Im Wege der Umsetzung der Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) stolpern viele Unternehmen und Nutzer über den Vertrag zur Auftragsdatenverarbeitung, kurz ADV Vertrag.
Ich zeige Ihnen was es mit dem ADV Vertrag auf sich, was Sie bei dem ADV Vertrag beachten müssen und wieso diese Verträge keinesfalls auf die leichte Schulter nehmen dürfen.
Die Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen von Daten durch einen Dienstleister (Auftragnehmer) im Auftrag und Verantwortung des Auftragsgebers. Ein typisches Beispiel für einen ADV Vertrag ist eine externe Buchhaltung.
Hier beauftragen Sie ein Unternehmen mit Ihrer Buchhaltung, sprich mit der Verarbeitung Ihrer Daten.
Weitere Fälle für einen ADV Vertrag sind das Outsourcing der Daten in eine „Cloud“, die Beauftragung eines Callcenters für Kundensupport oder auch der Newsletterversand durch eine externe Agentur. Wichtig ist auch – und gerne übersehen, ist die Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern durch ein externes Unternehmen.
Wann liegt eine ADV Situation vor?
Leider ist nicht immer eindeutig, wann ein ADV Vertrag geschlossen werden sollte. Nicht jede Beauftragung eines Dritten bedarf eines umfangreichen ADV Vertrags.
Anhand dieser Kriterien können Sie selbst prüfen, ob ein ADV geschlossen werden sollte, oder nicht.
- Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten
- Der Auftragnehmer nutzt nur die ihm überlassenen Daten
- Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten
- Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten
- Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten
- Wenn Sie diese Fragen mit JA beantworten, dann sollte unbedingt ein Auftragsdatenverarbeitungsvertrag geschlossen werden.
Kein ADV Vertrag ist erforderlich, wenn der Auftragnehmer selbst Entscheidungen treffen kann bzw. darf – dies ist dann eine Funktionsübertragung.
Gerne können Sie mich fragen, wenn Sie sich unsicher sind, ob ein ADV Vertrag geschlossen werden sollte oder nicht.
ADV Vertrag Pflichten
Der Auftragsdatenverarbeitungsvertrag, kurz ADV Vertrag ist gesetzlich in Artikel 28 der DSVGO und regelt den rechtlichen Rahmen der Datenverarbeitung durch einen Dienstleister.
Der ADV Vertrag muss schriftlich geschlossen werden, wobei auch die elektronische Form ausreichend ist.
Als Auftraggeber bleiben Sie für die Daten verantwortlich und auch haftbar. Doch durch die DSGVO ist der Auftragnehmer in einer stärkeren (Mit-)Verantwortung für die Daten.
Die Datenverarbeitung erfolgt im Auftrag als gemeinsame Verantwortungsaufgabe von Auftraggeber und Auftragnehmer – wobei der Auftraggeber weiter der erste Verantwortliche sein wird.
Der Inhalt des ADV-Vertrags
Im Rahmen der DSVGO sind detaillierte Vorgaben gegeben, was inhaltlich durch den ADV geregelt werden soll.
Diese sind:
- Verantwortlichkeit
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien von betroffenen Personen
- Umfang der Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz
- Etwaige Hinzuziehung von Subunternehmern
- Unterstützung des Auftraggebers (für die Verarbeitung Verantwortlichen) durch den Auftragnehmer
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss Auftragsdatenverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten (Audit) – auch ggf. für Dritte
- Pflicht des Aufragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Prüfen Sie unbedingt, ob Ihr ADV alle diese Punkte regelt – falls nicht können hohe Bußgelder drohen.
Mein Tipp als Anwalt
Ignorieren Sie das Thema des ADV Vertrag nicht und unterschreiben Sie nicht ungeprüft jeden ADV Vertrag.
Ich beobachte zur Zeit, dass nicht jede Situation, die einen ADV erfordert, einen schriftlichen Vertrag hat. Ebenso „geistern“ viele Verträge durch das Netz, die nicht immer optimal sind.
Um sich selbst, Ihre Daten und auch Kunden zu schützen ist ein detaillierter und ordentlicher ADV Vertrag unerlässlich.
Ich selbst bin Rechtsanwalt und Datenschutzbeauftragter für mehrere Unternehmen. Zudem kommentiere ich aktuelle Rechtsfragen des Datenschutz im WEKA Kommentar zum Datenschutz. Unterstützt werde ich durch Rechtsanwältin Hähnlein, welche unter anderem auch bei der Berliner Datenschutzbeauftragten gearbeitet hat.