Auftragsdatenverarbeitung DSGVO und Muster AV-Vertrag
Die Datenmengen nehmen von Tag zu Tag zu und viele wissen gar nicht, was bei der Datenverarbeitung erlaubt ist und was nicht. Mit der europäischen DSGVO (Datenschutzgrundverordnung) sollte sich dies ändern. So wurde u.a. die Auftragsdatenverarbeitung im Jahr 2018 zur Auftragsverarbeitung (Artikel 28 der DSGVO) und einige Neuerungen kamen auf Online-Händler zu. Neu ist beispielsweise, dass nicht nur du als Auftraggeber, sondern jetzt auch Auftragnehmer (externe Firmen, die du beauftragt hast) in die Verantwortung genommen werden können. In diesem Fall spricht die DSGVO von Bußgeldern, die verhängt werden könnten.
Als Mitglied im Händlerbund helfen wir dir mit diesem und anderen rechtlichen Themen rund um den Online-Handel. Wir bieten u.a. folgende Leistungen:
Individuell erstellte Rechtstexte für Händlerbund-Mitglieder
Unsere Rechtsexperten beraten und stellen Ihnen individuell erstelle Rechtstexte zur Verfügung, die EU-weit gelten:
AGB (Allgemeine Geschäftsbedingungen)
Rechtssichere AGB für Online-Shops, Websites oder auf Verkaufsplattformen.
Datenschutzerklärung
Für alle, die auf deiner Online-Präsenz Daten erheben, speichern und verarbeiten.
Impressum (Gesetzliche Anbieterkennzeichnung)
Dein Impressum mit allen gesetzlich vorgeschriebenen Pflichtangaben.
Widerrufsbelehrung
Informiere deine Kunden mit der aktuellen Widerrufsbelehrung über das bestehende Widerrufsrecht.
Zahlungs- & Versandbedingungen
Das musst du bzgl. der Zahlungs- und Versandbedingungen beachten.
Unsere Mitgliedschaftspakete
- Abmahnsichere Rechtstexte in 8 Sprachen schon ab 9,90 Euro*
- Sichere Cookie-Banner-Lösung
- Rechtsberatung inkl. Produktsicherheitsverordnung (ab Premium)
- Shop-Tiefenprüfung inkl. GPSR-Check für 5 Produkte (Unlimited und Professional)
- Soforthilfe bei Abmahnung** (Unlimited und Professional)
Typische Beispiele für Auftragsverarbeitung und Daten-Outsourcing
Als Online-Händler wirst du in der Regel häufig mit Auftragsverarbeitung und Daten-Outsourcing zu tun haben, sofern du nicht alles alleine machen willst bzw. kannst. Einige Beispiele sind:
- Dauerhafte oder temporäre Nutzung externer Serverkapazitäten
- Auslagerung des Kundenservices an ein externes Callcenter
- Entsorgung von Datenträgern oder Akten
- Wartungsdienstleistungen von Servern und Computern bei Einsicht in personenbezogene Daten
- Nutzung von Google Analytics
- Hosten von Online-Shops
Auftragsdatenverarbeitung anhand eines Beispiels: Ein Callcenter bekommt den Auftrag für einen Online-Händler, eine Bestellannahme durchzuführen. Das Callcenter tritt nicht als eigenständiges Callcenter auf, sondern im Namen des Händlers. Dem Callcenter ist es verboten, die übermittelten oder neu gesammelten Daten für weitere oder eigene Zwecke weiter zu nutzen.
Auftragsverarbeitungsvertrag Muster
Umfang des Auftragsverarbeitungsvertrag Musters
Präambel
§ 1 Gegenstand und Dauer des Auftrags
§ 2 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
§ 3 Anwendungsbereich und Verantwortlichkeit
§ 4 Pflichten des Auftragnehmers
§ 5 Pflichten des Auftraggebers
§ 6 Anfragen betroffener Personen
§ 7 Nachweismöglichkeiten
§ 8 Unterauftragsverhältnisse
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
§ 10 Haftung und Schadensersatz
§ 11 Vergütung
Muster-Vertragsanlage über die Auftragsverarbeitung personenbezogener Daten i.S.d. Art. 28 DSGVO
1.
der Mustermann GmbH
Musterstr. 2
12345 Stadt
- nachfolgend Auftraggeber genannt -
und
2.
der Musterfrau AG
Musterstraße 5
54321 Stadt
- nachfolgend Auftragnehmer genannt -.
Präambel
Dieser Vereinbarung regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden "Parteien" genannt) im Rahmen der sich aus dem Vertrag vom ................................................................. (im Folgenden "Hauptvertrag" genannt) ergebenden Verarbeitung von personenbezogenen Daten im Auftrag. Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
§ 1 Gegenstand und Dauer des Auftrags
(1) Der Gegenstand des Auftrags ist .................................................................................................................................. .
Der Leistungsumfang ergibt sich aus dem Hauptvertrag.
(2) Der Auftragnehmer verarbeitet dabei personenbezogene Daten des Auftraggebers nach dessen Weisung im Sinne von Art. 4 Nr.2 und Art. 28 DSGVO.
(3) Die Dauer dieses Auftrags entspricht der vertraglich vereinbarten Laufzeit des Hauptvertrages.
§ 2 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
(1) Der Auftragnehmer übernimmt nachfolgende Verarbeitungen:
(2) Von der Verarbeitung sind betroffen:
(3) Es werden folgende Daten verarbeitet:
§ 3 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich und somit "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO.
(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
§ 4 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(3) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
(6) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs.1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.
...
Jetzt den Muster AV Vertrag kostengünstig auf dem HB Marketplace downloaden!
Vorteile der Händlerbund-Mitgliedschaft:
- Erstellung einer rechtssicheren Datenschutzerklärung
- Kostenloser Update-Service, selbstverständlich inkl. Haftungsübernahme
- Cookie-Banner-Lösung inklusive
- Inklusive weiterer Rechtstexte wie z.B. AGB, Widerrufsbelehrung & Impressum
Änderungen der DSGVO » Auftragsverarbeitungsvertrag [Infografik]
Die Datenschutzgrundverordnung (DSGVO) bringt umfangreiche Veränderungen für den Onlinehandel mit sich. Insbesondere müssen die Änderungen der DSGVO beim Auftragsverarbeitungsvertrag beachtet werden. Unsere Infografik zeigt, an welchen Stellen Anpassungen vorgenommen werden müssen.
FAQ zum Thema Auftragsdatenverarbeitung
Was bedeutet Auftragsverarbeitung?
Auftragsverarbeitung ist ein Begriff aus dem Datenschutzrecht. Sie liegt immer dann vor, wenn der Verantwortliche personenbezogene Daten an eine andere natürliche oder juristische Person weitergibt, damit diese sie verarbeitet. Als Verantwortlicher wird die Person bezeichnet, die die Daten rechtmäßig gesammelt hat und sie auf eine bestimmte Weise verwenden darf. Wenn du einen Online-Shop betreibst, bist du beispielsweise Verantwortlicher in Bezug auf die Daten, die deine Kunden in das Bestellformular eingeben.
Was sind personenbezogene Daten?
Personenbezogene Daten sind "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen" (Art. 4 Absatz 1 DSGVO). Dazu gehören beispielsweise der Name, die Kontaktdaten, die Anschrift und das Geburtsdatum. An diese Daten gelangt ein Verantwortlicher typischerweise, indem der Nutzer auf einer Website ein Formular ausfüllt, um beispielsweise eine Anfrage zu versenden oder Waren zu bestellen. Ebenfalls personenbezogene Daten sind die IP-Adresse und die Interessen des Nutzers, die sich durch das Anklicken bestimmter Links oder das Aufrufen bestimmter Websites ergeben. Wenn ein Website-Betreiber zum Beispiel ein Webanalyse-Tool verwendet, werden regelmäßig solche Daten gesammelt und verarbeitet.
Wann liegt keine Auftragsverarbeitung vor?
Es gibt zwei Konstellationen, die von der Auftragsverarbeitung abgegrenzt werden müssen.
1. Es handelt sich nicht um Auftragsverarbeitung, wenn die Person, die die Daten verarbeitet, ebenfalls Verantwortlicher ist. In einigen Situationen kann die Abgrenzung sehr schwierig sein. Entscheidendes Kriterium ist die Weisungsabhängigkeit des Auftragsverarbeiters. Wenn die verarbeitende Person selbst Entscheidungen trifft und nicht an die Weisungen des Verantwortlichen gebunden ist, ist sie selbst auch Verantwortlicher und damit kein Auftragsverarbeiter.
2. Ebenfalls keine Auftragsverarbeitung liegt bei einer Funktionsübertragung vor. Bei einer Funktionsübertragung gibt der Verantwortliche die Daten an eine Person weiter, die sie selbst zu eigenen Zwecken weiterverarbeitet. Auch hier besteht keine Weisungsgebundenheit. Die Regeln zur Auftragsverarbeitung müssen nicht beachtet werden. Jedoch braucht der Verantwortliche immer eine Rechtsgrundlage, um Daten weiterzugeben.
Wen betreffen die Vorschriften zur Auftragsverarbeitung?
Die Regeln zur Auftragsverarbeitung greifen, sobald eine externe Person Zugriff auf personenbezogene Daten haben könnte. Es ist nicht notwendig, dass sie die Daten tatsächlich verarbeitet oder wahrnimmt. Ein Beispiel dafür ist ein IT-Vertrag, bei dem ein Programmierer die Wartung von Servern übernimmt. Da der Begriff der Auftragsverarbeitung so weit gefasst ist, ist beinahe jedes Unternehmen von den Datenschutz-Gesetzen zur Auftragsverarbeitung betroffen.
Wer ist Auftragsverarbeiter und welche Pflichten treffen ihn?
Der Auftragsverarbeiter ist die Person oder Behörde, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Um personenbezogene Daten verarbeiten zu dürfen, braucht der Auftragsverarbeiter entweder einen Vertrag zur Auftragsverarbeitung oder eine Rechtsgrundlage. Darüber hinaus ist er zur Einhaltung sämtlicher gesetzlicher Vorschriften verpflichtet. Dazu gehört beispielsweise die in Artikel 30 Absatz 2 ausgestaltete Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Wo ist die Auftragsverarbeitung geregelt?
Zur Auftragsverarbeitung gibt es verschiedene rechtliche Regelungen. In Deutschland ist die Auftragsverarbeitung in § 62 Bundesdatenschutzgesetz (BDSG) ausgestaltet. Die dort enthaltenen Vorschriften sind 2018 durch das Inkrafttreten der Datenschutzgrunderverordnung (DSGVO) der Europäischen Union (EU) verschärft worden. In den Artikeln 28 folgende DSGVO befinden sich die wichtigsten Vorgaben für die Auftragsverarbeitung.
Wie hat die DSGVO die Rechtslage in Deutschland verändert?
Die DSGVO hat die Auftragsdatenverarbeitung in Auftragsverarbeitung unbenannt. Beide Begriffe meinen dasselbe. Die EU hat jedoch den Anwendungsbereich erweitert und die Haftung verschärft. Seit 2018 haftet neben dem Verantwortlichen auch der Auftragsverarbeiter. Außerdem können Bußgelder nun deutlich teurer werden.
Was regelt der Vertrag zur Auftragsverarbeitung?
Der Verantwortliche ist gem. Artikel 28 Absatz 1 DSGVO dazu verpflichtet, sicherzustellen, dass der Auftragsverarbeiter sich an alle geltenden Datenschutzgesetze hält. Dazu muss er mit dem Auftragsverarbeiter einen Vertrag abschließen. Den Inhalt dieses Vertrags schreibt Art. 28 Absatz 3 sehr detailliert vor. Besonders wichtig sind unter anderem die Antworten auf folgende Fragen:
- Was ist der Vertragsgegenstand?
- Wie lange dauert die Verarbeitung?
- Welcher Zweck soll durch die Verarbeitung erfüllt werden?
- Auf welche Art und Weise werden die Daten verarbeitet?
