Auftragsverarbeitungsvertrag
Muster-Vorlage

Gemäß der EU-Datenschutz-Grundverordnung (DSGVO) sind Sie dazu verpflichtet, einen Auftragsverarbeitungsvertrag (kurz: AV-Vertrag oder AVV) abzuschließen, wenn Sie als Unternehmen personenbezogene Daten von weisungsabhängigen Dienstleistern verarbeiten lassen. Ohne Vorwissen und professionelle Unterstützung kann dies schnell zu einem komplizierten und langwierigen Unterfangen werden.

Um Ihnen die Prozedur zu erleichtern, stellen wir Ihnen unser Auftragsverarbeitungsvertrag Muster als Download zur Verfügung. Damit können Sie schnell und einfach einen rechtskonformen AV-Vertrag aufsetzen und so den Ansprüchen gemäß der EU-Datenschutz-Grundverordnung (DSGVO) angemessen nachkommen.

Muster: AV-Vertrag nach DSGVO

Durch die EU-Datenschutz-Grundverordnung (DSGVO), welche es ab Mai 2018 anzuwenden gilt, ergeben sich neue Bedingungen für das Vertragsverhältnis zwischen Ihnen als Auftraggeber und dem Dienstleister als Auftragsverarbeiter. Geändert wurden unter anderem folgende Punkte:

Aufgrund der neuen Beschlüsse müssen vergangene Auftragsdatenverarbeitungsverträge (kurz: ADV-Verträge), unter welchem Namen die heutigen AV-Verträge laut dem alten Bundesdatenschutzgesetzt (BDSG-alt) bekannt waren, gegebenenfalls neu aufgesetzt werden. Das Neuaufsetzen von Altverträgen kann zu einem komplizierten Unterfangen werden und ist zusätzlich zum Abschließen von neuen Verträgen aufwendig.

Damit Ihnen die Prozedur einfacher und zügiger von der Hand geht, stellen wir Ihnen unser Auftragsverarbeitungsvertrag Muster zum Download bereit. Dieses Muster dient als praktische Vorlage und sollte von Ihnen stets auf Sie und Ihren Auftragnehmer abgestimmt werden.

Häufige Fragen zum Auftragsverarbeitungsvertrag

Ein Auftragsverarbeitungsvertrag (kurz: AV-Vertrag oder AVV) ist eine rechtsgültige Abmachung zwischen zwei oder mehreren Partnern, die Sie als Unternehmen gemäß der DSGVO treffen müssen, sobald Sie im Auftrag von einem weisungsabhängigen Dienstleister personenbezogene Daten (z.B. Kundendaten) verarbeiten lassen. Der Vertrag legt die Rechte und Pflichten fest, welche Sie als Auftraggeber, aber auch der Auftragnehmer in Bezug auf die Datenverarbeitung haben.

Auf diese Weise soll sichergestellt werden, dass der Auftragnehmer die Daten lediglich zu den Zwecken verwendet, für die der Auftraggeber diese erfasst hat. Zusätzlich zur rechtmäßigen Nutzung der Daten versichert der Beauftragte in dem Vertrag, dass er die personenbezogenen Daten und die Rechte der betreffenden Personen im entsprechenden Maße schützt. Sollten mehrere Dienstleister beauftragt worden sein, so garantiert der Auftragnehmer zudem, keine personenbezogenen Daten mit anderen Auftragsverarbeitern zu teilen, sofern er dazu nicht die Genehmigung des Auftraggebers bekommen hat.

Laut Art. 4 Nr. 8 der DSGVO gilt als Auftragsverarbeiter “eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet”. Ob ein externer Dienstleister als Auftragsverarbeiter agiert, hängt von seiner Weisungsgebundenheit ab.

Ist der Dienstleister von Ihrem Unternehmen vollends unabhängig und kann selbst darüber entscheiden, was mit den übersendeten personenbezogenen Daten passiert? Dann liegen die Daten mit hoher Wahrscheinlichkeit in seiner Verantwortung.

Ist der Dienstleister an Ihr Unternehmen gebunden und muss sich Ihre Genehmigung einholen, um die ihm anvertrauten Daten verarbeiten zu können? Dann ist er in den meisten Fällen als Auftragsverarbeiter tätig. Somit sollten Sie einen AV-Vertrag mit dem Dienstleister in Erwägung ziehen.

