Scroll Top

Auftragsverarbeitung nach DSGVO mit Checkliste und Prozessablauf

Allgemeines zur „ADV“ bzw. „AV“

Mit der Geltung der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO) änderten sich auch die Anforderungen an die Auftragsverarbeitung, kurz „AV“ genannt (nach alter Rechtslage kurz auch „ADV“ genannt, Abkürzung für den mittlerweile überholten Begriff der Auftragsdatenverarbeitung). Aber nicht nur das Wording hat sich mit der Novelle verändert, sondern auch der notwenige zu regelnde Inhalt. Noch immer werden uns in der Praxis Verträge nach alter Rechtslage zur Prüfung vorgelegt.

Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Person oder Entität, die die personenbezogenen Daten im Auftrag des Verantwortlichen Art. 4 Nr. 7 DSGVO (z.B. beim Outsourcing) verarbeitet. Wer ist denn nun aber genau Auftragsverarbeiter? Dazu gibt es eine hilfreiche FAQ der Aufsichtsbehörde in Bayern. 

Pflicht zum Vertragsschluss

Liegt ein Auftragsdatenverarbeitungsverhältnis vor, haben die Beteiligten (Achtung: neu! sowohl Auftragsverarbeiter als auch die „Verantwortliche Stelle“) die Pflicht, einen entsprechenden Vertrag (in Fachkreisen auch als „AV-Vertrag“ bezeichnet) zu schließen, dessen Inhalt überwiegend von der EU-DSGVO in Art. 28 Abs. 3 vorgegeben ist. 

Formerfordernis

Nach Art. 28 Abs. 9 DSGVO ist der Vertrag zur Auftragsverarbeitung schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. Elektronisch bedeutet, dass der Vertragsschluss mindestens der gem. § 126 b) BGB geregelten Textform entsprechen muss.

Haftung des Aufragsverarbeiters

Der Auftragsverarbeiter haftet anders als zuvor direkt gegenüber dem Betroffenen (Art. 82 Abs. 1, 4 DS-GVO), z. B. bei Datenpannen gegenüber dem Betroffenen im Außenverhältnis gesamtschuldnerisch auf Schadenersatz. Aufsichtsbehörden können die Sanktionen auch direkt gegenüber Auftragsverarbeitern verhängen. 

Lassen Sie sich beraten

Selbstverständlich finden sich im Internet eine Vielzahl von Mustern zur AV-Verträgen. 

Wir weisen deutlich darauf hin, zu diesen Musterverträgen nicht ohne Prüfung und notwendige Ergänzung zu greifen, denn es handelt sich um bloße Ideengeber, die eine geeignete Anpassung an konkrete Datenverarbeitungsprozesse benötigen. 

Wir unterstützen und beraten gern Ihre Auftragsverarbeitungsverhältnisse und prüfen Ihre Verträge auf Gesetzeskonformität.

Checkliste Auftragsverarbeitung:

  • Liegt ein Auftragsverarbeitungsverhältnis vor?
  • Ist ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen und enthält er die notwendigen gesetzlichen Inhalte und ist dies dokumentiert?
  • Sind Subunternehmer bekannt und datenschutzkonform eingesetzt? 
  • Sind die technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit ausreichend dokumentiert und werden diese regelmäßig geprüft?
  • Liegt eine Auftragsverarbeitung außerhalb des Geltungsbereiches der DSGVO vor und sind die dafür erforderlichen datenschutzrechtlichen Maßnahmen ergriffen und dokumentiert?
  • Ist das Auftragverarbeitungsverhältnis im Verzeichnis der Verarbeitungstätigkeiten erfasst? Achtung: Auch Auftragsverarbeiter haben diesbezüglich eine Dokumentation durchzuführen.

Prozessablauf bei Auswahl eines neuen Auftragsverarbeiters:

  • Vorlage der technisch-organisatorischen Maßnahmen sowie des AV-Vertrages durch die potenziellen Auftragnehmer im Vorfeld zum Vertragsabschluss
  • Auswahl des Auftragnehmers unter Berücksichtigung der technisch- organisatorischen Maßnahmen
  • Mindestens Auftrag in Textform mit Festlegung der technisch-organisatorischen Maßnahmen
  • Dokumentation der Ergebnisse der Prüfung der technisch-organisatorischen Maßnahmen 
  • Eigentlicher Vertragsabschluss (Hauptvertrag) und Beginn der Datenverarbeitung
  • Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen

Hilfreiche Links und Muster zum Thema Auftragsverarbeitung:

Kurzpapier des DSK Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO

FAQ der Aufsichtsbehörde  Niedersachsen – Stand: Juni 2020

Leitfaden Auftragsverarbeitung der BITKOM

Vertragsmuster (dt./engl.) des GDD

Formulierungshilfe der Aufsichtsbehörde Bayern für einen Auftragsverarbeitungsvertrag  

Dokumentation von Verarbeitungstätigkeiten für Auftragsverarbeiter (Artikel 30 Abs. 2)

Dokumentation von Verarbeitungstätigkeiten Verantwortlicher (Artikel 30 Abs. 1)

Verwandte Beiträge