• Start
V-Hub by Vodafone BusinessSecuritySicherheitAuftragsverarbeitungsvertrag (AVV) – Für mehr Datenschutz
Zwei Personen schütteln sich die Hand. Im Hintergrund ist die Skyline einer Stadt zu sehen. Im Vordergrund Icons.
Security

Auftragsverarbeitungsvertrag (AVV) – Für mehr Datenschutz

Portrait von Clemens Förster Clemens Förster
11.06.2024
9 Min.

    Jedes Unternehmen sammelt Daten – egal ob von Kund:innen-, Lieferanten oder Personal. Ihre Handhabung kann tückisch sein. Das Fundament für einen DSGVO-konformen Umgang mit Daten ist der sogenannte Auftragsverarbeitungsvertrag (AVV).

    Das Unternehmen, das seine Website bei einem Webhosting-Provider speichert; die Marketing-Agenturen, die im Auftrag ihrer Kund:innen personenbezogene Daten verarbeiten; Personaldienstleister, die im Auftrag ihrer Kund:innen Personal suchen und einstellen – sie alle benötigen einen Auftragsverarbeitungsvertrag (AVV), um diese Daten DSGVO-konform verarbeiten zu können. Das gilt sowohl für das Unternehmen, das in Ihrem Auftrag Daten verarbeitet, als auch für Ihre eigene Firma, wenn Sie Zugriff auf externe Daten von Kund:innen haben. Hier erfahren Sie das Wichtigste zu diesem komplexen Thema in der Übersicht.

    Inhaltsverzeichnis

    Was ist ein Auftragsverarbeitungsvertrag?Was steht im Auftragsverarbeitungsvertrag?Wann ist ein Auftragsverarbeitungsvertrag notwendig? In folgenden Fällen wird kein AVV benötigt

    Was ist ein Auftragsverarbeitungsvertrag?

    Werden personenbezogene Daten durch externe Dienstleister erhoben, verarbeitet oder übermittelt, handelt es sich um eine sogenannte Auftragsverarbeitung. Als auftragsverarbeitende Stelle gilt, wer die Dienstleistung erbringt. Daten, mit denen sich eine Person eindeutig identifizieren lässt, sind im Internet Alltag. Beim Newsletter etwa, für den sich Ihre Kund:innen mit der E-Mail-Adresse anmelden müssen. Oder der Log-in mit echtem Namen auf Ihrer Homepage. Selbst die Nutzung von Google Analytics fällt darunter.
    Kommt es zu einer solchen Auftragsverarbeitung, benötigen Sie einen Auftragsverarbeitungsvertrag – abgekürzt AVV. Dabei handelt es sich um ein rechtliches Dokument, das regelt, unter welchen Bedingungen der Auftragsverarbeiter die Daten verarbeiten darf, also welche Rechte und Pflichten sowohl Auftraggeber als auch Auftragnehmer haben.
    Bei einem Auftragsverarbeitungsvertrag gilt als Auftraggeber die Stelle, die die Kontrolle über die personenbezogenen Daten hat. Sie entscheidet, wie diese Daten verarbeitet werden sollen. Die Daten werden vom Auftragnehmer verarbeitet und ausschließlich für die Zwecke im Vertrag genutzt. Wichtig ist, dass Ihr Unternehmen als Auftraggeber zwar weisungsbefugt ist, aber auch für den Schutz der Daten verantwortlich ist, die verarbeitet werden.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout: Die Sicherheitslösung für mobile Endgeräte

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

    Mehr zu Lookout

    Was steht im Auftragsverarbeitungsvertrag?

