avv vertrag nach dsgvo

AVV-Vertrag nach DSGVO: Rechtssichere Gestaltung der Auftragsverarbeitung

/ Allgemein, Vertragsrecht

Die Auftragsverarbeitung personenbezogener Daten ist in der heutigen Geschäftswelt alltäglich geworden. Ob Cloud-Services, externe IT-Dienstleister oder Marketingagenturen – sobald Unternehmen externe Partner mit der Verarbeitung personenbezogener Daten beauftragen, greift die Datenschutz-Grundverordnung. Der Abschluss rechtssicherer Auftragsverarbeitungsverträge (AVV) ist dabei nicht nur eine formale Pflicht, sondern ein entscheidender Baustein für die Datenschutz-Compliance Ihres Unternehmens.

Wichtiger Hinweis zur Begrifflichkeit: Der offizielle und korrekte Begriff lautet „Auftragsverarbeitungsvertrag“ (AVV). Die früher verwendete Bezeichnung „Auftragsdatenverarbeitungsvertrag“ (ADV-Vertrag) ist veraltet und sollte nicht mehr verwendet werden.

Die rechtlichen Anforderungen sind komplex und entwickeln sich kontinuierlich weiter. Verstöße gegen die DSGVO-Bestimmungen zur Auftragsverarbeitung können erhebliche Bußgelder nach sich ziehen. Gleichzeitig bietet ein professionell gestalteter AVV wichtigen Schutz vor Haftungsrisiken und schafft Rechtssicherheit für alle Beteiligten.

Kontakt aufnehmen
Inhaltsübersicht
  1. Das Wichtigste im Überblick
  2. Rechtliche Grundlagen der Auftragsverarbeitung
  3. Pflichtinhalte des AVV nach Art. 28 DSGVO
  4. Besondere Herausforderungen bei der Vertragsgestaltung
  5. Typische Fallkonstellationen mit Lösungsansätzen
  6. Praktische Tipps für Unternehmen
  7. Aktuelle Entwicklungen im Datenschutzrecht
  8. Checkliste für rechtssichere AVV
  9. Fazit: Professionelle Beratung zahlt sich aus
  10. Häufig gestellte Fragen 
  11. Verwandte Themen

Das Wichtigste im Überblick

  • AVV-Verträge (Auftragsverarbeitungsverträge) sind nach DSGVO verpflichtend, wenn personenbezogene Daten im Auftrag verarbeitet werden
  • Der Vertrag muss alle Anforderungen von Art. 28 DSGVO erfüllen und schriftlich oder elektronisch abgeschlossen werden
  • Unvollständige oder fehlende AVV-Verträge können zu erheblichen Bußgeldern führen
  • Regelmäßige Überprüfung und Anpassung der Verträge ist rechtlich geboten

Rechtliche Grundlagen der Auftragsverarbeitung

Die Auftragsverarbeitung ist in Art. 28 DSGVO detailliert geregelt. Diese Vorschrift definiert die Voraussetzungen, unter denen personenbezogene Daten an externe Dienstleister weitergegeben werden dürfen. Der Verantwortliche bleibt dabei stets in der Gesamtverantwortung für die Datenverarbeitung, während der Auftragsverarbeiter weisungsgebunden tätig wird.

Ein AVV liegt vor, wenn ein Unternehmen einem externen Dienstleister konkrete Weisungen zur Verarbeitung personenbezogener Daten erteilt. Dabei spielt es keine Rolle, ob die Datenverarbeitung den Hauptzweck der Beauftragung darstellt oder nur eine Nebenleistung ist. Entscheidend ist allein, dass personenbezogene Daten im Rahmen der Leistungserbringung verarbeitet werden.

Die DSGVO unterscheidet klar zwischen Verantwortlichem und Auftragsverarbeiter. Der Verantwortliche bestimmt die Zwecke und Mittel der Datenverarbeitung und trägt die datenschutzrechtlichen Pflichten. Der Auftragsverarbeiter handelt ausschließlich nach den Weisungen des Verantwortlichen und darf die Daten nicht für eigene Zwecke verwenden.

