DataGuard und Data Privacy Team der T-Systems MMS

„Zeig mir deinen AVV und ich sag dir, wer du bist.“ Für viele Unternehmen ist der Abschluss von Auftragsverarbeitungsverträgen (AVV) mit ihren Auftragsverarbeitern eine lästige DSGVO-Pflicht. Hauptsache, ein Stück Papier liegt in der Schublade.

Doch der AVV, den Ihr potenzieller Auftragsverarbeiter mit Ihnen abschließen möchte, sagt viel darüber aus, wie ernst er den Datenschutz nimmt – und wie vertrauenswürdig er letztendlich als Vertragspartner ist.

Wir werfen daher einen Blick auf die kleinen und großen Tricks der Auftragsverarbeiter und verraten Ihnen, woran Sie einen soliden AVV erkennen können.


Das Wichtigste in Kürze

  • Der AVV ist ein Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit eines Auftragsverarbeiters.
  • Die AVV-Prüfung dient der Auswahl der richtigen Auftragsverarbeiter, der Einhaltung des Datenschutzes und hilft Ihnen, Zusatzkosten und nachteilige Haftungsregelungen zu vermeiden.
  • Um einen AVV bewerten zu können, sollten Sie sich immer die Garantien zur Sicherstellung der Datensicherheit und DSGVO-Konformität ansehen. Dazu gehören u.a. die TOM des Auftragsverarbeiters.
  • Auch die Subunternehmen und der Sitz des Auftragsverarbeiters müssen bewertet werden.
  • Überprüft wird die Einhaltung des AVV durch Vertragskontrollen.
  • Mit unserer Checkliste zum Ausdrucken und Abhaken können Sie AVVs schnell auf Herz und Nieren prüfen.

In diesem Beitrag

Gründe für die AVV-Prüfung

Ja, eine Prüfung von Auftragsverarbeitungsverträgen ist mit Arbeit verbunden und kostet Zeit, die bekanntlich immer etwas knapp bemessen ist. Doch sie ist aus zwei Gründen wichtig:

  • Gewährleistung des Datenschutzes bei der Auftragsverarbeitung
  • Erkennen und Vermeiden von Zusatzkosten und nachteiligen Haftungsregelungen

Gewährleistung des Datenschutzes bei der Auftragsverarbeitung

Im Erwägungsgrund 81 der DSGVO heißt es, dass Unternehmen bei der Auswahl eines Auftragsverarbeiters darauf achten müssen, solche Vertragspartner zu wählen,

„[…] die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen“

Und um herauszufinden, ob der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) ergriffen hat und die Umsetzung dieser auch belegen kann, gilt es, den AVV genau zu lesen. Denn die TOM sind Bestandteil eines AVVs.

Mit einer Überprüfung der TOM schützen Sie nicht nur die personenbezogenen Daten, sondern auch Ihr Unternehmen. Als Auftraggeber bleiben Sie nämlich im Auftragsverarbeitungsverhältnis weiter verantwortlich und müssen dafür sorgen, dass personenbezogene Daten auch in den Händen Ihrer Dienstleister gut geschützt bleiben.

Im Idealfall sind diese TOM Ihres Auftragsverarbeiters mindestens genauso streng und gründlich wie die TOM, die Sie in Ihrem eigenen Unternehmen implementiert haben.

Erkennen und Vermeiden von nachteiligen Klauseln, z.B. zu Zusatzkosten und Haftungsregelungen

Im AVV können Klauseln untergebracht werden, die nachteilig für eine der Vertragsparteien sind.

Hinzu kommt das große Thema der Haftung und zusätzlichen Kosten. Im AVV werden gern Klauseln untergebracht, die eine Haftung komplett auf den Verantwortlichen abwälzen. Oder es werden zusätzliche Kosten für Auftragskontrollen festgelegt, die gesetzlich nicht vorgesehen sind. 

Hintergrundwissen: Wann brauche ich überhaupt einen AVV?  

Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, gilt das als Auftragsverarbeitung. Dann ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich.  

Der Auftraggeber ist rechtlich weiterhin für die personenbezogenen Daten und den Umgang mit diesen verantwortlich.

➥ Mehr zum Thema AVV (Blogbeitrag von DataGuard)

In 3 Schritten durch die Auftrags­verarbeitungsvertrags­prüfung

Wie trenne ich nun als Auftraggeber die Spreu vom Weizen? Wir empfehlen, insbesondere folgende drei Aspekte bei der AVV-Prüfung zu beleuchten:

  • Garantien zur Sicherstellung der Datensicherheit und DSGVO-Konformität
  • Subunternehmen des Auftragsverarbeiters
  • Der Sitz des Auftragsverarbeiters und in Verbindung damit Standardvertragsklauseln und zusätzliche Sicherheitsmaßnahmen

Vertragsprüfung Schritt 1: Garantien zur Sicherstellung der Datensicherheit und DSGVO-Konformität

Behaupten kann ein AV vieles. Entscheidend ist, welche seiner Angaben er belegen kann. Geeignete Garantien sind die TOM und unabhängige Zertifizierungen oder Testate.

