Auftragsverarbeitungsvertrag: Datenschutz und Kundenvertrauen

In der digitalen Welt ist der Schutz persönlicher Informationen wichtiger denn je. Unternehmen, die personenbezogene Daten verarbeiten, stehen vor der Herausforderung, nicht nur die Effizienz ihrer Dienstleistungen zu steigern, sondern auch die Privatsphäre ihrer Kunden zu wahren.

Ein Schlüsselelement in diesem Bestreben ist der Auftragsverarbeitungsvertrag (AV-Vertrag). In diesem Artikel erklären wir, warum dieser Vertrag ein zentraler Pfeiler für den Datenschutz in der digitalen Wirtschaft ist und wie er zu einem sicheren und vertrauensvollen Umfeld für Unternehmen und Verbraucher beiträgt.

Wir sind bei eRecht24 Agenturpartner und dort erhalten Sie unter anderem rechtssichere Musterverträge z. B. für AV-Verträge, oder auch den eRecht24 Premium Generator, mit dem Sie unter anderem Datenschutzerklärung, Impressum, Cookie-Einwilligung und Co. erstellen können und viele weitere Möglichkeiten für ein abgesichertes Unternehmen.

Was ist ein Auftragsverarbeitungsvertrag und ist er so wichtig?

Stellen Sie sich vor, ein Unternehmen möchte, dass ein anderes Unternehmen ihm bei der Arbeit mit Kundeninformationen hilft – zum Beispiel beim Speichern von E-Mail-Adressen oder beim Verwalten von Kundenaufträgen.

In der Europäischen Union gibt es strenge Regeln zum Schutz dieser Informationen, bekannt unter dem Namen „Datenschutz-Grundverordnung“, kurz „DSGVO“.
Damit alles nach den Regeln abläuft, müssen diese beiden Unternehmen einen besonderen Vertrag abschließen: den Auftragsverarbeitens-Vertrag.

Einfach ausgedrückt, ist dieser Vertrag ein wichtiges Dokument, das klare Anweisungen enthält, wie die persönlichen Daten der Kunden gehandhabt werden dürfen. Es stellt sicher, dass die Informationen sicher und im Einklang mit dem Gesetz verarbeitet werden. Dies ist besonders wichtig, wenn ein Unternehmen einen externen Dienstleister einsetzt, um mit sensiblen Kundendaten umzugehen. Der Vertrag legt genau fest, was mit den Daten gemacht werden darf und sorgt dafür, dass beide Parteien die Datenschutzvorschriften ernst nehmen.

Was bedeutet Auftragsverarbeitung?

Sobald Unternehmen Dienstleistungen auslagern, die den Zugriff auf Kundendaten beinhalten, bewegen sie sich im Bereich der sogenannten Auftragsverarbeitung.
Aber was bedeutet das genau? Einfach gesagt, liegt eine Auftragsverarbeitung vor, wenn personenbezogene Daten von einem externen Dienstleister im Auftrag und nach den Anweisungen des Unternehmens erhoben, bearbeitet oder weitergeleitet werden.

Dieser Dienstleister, der für die Datenverarbeitung verantwortlich ist, wird auch als Auftragsverarbeiter bezeichnet. Die Hauptverantwortung für die sichere und korrekte Verarbeitung der Daten bleibt beim Unternehmen selbst, das die Verarbeitung in Auftrag gibt. Der Dienstleister agiert in diesem Kontext unterstützend und darf die Daten nicht für eigene Zwecke nutzen.

Personenbezogene Daten umfassen alle Informationen, die eine Person eindeutig identifizieren können, wie Namen, Adressen, Kontodaten oder private Telefonnummern. Selbst E-Mail-Adressen oder Login-Namen werden als personenbezogene Daten angesehen, wenn sie eine direkte Verbindung zu einer realen Person aufweisen.

Datensicherheit und der Schutz der Privatsphäre stehen daher im Mittelpunkt. Nicht nur Unternehmen, die direkt Daten erheben, sondern auch solche, die Dritte mit der Datenverarbeitung beauftragen, müssen sich strickt an die DSGVO halten. Um diesen Anforderungen gerecht zu werden, ist es notwendig, dass Auftraggeber und Auftragsverarbeiter den Auftragsverarbeitungsvertrag abschließen.

Wann handelt es sich um eine Auftragsverarbeitung?

In der heutigen Geschäftswelt, wo Daten eine große Rolle spielen, passiert es oft, dass Unternehmen bestimmte Aufgaben, die mit der Verarbeitung dieser Daten zu tun haben, an externe Dienstleister auslagern.
Manchmal ist einem nicht ganz klar, wann man in den Bereich der Auftragsverarbeitung gelangt. In der folgenden Liste haben wir einige Beispiele für Sie aufgelistet.

