Zurück zum Blog
Die 7 wichtigsten Bestandteile eines Auftragsverarbeitungsvertrags

Die 7 wichtigsten Bestandteile eines Auftragsverarbeitungsvertrags

Datum September 11, 2018 Autor , Kategorie Datenschutz, DSGVO

Ein Auftragsverarbeitungsvertrag (ehemals: Auftragsdatenverarbeitungsvertrag – ADV) sollte laut DSGVO von einem Unternehmen immer dann abgeschlossen werden, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden.

Ein Auftragsverarbeitungsvertrag (AV-Vertrag oder AVV) sichert beide Parteien ab und regelt für beide Seiten – Verantwortliche und Auftragsverarbeiter – die Besonderheiten im Umgang mit personenbezogenen Daten. Dazu zählen zum Beispiel Umfang und Zweck der Speicherung und Datenverarbeitung. Zusätzlich legt der AV-Vertrag die Bestimmungen fest, die die beteiligten Unternehmen einhalten müssen und dazu auch gesetzlich verpflichtet sind. Die Auftragsdatenverarbeitung regeln Datenschutzgesetze und Verordnungen wie die DSGVO.

In diesem Artikel stellen wir die 7 wichtigsten Bestandteile vor, die in jedem Auftragsverarbeitungs-Vertrag enthalten sein sollten. Damit ist die Datensicherheit gewährleistet, die Privatsphäre Ihrer Kunden wird respektiert und Sie agieren stets DSGVO-konform.

Wann benötigt man einen Auftragsverarbeitungsvertrag?

Ein schriftlicher Vertrag ist immer dann erforderlich, wenn ein datenverarbeitendes Unternehmen im Auftrag eines datenverantwortlichen Partners personenbezogene Daten verarbeitet oder speichert. Dies ist beispielsweise dann der Fall, wenn Sie mit einem Anbieter für Analytics zusammenarbeiten oder ein externes CRM-System einsetzen.

Der Vertrag ist wichtig, damit beide Parteien ihre jeweilige Rolle im Umgang mit den Daten kennen. Die Verpflichtungen und Verantwortlichkeiten sollten für beide Unternehmen klar geregelt sein, um eventuelle Schuldzuweisungen zu vermeiden.

Bisher wurden Vorgänge dieser Art mit Verträgen zur Auftragsdatenverarbeitung (ADV) auf Basis des Bundesdatenschutzgesetzes geregelt. Seit Mai 2018 ist die neue DSGVO gültig. Bestehende ADV-Verträge müssen deshalb an das neue Datenschutzgesetz angepasst oder neu geschlossen werden.

Sollte ein AV-Vertrag ein eigenständiges Dokument sein?

Hierzu gibt es keine gesetzlichen Vorgaben. In der Praxis werden häufig die wichtigsten Punkte in bestehende Kooperationsverträge aufgenommen.

Aufgrund der Komplexität des Themas empfiehlt es sich allerdings, ein separates Dokument als Vertragsanhang oder einen separaten Vertrag zu erstellen.

Was sollte ein AV-Vertrag beinhalten?

Die DSGVO bietet einige Bestimmungen und Anhaltspunkte, wie ein AV-Vertrag aussehen sollte. Wir haben – basierend auf der DSGVO und unseren eigenen Erfahrungen sowie unserer Expertise – eine Liste mit den 7 wichtigsten Bestandteilen eines AV-Vertrags erstellt.

Dieser Leitfaden bietet Ihnen nützliche Tipps für die Erstellung eines AV-Vertrags. Es handelt sich aber nicht um ein allgemeingültiges, vorgefertigtes Dokument. Berücksichtigen Sie daher unbedingt die branchenspezifische Vorschriften und weitere individuelle Business-Anforderungen.