Technische und organisatorische Maßnahmen

Zu diesen Garantien zählen in erster Linie die bereits erwähnten TOM. Erfahrungsgemäß scheitern erschreckend viele Auftragsverarbeiter bereits an dieser Hürde und hängen ihre TOM nicht an den AVV an. Stattdessen finden sich Sätze wie: „Wir garantieren den Datenschutz durch unsere technischen und organisatorischen Maßnahmen.“ Das reicht so natürlich nicht.

Im Netz finden sich zahlreiche Musterbeispiele, die häufig ohne weitere Anpassungen übernommen werden. Und Muster können sogar ein guter Startpunkt sein. Allerdings müssen allgemeine Formulierungen angepasst werden und zur Art der Auftragsverarbeitung passen. Die TOM eines Rechenzentrums sollten anders aussehen als die eines Lohnbüros. Es reicht also nicht aus, einen Muster-AVV auszudrucken und abzuheften.

Oft vergessen Auftragsverarbeiter in ihren TOM übrigens die Basics. Bestimmt gibt es in jedem Unternehmen eine Firewall und ein abschließbares Büro. Wenn die Grundlagen in den TOM fehlen, sollten Sie nochmal nachfragen.

Nachweise mithilfe von genehmigten Zertifizierungsverfahren

Auch genehmigte Zertifizierungsverfahren können nach Art 42 DSGVO als geeignete Garantie zur Sicherstellung der Datensicherheit dienen. Darunter fallen Testate, unabhängige Berichte eines Datenschutzbeauftragten oder externen Audits. Ihre Anführung ist freiwillig und kann bei vielen AVV-Mustern mit angekreuzt werden.

Beispiele für passende Zertifizierungen sind ISO 27001 und SOC2. Wichtig dabei: Die Zertifizierung sollte für einen Bereich bestehen, in dem Ihre Daten auch wirklich verarbeitet werden. Es bringt Sie beispielsweise nicht weiter, wenn Ihr Auftragsverarbeiter seine Buchhaltung nach ISO 27001 zertifiziert hat.

Leider gibt es noch keine anerkannte Datenschutzzertifizierung für Unternehmen. Passend wäre hier die ISO 27701, die jedoch nur gemeinsam mit – bzw. als Zusatz zu – ISO 27001 zertifizierbar ist. Gerne ersetzten Unternehmen das Vor-Ort-Audit zur Auftragskontrolle mit der Vorlage unabhängiger Zertifizierungen.

Vertragsprüfung Schritt 2: Subunternehmen des Auftragsverarbeiters

Wichtig ist hier, dass Ihr Auftragsverarbeiter – der Hauptauftragnehmer – die im AVV vereinbarten Regelungen an seine Subauftragnehmer weitergibt, sofern diese unmittelbar in die Erbringung der Hauptleistung mit einbezogen werden.

Prüfen Sie daher, ob es entsprechende Garantien dafür im Vertrag gibt. Zudem lohnt sich ein Blick darauf, ob Subauftragnehmer in Drittländern sitzen – und wenn ja, welche zusätzlichen Sicherheitsmaßnahmen bestehen.

Vertragsprüfung Schritt 3: Der Sitz des Auftragsverarbeiters, Standardvertragsklauseln und zusätzliche Sicherheitsmaßnahmen

Dieser Schritt gilt insbesondere bei der Heranziehung von Auftragsverarbeitern außerhalb der EU. Hier können Sie mit der folgenden Prüfung herausfinden, welche Garantien Sie zur Datenübermittlung brauchen:

Die zwei Stufen sind:

  • Ist die Datenübermittlung grundsätzlich zulässig?
  • Wie ist sie im Einzelfall ins geplante Zielland möglich?

Für die zweite Prüfstufe gibt es wiederum zwei Möglichkeiten:

  • Die Europäische Kommission attestiert dem Drittland einen Datenschutz auf europäischem Niveau. Es gelten keine speziellen Anforderungen an die Datenübermittlung in diese Staaten außer denen, die auch innerhalb der EU gelten. Welche Staaten das sind, können Sie hier nachlesen.
  • Die EU-Kommission hat das angemessene Datenschutzniveau für das Land nicht bestätigt. Dann muss näher betrachtet werden, wie im Einzelfall der Datenschutz dennoch gewährleistet werden kann – oder ob ein Ausnahmetatbestand den Datentransfer ermöglicht.