• Lohnabrechnungen auslagern
  Sie übergeben die Verantwortung für die Lohn- und Gehaltsabrechnungen Ihres Unternehmens an ein Lohnbüro.
• Kundenzufriedenheit prüfen
  Ein Callcenter führt in Ihrem Auftraf eine Befragung der Kundenzufriedenheit durch.
• Marketing-Aufgaben übertragen
  Sie beauftragen eine Agentur, die z. B. Statistiken erstellt oder Newsletter für Ihre Kunden verschickt.
• Software-Betreuung
  Ein Programmierer kümmert sich um die Installation, Wartung und Aktualisierung Ihrer Software.
• Webhosting
  Ihre Website wird durch einen externen Anbieter gehostet.
• IT-Support
  Ein IT-Dienstleister übernimmt Reparaturen oder den Austausch von Hardware für Sie.
• Dokumentenentsorgung
  Sie lagern die Vernichtung von Akten an einen spezialisierten Dienstleister aus.

Interessanterweise muss der externe Dienstleister, wie das Callcenter oder die Marketing-Agentur, nicht einmal tatsächlich auf die personenbezogenen Daten zugreifen.
Es genügt bereits, dass theoretisch die Möglichkeit eines Zugriffs besteht, um von einer Auftragsverarbeitung zu sprechen.

Ein Beispiel, wann man einen AV-Vertrag benötigt.

Wenn Ihre Agentur z. B. Websites für Kunden erstellt, arbeiten Sie oft mit einem Webhoster zusammen, um die Seite im Internet verfügbar zu machen. Da dieser Webhoster theoretisch Zugriff auf die Daten der Website hat, ist es wichtig, auch mit ihm einen AV-Vertrag zu schließen. Genauso brauchen Sie einen Vertrag mit Ihrem Kunden.

Aber Achtung: In der Datenschutzerklärung der Kundenwebsite sollten nur Sie als verantwortlich aufgeführt werden, nicht der Webhoster. Sie müssen allerdings im AV-Vertrag mitteilen, welchen Webhoster Sie nutzen.

Prinzipiell benötigen Sie einen AV-Vertrag immer dann, wenn externe Anbieter Zugriff auf die personenbezogenen Daten haben, die Sie verarbeiten.
In der folgenden Liste werden noch einige Beispiele genannt:

• Webanalyse-Tools
  Diese Tools sammeln Daten darüber, wie Besucher Ihre Website nutzen. Da sie Informationen über das Verhalten und teilweise Identifikatoren der Nutzer erfassen, müssen Sie mit dem Anbieter einen AV-Vertrag abschließen, beispielsweise Google Analytics.
• Webhosting-Anbieter
  Jede Website wird auf einem Server gehostet, und der Hosting-Anbieter hat potenziell Zugriff auf personenbezogene Daten, die auf dieser Website gesammelt werden. Daher ist ein AV-Vertrag notwendig.
• E-Mail-Marketing-Tools
  Wenn Sie Newsletter versenden, verarbeiten diese Dienste E-Mail-Adressen und eventuell weitere Informationen Ihrer Kunden.
• Externe Buchhaltungssoftware
  Diese Software verarbeitet sensible Daten wie Finanzinformationen von Kunden und Mitarbeitern.
• Cloud-Dienste
  Beim Speichern von Daten in der Cloud haben die Anbieter theoretisch Zugriff auf diese Informationen. Google Drive oder Dropbox gehören hier z. B. zu.
• Fernwartungstools
  Sie ermöglichen z. B. mit TeamViewer Fernzugriff auf Computersysteme, wobei potenziell auf personenbezogene Daten zugegriffen werden kann.

Wie sieht das aus bei Dienstleistern im Ausland?

Dienstleister innerhalb der EU und des EWR

Wenn Sie mit Dienstleistern aus anderen EU-Ländern oder dem Europäischen Wirtschaftsraum (EWR) zusammenarbeiten, können Sie dies relativ unkompliziert tun. Der Grund dafür ist, dass die Datenschutz-Grundverordnung (DSGVO) in all diesen Ländern gilt. Das bedeutet, dass sie alle das gleiche Schutzniveau für personenbezogene Daten bieten wie Deutschland. Das erleichtert die Zusammenarbeit, da keine zusätzlichen Datenschutzvereinbarungen erforderlich sind, um das Schutzniveau zu gewährleisten.

