Unternehmer, die personenbezogene Daten im Auftrag eines anderen Unternehmens verarbeiten oder dafür einen externen Dienstleister beauftragen, benötigen in der Regel einen AV-Vertrag. Dieser regelt die Details der Auftragsverarbeitung zwischen Auftragnehmer und Auftraggeber und kann in Form von Allgemeinen Geschäftsbedingungen (AGB) gestaltet werden. In diesem Beitrag erfahren Sie, wie dies funktioniert und worauf Sie achten sollten.

1. Auftragsverarbeitung (AV) und AV-Vertrag

Unabhängig davon, ob Ihr Unternehmen Webhosting und Cloud-Speicherlösungen bereitstellt, E-Mail-Adressen im Rahmen einer Verlosung sammelt oder die Lohnbuchhaltung an ein externes Unternehmen (ohne Steuerberater) auslagert: In all diesen Situationen findet eine Auftragsverarbeitung statt – und es ist erforderlich, einen AV-Vertrag abzuschließen.

Was ist eine Auftragsverarbeitung?

Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen (Auftraggeber) einen externen Dienstleister (Auftragnehmer) beauftragt, personenbezogene Daten weisungsgebunden zu verarbeiten. Dazu zählen beispielsweise die Nutzung von Tracking-Software, die Beauftragung externer Dienstleister für Newsletter oder die Auslagerung der Lohnbuchhaltung an eine externe Firma. In solchen Fällen benötigen Sie einen AV-Vertrag, der vor Beginn der Auftragsverarbeitung abgeschlossen werden muss. 

Wann ist ein AV-Vertrag erforderlich?

Demnach ist ein AV-Vertrag immer dann notwendig, wenn personenbezogene Daten im Auftrag verarbeitet werden. Dies ist, wie bereits erläutert, meistens der Fall, sobald ein externer Auftragnehmer mit der weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt wird. Der AV-Vertrag ist dabei eine Zusatzvereinbarung zum eigentlichen Dienstleistungsvertrag mit AGB.

Wichtig: Personenbezogene Daten sind sämtliche Informationen, die zur Identifizierung einer Person herangezogen werden können. Beispiele hierfür sind Name, E-Mail-Adresse, Wohnanschrift und Bankverbindung sowie IP-Adresse und geografische Standortdaten.

Was regelt der AV-Vertrag?

Der AV-Vertrag definiert den gesetzlichen Rahmen für die Auftragsverarbeitung und legt die Rechte und Pflichten von Auftraggeber und Auftragnehmer im Hinblick auf die Verarbeitung sowie den Schutz personenbezogener Daten des Auftraggebers fest.

Die Regelung der Haftungsverteilung spielt ebenfalls eine wichtige Rolle: Durch die vertragliche Vereinbarung der Haftung im Zusammenhang mit der Datenverarbeitung durch das andere Unternehmen können Sie sich bei Datenschutzverstößen vor rechtlichen Konsequenzen und DSGVO-Strafen schützen. Diese können bis zu 20 Millionen Euro betragen.

2. Worauf sollten Sie bei der Erstellung eines AV-Vertrags achten?

Ein vollständiger AV-Vertrag sollte die folgenden Informationen enthalten:

• Gegenstand der Verarbeitung
• Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der verarbeiteten personenbezogenen Daten
• Kategorie der betroffenen Personen (z.B. Nutzer oder Kunde)
• Rechte und Pflichten des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs) gem. Art. 32 DSGVO
• Vereinbarungen zu Unterauftragsverhältnissen und Unter-AV
• Kontrollrechte des Auftraggebers und Duldungs- sowie Mitwirkungspflichten des externen Dienstleisters
• Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
• Rückgabe überlassener Datenträger sowie Löschung der Daten nach Auftragsbeendigung

Es ist unerlässlich, dass jeder AV-Vertrag die Aufstellung von Subunternehmern sowie eine umfassende Liste spezifischer technischer und organisatorischer Maßnahmen (TOMs) enthält. Zudem sollte der Vertrag den Verarbeitungszweck und die verarbeiteten Datenarten beinhalten.

Als Auftraggeber ist es wichtig, darauf zu achten, dass Ihre Kontrollbefugnisse gegenüber dem auftragsverarbeitenden Unternehmen nicht übermäßig eingeschränkt werden. Als Auftragsverarbeiter sollten Sie darauf achten, dass der Auftraggeber Ihnen keine unangemessenen Einblicke in die internen Dokumente vertraglich vorschreibt. Das bedeutet, dass Sie zwar nachweisen müssen, wie Sie die personenbezogenen Daten Ihrer Kunden schützen, jedoch ohne dabei sämtliche interne Prozesse offenlegen zu müssen.

3. Ist ein separater AV-Vertrag immer notwendig?

Ein separater AV-Vertrag ist nicht zwingend erforderlich. Stattdessen können Sie den AV-Vertrag als AGB in Ihren Angebotsprozess integrieren. Dies ist eine effiziente und einfachere Lösung, die rechtlich abgesichert ist und von Datenschutzbehörden akzeptiert wird.

AV-Vertrag als AGB in den Angebotsprozess integrieren:

• Der eigentliche AV-Vertrag wird in AGB-Form umgeschrieben und den Allgemeinen Geschäftsbedingungen beigefügt.
• Der AV-Vertrag wird zukünftig mit jedem Angebot zusammen mit dem eigentlichen Dienstleistungsvertrag abgeschlossen – ähnlich wie herkömmliche AGB.

Vorteile dieser Vorgehensweise:

• Sie haben automatisch mit jedem Kunden, der Sie beauftragt, einen AV-Vertrag.
• Sie schützen sich vor Haftung bei der Datenverarbeitung personenbezogener Daten.
• Sie vermeiden das Risiko möglicher Bußgelder aufgrund fehlender oder fehlerhafter AV-Verträge.

Fazit

Die Integration von AV-Verträgen in die AGB ist eine effektive Methode, um Ihr Unternehmen im Zusammenhang mit der Verarbeitung personenbezogener Daten abzusichern. Indem Sie den AV-Vertrag in Ihre AGB aufnehmen, stellen Sie sicher, dass Sie mit jedem Kunden automatisch einen AV-Vertrag abschließen, und minimieren damit das Risiko von Bußgeldern und Haftungsansprüchen. Achten Sie darauf, dass der AV-Vertrag vollständig ist und alle notwendigen Informationen enthält, um rechtskonform zu sein und den Anforderungen der Datenschutzgrundverordnung gerecht zu werden.

‍