Mit vielen Dienstleistern müssen Unternehmen im Vorfeld einen Auftragsverarbeitungsvertrag abschließen. Laut der Datenschutzaufsichtsbehörde aus Berlin (BInBDI) sind die dabei verwendeten Musterverträge regelmäßig rechtswidrig, da sie nicht Art. 28 DSGVO entsprechen.
Was bei Auftragsverarbeitungsverträgen (AVV-Verträge) zu beachten ist, erfahren Sie hier.
Was ist Auftragsverarbeitung?
Der Auftragsverarbeiter wird in Art. 4 Nr. 8 DSGVO definiert als jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Es muss sich also um jemand anderen als den Verantwortlichen handeln und derjenige muss im Auftrag des Verantwortlichen handeln.
Der Auftragsverarbeiter ist nicht selbst Verantwortlicher. Er handelt allein auf Weisung des Verantwortlichen. Für die Einhaltung der datenschutzrechtlichen Vorschriften ist weiter der Verantwortliche verantwortlich.
Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen weisungsgebunden. Auftragsverarbeiter und Verantwortlicher schließen zu Beginn ihrer Geschäftsbeziehung einen sogenannten Auftragsverarbeitungsvertrag, der die Rechte und Pflichten des Auftragsverarbeiters insbesondere in Bezug auf die vom Verantwortlichen zur Verfügung gestellten personenbezogenen Daten regelt.
Musterverträge zur Auftragsverarbeitung
Auftragsverarbeiter werden meist für viele verschiedene Verantwortliche gleichzeitig tätig. Ein gängiges Beispiel für Auftragsverarbeiter sind Dienstleister im Bereich Webhosting. Um die Effizienz ihrer Arbeit aufrecht zu erhalten, nutzen solche Dienstleister oft Musterverträge. Es handelt sich um Vorlagen, in denen meist nur die Bezeichnung des Vertragspartners angepasst wird. Für die geschäftlichen Abläufe der Auftragsverarbeiter mag dies vorteilhaft sein, jedoch mangelt es diesen Vorlagen häufig an Rechtmäßigkeit.
Die Datenschutzaufsichtsbehörde aus Berlin (BInBDI) erreichen laut eigener Angaben regelmäßig Anfragen von Unternehmen, die Auftragsverarbeitungen (meist Webhosting-Dienste) in Anspruch nehmen wollen. Bei der Auswahl des passenden Dienstleisters stellen diese Unternehmen häufig fest, dass die Musterverträge zur Auftragsverarbeitung, die dieser Dienstleister verwendet, nicht den Anforderungen des Art. 28 DSGVO entsprechen.
Musterverträge überprüfen
Die Datenschutzaufsichtsbehörde aus Berlin (BInBDI) hat am Beispiel von Berliner Unternehmen eine Checkliste zur Überprüfung von Musterverträgen zur Auftragsverarbeitung erstellt. Die Grundlagen dieser Liste können sowohl für betroffene Verantwortliche als auch die jeweiligen Auftragsverarbeiter hilfreich sein. Zu der Checkliste gibt die BInBDI Interessierten auch Nutzungshinweise zu dieser Liste an die Hand.
Bei der Veröffentlichung dieser Hilfsmittel stellt die BInBDI klar: „Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“
Sie wollen Dokumente und Abläufe in Ihrem Unternehmen datenschutzkonform gestalten? Unser Team an Experten steht Ihnen mit Rat und Tat zur Seite!