Umgang mit Dienstleistern außerhalb der EU

Die Zusammenarbeit mit Dienstleistern aus Nicht-EU-Ländern, einschließlich der USA, erfordert mehr Aufmerksamkeit. Laut DSGVO ist eine Übertragung von Daten in solche Länder nur erlaubt, wenn bestimmte Bedingungen erfüllt sind. Diese Bedingungen sollen sicherstellen, dass das Schutzniveau für die übertragenen Daten dem der DSGVO entspricht. Es gibt verschiedene Mechanismen, um dies zu gewährleisten:

• Angemessenes Schutzniveau
  Das Drittland muss ein von der Europäisches Kommission anerkanntes Schutzniveau bieten. Dies ist derzeit bei einer begrenzten Anzahl von Ländern der Fall.
• Bindende Unternehmensregeln
  Große internationale Konzerne können diese internen Richtlinien verwenden, um den Datenschutz innerhalb ihrer Unternehmensgruppe sicherzustellen.
• Ausdrückliche Einwilligung
  Insbesondere bei der Nutzung von Diensten US-amerikanischer Anbieter wie Google Analytics oder Zoom müssen Sie die ausdrückliche Einwilligung der betroffenen Personen einholen.
• Data Privacy Framework
  Nach dem Ende des Privacy Shields ist ein neues Abkommen zwischen der EU und den USA in Arbeit, das „Data Privacy Framework“. Unternehmen sollten prüfen, ob US-Dienstleister nach diesem Abkommen zertifiziert sind, um ein angemessenes Datenschutzniveau zu gewährleisten. In unserem Artikel Das „EU-U.S. Data Privacy Framework” – Datenschutzabkommen zwischen der EU und den USA erfahren Sie mehr zu dem Thema.

Es ist entscheidend, dass Unternehmen, die Dienstleister aus Drittländern nutzen, sich umfassend mit den Datenschutzanforderungen auseinandersetzen. Dabei sollten sie nicht nur die rechtlichen Rahmenbedingungen beachten, sondern auch die Risiken für die betroffenen Personen bewerten. Datenschutz ist ein wichtiges Anliegen für Verbraucher und die Einhaltung der DSGVO schützt nicht nur personenbezogene Daten, sondern stärkt auch das Vertrauen in Ihr Unternehmen.

Risiken ohne Auftragsverarbeitungsvertrag

Die Einhaltung der DSGVO und das Abschließen eines AV-Vertrags sind nicht optional, sondern eine rechtliche Notwendigkeit für Unternehmen, die personenbezogene Daten verarbeiten. Um hohe Bußgelder, rechtliche Streitigkeiten und Schadensersatzforderungen zu vermeiden, sollten Unternehmen sicherstellen, dass sie diese wichtigen Verträge rechtzeitig abschließen. Ohne diese ist die Datenverarbeitung rechtlich nicht abgesichert, was schwerwiegende Folgen haben kann:

• Hohe Bußgelder
  Nicht-Einhaltung der DSGVO kann zu Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Diese Strafen sind daraus ausgerichtet, die Wichtigkeit des Datenschutzes zu unterstreichen und Unternehmen zur Einhaltung zu bewegen.
• Abmahnung und Gerichtsverfahren
  Unternehmen, die keinen AV-Vertrag abschließen, setzen sich auch dem Risiko von Abmahnungen durch Wettbewerber und möglichen Gerichtsverfahren aus. Solche rechtlichen Auseinandersetzungen können nicht nur teuer werden, sondern schaden auch dem Ruf des Unternehmens.
• Schadensersatzforderungen
  Personen, deren Daten unrechtmäßig verarbeitet wurden, können Schadensersatz fordern. Sowohl der Auftraggeber als auch der Auftragsverarbeiter können zur Verantwortung gezogen werden, es sei denn, sie können nachweisen, dass sie keine Schuld am Datenschutzverstoß tragen. Ohne einen AV-Vertrag ist dieser Nachweis jedoch schwierig aufzuzeigen.

Sind Muster-Verträge DSGVO -konform?

Muster-Verträge können eine praktische Ausgangsbasis darstellen, wenn Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß der Datenschutz-Grundverordnung (DSGVO) erstellen möchten. Sie bieten eine Struktur und können helfen, keinen wichtigen Aspekt zu übersehen. Allerdings ist es entscheidend, bei der Nutzung solcher Vorlagen vorsichtig zu sein:

• Quelle prüfen
  Nicht jede Vorlage aus dem Internet entspricht den aktuellen rechtlichen Anforderungen. Es ist wichtig, dass der Muster-Vertrag von einer vertrauenswürdigen Quelle wie eRecht24 kommt, von Datenschutzbehörden oder rechtlichen Fachportalen.
• Anwaltliche Prüfung
  Idealerweise sollte die Vorlage von einem Anwalt erstellt oder zumindest geprüft worden sein. Dies erhöht die Rechtssicherheit und stellt sicher, dass der Vertrag den spezifischen Anforderungen der DSGVO entspricht.
• Individuelle Anpassung
  Ein Muster-Vertrag dient lediglich als Gerüst. Es ist notwendig, ihn an die spezifischen Bedingungen Ihrer Datenverarbeitungstätigkeiten anzupassen.
  Dies betrifft insbesondere die Art der verarbeiteten Daten, den Zweck und Umfang der Verarbeitung sowie die technischen und organisatorischen Maßnahmen, die getroffen werden müssen.