    Den Inhalt des Auftragsverarbeitungsvertrags regelt die Datenschutz-Grundverordnung (DSGVO). Entscheidend ist, dass Auftraggeber und Auftragsverarbeiter den AVV abschließen, bevor der erste Datentransfer erfolgt. Sie müssen den AVV schriftlich abschließen, wobei die elektronische Form ausreicht. Ebenfalls wichtig ist, dass im Auftragsverarbeitungsvertrag folgende Punkte geregelt sind:
    1. Gegenstand und Dauer der Verarbeitung: Welche personenbezogenen Daten werden zu welchem Zweck und über welchen Zeitraum verarbeitet?
    2. Art und Weise der Verarbeitung: Wie und wo werden die Daten verarbeitet und wer hat Zugriff darauf?
    3. Technische und organisatorische Maßnahmen: Welche technischen und organisatorischen Maßnahmen werden zum Schutz der Daten getroffen? Wie werden die Daten gesichert und wie wird der Zugriff darauf geregelt?
    4. Rechte und Pflichten von Auftraggeber und Auftragnehmer: Welche Rechte und Pflichtenentstehen bei der Auftragsverarbeitung für beide Seiten?
    5. Unterauftragsvergabe: Dürfen Auftragnehmer auch Subunternehmer mit der Verarbeitung der Daten beauftragen? Wenn ja, welche Voraussetzungen müssen die Subunternehmer erfüllen?
    6. Kontrolle und Überwachung der Verarbeitung: Wie können die Auftraggeber die Verarbeitung der Daten durch die Auftragnehmer kontrollieren und überwachen?
    7. Rückgabe oder Löschung der Daten: Wann und wie werden die Daten gelöscht?
    8. Geltendes Recht und Gerichtsstand: Welches Recht gilt für den Auftragsverarbeitungsvertrag? Und welches Gericht ist für mögliche Streitigkeiten zuständig ist?

    Wann ist ein Auftragsverarbeitungsvertrag notwendig?

    Grundsätzlich ist ein AVV immer dann erforderlich, wenn personenbezogene Daten von Dritten im Auftrag verarbeitet werden. Dies gilt auch dann, wenn die Dritten nur auf einen Teil der personenbezogenen Daten zugreifen können. Im Zweifelsfall sollten Sie sich an eine Anwaltskanzlei oder eine Datenschutzberatung wenden. Ob im Einzelfall ein AVV erforderlich ist, kann von verschiedenen Faktoren abhängen. Unbedingt notwendig ist ein Auftragsverarbeitungsvertrag bei der Verarbeitung personenbezogener Daten:
    • mit sensiblem Inhalt, zum Beispiel Gesundheits- oder Bankdaten
    • in großem Umfang
    • Innerhalb der EU
    • durch eine öffentliche Stelle
    • bei einer standardisierten Dienstleistung, beispielsweise Webhosting – hier wird eine AVV häufig vorformuliert und kann einfach akzeptiert werden

    In folgenden Fällen wird kein AVV benötigt

    Natürlich gibt es auch Fälle, in denen kein Auftragsverarbeitungsvertrag notwendig ist. Das ergibt sich aus den rechtlichen Rahmenbedingungen. Handelt es sich beispielsweise nicht um personenbezogene Daten, ist auch kein AVV notwendig. Doch selbst für personenbezogenen Daten gibt es Ausnahmesituationen, in denen ein AVV nicht vorgeschrieben ist. Werden die Daten beispielsweise außerhalb der EU verarbeitet, kann es sein, dass ein AVV nicht notwendig ist– vorausgesetzt, ein angemessenes Datenschutzniveau ist gewährleistet. Für die USA gilt dies jedoch beispielsweise nicht.
    Dazu kommen bestimmte Berufsgruppen, für die gewerbespezifische Pflichten gelten. Sie müssen aufgrund ihrer Branche die Daten ohnehin besonders schützen, weshalb ein eigener AVV nicht immer notwendig ist. Dazu können unter anderem gehören:
    • Steuerberater:innen
    • Rechtsanwält:innen
    • Banken
    • Postdienstleister
    • Wirtschaftsprüfer:innen
    • Externe Betriebsärzt:innen
    • Inkassobüros
    Arbeiter mit Helm schaut auf sein Smartphone

