Auftragsverarbeitungsvereinbarung

Eine Auftragsverarbeitungsvereinbarung (AVV) ist eine vertragliche Regelung über die datenschutzrechtlichen Pflichten zweier Unternehmen. Die Auftragsverarbeitungsvereinbarung ist die nach Art. 28 Abs. 3 DS-GVO zwingend erforderliche vertragliche Grundlage einer Auftragsverarbeitung. Eine Auftragsverarbeitungsvereinbarung muss nicht nur geschlossen werden, wenn der Auftragsverarbeiter personenbezogene Daten verarbeiten soll. Es ist bereits ausreichend, wenn er im Rahmen seines Auftrags Zugriff auf personenbezogene Daten bekommt oder bekommen könnte. Ein Beispiel hierfür ist die Wartung von Computern, wobei der IT-Dienstleister nicht direkt personenbezogene Daten verarbeitet, aber Zugriff auf alle gespeicherten Daten hat.

Inhalt der Auftragsverarbeitungsvereinbarung

Mit der Auftragsverarbeitungsvereinbarung werden die eigenen datenschutzrechtlichen Pflichten an den Vertragspartner weitergereicht, der dann vertragsrechtlich verpflichtet ist, dasselbe Datenschutzniveau zu gewährleisten, das der Auftraggeber nach der DS-GVO sicherstellen muss. Der Abschluss der AVV ist Voraussetzung dafür, dass personenbezogene Daten an den Vertragspartner weitergegeben werden dürfen bzw. der Zugriff ermöglicht werden darf. Der Auftragsverarbeiter wird zum verlängerten Arm des Auftraggebers und zählt datenschutzrechtlich nicht mehr als Dritter.
Der Mindestinhalt einer Auftragsverarbeitungsvereinbarung ergibt sich aus Art. 28 Abs. 3 DS-GVO. Zu den wichtigsten Punkten gehören:

  • Gegenstand der Auftragsverarbeitung
  • Dauer der Auftragsverarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Art der betroffenen Personen
  • Pflichten und Rechte des Verantwortlichen
  • Pflicht zur dokumentierten Anweisung der jeweiligen Datenverarbeitung
  • Verpflichtung verarbeitender Mitarbeiter auf Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei seinen allgemeinen Pflichten
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Zusammenspiel von Hauptvertrag und Auftragsverarbeitungsvereinbarung

Zusätzlich ist es wichtig, eine Regelung zur Vergütung zu treffen, das heißt, darüber, welche dieser Tätigkeiten gesondert vergütet werden und welche Tätigkeiten mit der Vergütung aus dem Hauptvertrag abgegolten sind. Eine Auftragsverarbeitungsvereinbarung ist kein losgelöster Vertrag, sondern eine datenschutzrechtliche Ergänzung zu der Geschäftsbeziehung, die sich z. B. aus einem Dienstleistungsvertrag oder Werkvertrag ergibt. Diesen Vertrag nennt man Hauptvertrag und darauf nimmt die Auftragsverarbeitungsvereinbarung immer Bezug. Um seine Pflichten aus dem Hauptvertrag erfüllen zu können, muss einer der Vertragspartner typische personenbezogene Daten weisungsgebunden verarbeiten. Was er hierbei datenschutzrechtlich zu beachten hat, wird in der ergänzenden Auftragsverarbeitungsvereinbarung geregelt.