1) Generelle Klauseln

Wie in jedem Vertrag werden zunächst die Begriffsbestimmungen definiert, die im Vertrag vorkommen. Sie sollten u.a. folgende Definitionen festlegen:

  • Vertragsgegenstand – darunter fallen alle Handlungen, die in Bezug zum vertraglichen Verhältnis beider Vertragspartner stehen
  • Umfang, Art und Dauer der Datenverarbeitung – die verschiedenen Vorgänge und Gründe der Datenverarbeitung (z.B. um Nutzerverhalten auf Ihrer Website zu analysieren oder um die User Experience zu personalisieren)
  • Verantwortlichkeit – wer sicherzustellen hat, dass die verarbeiteten Daten DSGVO-konform gespeichert werden (diese Pflicht sollte bei der datenverantwortlichen Partei liegen)
  • Betroffene Personen der Datenverarbeitung – Definition der betroffenen Personen (handelt es sich bspw. um Bankkunden, Patienten, Minderjährige, “normale” Website-Besucher oder fallen die Personen in mehrere Kategorien)
  • Datentypen, die verarbeitet werden – Datenkategorien, die vom Datenverarbeitenden verwendet werden, z.B. technische Eigenschaften des Browsers, Verhaltensdaten zu Website-Aktivitäten und IP-Adressen
  • Es ist wichtig, dass der Datenverantwortliche den Datenverarbeitenden darüber informiert, wenn die importierten Daten auf eine spezielle Datenkategorie zutreffen. Im Vergleich zu normalen persönlichen Daten unterliegt die Verarbeitung dieser Informationen strengeren Auflagen.

    Mehr zu den Unterschieden von persönlichen Daten finden Sie in unseren Blogartikeln:
    Was sind PII, Nicht-PII und personenbezogene Daten?
    Antworten auf die wichtigsten Fragen zur DSGVO – Teil 3

  • Datenspeicherung – für die Speicherung personenbezogener Daten außerhalb der EU sieht die DSGVO Beschränkungen vor. Daher íst es ratsam, dem Datenverarbeitenden vertraglich zu untersagen, Daten ohne spezifisches Einverständnis in einem Nicht-EU-Land zu speichern. Gegebenenfalls sollte dieses komplexe Thema als eigene Klausel oder als Vertragsanhang behandelt werden.
  • Vertragslaufzeit und Bedingungen bei Vertragsbeendigung Vertragsgegenstand sollte die Verpflichtung für den Datenverarbeitenden sein, nach Beendigung der Kooperation sämtliche personenbezogene Daten aus der Datenbank zu löschen. Außerdem sollten Fälle aufgeführt werden, in denen die jeweiligen Parteien das Recht haben, den Vertrag vorzeitig zu beenden (z.B. wenn der Datenverantwortliche nicht über einen Datenschutzverstoß informiert wird oder wenn nicht-autorisierte Prozessänderungen durchgeführt werden).

2) Rechte und Pflichten des Datenverantwortlichen

In diesem Teil des Vertrags definieren Sie (konform zu Artikel 24 der DSGVO) die Rechte und Pflichten für den Datenverantwortlichen. Die folgenden Aspekte sollten zwingend aufgenommen werden:

  • Laut DSGVO ist der Datenverantwortliche dafür zuständig, einen gesetzeskonformen Prozess zu etablieren, um u.a. die Rechte betroffener Personen (inkl. Einholen von Einwilligungen und Beantwortung von Anfragen) zu gewährleisten
  • Der Datenverantwortliche instruiert den Datenverarbeitenden sowie seine Mitarbeiter bezüglich der vertragskonformen Datenhandhabung

Umfassender Guide für DSGVO-konformes Consent Management

Lesen Sie, wie Sie Einwilligungen gesetzeskonform sammeln, wie das Consent-Formular aussehen kann u.v.m.

Zum kostenlosen Guide

3) Rechte und Pflichten des Datenverarbeitenden

Im Auftragsverarbeitungsvertrag sollten auch die Rechte und Pflichten des Datenverarbeitenden (festgelegt in DSGVO Artikel 28) benannt werden. Unter anderem sollten die folgenden Aspekte gewährleistet sein:

  • Angemessener Datenschutz
  • Kooperation mit den Behörden im Fall einer Kontrolle
  • Datenschutzverletzungen werden dem Verantwortlichen unverzüglich gemeldet
  • Ernennung eines Datenschutzbeauftragten
  • Gewährleistung einer Datenprüfung durch den Datenverantwortlichen, um DSGVO-Compliance sicherzustellen
  • Speicherung aller Handlungen zur Datenverarbeitung
  • Wenn erforderlich, wird die Einhaltung der Regeln für EU-grenzenüberschreitender Datentransfers gewährleistet
  • Kooperation mit dem Datenverantwortlichen, um betroffenen Personen die Ausübung ihrer Rechte zu ermöglichen
  • Der Datenverantwortliche wird bei möglichen Konsequenzen durch einen Datenschutzverstoß unterstützt
  • Der Datenverantwortliche wird informiert, falls die Verarbeitungsprozesse nicht DSGVO-konform sind
Der AV-Vertrag sollte keinen Raum für Misinterpretation zulassen. Darauf sollten Sie achten:

  • Es ist wichtig, Fristen für die Bearbeitung von Anfragen betroffener Personen festzulegen. Auch die Meldung eines Datenschutzverstoßes sollte mit einer Frist geregelt werden.
  • Details zu Kontrollen durch den Datenverantwortlichen bezüglich Häufigkeit und Kostenübernahme sollten festgelegt werden.

Solche Details stellen sicher, dass der Datenverarbeitende genau weiß, was von ihm erwartet wird und im Fall einer juristischen Auseinandersetzung eine konkrete Schuldzuweisung möglich ist.

4) Technische und organisatorische Maßnahmen

Im nächsten Schritt müssen festgelegte Maßnahmen beschrieben werden, die beide Parteien treffen und somit einen angemessenen Datenschutz gewährleisten. Diese technischen und organisatorischen Maßnahmen schließen nach Artikel 32 der DSGVO u.a. folgende Aspekte ein:

  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Dieser Vertragsbestandteil sollte also sicherstellen, dass die technischen und organisatorischen Maßnahmen vom Datenverarbeitenden umgesetzt werden, bevor personenbezogene Daten erstmals verarbeitet werden.

Letztlich ist die wichtigste Funktion eines AV-Vertrags die Gewährleistung des Datenschutzes durch den Datenverarbeiter. Hinreichende Garantien sollen den Datenverantwortlichen absichern, da dieser im Fall eines Datenschutzverstoßes die volle Verantwortung trägt.

Durch die Komplexität dieser Maßnahmen empfiehlt es sich diese in einem separaten Anhang zu thematisieren (siehe Punkt 1).

5) Sub-Vertragspartner

Um die Weitergabe der personenbezogenen Daten an Dritte zu regulieren, bietet sich eine entsprechende Vertragsklausel an, die folgendes festlegt:

  • Der Datenverarbeitende ist dazu verpflichtet, eine schriftliche Einwilligung einzuholen, wenn er eine Drittpartei als Sub-Vertragspartner einsetzen möchte
  • Der Vertrag zwischen dem Verarbeitenden und dem Sub-Vertragspartner muss sicherstellen, dass ein identisches Maß an Datenschutz eingehalten wird, wie im AV-Vertrag festgelegt
  • Der Datenverarbeitende agiert gegenüber der Drittpartei in der Rolle des Datenverantwortlichen und muss dementsprechend durch regelmäßige Kontrollen (z.B. alle 12 Monate) sicherstellen, dass die DSGVO-Compliance gewährleistet ist

Auch die Sub-Vertragsparteien sind in einem separaten Anhang gut aufgehoben (siehe Punkt 2).

Analytics & DSGVO = Piwik PRO

Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics - DSGVO compliant.

Kostenlosen Demo-Termin vereinbaren

6) Schlussklausel

Eine Schlussklausel ist in jedem Vertrag Standard. Hier wird erwähnt, dass beide Parteien jeglichen Änderungen zustimmen müssen. Im Fall eines AVVs sollte zusätzlich definiert werden, dass dieses Dokument alle anderen Vereinbarungen ersetzt.

Dadurch bleibt kein Raum für Missverständnisse, falls andere Vereinbarungen mit den Bestimmungen des AV-Vertrags in Konflikt stehen.