    Mobiler Virenschutz für Mitarbeiter:innen

    Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

    • Ohne Installation, direkt im Netz
    • Schützt von Viren und Pishing
    • Automatisch auf dem neusten Stand
    Jetzt informieren

    Checkliste zum AVV

    Für einen Auftragsverarbeitungsvertrag gibt es Muster, die Sie meist kostenlos nutzen können. Allerdings handelt es sich bei der Verarbeitung personenbezogener Daten meist um sehr individuelle Leistungen, sodass Sie das Dokument anpassen müssen. Es empfehlen sich deswegen Vorlagen, die entweder von der Datenschutzbehörde oder einer Anwaltskanzlei stammen. Ob das nötig ist, verrät Ihnen unsere Checkliste. Sie fragt die Grundlagen ab, die gegeben sein müssen, damit ein AVV nötig ist.

    Checkliste: Benötige ich einen Auftragsverarbeitungsvertrag (AVV)?

    • 1. Werden personenbezogene Daten verarbeitet? Wenn nicht, ist kein AVV erforderlich.
    • 2. Werden die personenbezogenen Daten von Dritten verarbeitet? Wenn nicht, ist kein AVV erforderlich.
    • 3. Handelt es sich bei dem Dritten um einen Auftragnehmer laut Definition der DSGVO? Wenn nicht, ist kein AVV erforderlich.
    • 4. Ist der Auftragnehmer im Ausland ansässig? Wenn nicht, ist kein AVV erforderlich, sollten die Voraussetzungen aus Artikel 28 DSGVO erfüllt werden.
    • 5. Verarbeitet der Auftragnehmer sensible personenbezogene Daten oder Daten in großem Umfang? Wenn nicht, ist unter Umständen kein AVV erforderlich, wenn die Voraussetzungen des Art. 28 Abs. 4 DSGVO erfüllt sind.

    Praktische Beispiele für einen AVV

    Die praktischen Anwendungsmöglichkeiten für einen Auftragsverarbeitungsvertrag sind vielfältig. Sie benötigen einen AVV im Bereich von Kundendaten und Daten von Beschäftigten, im Marketing, bei der Finanzbuchhaltung, bei IT-Services, im Personalwesen, bei Recht und Compliance und in Forschung und Entwicklung. Hier kommen drei Beispiele für einen AVV aus der Praxis:
    1. Online-Shop und Logistikdienstleister: In diesem Fall ist der Auftraggeber ein Online-Shop-Betreiber, der Waren an seine Kund:innen verkauft. Der Logistikdienstleister ist dabei Auftragnehmer und verarbeitet die personenbezogenen Kundendaten des Shops für die Zustellung der Waren.
    2. Unternehmen und IT-Dienstleister: Der IT-Dienstleister muss hier die Daten der Beschäftigten verarbeiten, um ein reibungsloses Funktionieren des Systems garantieren zu können. Also etwa Namen, Adressen und Log-ins der Mitarbeiter:innen.
    3. Webanalyse: Betreiben Sie eine Website, die Sie mit Google Analytics auswerten, haben Sie mit Google Ireland Limited einen AVV. Google zeichnet die Aktivitäten der Nutzer:innen auf und verarbeitet dabei personenbezogene Daten, zum Beispiel: IP-Adresse, Browsertyp, Betriebssystem.