Pflichtinhalte des AVV nach Art. 28 DSGVO

Die DSGVO stellt präzise Anforderungen an den Inhalt von Auftragsverarbeitungsverträgen. Diese Mindestinhalte sind nicht verhandelbar und müssen vollständig erfasst werden.

Der Vertrag muss zunächst Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen spezifizieren. Diese Angaben müssen konkret und nachvollziehbar sein. Allgemeine Formulierungen reichen nicht aus.

Die Pflichten und Rechte des Verantwortlichen bilden einen weiteren Kernbereich. Der AVV muss klarstellen, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet. Dabei müssen auch die Modalitäten für Weisungserteilung und -dokumentation geregelt werden (vgl. Art. 28 Abs. 3 lit. a DSGVO).

Besondere Bedeutung kommt den technischen und organisatorischen Maßnahmen zu. Der Vertrag muss detailliert beschreiben, welche Sicherheitsmaßnahmen der Auftragsverarbeiter implementiert hat. Diese müssen dem Stand der Technik entsprechen und ein angemessenes Schutzniveau gewährleisten.

Die Regelungen zur Unterauftragsverarbeitung sind ebenfalls verpflichtend. Falls der Auftragsverarbeiter weitere Dienstleister einsetzen möchte, muss dies vertraglich geregelt werden. Der Verantwortliche kann entweder seine generelle Zustimmung erteilen oder sich ein Einzelzustimmungsrecht vorbehalten.

Besondere Herausforderungen bei der Vertragsgestaltung

Die Praxis zeigt, dass viele Unternehmen bei der AVV-Gestaltung vor erheblichen Herausforderungen stehen. Standardverträge der Dienstleister entsprechen häufig nicht den individuellen Anforderungen oder weisen rechtliche Lücken auf.

Ein zentrales Problem liegt in der angemessenen Risikoverteilung zwischen den Vertragsparteien. Während Auftragsverarbeiter ihre Haftung oft stark begrenzen möchten, tragen Verantwortliche das volle datenschutzrechtliche Risiko. Rechtsanwalt Giel entwickelt hier ausgewogene Lösungen, die beiden Seiten gerecht werden.

Die technische Komplexität moderner IT-Services stellt eine weitere Herausforderung dar. Cloud-Computing, API-Schnittstellen und automatisierte Datenverarbeitungsprozesse müssen präzise im AVV abgebildet werden. Dabei gilt es, sowohl die technischen Gegebenheiten als auch die rechtlichen Anforderungen zu berücksichtigen.

Internationale Datenübermittlungen erfordern zusätzliche vertragliche Regelungen. Wenn der Auftragsverarbeiter Daten in Drittländer übermittelt, müssen entsprechende Garantien und Schutzmaßnahmen vertraglich verankert werden. Die aktuellen Entwicklungen im Bereich der Standardvertragsklauseln und Angemessenheitsbeschlüsse sind dabei zu berücksichtigen.

Typische Fallkonstellationen mit Lösungsansätzen

In der Beratungspraxis begegnen uns regelmäßig wiederkehrende Konstellationen, die spezielle vertragliche Lösungen erfordern.

Bei IT-Dienstleistern und Cloud-Anbietern ist oft unklar, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Die Abgrenzung ist daran zu führen, ob der Dienstleister bzw. Cloud-Anbieter die Daten auch zu eigenen Zwecken verarbeiten möchte (dann gemeinsame Verantwortlichkeit). Hier ist eine sorgfältige Analyse der tatsächlichen Geschäftsprozesse erforderlich.