7) Anhänge

Ohne die bereits erwähnten Anhänge wäre der Auftragsverarbeitungsvertrag nicht vollständig. Sie ergänzen die Vertragsbestandteile zu umfangreichen sowie komplexen Themen.

Anhang 1 – Technische und organisatorische Maßnahmen

Anhang 1 ergänzt die Vertragsklauseln des AV-Vertrags bezüglich der technischen und organisatorischen Maßnahmen. Hier muss der Datenverarbeitende seine Fähigkeit zusichern, dauerhafte Diskretion, Integrität, Verfügbarkeit und Stabilität der Verarbeitungssysteme und Services zu gewährleisten. Zusätzlich verpflichtet er sich, einen Prozess einzuführen, welcher die Effektivität der technischen und organisatorischen Maßnahmen stetig testet, prüft und bewertet.

Um eine sichere Datenverarbeitung nach DSGVO zu garantieren ist im Detail folgendes zu beachten:

Diskretion

Der Datenverarbeitende legt die folgenden Punkte offen:

  • Die Struktur des Rechenzentrums, in dem die Daten gespeichert werden sollen
  • Berichte zu Sicherheitskontrollen
  • Physischer Zugang zu Büroräumen und umgesetzte Sicherheitsmaßnahmen
  • Remote-Zugriff auf die Arbeitsumgebung
  • Zugriffskontrolle für Software
Integrität

Der Datenverarbeitende belegt, dass die personenbezogenen Daten während eines elektronischen Datentransfers nicht von unautorisierten Parteien gelesen, kopiert, verändert oder entfernt werden können.

Verfügbarkeit und Stabilität

Der Datenverarbeitende stellt seine Backup-Richtlinien dar sowie weitere Maßnahmen, die Redundanz, Wiederherstellbarkeit und hohe Verfügbarkeit der Daten sicherstellen.

Abläufe von regelmäßigen Überprüfungen

Der Datenverarbeitende sollte ein Konzept vorstellen, mit welchem er eine regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen sicherstellen kann.

Anhang 2 – Liste der Sub-Vertragspartner

Dieser Anhang enthält eine Liste mit allen Drittparteien, mit denen der Datenverarbeitende kooperiert. Zu jeder Drittpartei sollten die Adressen der jeweiligen Firmensitze mit aufgeführt werden.

Fazit

Die Bestimmungen der DSGVO bringen auch neue Anforderungen an Auftragsverarbeitungs-Verträge mit sich. Zur Absicherung von datenverantwortlichen Unternehmen sind rechtlich korrekte AV-Verträge unumgänglich.

In diesem Artikel haben wir Ihnen die Vertragsbestandteile gezeigt, die in einen AV-Vertrag gehören. Dabei haben wir die Vorschriften der DSGVO sowie unsere eigenen Erfahrungen eingebunden. Die 7 Bestandteile bedürfen – abhängig von Ihrer Branche – individuellen Anpassungen.

Wenn Sie unsere Tipps als Grundlage nehmen, können Sie sicherstellen, die wesentlichen Aspekte abzudecken, um sich, Ihren Vertragspartner und die Daten Ihrer Kunden DSGVO-konform abzusichern.

Gehen Sie mit uns den nächsten Schritt im Data-Driven Marketing

Gerne zeigen wir Ihnen in einer persönlichen Demo die Piwik PRO Marketing Suite: Analytics, Tag Manager, Personalisierung & Customer Data Platform in einer Software vereint - DSGVO compliant.

Kostenlosen Demo-Termin vereinbaren

Autor:

Veronika Fachinger, Content Marketing Manager DACH

Sie hat immer ein Auge auf aktuelle Trends und Entwicklungen im Online Marketing und kreiert täglich wertvollen Content für Piwik PRO in Deutschland.

Mehr Artikel von diesem Autor

Autor:

Karolina Lubowicka, Content Marketer

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie hat viel Erfahrung als Copy Writer gesammelt und versteht es komplexe Zusammenhänge verständlich zu beschreiben. Besonders intensiv beschäftigt sie sich derzeit mit Datenschutz & DSGVO.

Mehr Artikel von diesem Autor
 Ein Vergleich der 5 führenden Web-Analytics-Anbieter

Share