Der Auftragsverarbeitungsvertrag (AVV) – Wofür brauche ich einen AVV?
- Redaktion Anwaltfinden.at
Die Auftragsverarbeitung von Daten kommt in fast jedem Unternehmen vor. Dabei kann diese im Rahmen eines Auftragsverarbeitungsvertrages (AVV) durch die Nutzung eines externen Rechenzentrums, die Nutzung einer Dienstleistung als sog. Software-as-a-Service erbracht wird, Cloud Computing oder bestimmte Wartungen von IT-Systemen durch technische Dienstleister stattfinden.
Hierbei gilt es besondere Maßnahmen zu treffen, um die Vorgaben der Datenschutzgrundverordnung (DSGVO) zu erfüllen. Deshalb wollen wir hier in diesem Beitrag alles Wichtige zum Auftragsverarbeitungsvertrag zusammenfassen und dabei auch wichtige Fragen beantworten, wie z. B.: Was ist eine AVV? Wann ist eine AVV notwendig? Wann benötige ich einen Auftragsverarbeitungsvertrag? Wer muss den Auftragsverarbeitungsvertrag erstellen? Was ist AVV Datenschutz?
Inhaltsverzeichnis
- Eine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher die Datenverarbeitung personenbezogener Daten an einen Auftragsverarbeiter überträgt
- Hierbei wird über den Auftragsverarbeitungsvertrag geregelt, welche Daten zu welchem Zweck verarbeitet werden sollen und welche rechtlichen Rahmenbedingungen dabei einzuhalten sind
- Dabei können seit Inkrafttreten der DSGVO nunmehr sowohl der Verantwortliche sowie auch der Auftragsverarbeiter haftbar gemacht werden für Datenschutzpannen
- Ferner kann ein Auftragsverarbeitungsvertrag nur von einem Verantwortlichen abgeschlossen werden, der alleine oder gemeinsam über den Zweck sowie die Mittel einer Verarbeitung personenbezogener Daten entscheidet kann
- Außerdem können neben den Regelungen der DSGVO auch Bestimmungen nationaler Datenschutzgesetze beim Erstellen einen Auftragsdatenverarbeitungsvertrages einzuhalten sein.
- Ein erfahrener Anwalt für Datenschutzrecht ist ein idealer Partner bei der Erstellung eines Auftragsverarbeitunsgsvertrages und kann sicherstellen, dass alle notwendigen rechtlichen Regelungen im Vertrag berücksichtigt werden.
Der rechtliche Rahmen des Auftragsverarbeitungsvertrags DSGVO
In welchen Fällen konkret eine Auftragsverarbeitung vorliegt, ist oftmals als juristische Frage schwer zu klären. Hierbei sind seit dem Inkrafttreten des DSGVO die Definitionen des „Verantwortlichen“ und des „Auftragsbearbeiters“ ausschlaggebend. Dabei kommt es zunächst einmal darauf an einen „Verantwortlichen“ zu identifizieren, der dann per Definition nicht gleichzeitig „Auftragsbearbeiter“ sein.
Datenweitergabe und Verarbeitung als Auftragsverarbeitung
Hierbei gilt laut DSGVO als „Verantwortlicher“, wer alleine oder gemeinsam über den Zweck sowie die Mittel einer Verarbeitung personenbezogener Daten entscheidet.
Für den Fall, dass der Verantwortliche diese Daten im Auftrag verarbeiten lässt, liegt eine Auftragsverarbeitung in Sinne der DSGVO statt.
Dabei liegt immer ein Vertrag über die Auftragsverarbeitung personenbezogener Daten vor, wenn ein Unternehmen personenbezogene Daten beim Outsourcing von IT- Leistungen an ein anderes Unternehmen verarbeiten lässt. Ferner liegt auch beim Cloud- Computing immer eine Auftragsbearbeitung vor.
Wartung und Prüfung von IT- Systemen
Ob es sich bei der Wartung und Prüfung von IT- Systemen um eine Auftragsverarbeitung handelt oder nicht, wird häufig im Zusammenhang mit Verträgen zur Wartung und Prüfung von IT-Systemen diskutiert.
Hierbei ist aufgrund des weit gefassten Begriffs der „Verarbeitung davon auszugehen, dass nur bei einer reinen technischen Wartung ohne Zugriff auf personenbezogene Daten keine Auftragsdatenverarbeitung vorliegt und deshalb Artikel 28 DSGVO nicht zu beachten ist.