Bei Konzernverhältnissen stellt sich oft die Frage, ob zwischen verbundenen Unternehmen AVV erforderlich sind. Obwohl die DSGVO keine explizite ‚Konzernprivilegierung‘ vorsieht, können interne Datenübermittlungen innerhalb eines Konzerns unter bestimmten Voraussetzungen (z.B. Binding Corporate Rules, BCR) geregelt werden. Dennoch ist es ratsam, auch in Konzernverhältnissen klare vertragliche Vereinbarungen zu treffen, um die Einhaltung der DSGVO sicherzustellen.

Internationale Serviceerbringung erfordert besondere Aufmerksamkeit bei der Vertragsgestaltung. Neben den allgemeinen AVV-Anforderungen müssen zusätzliche Schutzmaßnahmen für Drittlandübermittlungen implementiert werden.

Praktische Tipps für Unternehmen

Unternehmen sollten zunächst eine vollständige Bestandsaufnahme aller Auftragsverarbeitungsverhältnisse durchführen. Dabei sind nicht nur die offensichtlichen IT-Dienstleistungen zu erfassen, sondern auch vermeintliche Nebenleistungen wie Reinigungsdienste oder Wartungsverträge.

Die Vertragsverhandlung sollte frühzeitig beginnen und nicht erst bei Vertragsabschluss. Viele Dienstleister zeigen sich kompromissbereit, wenn die datenschutzrechtlichen Anforderungen rechtzeitig kommuniziert werden.

Eine regelmäßige Überprüfung (mindestens jährlich oder bei wesentlichen Änderungen in der Datenverarbeitung) bestehender AVV ist unerlässlich, um sicherzustellen, dass sowohl technische Entwicklungen als auch rechtliche Änderungen in den Verträgen angemessen berücksichtigt werden.

Die Dokumentation von Weisungen und deren Umsetzung durch den Auftragsverarbeiter (vgl. Art. 28 Abs. 3 lit. a DSGVO) ist ein oft vernachlässigter, aber wichtiger Aspekt, um die Einhaltung der DSGVO nachweisen zu können.

Aktuelle Entwicklungen im Datenschutzrecht

Das Datenschutzrecht entwickelt sich kontinuierlich weiter, was auch Auswirkungen auf die AVV-Gestaltung hat. Die Rechtsprechung der Aufsichtsbehörden und Gerichte konkretisiert die abstrakten DSGVO-Vorgaben zunehmend.

Besondere Aufmerksamkeit verdienen die aktuellen Entwicklungen bei internationalen Datenübermittlungen. Die Diskussionen um Data Privacy Framework, Standardvertragsklauseln und neue Angemessenheitsbeschlüsse wirken sich unmittelbar auf Auftragsverarbeitungsverträge aus.

Die zunehmende Digitalisierung bringt neue Verarbeitungsformen mit sich, die in bestehende rechtliche Kategorien eingeordnet werden müssen. Künstliche Intelligenz, Internet of Things und Blockchain-Technologien stellen neue Anforderungen an die Vertragsgestaltung.

Auch die Durchsetzungspraxis der Aufsichtsbehörden entwickelt sich weiter. Verstöße gegen AVV-Pflichten können mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Wert höher ist (Art. 83 Abs. 5 DSGVO). Zusätzlich drohen zivilrechtliche Haftungsansprüche.

Checkliste für rechtssichere AVV

  • Vollständige Erfassung aller Verarbeitungstätigkeiten und Datenarten
  • Klare Abgrenzung der Rollen zwischen Verantwortlichem und Auftragsverarbeiter
  • Detaillierte Beschreibung der technischen und organisatorischen Maßnahmen
  • Regelung der Unterauftragsverarbeitung mit Zustimmungsverfahren
  • Vereinbarung von Löschungs- und Rückgabefristen
  • Festlegung von Unterstützungspflichten bei Betroffenenrechten
  • Regelung der Meldepflichten bei Datenschutzverletzungen
  • Vereinbarung von Kontroll- und Prüfungsrechten
  • Angemessene Haftungs- und Schadensersatzregelungen
  • Berücksichtigung internationaler Datenübermittlungen
  • Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erforderlich ist, insbesondere wenn die vorgesehene Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Fazit: Professionelle Beratung zahlt sich aus

Auftragsverarbeitungsverträge sind mehr als nur formale Pflichtübungen. Sie bilden das rechtliche Fundament für sichere und vertrauensvolle Geschäftsbeziehungen im digitalen Zeitalter. Die komplexen Anforderungen der DSGVO erfordern fundierte Rechtskenntnisse und praktische Erfahrung.