- Was für Daten und welche Personen sind betroffen?
- Welchen Umfang haben die Weisungsbefugnisse des Verantwortlichen?
- Welche Informationen muss der Auftragsverarbeiter dem Verantwortlichen zur Verfügung stellen?
- Wie wird bei einem Verstoß gegen Datenschutzvorschriften verfahren?
- Wie sind die Kontrollrechte des Verantwortlichen ausgestaltet?
- Welche Rechte und Pflichten hat der Verantwortliche?
- Welche Pflichten hat der Auftragsverarbeiter? Es müssen neben den individuell vereinbarten Pflichten auch alle Pflichten genannt werden, die sich aus der DSGVO ergeben.
- Dürfen Subunternehmen hinzugezogen werden?
- Werden die Daten nach Beendigung des Auftrags gelöscht oder zurückgegeben?
Brauche ich einen individuellen Vertrag oder reicht ein Auftragsverarbeitungsvertrag Muster?
Viele große Auftragsverarbeiter haben ihre eigenen vorgefertigten Verträge zur Auftragsverarbeitung. Es ist empfehlenswert zu kontrollieren, ob diese auf dem neuesten Stand sind. Bei der Zusammenarbeit mit kleineren Dienstleistern muss dagegen vom Verantwortlichen oftmals ein eigener Vertrag vorgelegt werden. Im Internet findest du zahlreiche Mustervorlagen. Wenn ein solcher Vertrag genutzt wird und er Fehler enthält, trägt der Verantwortliche das Risiko, nicht DSGVO-konform zu handeln. Aus diesem Grund ist es empfehlenswert, den Vertrag von einem Anwalt schreiben oder überprüfen zu lassen. Andernfalls sollte die Seriosität des Anbieters des Muster-Vertrags gründlich kontrolliert und bei der Individualisierung auf jedes Detail geachtet werden.
Muss die Auftragsverarbeitung in der Datenschutzerklärung erwähnt werden?
Sinn der Datenschutzerklärung ist es, den Nutzer einer Website detailliert darüber aufzuklären, welche personenbezogenen Daten der Betreiber sammelt und wie sie verwertet werden. Durch die Auftragsverarbeitung erweitert sich der Kreis der Verarbeiter der Daten. Teilweise ergibt sich dadurch auch eine neue Verwendung. Deshalb muss der Nutzer darüber in der Datenschutzerklärung informiert werden.
Woran solltest du denken, wenn man Daten zur Auftragsverarbeitung weitergibt?
- Der Auftraggeber haftet für die Datenschutzverstöße des Auftragnehmers, wählen Sie Ihre Vertragspartner also weise aus.
- Der Auftraggeber weist und kontrolliert die externe Datenverarbeitung.
- Der Auftraggeber ist verpflichtet, die Weisungen zu dokumentieren.
- Der Auftraggeber ist verpflichtet, Sicherheitsvorfälle zu dokumentieren.
- Der Abschluss eines Auftragsverarbeitungsvertrages ist erforderlich.
Was droht bei Verstößen?
Wenn ein Unternehmen gar keinen oder einen fehlerhaften Vertrag zur Auftragsverarbeitung abgeschlossen hat, können die Aufsichtsbehörden ein Bußgeld verhängen. Das gleiche gilt für Auftragsverarbeiter, die einer Pflicht aus einem Datenschutzgesetz nicht nachkommen. Nach der DSGVO ist ein Bußgeld in Höhe von bis zu 20 Millionen Euro möglich. Zusätzlich sind Schäden zu ersetzen, die den betroffenen Personen entstanden sind. Dabei haften der Verantwortliche und der Auftragsverarbeiter im Zweifel als Gesamtschuldner, wenn nicht einer von Ihnen nachweisen kann, alle gesetzlichen Vorgaben des Datenschutzes eingehalten zu haben.
* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.
** Hilfe bei Abmahnungen ist eine freiwillige solidarische Unterstützungsleistung für Mitglieder des Händlerbund e.V. Die Bedingungen der Abmahnhilfe ergeben sich aus der Rechtsschutzordnung des Händlerbund e.V.