Für den Fall jedoch, dass bei der Wartung oder Prüfung der IT-Systeme für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten geben ist, so handelt es sich um eine Form bzw. Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DSGVO sind umzusetzen.
Datenweitergabe und Verarbeitung ohne Auftragsverarbeitung
Jedoch ist eine Auftragsbearbeitung nicht alleine deshalb gegeben, wenn ein Unternehmen personenbezogene Daten einem Dritten gegenüber offenlegt und weitergibt.
Deshalb liegt eine Vereinbarung über die Auftragsverarbeitung nur in den Fällen vor, in denen der Schwerpunkt einer vertraglichen Leistung eines Auftragnehmers in der Verarbeitung der personenbezogenen Daten liegt.
Hierbei ist z. B. ein Paketzusteller, der für einen Auftraggeber Pakete ausliefert, kein Auftragsverarbeiter, da sein Schwerpunkt in der Transport- und Logistikleistung liegt. Dabei werden zwar auch personenbezogene Daten verarbeitet, jedoch stellt dies nicht den Schwerpunkt seiner Leistung dar.
Deshalb führt nach dieser Schwerpunkttheorie bei der praktischen unternehmerischen Anwendung zu klaren Ergebnissen. Allerdings müssen natürlich auch bei einer nicht gegebenen Auftragsverarbeitung von einem Empfänger von Daten diese DSGVO konform verarbeitet werden.
Abgrenzung der Auftragsverarbeitung von weiteren Verarbeitungssituationen
Ein Vertrag über die Auftragsverarbeitung muss hingegen insbesondere auch von anderen Verarbeitungssituationen abgegrenzt werden. Dabei sind besonders die Fälle der gemeinsamen Verantwortlichen und die Funktionsübertragung zu nennen.
Gemeinsame Verantwortliche nach § 26 DSGVO
Für den Fall, dass zwei oder mehr Verantwortliche den Zweck und die Mittel einer Verarbeitung personenbezogener Daten gemeinsam festlegen, sind sie auch gemeinsam Verantwortliche.
Dabei ist für die Abgrenzung zur Auftragsverarbeitung daher vor allem von Bedeutung, dass beide Personen oder Stellen die grundlegenden Entscheidungen über die Verarbeitung der Daten gemeinsam treffen, also kein Weisungsverhältnis besteht.
Hierbei kann es sich z. B. um zwei verschiedene Führungsbereiche des gleichen Unternehmens handeln.
Die Funktionsübertragung
Mit einer Funktionsübertragung ist die klassische Übermittlung personenbezogener Daten von einer Person oder auch Stelle auf eine andere Person oder Stelle gemeint. Dabei ist diese dadurch gekennzeichnet, dass der Empfänger der Daten die Zwecke und die Mittel der Weiterverarbeitung selbst festlegt und dabei die Daten insbesondere zur Erfüllung eigener Aufgaben nutzt.
Hierbei verarbeitet der Empfänger der Daten diese nicht im Auftrag und auf Weisung des Verantwortlichen weiter. Deshalb, liegt auch keine Auftragsverarbeitung vor. Jedoch bedarf es für die Übermittlung der Daten und die Weiterverarbeitung durch den Empfänger immer auch einer Rechtsgrundlage.
Die Zulässigkeit der Auftragsverarbeitung
Grundsätzlich enthält der Art. 28 der DSGVO keine ausdrückliche Befugnis zur Auftragsverarbeitung, sondern nur spezifische Bestimmungen, die bei einer Auftragsverarbeitung einzuhalten sind.
Jedoch kann davon ausgegangen werden, dass eine Verarbeitung personenbezogener Daten durch den Verantwortlichen und den Auftragsverarbeiter ein einheitlicher Vorgang der Datenverarbeitung ist.
Deshalb kann der Verantwortliche, wenn er eine Befugnis zur Datenverarbeitung hat, die Verarbeitung grundsätzlich auch auf einen Auftragsverarbeiter übertragen. Hierbei sind jedoch immer spezielle gesetzliche Vorschriften, verfassungsrechtliche Grenzen und Zuständigkeitsregelungen zu beachten.