Eine professionelle Beratung bei der AVV-Gestaltung ist eine Investition in die Rechtssicherheit Ihres Unternehmens. Rechtsanwalt Giel verfügt über langjährige Kompetenz in der Gestaltung datenschutzkonformer Verträge und unterstützt Sie dabei, rechtliche Risiken zu minimieren und gleichzeitig praktikable Lösungen zu entwickeln.

Zögern Sie nicht, professionelle Unterstützung in Anspruch zu nehmen. Die Kosten für eine qualifizierte Rechtsberatung stehen in keinem Verhältnis zu den möglichen Bußgeldern und Haftungsrisiken bei fehlerhaften oder unvollständigen Auftragsverarbeitungsverträgen.

Häufig gestellte Fragen 

Wann ist ein AVV erforderlich?

Ein Auftragsverarbeitungsvertrag ist immer dann erforderlich, wenn ein externes Unternehmen im Auftrag personenbezogene Daten verarbeitet. Dies gilt unabhängig davon, ob die Datenverarbeitung Haupt- oder Nebenleistung ist.

Welche Form muss ein AVV haben?

Der Auftragsverarbeitungsvertrag muss schriftlich oder in einem elektronischen Format abgeschlossen werden. Mündliche Vereinbarungen sind nicht ausreichend.

Können Standardverträge der Dienstleister verwendet werden?

Standardverträge können als Basis dienen, müssen aber individuell geprüft und gegebenenfalls angepasst werden, da sie häufig nicht alle DSGVO-Anforderungen erfüllen.

Was passiert bei Verstößen gegen die AVV-Pflichten?

Verstöße können mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Wert höher ist (Art. 83 Abs. 5 DSGVO). Zusätzlich drohen zivilrechtliche Haftungsansprüche.

Müssen bestehende Verträge angepasst werden?

Ja, alle vor Inkrafttreten der DSGVO abgeschlossenen Auftragsverarbeitungsverträge sollten überprüft und gegebenenfalls angepasst werden, um den aktuellen Anforderungen zu entsprechen.

Was ist der Unterschied zwischen ADV und AVV?

AVV (Auftragsverarbeitungsvertrag) ist die korrekte und aktuelle Bezeichnung. ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) ist der veraltete Begriff, der nicht mehr verwendet werden sollte.

Wie oft sollten AVV überprüft werden?

Eine jährliche Überprüfung ist empfehlenswert, spätestens jedoch bei wesentlichen Änderungen der Datenverarbeitung oder neuen rechtlichen Entwicklungen.

Benötigen auch kleine Unternehmen AVV?

Ja, die Pflicht zum Abschluss von Auftragsverarbeitungsverträgen gilt unabhängig von der Unternehmensgröße für alle Verantwortlichen, die externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen.

Wer haftet bei Datenschutzverstößen – Verantwortlicher oder Auftragsverarbeiter?

Grundsätzlich haftet der Verantwortliche gegenüber den Betroffenen. Der Auftragsverarbeiter kann jedoch bei eigenen Pflichtverstößen ebenfalls haftbar gemacht werden. Die interne Haftungsverteilung zwischen den Parteien richtet sich nach dem AVV.

Sind AVV auch bei Dienstleistern in der EU erforderlich?

Ja, die Pflicht zum Abschluss von Auftragsverarbeitungsverträgen gilt unabhängig davon, ob sich der Auftragsverarbeiter in Deutschland, der EU oder einem Drittland befindet.

Kontakt aufnehmen

Verwandte Themen

Nach oben scrollen