Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen und Organisationen mit personenbezogenen Daten umgehen, grundlegend verändert. Eine der wichtigsten Anforderungen der DSGVO ist die Einführung von Auftragsverarbeitungsvereinbarungen (AVV) zwischen Verantwortlichen und Auftragsverarbeitern. In diesem Blog-Beitrag werden wir uns eingehend mit diesen Vereinbarungen befassen und alle Aspekte beleuchten, die für ein umfassendes Verständnis dieses Themas erforderlich sind. Wir werden dabei auf verschiedene rechtliche Aspekte, Beispiele, Gesetze, aktuelle Gerichtsurteile und FAQs im IT-Recht eingehen.
Inhaltsverzeichnis
- Was ist eine Auftragsverarbeitungsvereinbarung?
- Wann ist eine Auftragsverarbeitungsvereinbarung notwendig?
- Inhalt einer Auftragsverarbeitungsvereinbarung
- Beispiele für Auftragsverarbeitungsvereinbarungen
- Gesetze und Vorschriften im Zusammenhang mit Auftragsverarbeitungsvereinbarungen
- Aktuelle Gerichtsurteile zur Auftragsverarbeitung
- Häufig gestellte Fragen (FAQs) zu Auftragsverarbeitungsvereinbarungen
Was ist eine Auftragsverarbeitungsvereinbarung?
Eine Auftragsverarbeitungsvereinbarung ist ein Vertrag zwischen einem Verantwortlichen (z. B. einem Unternehmen oder einer Organisation), der personenbezogene Daten kontrolliert, und einem Auftragsverarbeiter (z. B. einem Dienstleister), der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Die AVV dient dazu, die Verarbeitung personenbezogener Daten gemäß den Vorgaben der DSGVO zu regeln und die Rechte der betroffenen Personen zu schützen.
Wann ist eine Auftragsverarbeitungsvereinbarung notwendig?
Eine AVV ist notwendig, wenn ein Verantwortlicher einen externen Dienstleister damit beauftragt, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Hierbei ist es unerheblich, ob der Auftragsverarbeiter im In- oder Ausland ansässig ist. Die DSGVO verlangt ausdrücklich, dass eine solche Vereinbarung in schriftlicher Form (einschließlich elektronischer Form) geschlossen wird.
Inhalt einer Auftragsverarbeitungsvereinbarung
Die DSGVO gibt vor, welche Elemente in einer AVV enthalten sein müssen. Die wesentlichen Bestandteile einer AVV sind:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Die betroffenen Kategorien von personenbezogenen Daten und betroffenen Personen
- Die Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen zum Schutz der Daten
- Vorgaben zur Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung
- Die Möglichkeit der Beauftragung von Unterauftragsverarbeitern
- Informations-, Kontroll- und Auditrechte des Verantwortlichen
Beispiele für Auftragsverarbeitungsvereinbarungen
Um Ihnen ein besseres Verständnis dafür zu geben, wann eine AVV notwendig ist und welche Unternehmen möglicherweise Auftragsverarbeiter sind, finden Sie hier einige Beispiele:
- Ein Unternehmen beauftragt einen externen Dienstleister mit der Durchführung einer Kundenzufriedenheitsumfrage. Hierbei werden personenbezogene Daten der Kunden (z. B. Namen, E-Mail-Adressen) durch den Dienstleister verarbeitet.
- Ein Verein beauftragt einen Anbieter von Cloud-Software mit der Verwaltung der Mitgliederdaten (z. B. Namen, Adressen, Geburtsdaten).
- Ein Online-Shop verwendet einen externen Zahlungsdienstleister, um die Zahlungen der Kunden abzuwickeln. Dabei werden die Zahlungsdaten der Kunden durch den Zahlungsdienstleister verarbeitet.
Gesetze und Vorschriften im Zusammenhang mit Auftragsverarbeitungsvereinbarungen
Die DSGVO ist die Grundlage für alle Regelungen im Zusammenhang mit der Verarbeitung personenbezogener Daten und somit auch für die Anforderungen an Auftragsverarbeitungsvereinbarungen. Die wesentlichen Vorschriften der DSGVO, die sich auf AVV beziehen, sind:
- Art. 28 DSGVO – Auftragsverarbeiter
- Art. 29 DSGVO – Verarbeitung unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters
- Art. 32 DSGVO – Sicherheit der Verarbeitung
- Art. 44 DSGVO – Allgemeine Grundsätze für den Datentransfer
Daneben können auch nationale Datenschutzgesetze, wie z. B. das Bundesdatenschutzgesetz (BDSG) in Deutschland, ergänzende Regelungen enthalten.
Aktuelle Gerichtsurteile zur Auftragsverarbeitung
Im Folgenden finden Sie einige aktuelle Gerichtsurteile, die sich auf das Thema Auftragsverarbeitung und die Anforderungen an Auftragsverarbeitungsvereinbarungen beziehen:
- EuGH, Urteil vom 16. Juli 2020, C-311/18 („Schrems II“): Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Im Rahmen dieses Urteils stellte der EuGH auch klar, dass Verantwortliche und Auftragsverarbeiter zusätzliche Maßnahmen ergreifen müssen, um die Datenübermittlung in Drittländer zu gewährleisten.
- LG Darmstadt, Urteil vom 9. November 2018, Az. 23 O 30/18: Das Landgericht Darmstadt hat entschieden, dass ein fehlender Hinweis auf eine Auftragsverarbeitungsvereinbarung in einer Datenschutzerklärung einen Wettbewerbsverstoß darstellen kann.