Der Auftragsverarbeitungsvertrag als Grundlage einer Auftragsverarbeitung
Dabei verlangt die DSGVO, dass Grundlage einer Auftragsverarbeitung ein sogenannter Auftragsverarbeitungsvertrag ist. Hierbei handelt es sich im Grundvertrag zumeist um einen Dienstvertrag oder Werkvertrag.
Ferner kann auch ein anderes Rechtsinstrument des Staates als Grundlage dienen, so kann z. B. eine Auftragsverarbeitung auch über eine Rechtsverordnung festgelegt werden, wenn es eine entsprechende gesetzliche Ermächtigung gibt.
Jedoch ist die Frage, ob eine Auftragsverarbeitung vorliegt, dabei immer wichtig für die Rechtsmäßigkeit der Datenverarbeitung. Für den Fall, dass eine Auftragsverarbeitung vorliegt, dann müssen für die Rechtmäßigkeit der Verarbeitung immer die Vorgaben der DSGVO beachtet werden und auch in einem Auftragsverarbeitungsvertrag berücksichtigt werden.
Rechte und Pflichten des Verantwortlichen aus dem Auftragsverarbeitungsvertrag
Der Verantwortliche hat auch im Rahmen der Auftragsverarbeitung die allgemeinen, in der DSGVO festgelegten Pflichten zu erfüllen.
Hierbei handelt es sich insbesondere um:
- die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Absatz 2 DSGVO
- die Festlegung technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung nach Art. 32 DSGVO.
Ferner sind insbesondere folgende spezielle Pflichten zu erfüllen:
Die Auswahl des Auftragsverarbeiters
Ein Verantwortlicher ist nur befugt mit Auftragsverarbeitern zusammenarbeiten, die hinreichenden Garantien dafür bieten, dass die Verarbeitung der personenbezogenen Daten gemäß der DSGVO erfolgt.
Deshalb muss er den Auftragsverarbeiter sorgfältig auswählen, wobei Fachwissen, Zuverlässigkeit und Ressourcen wichtige Maßstäbe für die Auswahl sind. Dabei können als Nachweis ausreichender Garantien sowohl genehmigte Verhaltensregeln, denen der Auftragsverarbeiter unterliegt, oder aber auch Zertifizierungen dienen.
Die Kontrolle des Auftragsverarbeiters
Aus den beschriebenen Anforderungen an einen Auftragsverarbeiters folgt auch, dass der Verantwortliche den Auftragsverarbeiter kontrollieren muss. Dabei muss er sich Gewissheit darüber verschaffen, dass der Auftragsverarbeiter alle technischen und organisatorischen Maßnahmen einhält, die zum Schutz der betroffenen personenbezogenen Daten notwendig sind.
Jedoch reichen hierfür nach DSGVO vereinbarte Verhaltensregeln oder Zertifizierungen und es ist nicht mehr zwingend notwendig, eine Vorort-Kontrolle durchzuführen.
Für den Fall, dass dies nicht ausreichend erscheint oder keine Verhaltensregeln oder Zertifizierungen vorliegen, muss der Verantwortliche die Kontrollen wie bisher durchführen, also vor Ort die getroffenen technischen und organisatorischen Maßnahmen sowie deren Einhaltung überprüfen.
Erteilung dokumentierter Anweisungen an den Auftragsbearbeiter
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten auf Weisung des Verantwortlichen. Dabei ist im Auftragsverarbeitungsvertrag zu regeln, dass die Verarbeitung nur auf der Grundlage dokumentierter Weisungen erfolgt.
Deshalb besteht von Seiten des Verantwortlichen auch die Pflicht, die Weisungen in dokumentierbarer Form zu erteilen. Hierbei liegt dies auch im eigenen Interesse des Verantwortlichen.
Dabei kann es bei Datenschutzverletzungen und daraus resultierenden Schadenersatzansprüchen betroffener Personen für die Schadensverteilung im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter auf den Wortlaut einer Weisung und darauf ankommen, ob sich der Auftragsverarbeiter an die Weisung gehalten hat oder nicht.
Die Rechte und Pflichten des Auftragsverarbeiters
Die DSGVO nimmt den Auftragsverarbeiter stärker in die Pflicht zur Einhaltung des Datenschutzrechts, als dies nach bisherigem nationalen Recht der Fall war. Hierbei verlangt sie an verschiedenen Stellen selbständige datenschutzrechtliche Pflichten des Auftragsverarbeiters.