    So kommen Sie an einen AVV

    Wenn Sie Auftraggeber sind, erhalten Sie in der Regel einen AVV von dem Partnerunternehmen, also dem Auftragsverarbeiter. Den AVV haben Sie vielleicht mit den AGB akzeptiert oder können ihn in Ihrem Kundenkonto nachlesen. Wichtig ist, dass Sie ihn griffbereit haben und leicht zuordnen können – das muss nicht ausgedruckt sein, eine digitale Form reicht aus.
    Sollten Sie als Auftragnehmer für die Verarbeitung von Daten zuständig sein, müssen Sie einen AVV zur Verfügung stellen – entweder einzeln oder ebenfalls integriert in die AGB. Für den AVV gibt es einige Muster. Auch die Europäische Kommission stellt einige Standardvertragsklauseln zum Download bereit.
    Zahlreiche Webseiten bieten teils sogar kostenlose AVV-Vorlagen und Generatoren an, die Ihnen bei der Erstellung eine Hilfe sein können. Es ist empfehlenswert, dass eine Fachkraft das Dokument kontrolliert. Einige Branchenverbände oder Berufsorganisationen bieten außerdem AVV-Vorlagen an, die auf die spezifischen Bedürfnisse ihrer Mitglieder zugeschnitten sind und sich eventuell besser eignen.
    Wenn Ihr Unternehmen mit großen Mengen sensibler Daten umgeht oder Zweifel bestehen, wie Sie die gesetzlichen Vorschriften einhalten sollen ist es ratsam, eine Anwaltskanzlei zu konsultieren. Ein:e Anwält:in kann Ihnen helfen, einen maßgeschneiderten AVV zu erstellen.

    Was passiert, wenn Unternehmen keinen AVV abschließen?

    Keinen AVV zu haben und damit gegen die DSGVO zu verstoßen, kann eine Reihe negativer Auswirkungen haben. Zunächst gibt es die rein rechtlichen. Die Datenschutzaufsichtsbehörden können bei Verstößen gegen die DSGVO Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens verhängen. Zusätzlich können betroffene Personen, deren Daten ohne AVV verarbeitet wurden, das Unternehmen noch zusätzlich verklagen. Solche Prozesse sind nicht nur mit Kosten verbunden, sondern können auch zu einem Imageverlust führen.

    Prominente Beispiele der vergangenen Jahre:

    • Google sah sich im Jahr 2021 mit einer Geldbuße in Höhe von 50 Millionen Euro konfrontiert. Die französische Datenschutzbehörde (CNIL) erhob diese Forderung, weil Google ohne AVV mit einem Subunternehmer gearbeitet hatte.
    • Im Jahr 2022 verhängte die bayerische Datenschutzbehörde (BayLDA) gegen ein Krankenhaus eine Geldbuße von 100.000 Euro, weil das Krankenhaus keinen AVV mit einem IT-Dienstleister abgeschlossen hatte.
    • Neben den möglichen rechtlichen Konsequenzen gibt es auch noch fachliche Herausforderungen. Ohne AVV hat Ihr Unternehmen keinen Überblick darüber, wie mit den Daten Ihrer Kund:innen umgegangen wird. Das kann zu einem Kontrollverlust und weiteren Datenschutzverletzungen führen. Außerdem könnten mögliche Kund:innen oder Geschäftspartner schlicht die Zusammenarbeit mit Ihnen verweigern, sollten Sie sich nicht an die DSGVO halten.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Das Wichtigste zum Auftragsverarbeitungsvertrag in Kürze

    • Verarbeitet ein externer Dienstleister personenbezogene Daten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV).
    • Den Inhalt eines AVV regelt Artikel 28 der DSGVO.
    • Es gibt Ausnahmesituationen, in denen ein Auftragsverarbeitungsvertrag nicht zwingend notwendig ist: beispielsweise, wenn es gewerbespezifische Regeln gibt.
    • Im Internet können Sie Muster-AVV und Standardklauseln herunterladen. Im Zweifeln sollten Sie jedoch die Hilfe einer Anwaltskanzlei bemühen.
    • Arbeiten Sie trotz AVV-Pflicht ohne einen entsprechenden Vertrag, riskieren Sie hohe Bußgelder, Gerichtsprozesse und einen Imageverlust.
    Portrait von Clemens Förster Clemens Förster
    11.06.2024
      # Tags:SicherheitBusiness BasicsCybersecurityStart-up
      Das könnte Sie auch interessieren:
      Security
      Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

      Ransomware: So können Sie Ihr Unternehmen schützen

      Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

      0800 505 4539

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort