Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen und Organisationen mit personenbezogenen Daten umgehen, grundlegend verändert. Eine der wichtigsten Anforderungen der DSGVO ist die Einführung von Auftragsverarbeitungsvereinbarungen (AVV) zwischen Verantwortlichen und Auftragsverarbeitern. In diesem Blog-Beitrag werden wir uns eingehend mit diesen Vereinbarungen befassen und alle Aspekte beleuchten, die für ein umfassendes Verständnis dieses Themas erforderlich sind. Wir werden dabei auf verschiedene rechtliche Aspekte, Beispiele, Gesetze, aktuelle Gerichtsurteile und FAQs im IT-Recht eingehen.
Inhaltsverzeichnis
- Was ist eine Auftragsverarbeitungsvereinbarung?
- Wann ist eine Auftragsverarbeitungsvereinbarung notwendig?
- Inhalt einer Auftragsverarbeitungsvereinbarung
- Beispiele für Auftragsverarbeitungsvereinbarungen
- Gesetze und Vorschriften im Zusammenhang mit Auftragsverarbeitungsvereinbarungen
- Aktuelle Gerichtsurteile zur Auftragsverarbeitung
- Häufig gestellte Fragen (FAQs) zu Auftragsverarbeitungsvereinbarungen
Was ist eine Auftragsverarbeitungsvereinbarung?
Eine Auftragsverarbeitungsvereinbarung ist ein Vertrag zwischen einem Verantwortlichen (z. B. einem Unternehmen oder einer Organisation), der personenbezogene Daten kontrolliert, und einem Auftragsverarbeiter (z. B. einem Dienstleister), der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Die AVV dient dazu, die Verarbeitung personenbezogener Daten gemäß den Vorgaben der DSGVO zu regeln und die Rechte der betroffenen Personen zu schützen.
Wann ist eine Auftragsverarbeitungsvereinbarung notwendig?
Eine AVV ist notwendig, wenn ein Verantwortlicher einen externen Dienstleister damit beauftragt, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Hierbei ist es unerheblich, ob der Auftragsverarbeiter im In- oder Ausland ansässig ist. Die DSGVO verlangt ausdrücklich, dass eine solche Vereinbarung in schriftlicher Form (einschließlich elektronischer Form) geschlossen wird.
Inhalt einer Auftragsverarbeitungsvereinbarung
Die DSGVO gibt vor, welche Elemente in einer AVV enthalten sein müssen. Die wesentlichen Bestandteile einer AVV sind:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Die betroffenen Kategorien von personenbezogenen Daten und betroffenen Personen
- Die Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen zum Schutz der Daten
- Vorgaben zur Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung
- Die Möglichkeit der Beauftragung von Unterauftragsverarbeitern
- Informations-, Kontroll- und Auditrechte des Verantwortlichen
Beispiele für Auftragsverarbeitungsvereinbarungen
Um Ihnen ein besseres Verständnis dafür zu geben, wann eine AVV notwendig ist und welche Unternehmen möglicherweise Auftragsverarbeiter sind, finden Sie hier einige Beispiele:
- Ein Unternehmen beauftragt einen externen Dienstleister mit der Durchführung einer Kundenzufriedenheitsumfrage. Hierbei werden personenbezogene Daten der Kunden (z. B. Namen, E-Mail-Adressen) durch den Dienstleister verarbeitet.
- Ein Verein beauftragt einen Anbieter von Cloud-Software mit der Verwaltung der Mitgliederdaten (z. B. Namen, Adressen, Geburtsdaten).
- Ein Online-Shop verwendet einen externen Zahlungsdienstleister, um die Zahlungen der Kunden abzuwickeln. Dabei werden die Zahlungsdaten der Kunden durch den Zahlungsdienstleister verarbeitet.
Gesetze und Vorschriften im Zusammenhang mit Auftragsverarbeitungsvereinbarungen
Die DSGVO ist die Grundlage für alle Regelungen im Zusammenhang mit der Verarbeitung personenbezogener Daten und somit auch für die Anforderungen an Auftragsverarbeitungsvereinbarungen. Die wesentlichen Vorschriften der DSGVO, die sich auf AVV beziehen, sind:
- Art. 28 DSGVO – Auftragsverarbeiter
- Art. 29 DSGVO – Verarbeitung unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters
- Art. 32 DSGVO – Sicherheit der Verarbeitung
- Art. 44 DSGVO – Allgemeine Grundsätze für den Datentransfer
Daneben können auch nationale Datenschutzgesetze, wie z. B. das Bundesdatenschutzgesetz (BDSG) in Deutschland, ergänzende Regelungen enthalten.
Aktuelle Gerichtsurteile zur Auftragsverarbeitung
Im Folgenden finden Sie einige aktuelle Gerichtsurteile, die sich auf das Thema Auftragsverarbeitung und die Anforderungen an Auftragsverarbeitungsvereinbarungen beziehen:
- EuGH, Urteil vom 16. Juli 2020, C-311/18 („Schrems II“): Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Im Rahmen dieses Urteils stellte der EuGH auch klar, dass Verantwortliche und Auftragsverarbeiter zusätzliche Maßnahmen ergreifen müssen, um die Datenübermittlung in Drittländer zu gewährleisten.
- LG Darmstadt, Urteil vom 9. November 2018, Az. 23 O 30/18: Das Landgericht Darmstadt hat entschieden, dass ein fehlender Hinweis auf eine Auftragsverarbeitungsvereinbarung in einer Datenschutzerklärung einen Wettbewerbsverstoß darstellen kann.