Dabei handelt es sich insbesondere um:
- die Verpflichtung zum Führen eines Verfahrensverzeichnisses (nach Art. 30 Abs. 2 DSGVO)
- ferner die Verpflichtung zu einer Zusammenarbeit mit der Datenschutzaufsicht (nach Art. 31 DSGVO)
- außerdem die Notwendigkeit zum Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit (nach Art. 32 Abs. 1 DSGVO),
- zusätzlich um eine Bestellung eines betrieblichen Datenschutzbeauftragten (nach Art. 37 Abs. 1 DSGVO)
- ferner die Einhaltung der Beschränkungen für den Datentransfer in Drittländer (nach Art. 44 DSGVO)
- außerdem eine Informationspflicht an den Verantwortlichen, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzbestimmungen verstoßen (nach Art. 28 Abs. 3 Satz 3 DSGVO),
- zusätzlich die Meldepflicht von Datenschutzverstößen an den Verantwortlichen (nach Art. 33 Abs. 2 DSGVO).
Die Beauftragung weiterer Subunternehmer durch den Auftragsbearbeiter
Für den Fall, dass ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter in Anspruch nehmen will innerhalb seines Auftragsverarbeitungsvertrages, so darf er dies nur,
- mit einer schriftlichen Genehmigung des Verantwortlichen (nach Art. 28 Abs. 2 DSGVO) und bei
- einer Vereinbarung der gleichen Datenschutzstandards, die zwischen dem Verantwortlichen und ihm gelten aus dem Auftragsverarbeitungsvertrag.
Jedoch gilt in dem Fall, dass ein Auftragsverarbeiter hierbei Mittel und Zweck der Verarbeitung entgegen der DSGVO selbst bestimmt, selbst als Verantwortlicher mit allen daraus erwachsenden Rechten und Pflichten.
Die Haftung des Verantwortlichen und des Auftragsverarbeiters aus dem Vertrag über die Auftragsverarbeitung
Durch die DSGVO ändert sich auch die bisherige Haftungslage zwischen Verantwortlichen Und Auftragsbearbeiter.
Dabei hatte bislang nach dem Datenschutzgesetz in Österreich der Verantwortliche, der einem Betroffenen einen Schaden zugefügt hat, hierfür zu haften. Hierbei war der Auftragsverarbeiter praktisch nur ein intern beauftragter Subunternehmer und der Verantwortliche hatte im Außenverhältnis auch für dessen Fehlverhalten einzustehen.
Jedoch hat nun, mit Inkrafttreten der DSGVO, eine betroffene Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
Dabei haften sowohl der Verantwortliche als auch der Auftragsverarbeiter für einen Schaden, für den sie mitverantwortlich sind, gegenüber der betroffenen Person in voller Höhe.
Haftungsausgleich im Innenverhältnis zwischen Verantwortlichen und Auftragsverarbeiter
Durch den Auftragsverarbeitungsvertrag kann im Innenverhältnis zwischen Verantwortlichen und Auftragsverarbeiter ein Ausgleich je nach der Höhe des Anteils an der Verantwortung für den verursachten Schaden geltend gemacht werden.
Allerdings entfällt eine Haftung des Auftragsverarbeiters, wenn er:
- seinen Pflichten aus der DSGVO nachgekommen ist und dabei z. B. ausreichend technisch -organisatorische Maßnahmen für die Datensicherheit gewährleistet hat und
- er außerdem entsprechend den rechtmäßig erteilten Weisungen des Verantwortlichen gehandelt hat und nicht entgegen der Weisungen gearbeitet hat.
Allerdings können sowohl der Verantwortliche als auch der Auftragsverarbeiter der Haftung entziehen, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den eingetretenen Schaden verantwortlich sind.
Regelungsinhalte des Auftragsverarbeitungsvertrages
Um einen rechtsgültigen Auftragsverarbeitungsvertrag aufsetzen zu können, müssen einige Regelungsinhalte Bestandteil des Vertrages sein.
Hierbei müssen unter anderem regelt werden:
Der Gegenstand der Vereinbarung
Zunächst muss im Auftragsverarbeitungsvertrag der Gegenstand des Auftrages mit der entsprechenden Durchführung der Aufgaben möglichst detailliert beschrieben werden.
Hierbei handelt es sich um die Beschreibung der Aufgaben des Auftragnehmers, einschließlich der Art und des Zwecks der vorgesehenen Verarbeitung. Ferner sollten hier auch die Datenkategorien und Personenkategorien angeführt werden, die der Verarbeitung unterliegen.
Die Dauer der Auftragsverarbeitungsvereinbarung
Hierbei wird festgelegt, für welchen Zeitraum der Auftragsverarbeitungsvertrag geschlossen wird. Dabei, kann sowohl eine einmalige Durchführung, eine befristete Laufzeit als auch eine unbefristete Laufzeit des Auftragsverarbeitungsvertrages vereinbart werden.
Für den Fall, dass eine unbefristete Laufzeit vereinbart wird, sollte eine Kündigungsfrist vereinbart werden. Jedoch bleibt hiervon die Möglichkeit einer außerordentlichen Kündigung aus einem wichtigen Grund unberührt.
Die Pflichten des Auftragsverarbeiters
In diesem Bereich müssen die Pflichten des Auftragsverarbeiters gemäß der DGVO oder auch anderer rechtlicher Grundlagen beschrieben werden. Diese haben wir bereits in diesem Beitrag angeführt.
Definition des Ortes der Durchführung der Datenverarbeitung
Dabei sollte in diesem Abschnitt definiert werden, ob die Auftragsverarbeitung ausschließlich innerhalb der EU bzw. des EWR durchgeführt wird oder ob auch eine evtl. teilweise Durchführung auch außerhalb der EU oder des EWR vorgesehen ist. Hierbei ist dann zu definieren, aus welchen rechtlichen Rahmenbedingungen sich das angemessene Datenschutzniveau ergibt.
Vereinbarungen zum Einsatz von Sub- Auftragsverarbeitern
Ferner sollte in einen Auftragsverarbeitungsvertrag auch geregelt werden, inwieweit der Auftragsverarbeiter berechtigt ist, Sub- Auftragsverarbeiter bei der Datenverarbeitung hinzuzuziehen.
Dabei kann ein generelles Verbot ausgesprochen werden oder aber auch die Zulässigkeit der Hinzuziehung eines bestimmten Sub-Auftragsverarbeiters vereinbart werden. Ferner kann natürlich auch ohne Spezifikation eine Hinzuziehung von Sub- Auftragsverarbeitern genehmigt werden. Dabei sollte jedoch immer auch auf die Informationspflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen hingewiesen werden.
muss hier auch verankert werden, dass sich ein Sub- Auftragsverarbeiter zu den gleichen Bedingungen wie der ursprüngliche Auftragsverarbeiter an den Datenverarbeitungen beteiligt.
Anlagen zu Vereinbarungen zu technisch – organisatorischen Maßnahmen
Zusätzlich zum Auftragsverarbeitungsvertrag sollte eine Anlage zum Vertrag zu den konkret vereinbarten Maßnahmen bestehen, die im technisch- organisatorischen Bereich die Datensicherheit bei der Auftragsverarbeitung festlegt.
Hierbei werden dann technische Regelungen vereinbart, die Vertraulichkeit, Datenintegrität, Verfügbarkeitskontrolle (Schutz gegen Datenverlust) und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung beinhalten.
Wie kann ein Anwalt für Datenschutzrecht beim Auftragsverarbeitungsvertrag helfen?
Ein Auftragsverarbeitungsvertrag ist ein sensibles Vertragswerk, bei dem sichergestellt werden muss, dass Auftragsverarbeiter im Rahmen ihrer Tätigkeit alle notwendigen Pflichten zur Datensicherheit einhalten.
Deshalb ist es immer sinnvoll, beim Auftragsverarbeitungsvertrag erstellen oder auch prüfen einen spezialisierten Rechtsanwalt für Datenschutzrecht in Anspruch zu nehmen. Hierbei kann dieser sicherstellen, dass der Auftragverarbeitungsvertrag nicht nur vollständige Regelungen enthält, sondern auch rechtlich konform mit den gesetzlichen Bestimmungen abgeschlossen werden kann.
Ferner wird ein Anwalt für Datenschutzrecht seinen Mandanten natürlich auch gerne eingehend beraten zu allen relevanten rechtlichen Rahmenbedingungen beim Auftragsbearbeitungsvertrag und ihm eine individuell passfähige Ausarbeitung seines individuellen Auftragsbearbeitungsvertrages vorschlagen.
