu erarbeiten, empfehlen wir die Erstellung einer Kreditorenübersicht aus der Buchhaltung. Wenn diese Übersicht vorliegt, sollte bewertet werden, mit welchem Dienstleister ein AV-Vertrag geschlossen werden muss. Wichtig: Nicht jeder Dienstleister in ein Auftragsverarbeiter im Sinne von Artikel 28 DSGVO! Als weiterer Schritt sollte von jeder Abteilung, jedem Fachbereich eine Übersicht erstellt werden, welche Dienstleister beauftragt werden. Auch hier sollte dann bewertet werden, mit welchen Dienstleistern ein AV-Vertrag geschlossen werden muss.

Was sind Auftragskontrollen?

Der Verantwortliche darf nur mit solchen Auftragsverarbeitern zusammenarbeiten, die während des gesamten Zeitraums der Zusammenarbeit geeignete Garantien bieten. Das bedeutet für den Verantwortlichen, dass er seine Auftragsverarbeiter regelmäßig prüfen muss. Diese Prüfungen nennt man Auftragskontrollen.

Diese Auftragskontrollen können auf verschiedenen Wegen stattfinden. Z. B. kann der Verantwortliche bei einer Vor-Ort-Prüfung von den garantierten technischen und organisatorischen Maßnahmen überzeugen. Der Verantwortliche kann aber auch einen Nachweis vom Auftragsverarbeiter vorlegen lassen. Artikel 28 Abs. 3 lit. h) DSGVO sieht solch einen Nachweis vor, ohne genauere Angaben zu machen.

Wir empfehlen zumindest bei den Auftragsverarbeitern anzufragen und um genau diesen Nachweis zu bitten. Dieser Nachweis könnte z. B. ein Zertifikat eines externen Prüfers sein oder auch ein Datenschutz-Auditbericht des Datenschutzbeauftragten bzw. der Datenschutzbeauftragten.

Bei der Bewertung, wie die Auftragskontrollen durchgeführt werden, sollte davon abhängig gemacht werden, wie sensibel die Daten sind, die der Auftragsverarbeiter verarbeitet.

Fazit

Das Thema AV-Verträge und Auftragsverarbeitung stellt viele Verantwortliche vor eine große Herausforderung. Immer wieder kommt es vor, dass Dienstleister auf Anfragen bezüglich des zu schließenden AV-Vertrages nicht reagieren. Liegt ein AV-Vertrag dann endlich vor, kommt es regelmäßig vor, dass dieser nicht DSGVO-konform gestaltet ist.

Die letzten Jahre zeigen, dass es daher wichtig ist dieses Thema immer wieder neu zu fokussieren und so den Reifegrad des AV-Vertragsmanagements stetig zu erhöhen. Eine regelmäßige Auditierung dieses Themas ist daher sehr sinnvoll.

Wir unterstützen Sie gerne beim dem Themenbereich: AV-Verträge.