AV-Vertrag in die AGB aufnehmen

Eine effiziente und innovative Strategie, um das Thema Auftragsverarbeitungsvertrag zu meistern, ist, diesen Vertrag in Ihre allgemeinen Geschäftsbedingungen einzubinden.
Die DSGVO schreibt vor, dass personenbezogene Daten, die im Auftrag verarbeitet werden, durch einen AV-Vertrag geschützt sein müssen.

Jedoch muss dieser nicht zwingend als separates Dokument vorliegen. Die Integration des AV-Vertrags in Ihre AGB bietet mehrere Vorteile:

• Automatische Geltung
  Mit der Annahme Ihrer AGB bei jeden Auftrag oder jeder Dienstleistung wird auch der AV-Vertrag automatisch Bestandteil der Geschäftsbeziehung. Dies vereinfacht den Prozess erheblich und gewährleistet, dass sie stets DSGVO-konform handeln.
• Schutz vor Haftung
  Diese Methode stellt sicher, dass Sie bei der Verarbeitung personenbezogener Daten durchgängig geschützt sind. Da der AV-Vertrag ein integraler Bestandteil Ihrer AGB ist, minimieren Sie das Risiko rechtlicher Konsequenzen und stärken zugleich den Datenschutz.
• Effizienz und Übersichtlichkeit
  Durch die Bündelung Ihrer vertraglichen Dokumente vermeiden Sie redundante Vereinbarungen und sorgen für klare Verhältnisse sowohl intern als auch für Ihre Kunden.

Um sicherzustellen, dass die Integration des AV-Vertrags in Ihre AGB den rechtlichen Anforderungen entspricht, empfehlen wir, folgende Punkte zu beachten:

• Individuelle Anpassung
  Achten Sie darauf, dass der integrierte AV-Vertrag spezifisch auf Ihre Verarbeitungstätigkeiten und die damit verbundenen Risiken zugeschnitten ist.
• Transparenz
  Die relevanten Bestimmungen des AV-Vertrags sollten in den AGB klar und verständlich dargestellt werden, um Missverständnisse zu vermeiden.
• Rechtliche Überprüfung
  Lassen Sie die angepassten AGB von einem Datenschutzexperten oder Rechtsanwalt überprüfen, um die Konformität mit der DSGVO und anderen relevanten Vorschriften zu gewährleisten.

Unsere Empfehlung für rechtssichere AV-Vertragsvorlagen

Die rechtssichere Dokumentation ist notwendig und daher ist es essenziell, bei der Erstellung von AV-Verträgen auf rechtssichere Vorlagen zurückzugreifen.

Wir empfehlen daher die Nutzung spezialisierter Angebote, wie z. B. von eRecht24. Dieser Service stellt unter anderem anwaltlich geprüfte Muster für AV-Verträge zur Verfügung, die eine verlässliche Basis für Ihre vertraglichen Regelungen bieten. Nicht nur rechtliche Sicherheit wird gewährleistet, sondern auch vor möglichen Bußgeldern und rechtlichen Auseinandersetzungen wird geschützt.

Die Effektivität und Zuverlässigkeit können wir aus eigener Erfahrung bestätigen, so können Sie Ihr Unternehmen DSGVO-konform gestalten und sich selbst und Ihre Kunden absichern, dies trägt erheblich zu der Sicherheit Ihres Unternehmens bei.

Fazit

Der Auftragsverarbeitungsvertrag ist ein fundamentales Element im Datenschutz, das Unternehmen dabei unterstützt, den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden und das Vertrauen ihrer Kunden zu stärken. Durch die Festlegung klarer Verantwortlichkeiten zwischen Auftraggebern und Auftragsverarbeitern sorgt er für einen sicheren Umgang mit personenbezogenen Daten und hilft, rechtliche Risiken zu minimieren.

Durch klare Vereinbarungen zwischen den Vertragsparteien und die Integration in die allgemeinen Geschäftsbedingungen bietet er einen effektiven Weg zur Einhaltung der DSGVO, während der Rückgriff auf geprüfte Vorlagen von Fachanbietern eine solide Rechtsgrundlage garantiert.
In der digitalen Wirtschaft ist der AV-Vertrag damit unverzichtbar für die Einhaltung der Datenschutzstandards und die Wahrung der Privatsphäre.