Was passiert bei Nichteinhaltung?

Bei Nichteinhaltung der DSGVO-Bestimmungen, einschließlich der Regelungen für Auftragsverarbeitungsverträge, können Unternehmen mit erheblichen Strafen rechnen. Dies kann Bußgelder von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro umfassen, je nachdem, welcher Betrag höher ist.

Wie oft muss der Vertrag aktualisiert werden?

Die Aktualisierung eines Auftragsverarbeitungsvertrags sollte immer dann erfolgen, wenn sich die Datenverarbeitungspraktiken oder die gesetzlichen Anforderungen ändern. Es gibt keine festgelegte Frist für die Aktualisierung, aber eine regelmäßige Überprüfung wird empfohlen.

Dürfen Daten ins Ausland übertragen werden?

Daten dürfen grundsätzlich ins Ausland übertragen werden, sofern das Zielland ein angemessenes Datenschutzniveau gemäß DSGVO bietet oder spezifische Schutzmaßnahmen, wie Standardvertragsklauseln, implementiert sind.

Auftragsverarbeitungsvertrag nach DSGVO – Was gilt es zu beachten?

Mar 31, 2024 | Datenschutz, DSGVO

Einleitung: Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein zentrales Element der Datenschutz-Grundverordnung (DSGVO), das die Beziehung zwischen Datenverantwortlichen und Datenverarbeitern regelt. Dieser Vertrag stellt sicher, dass personenbezogene Daten im Auftrag und unter den genauen Anweisungen des Verantwortlichen verarbeitet werden, wobei beide Seiten klare Verpflichtungen hinsichtlich des Datenschutzes übernehmen. Für Unternehmen und Datenschutzbeauftragte ist das Verständnis und die Implementierung solcher Verträge von großer Bedeutung, um die Einhaltung der DSGVO zu gewährleisten und Datenschutzrisiken zu minimieren.

Seit der Einführung der DSGVO im Jahr 2018 hat der AV-Vertrag eine zunehmende Bedeutung erlangt, was die Anpassung an die verschärften Datenschutzstandards und die stärkere Betonung der Verantwortlichkeit von Unternehmen unterstreicht. Der AV-Vertrag unterscheidet sich von anderen datenschutzrechtlichen Vereinbarungen durch seinen spezifischen Fokus auf die Beziehung zwischen dem Verantwortlichen, der die Zwecke und Mittel der Datenverarbeitung festlegt, und dem Verarbeiter, der im Auftrag des Verantwortlichen handelt.

Im Gegensatz zu Vereinbarungen über gemeinsame Verantwortlichkeiten, die die Aufgabenverteilung bei der Datenverarbeitung zwischen Partnern regeln, zielt der AV-Vertrag darauf ab, ein hohes Maß an Datenschutz und Datensicherheit bei der Auftragsverarbeitung sicherzustellen.

In der Praxis betrifft dies eine Vielzahl von Dienstleistungen, wie zum Beispiel die Nutzung von Cloud-Speicherdiensten, die Auslagerung der Lohnbuchhaltung oder das Management von Kundenbeziehungen durch externe Dienstleister. Diese alltäglichen Geschäftsprozesse erfordern häufig die Verarbeitung personenbezogener Daten außerhalb der eigenen Unternehmensstrukturen, was den Abschluss eines AV-Vertrags unerlässlich macht.

Blaues Schloss auf schwarzem Hintergrund symbolisiert einen Auftragsverarbeitungsvertrag im Datenschutz

Ein starkes Fundament des Datenschutzes durch Auftragsverarbeitungsverträge.

Die rechtlichen Grundlagen des Auftragsverarbeitungsvertrags

Die rechtlichen Grundlagen des Auftragsverarbeitungsvertrags sind fest in Artikel 28 der Datenschutz-Grundverordnung (DSGVO) verankert. Dieser Artikel definiert klare Anforderungen und Pflichten sowohl für den Datenverantwortlichen als auch für den Auftragsverarbeiter. Ein zentrales Element dabei ist die klare Unterscheidung der Rollen: Der Datenverantwortliche bestimmt den Zweck und die Mittel der Datenverarbeitung, während der Auftragsverarbeiter diese Daten im Namen des Verantwortlichen und gemäß dessen Anweisungen verarbeitet. Es ist entscheidend, dass beide Parteien diese Unterscheidung verstehen und ihre jeweiligen Verpflichtungen im Rahmen der DSGVO akkurat erfüllen.