- EuGH, Urteil vom 5. Juni 2018, C-210/16 („Wirtschaftsakademie Schleswig-Holstein“): Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite (Fanpage) gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten von Besuchern der Fanpage verantwortlich ist. Dies hat zur Folge, dass auch in solchen Konstellationen eine vertragliche Regelung (z. B. in Form einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO) erforderlich ist.
Häufig gestellte Fragen (FAQs) zu Auftragsverarbeitungsvereinbarungen
Im Folgenden finden Sie einige häufig gestellte Fragen und die entsprechenden Antworten zum Thema Auftragsverarbeitungsvereinbarungen:
Können Auftragsverarbeitungsvereinbarungen mündlich geschlossen werden?
Nein, die DSGVO verlangt ausdrücklich, dass eine AVV in schriftlicher Form (einschließlich elektronischer Form) geschlossen wird. Eine mündliche Vereinbarung wäre nicht rechtskonform und könnte zu Sanktionen führen.
Was passiert, wenn keine Auftragsverarbeitungsvereinbarung geschlossen wurde?
Das Fehlen einer AVV kann zu erheblichen Bußgeldern und Sanktionen führen, da dies einen Verstoß gegen die DSGVO darstellt. Zudem kann dies auch zivilrechtliche Ansprüche der betroffenen Personen auslösen.
Können Standardvertragsklauseln als Auftragsverarbeitungsvereinbarung verwendet werden?
Standardvertragsklauseln können als Grundlage für eine AVV verwendet werden, jedoch müssen sie an die konkrete Auftragsverarbeitung angepasst werden und alle erforderlichen Bestandteile gemäß Art. 28 DSGVO enthalten.
Muss eine Auftragsverarbeitungsvereinbarung bei jeder Änderung der Verarbeitungstätigkeit angepasst werden?
Es ist nicht zwingend erforderlich, bei jeder Änderung der Verarbeitungstätigkeit eine Anpassung der AVV vorzunehmen. Allerdings sollte die AVV so gestaltet sein, dass sie ausreichend flexibel ist, um Veränderungen der Verarbeitungstätigkeiten abzudecken. Bei wesentlichen Änderungen, die die in der AVV festgelegten Pflichten und Rechte berühren, sollte jedoch eine Anpassung erfolgen.
Wie lange muss eine Auftragsverarbeitungsvereinbarung aufbewahrt werden?
Es gibt keine allgemeingültige Aufbewahrungsfrist für AVV. Allerdings sollten Verantwortliche und Auftragsverarbeiter ihre AVV zumindest so lange aufbewahren, wie die Verarbeitung personenbezogener Daten im Rahmen der jeweiligen Vereinbarung stattfindet. Zudem kann es sinnvoll sein, die AVV auch nach Beendigung der Verarbeitungstätigkeit für einen angemessenen Zeitraum aufzubewahren, um eventuellen Nachweispflichten nachkommen zu können.
Fazit
Auftragsverarbeitungsvereinbarungen sind ein wesentliches Instrument, um die Verarbeitung personenbezogener Daten gemäß den Vorgaben der DSGVO zu regeln und die Rechte der betroffenen Personen zu schützen. Verantwortliche sollten daher sicherstellen, dass sie mit ihren Auftragsverarbeitern rechtskonforme AVV abschließen und diese regelmäßig überprüfen und aktualisieren. Die Beachtung der gesetzlichen Vorgaben und aktueller Rechtsprechung ist dabei entscheidend, um mögliche Sanktionen und Schadenersatzforderungen zu vermeiden.
„Unsere Kanzlei setzt auf Künstliche Intelligenz, um Ihnen hochwertige Rechtsberatung zu deutlich reduzierten Kosten anzubieten.
Mandanten profitieren in Einzelfällen von Kosteneinsparungen bis zu 90% – ohne Abstriche bei Qualität und individueller Betreuung.
Vertrauen Sie auf eine zukunftsweisende Kombination aus Innovation und juristischer Exzellenz.“
Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter
Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht
Impressumspflicht auf YouTube: So vermeiden Sie rechtliche Probleme
Erfahren Sie, wie Sie ein rechtssicheres Impressum für Ihren YouTube-Kanal erstellen und sich vor Abmahnungen schützen können.
IT-Sicherheitsgesetz: Anforderungen und Handlungsmöglichkeiten
Erfahren Sie mehr über die Anforderungen des IT-Sicherheitsgesetzes und wie Ihr Unternehmen Compliance und effektive Cybersecurity gewährleisten kann.
Netzwerkvertrag: Rechtliche Gestaltung und Absicherung für Unternehmen
Erfahren Sie, wie Sie durch strategisches Vertragsrecht und Management einen Netzwerkvertrag rechtssicher gestalten und Ihr Unternehmen absichern.
Providervertrag: Rechtssichere Gestaltung von IT-Verträgen
Erfahren Sie, wie Sie einen Providervertrag rechtssicher gestalten. Wichtige Vertragsbedingungen und rechtliche Bestimmungen verständlich erklärt.
Softwarelizenzvereinbarung: Rechtliche Absicherung bei der Nutzung von Software
Erfahren Sie alles über die Bedeutung und Notwendigkeit einer Softwarelizenzvereinbarung für die legale Nutzung von Softwareprodukten.