Standardvertragsklauseln und zusätzliche Sicherheitsmaßnahmen

Bei Option zwei müssen andere Garantien für eine DSGVO-konforme Verarbeitung der Daten im Ausland bürgen. Typischerweise geschieht das über die von der Europäischen Kommission beschlossenen Standardvertragsklauseln (SCC) für Verträge.

SCC sind in der Praxis aus einem einfachen Grund beliebt: Sie lassen sich online herunterladen und einfach ausfüllen. Werden diese von den Vertragsparteien unverändert akzeptiert, ist eine Datenübermittlung zulässig.  

Ergänzt werden müssen die SCC allerdings durch zusätzliche Sicherheitsmaßnahmen sowie ein Transfer Impact Assessment, die im Rahmen des AVV festgehalten werden müssen – ebenfalls ein Schritt, der im Geschäftsalltag oft vergessen wird.

Hintergrundwissen: Das Transfer Impact Assessment

Beim Transfer Impact Assessment untersuchen Sie die Gesetzgebung im Zielland und klären, inwieweit Behörden Zugriff auf die Daten hätten. In der Regel füllen Sie das Transfer Impact Assessment gemeinsam mit Ihrem Auftragsverarbeiter aus.  

Die neuen Standardvertragsklauseln vom 04.06.2021 bieten mehr Möglichkeiten für die Abbildung der Vertragskonstellation als die vorherige Version. Prüfen Sie deswegen bei Neuabschlüssen, welches Modul am besten zu Ihnen und der beanspruchten Dienstleistung passt:

  • Modul 1 – Verantwortlicher zu Verantwortlicher
  • Modul 2 – Verantwortlicher zu Auftragsverarbeiter
  • Modul 3 – Auftragsverarbeiter zu Auftragsverarbeiter
  • oder Modul 4 – Auftragsverarbeiter zu Verantwortlicher

Denken Sie auch daran, bei bestehenden Auftragsverarbeitungen die Standardvertragsklauseln bis zum 27.12.2022 zu aktualisieren.

Vertrauen ist gut, Auftragskontrollen sind besser

Laut Art. 28 III 2 lit. h DSGVO muss im Auftragsverarbeitungsvertrag festgehalten sein, dass der Auftragsverarbeiter…

„[…] dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

Hier geht es darum, die Umsetzung der Vertragsinhalte – wie die Umsetzung der TOM – in der Praxis zu überprüfen. Das kann über verschiedene Wege geschehen und ist immer auch eine gewisse Kostenfrage. Denn eine Betriebsbegehung kostet sowohl Sie als Verantwortlichen als auch den Auftragsverarbeiter viel Zeit.

Daher sind Vor-Ort-Kontrollen in der Praxis eher spärlich gesät und höchstens einmal jährlich realistisch. Verbreiteter sind externe Gutachten, die mit anderen Zertifizierungen (wie einer ISO 27001-Zertifzierung) kombiniert werden können. Anstatt Ihre Auftragsverarbeiter vor Ort zu besuchen, können Sie sich aktuelle Zertifikate zuschicken lassen.

! Achtung bei diesen AVV-Formulierungen: Auftragskontrollen müssen nach Art. 28 DSGVO ermöglicht werden – und das ohne zusätzliche Vergütung. Trotzdem versuchen Auftragsverarbeiter es immer wieder, dem Verantwortlichen die Kosten für die Kontrollen unterzujubeln. Achten Sie also im AVV auf etwaige Formulierungen zu Kosten bei Vertragskontrollen. Findet sich keine solche Klausel im Vertrag, gilt die gesetzliche Verpflichtung – also keine zusätzliche Vergütung.

Auch zur Haftung bei einem Datenschutzverstoß sollte der AVV am besten einen Verweis auf Art. 82 enthalten bzw. keine zusätzliche Regelung vorsehen. Im Innenverhältnis ist es nämlich vertraglich möglich, die Haftung auszuschließen oder einzuschränken.  

Die Checkliste zur AVV-Prüfung

AUFTRAGSVERARBEITUNG NACH ART. 28 DSGVO

Hier finden Sie eine komplette Checkliste zum Ausdrucken und Abhaken, die Sie als PDF herunterladen können.

Fazit

Ohne Auftragsverarbeiter funktioniert kein Unternehmen, doch die Weitergabe personenbezogener Daten stellt immer ein gewisses Risiko dar – für Datenpannen, Datenschutzverstöße oder die Missachtung der Ihnen auferlegten Pflichten. Um dieses Risiko zu minimieren, muss jeder Auftragsverarbeiter gründlich geprüft werden.

Der AVV ist ein fantastisches Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit des Auftragsverarbeiters.

Brauchen Sie Hilfe bei Ihren Auftragsverarbeitungsverträgen?

Wir beraten Sie zum Aufbau eines ganzheitlichen Datenschutzmanagementsystems und unterstützen Sie dabei, Datenschutz erfolgreich anzuwenden und zu integrieren.