Für die Auftragsdatenverarbeitung kommen alle externen Dienstleister infrage, die für Ihr Unternehmen in der Verarbeitung der personenbezogenen Daten unterstützend tätig sind.

Beispiele hierfür sind:

  • Gehaltsabrechnungsbüros
  • Werbe und Marketingagenturen
  • Dienstleister zur Daten- und Datenträgerentsorgung
  • Dienstleister zur Datenarchivierung
  • Cloud-Computing-Anbieter
  • Web- bzw. E-Mail-Hoster
  • Technische Dienstleister zur Wartung von IT-Systemen
  • Freie Mitarbeiter

Dienstleister, die gemäß ihres Berufsrechts eigenverantwortlich mit personenbezogenen Daten umgehen und bei denen es zur Ausübung ihrer Leistungen keine Weisungsgebundenheit bedarf, sind nicht zur Auftragsdatenverarbeitung befähigt.

Dazu zählen folgende Berufsgruppen:

  • Steuerberater
  • Rechtsanwälte
  • Wirtschaftsprüfer
  • externe Betriebsärzte
  • andere Berufsgeheimnisträger

Wachschutz- oder Reinigungsunternehmen können zwar prinzipiell personenbezogene Daten einsehen, bieten allerdings Leistungen mit einem anderen Hauptschwerpunkt an. Die eventuelle Datenverarbeitung gilt hier als Nebenleistung und kann von Ihnen dementsprechend nicht mit einem Auftragsverarbeitungsvertrag abgesichert werden.

Welche Rechte und Pflichten dem Auftraggeber sowie dem Auftragnehmer bei Abschluss eines AV-Vertrags zugutekommen, ist in Art. 28 der DSGVO festgehalten. Die Mindestanforderungen, die dort genannt werden, müssen im AV-Vertrag behandelt werden. Natürlich können Sie diese aber auch vertraglich ausgestalten und auf den entsprechenden Dienstleister abstimmen.

Insgesamt sollten Sie folgende Fragen beantworten, wenn Sie den Vertrag aufsetzen:

  • Wer ist für die Datenverarbeitung verantwortlich?
  • Was ist der Gegenstand und die Dauer der Verarbeitung?
  • Auf welche Weise werden die personenbezogenen Daten verarbeitet und zu welchem Zweck?
  • Von welcher Art sind die personenbezogenen Daten und der Kreis betroffener Personen?
  • Welcher Umfang wird den Weisungsbefugnissen zugemessen?
  • Wer ist seitens des Auftraggebers weisungsberechtigt und wer ist Empfänger der Weisungsbefugnisse seitens des Auftragnehmers?
  • Welche Pflichten und Rechte hat der Auftragsverarbeiter?
  • Welchen Mitteilungspflichten muss der Auftragsverarbeiter im Falle von Verarbeitungsstörungen und Verletzungen des Schutzes personenbezogener Daten nachkommen?
  • Darf ein Subunternehmen zur Datenverarbeitung hinzugezogen werden? Falls ja, werden dem Subunternehmen dieselben vertraglichen Pflichten auferlegt?
  • Wir wird die Vertraulichkeit und Verschwiegenheit der zur Verarbeitung befugten Personen gewahrt?
  • Welche technischen und organisatorischen Maßnahmen (TOM) werden umgesetzt, um Datenschutz und Datensicherheit der übermittelten Daten zu gewährleisten?
  • Welche Verpflichtungen hat der Auftragsverarbeiter nach Beendigung des Auftrags in Bezug auf die personenbezogenen Daten?

Noch dazu sollten Sie gemeinsam mit dem Auftragnehmer im Vertrag festlegen, wie die Auftragsdatenverarbeitung vergütet wird, wer inwiefern bei Datenschutzverstößen oder anderen Vertragsverstößen haftet und was für eine Vertragsstrafe dann erwartet werden kann.

Für einen besseren Überblick empfiehlt es sich, sich unseren Muster-Vertrag für die Auftragsverarbeitung anzuschauen. Unsere Vorlage enthält alle wichtigen Punkte, auf die Sie bei der Schließung eines AV-Vertrags achten müssen.