Artikel 28 DSGVO schreibt vor, dass der Vertrag zwischen dem Verantwortlichen und dem Verarbeiter spezifische Angaben enthalten muss, darunter die Art und Zwecke der Verarbeitung, die Dauer der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen. Darüber hinaus muss der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Diese Bestimmungen sollen sicherstellen, dass die Verarbeitung personenbezogener Daten im Einklang mit den hohen Datenschutzstandards der DSGVO erfolgt, unabhängig davon, ob sie innerhalb oder außerhalb der Organisation des Datenverantwortlichen stattfindet. Durch die explizite Festlegung der Verantwortlichkeiten und Anforderungen fördert Artikel 28 ein klares Verständnis und die Einhaltung der Datenschutzprinzipien, wodurch das Vertrauen in die Verarbeitungsaktivitäten und die Sicherheit der betroffenen Personen gestärkt wird.

Schlüsselelemente eines Auftragsverarbeitungsvertrags

Die Schlüsselelemente eines Auftragsverarbeitungsvertrags sind essentiell für dessen Wirksamkeit und Konformität mit der Datenschutz-Grundverordnung (DSGVO). Zu diesen Elementen gehören:

Klar definierte Datenverarbeitungszwecke und -arten

Es muss eindeutig festgelegt werden, wie und warum personenbezogene Daten verarbeitet werden. Diese Festlegungen bilden die Grundlage für jegliche Datenverarbeitungsaktivitäten, die im Namen des Datenverantwortlichen durchgeführt werden, und stellen sicher, dass diese Aktivitäten im Einklang mit den festgelegten Zielen und im Rahmen der gesetzlichen Erlaubnis erfolgen.

Rechte und Pflichten beider Parteien

Ein AV-Vertrag muss die Rechte und Pflichten sowohl des Datenverantwortlichen als auch des Auftragsverarbeiters detailliert beschreiben. Dies umfasst, aber ist nicht beschränkt auf, Anweisungen zur Datenverarbeitung, die Pflicht zur Vertraulichkeit, die Anforderungen an die Unterauftragsverarbeitung, die Handhabung von Datenpannen, die Unterstützung bei der Einhaltung der Rechte betroffener Personen und die Regelungen zur Löschung oder Rückgabe der Daten am Ende der Verarbeitung.

Technische und organisatorische Maßnahmen

Um ein hohes Maß an Sicherheit für die verarbeiteten Daten zu gewährleisten, müssen im AV-Vertrag angemessene technische und organisatorische Maßnahmen festgelegt werden. Diese Maßnahmen dienen dem Schutz personenbezogener Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Offenlegung, Veränderung oder Zerstörung. Beispiele für solche Maßnahmen sind Verschlüsselung, Zugangskontrollen, regelmäßige Sicherheitsüberprüfungen und Maßnahmen zur Datensicherheit.

Die Einhaltung dieser Schlüsselelemente ist entscheidend, um die Compliance mit der DSGVO sicherzustellen und ein angemessenes Datenschutzniveau bei der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter zu gewährleisten. Darüber hinaus stärken sie das Vertrauen zwischen den Vertragsparteien und gegenüber den betroffenen Personen, deren Daten verarbeitet werden.

Hände halten ein Schloss, Laptop im Hintergrund verdeutlicht digitale Datensicherheit

Praktische Umsetzung der DSGVO-Anforderungen in der digitalen Welt ist für Unternehmen oft eine Herausforderung.

Häufige Fehler und wie man sie vermeidet

Bei der Erstellung und Verwaltung eines Auftragsverarbeitungsvertrags (AV-Vertrag) können bestimmte Fehler die Effektivität und Rechtskonformität des Vertrags beeinträchtigen. Um diese zu vermeiden, ist es wichtig, die folgenden häufigen Fallstricke zu kennen und entsprechende Maßnahmen zu ergreifen:

Unspezifische Festlegung der Datenverarbeitungsdetails

Ein häufiger Fehler ist das Versäumnis, die Art und den Zweck der Datenverarbeitung genau zu spezifizieren. Jeder AV-Vertrag sollte detailliert beschreiben, welche personenbezogenen Daten verarbeitet werden, für welche spezifischen Zwecke sie verarbeitet werden und wie die Verarbeitung erfolgt. Dies gewährleistet Klarheit für beide Parteien und hilft, Missverständnisse und nicht konforme Verarbeitungsaktivitäten zu vermeiden.

Unklare Rechte und Pflichten der Parteien

Ein weiterer Fehler ist die unzureichende Definition der Rechte und Pflichten der Parteien. Der Vertrag muss deutlich machen, welche Anforderungen an die Verarbeitung gestellt werden, wie der Auftragsverarbeiter mit Datenpannen umgehen soll, die Modalitäten zur Unterstützung bei Anfragen betroffener Personen und die Bedingungen für die Beendigung des Vertrags. Eine klare Vereinbarung zu diesen Punkten ist entscheidend für die Einhaltung der DSGVO.

Vernachlässigung technischer und organisatorischer Maßnahmen

Die Nichtberücksichtigung oder unzureichende Spezifikation von technischen und organisatorischen Sicherheitsmaßnahmen stellt ein signifikantes Risiko dar. Der Vertrag sollte konkrete Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung festlegen, einschließlich Verschlüsselung, Zugriffskontrollen und Verfahren zur regelmäßigen Überprüfung der Effektivität dieser Sicherheitsmaßnahmen.

Um diese Fehler zu vermeiden, ist eine effektive Zusammenarbeit, die auf transparenter Kommunikation und einem gemeinsamen Verständnis der erforderlichen Sicherheitsmaßnahmen basiert, unerlässlich. Beide Parteien sollten aktiv zusammenarbeiten, um sicherzustellen, dass der AV-Vertrag alle notwendigen Details umfasst und die Einhaltung der DSGVO gewährleistet ist. Durch die Vermeidung dieser häufigen Fehler können Unternehmen und Auftragsverarbeiter nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen in ihre Datenverarbeitungspraktiken stärken.

Zwei Handys umgeben von Händen in EU-Farben mit Sternen und einem gelben Schloss

Die DSGVO und der daraus resultierende Schutz personenbezogener Daten gilt in der ganzen EU.

Praxisbeispiel: Ein Auftragsverarbeitungsvertrag in Aktion

Ein praktisches Beispiel veranschaulicht, wie ein Auftragsverarbeitungsvertrag (AV-Vertrag) in der Praxis funktioniert und seine theoretischen Grundlagen in konkrete Maßnahmen übersetzt werden. Betrachten wir den fiktiven Fall eines Unternehmens, das einen Cloud-Service-Anbieter für die Speicherung von Kundendaten nutzt. Dieses Szenario verdeutlicht die Anwendung der Schlüsselelemente eines AV-Vertrags:

Detaillierte Durchgehung der Datenverarbeitungszwecke

Der Vertrag zwischen dem Unternehmen (Datenverantwortlicher) und dem Cloud-Service-Anbieter (Auftragsverarbeiter) legt präzise fest, dass die Kundendaten ausschließlich zum Zweck der Speicherung und Sicherung verwendet werden dürfen. Es wird genau definiert, welche Arten von Daten übertragen werden, einschließlich Kontaktdaten und Transaktionshistorie, und wie diese geschützt werden sollen.

Rechte und Pflichten der Parteien

Der Vertrag spezifiziert die Pflichten des Cloud-Service-Anbieters, etwa die Gewährleistung der Vertraulichkeit und Integrität der Daten durch Zugangskontrollen und Verschlüsselung. Zudem verpflichtet sich der Anbieter, das Unternehmen unverzüglich über mögliche Datenpannen zu informieren und bei Anfragen von Datenschutzbehörden oder betroffenen Personen unterstützend zu wirken.

Vereinbarte technische und organisatorische Maßnahmen

Der Vertrag enthält detaillierte Angaben zu den Sicherheitsmaßnahmen, die der Auftragsverarbeiter implementieren muss. Dazu gehören Firewalls, regelmäßige Sicherheitsaudits und Mitarbeiterschulungen zum Datenschutz. Diese Maßnahmen dienen dazu, die Risiken für die personenbezogenen Daten zu minimieren und die Compliance mit der DSGVO sicherzustellen.

Eine solche detaillierte Analyse eines AV-Vertrags in einem praxisnahen Beispiel zeigt auf, wie die Anforderungen der DSGVO in vertragliche Vereinbarungen überführt werden und welche Rolle jeder Vertragsabschnitt bei der Gewährleistung der Datenschutzkonformität spielt. Durch das Verstehen dieser praktischen Anwendung können Unternehmen und Auftragsverarbeiter die Bedeutung jedes Vertragselements besser erfassen und sicherstellen, dass sie ihre rechtlichen Verpflichtungen effektiv erfüllen.

Cyber-Schutzschild gehalten in einer Hand zeigt die persönliche Verantwortung im Datenschutz

Jeder Einzelne trägt zum Schutz der Daten bei – ein Leitprinzip der DSGVO.

Fazit: Auftragsverarbeitungsvertrag im Datenschutzmanagement

Der Auftragsverarbeitungsvertrag spielt eine zentrale Rolle im Datenschutzmanagement und ist unerlässlich für die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Er bildet das rechtliche Fundament für die Beziehung zwischen Datenverantwortlichen und Auftragsverarbeitern, indem er klar definiert, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. Durch präzise Festlegungen zu Datenverarbeitungszwecken, Rechten und Pflichten der beteiligten Parteien sowie erforderlichen technischen und organisatorischen Maßnahmen, gewährleistet der Vertrag, dass beide Parteien ihre Verantwortlichkeiten zum Schutz personenbezogener Daten verstehen und einhalten.

Die sorgfältige Ausgestaltung dieser Verträge und ihre regelmäßige Überprüfung sind entscheidend, um sicherzustellen, dass die Verarbeitung personenbezogener Daten stets den aktuellsten Datenschutzstandards entspricht. Dies minimiert nicht nur Datenschutzrisiken, sondern stärkt auch das Vertrauen der betroffenen Personen und Geschäftspartner in die Datenverarbeitungspraktiken des Unternehmens. Zudem ermöglicht eine proaktive Handhabung des Auftragsverarbeitungsvertrags, potenzielle Compliance-Probleme frühzeitig zu identifizieren und anzugehen, wodurch das Risiko von Datenschutzverletzungen und den damit verbundenen finanziellen und reputativen Schäden verringert wird.

Letztendlich ist der Auftragsverarbeitungsvertrag nicht nur ein rechtliches Erfordernis, sondern ein zentrales Instrument im Rahmen des Datenschutzmanagements, das zur Förderung einer Kultur der Datenschutzkonformität und -sicherheit innerhalb und außerhalb der Organisation beiträgt. Unternehmen, die diesen Aspekt der DSGVO ernst nehmen und in ihre Datenschutzstrategie integrieren, setzen ein starkes Zeichen für ihre Verpflichtung zum Schutz personenbezogener Daten.

Quelle

LDI Baden-Württemberg

FAQs

Was versteht man unter elektronischer Kommunikation im Sinne der ePrivacy-Verordnung?

Elektronische Kommunikation bezieht sich auf jeglichen Austausch oder jede Übertragung von Daten über elektronische Kommunikationsnetze. Dazu gehören nicht nur E-Mails und Instant Messaging, sondern auch die Kommunikation über soziale Medien und andere Online-Plattformen. Die ePrivacy-Verordnung zielt darauf ab, die Vertraulichkeit und Sicherheit dieser Kommunikationsformen zu gewährleisten, indem sie spezifische Vorschriften für den Schutz personenbezogener Daten und die Privatsphäre der Nutzer vorsieht.

Wie unterscheidet sich die ePrivacy-Verordnung von der DSGVO?

Die ePrivacy-Verordnung und die Datenschutz-Grundverordnung (DSGVO) ergänzen sich gegenseitig, aber sie haben unterschiedliche Schwerpunkte. Die DSGVO bietet einen umfassenden Rahmen für den Datenschutz in der gesamten Europäischen Union (EU) und regelt die Verarbeitung personenbezogener Daten in einem breiten Kontext. Im Gegensatz dazu konzentriert sich die ePrivacy-Verordnung spezifisch auf den Schutz der Privatsphäre und der personenbezogenen Daten im Bereich der elektronischen Kommunikation. Sie enthält detaillierte Vorschriften für die Nutzung von Cookies, den Schutz der elektronischen Kommunikation und andere spezifische Aspekte des Datenschutzes in der digitalen Welt.

Welche Pflichten ergeben sich für Unternehmen aus der ePrivacy-Verordnung?

Für Unternehmen resultieren aus der ePrivacy-Verordnung mehrere spezifische Pflichten:

Einholung der Einwilligung: Unternehmen müssen eine ausdrückliche Einwilligung von den Nutzern einholen, bevor sie Cookies oder ähnliche Tracking-Technologien einsetzen können.
Schutz der Kommunikation: Unternehmen sind verpflichtet, die Vertraulichkeit und Sicherheit der elektronischen Kommunikation zu gewährleisten. Dies umfasst sowohl den Inhalt als auch die Metadaten der Kommunikation.
Anpassung der Privatsphäre-Einstellungen: Nutzern muss die Möglichkeit gegeben werden, ihre Privatsphäre-Einstellungen einfach anzupassen, um eine größere Kontrolle über ihre personenbezogenen Daten zu ermöglichen.

Diese Pflichten betonen die Wichtigkeit des proaktiven Datenschutzmanagements durch Unternehmen und die Notwendigkeit, Datenschutzpraktiken kontinuierlich zu überprüfen und zu verbessern, um den Anforderungen der ePrivacy-Verordnung gerecht zu werden.

Karl Pusch

Karl Pusch ist ein Experte für Datenschutzlösungen mit über 20 Jahren Erfahrung. Er unterstützt Unternehmen dabei, Datenschutzrisiken zu minimieren und bietet Dienstleistungen wie Datenschutz-Audits und Risikobeseitigung an. Mit mehr als 140 beratenen Unternehmen verfügt er über umfassendes Wissen, um Firmen zukunftssicher im Datenschutz zu machen.