- EuGH, Urteil vom 5. Juni 2018, C-210/16 („Wirtschaftsakademie Schleswig-Holstein“): Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite (Fanpage) gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten von Besuchern der Fanpage verantwortlich ist. Dies hat zur Folge, dass auch in solchen Konstellationen eine vertragliche Regelung (z. B. in Form einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO) erforderlich ist.
Häufig gestellte Fragen (FAQs) zu Auftragsverarbeitungsvereinbarungen
Im Folgenden finden Sie einige häufig gestellte Fragen und die entsprechenden Antworten zum Thema Auftragsverarbeitungsvereinbarungen:
Können Auftragsverarbeitungsvereinbarungen mündlich geschlossen werden?
Nein, die DSGVO verlangt ausdrücklich, dass eine AVV in schriftlicher Form (einschließlich elektronischer Form) geschlossen wird. Eine mündliche Vereinbarung wäre nicht rechtskonform und könnte zu Sanktionen führen.
Was passiert, wenn keine Auftragsverarbeitungsvereinbarung geschlossen wurde?
Das Fehlen einer AVV kann zu erheblichen Bußgeldern und Sanktionen führen, da dies einen Verstoß gegen die DSGVO darstellt. Zudem kann dies auch zivilrechtliche Ansprüche der betroffenen Personen auslösen.
Können Standardvertragsklauseln als Auftragsverarbeitungsvereinbarung verwendet werden?
Standardvertragsklauseln können als Grundlage für eine AVV verwendet werden, jedoch müssen sie an die konkrete Auftragsverarbeitung angepasst werden und alle erforderlichen Bestandteile gemäß Art. 28 DSGVO enthalten.
Muss eine Auftragsverarbeitungsvereinbarung bei jeder Änderung der Verarbeitungstätigkeit angepasst werden?
Es ist nicht zwingend erforderlich, bei jeder Änderung der Verarbeitungstätigkeit eine Anpassung der AVV vorzunehmen. Allerdings sollte die AVV so gestaltet sein, dass sie ausreichend flexibel ist, um Veränderungen der Verarbeitungstätigkeiten abzudecken. Bei wesentlichen Änderungen, die die in der AVV festgelegten Pflichten und Rechte berühren, sollte jedoch eine Anpassung erfolgen.
Wie lange muss eine Auftragsverarbeitungsvereinbarung aufbewahrt werden?
Es gibt keine allgemeingültige Aufbewahrungsfrist für AVV. Allerdings sollten Verantwortliche und Auftragsverarbeiter ihre AVV zumindest so lange aufbewahren, wie die Verarbeitung personenbezogener Daten im Rahmen der jeweiligen Vereinbarung stattfindet. Zudem kann es sinnvoll sein, die AVV auch nach Beendigung der Verarbeitungstätigkeit für einen angemessenen Zeitraum aufzubewahren, um eventuellen Nachweispflichten nachkommen zu können.
Fazit
Auftragsverarbeitungsvereinbarungen sind ein wesentliches Instrument, um die Verarbeitung personenbezogener Daten gemäß den Vorgaben der DSGVO zu regeln und die Rechte der betroffenen Personen zu schützen. Verantwortliche sollten daher sicherstellen, dass sie mit ihren Auftragsverarbeitern rechtskonforme AVV abschließen und diese regelmäßig überprüfen und aktualisieren. Die Beachtung der gesetzlichen Vorgaben und aktueller Rechtsprechung ist dabei entscheidend, um mögliche Sanktionen und Schadenersatzforderungen zu vermeiden.
Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.
Philipp Franz | Rechtsanwalt | Associate
Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter
Arthur Wilms | Rechtsanwalt | Associate
Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht
Vorlegung von Unterlagen auf Bild- oder Datenträgern: Wie Dokumente digital eingereicht werden
Erfahren Sie, wie die Vorlegung von Unterlagen auf Bild- oder Datenträgern die Effizienz Ihrer digitalen Archivierung erhöht.
Löschungsrecht: Rechte zur Löschung von Einträgen im Register
Erfahren Sie, wie Sie Ihr Löschungsrecht nutzen, um personenbezogene Daten gemäß der DSGVO aus Registern entfernen zu lassen.
Barrierefreiheitsstärkungsgesetz 2025: Pflichten für barrierefreie Websites im Überblick
Das Barrierefreiheitsstärkungsgesetz (BFSG) wurde in Deutschland erlassen, um die EU-Richtlinie 2019/882, den European Accessibility Act (EAA), in nationales Recht umzusetzen. Das Gesetz zielt darauf ab, die Barrierefreiheit von Produkten und Dienstleistungen zu verbessern, damit Menschen ... mehr
NIS-2-Richtlinie Umsetzung: Rechtliche Unterstützung für Unternehmen
NIS-2-Richtlinie Umsetzung: Die zunehmende Digitalisierung und Vernetzung stellen Unternehmen vor erhebliche Herausforderungen in der Cybersicherheit. Die NIS-2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates, die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union ... mehr
Datenschutz E-Mail Marketing: Regelungen und Tipps
Datenschutz E-Mail Marketing – E-Mail-Marketing ist ein effektives Mittel, um Kunden zu erreichen und Geschäftsbeziehungen zu pflegen. Doch um rechtliche Fallstricke zu vermeiden, müssen Unternehmen datenschutzrechtliche Vorschriften einhalten. Welche Regelungen gelten für E-Mail-Marketing und wie ... mehr