Auftragsverarbeitung (AVV)

Definition

Die Auftragsverarbeitung bezeichnet gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) die Verarbeitung personenbezogener Daten durch einen Dienstleister (Auftragsverarbeiter) im Auftrag eines Verantwortlichen. Der Auftragsverarbeitungsvertrag (AVV) ist das rechtliche Dokument, das die Rechte und Pflichten beider Parteien regelt. Er muss schriftlich oder in elektronischer Form vorliegen und konkrete Angaben zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, den Kategorien betroffener Personen sowie den Pflichten und Rechten des Verantwortlichen enthalten.

Der AVV ist keine freiwillige Vereinbarung, sondern eine gesetzliche Pflicht. Ohne einen wirksamen AVV verstößt die Datenverarbeitung gegen die DSGVO, was Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen kann. Typische Auftragsverarbeiter sind Cloud-Anbieter, E-Mail-Dienstleister, Hosting-Provider und Plattformen für den Dateitransfer.

Einfach erklärt

Stellen Sie sich vor, Sie beauftragen ein Umzugsunternehmen, Ihre wertvollen Möbel von einem Haus ins andere zu transportieren. Sie geben dem Unternehmen klare Anweisungen: welche Möbel transportiert werden sollen, wie sie verpackt werden müssen und dass nichts beschädigt werden darf. Der Vertrag mit dem Umzugsunternehmen regelt genau, was passieren soll und wer haftet, wenn etwas schiefgeht.

Ein Auftragsverarbeitungsvertrag funktioniert genauso, nur eben mit Daten statt Möbeln. Wenn Sie einen Cloud-Dienst nutzen, der Kundendaten speichert oder verarbeitet, brauchen Sie einen AVV. Dieser legt fest, was der Dienstleister mit den Daten tun darf, wie er sie schützen muss und was bei einer Datenpanne passiert. Ohne diesen Vertrag wäre das so, als würden Sie einem Fremden Ihren Hausschlüssel geben, ohne abzusprechen, was er damit tun darf.

Warum ist das wichtig?

Der Auftragsverarbeitungsvertrag ist das Fundament jeder rechtmäßigen Datenverarbeitung durch Dritte. Für Unternehmen, die mit externen Dienstleistern arbeiten, ist er unverzichtbar:

• Gesetzliche Pflicht: Art. 28 DSGVO schreibt einen AVV für jede Auftragsverarbeitung zwingend vor. Fehlt der Vertrag, liegt bereits ein Datenschutzverstoß vor, auch wenn die eigentliche Verarbeitung einwandfrei erfolgt.
• Haftungsverteilung: Der AVV regelt klar, wer im Schadensfall haftet. Ohne AVV haftet der Verantwortliche allein, auch für Fehler des Dienstleisters.
• Kontrollpflicht: Unternehmen müssen sich davon überzeugen, dass ihre Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben.
• Unterauftragnehmer: Der AVV regelt, ob und unter welchen Bedingungen der Dienstleister Unterauftragnehmer einsetzen darf. Ohne diese Regelung könnten Daten unkontrolliert an Dritte weitergegeben werden.
• Prüfungssicherheit: Bei Kontrollen durch Aufsichtsbehörden ist der AVV eines der ersten Dokumente, das angefordert wird. Sein Fehlen ist ein sofortiger Beanstandungsgrund.

Praxisbeispiel

Eine Steuerberatungskanzlei nutzt eine Online-Plattform, über die Mandanten ihre Unterlagen hochladen können. Die Plattform speichert die Dateien in der Cloud und ermöglicht den Mitarbeitern der Kanzlei den Zugriff. Die hochgeladenen Dokumente enthalten personenbezogene Daten: Namen, Steuernummern, Gehaltsinformationen.

Die Kanzlei ist der Verantwortliche, die Plattform ist der Auftragsverarbeiter. Ohne AVV wäre diese Konstellation ein Verstoß gegen Art. 28 DSGVO. Der AVV muss unter anderem festlegen:

• Welche Daten verarbeitet werden (Mandantenunterlagen mit personenbezogenen Daten)
• Wie lange die Daten gespeichert werden
• Welche Sicherheitsmaßnahmen die Plattform implementiert hat
• Dass die Plattform die Daten nur nach Weisung der Kanzlei verarbeitet
• Wie mit Datenpannen umgegangen wird
• Welche Unterauftragnehmer (z. B. der Hosting-Provider) eingesetzt werden

Bei einer Prüfung durch die Aufsichtsbehörde kann die Kanzlei den AVV vorlegen und nachweisen, dass sie ihre Sorgfaltspflichten erfüllt hat.

So setzt SendMeSafe das um

SendMeSafe nimmt die Pflichten aus der Auftragsverarbeitung ernst und bietet Unternehmen alle notwendigen Werkzeuge für eine rechtskonforme Zusammenarbeit:

• Vollständiger AVV: Jeder Kunde erhält einen umfassenden Auftragsverarbeitungsvertrag, der alle Anforderungen des Art. 28 DSGVO erfüllt. Der AVV kann direkt in den Organisationseinstellungen eingesehen und akzeptiert werden.
• Transparente Unterauftragnehmer: Wir legen offen, welche Unterauftragnehmer wir einsetzen (Hetzner Cloud für Hosting und Speicherung in Deutschland) und informieren über Änderungen.
• Technische und organisatorische Maßnahmen: Unser TOM-Dokument beschreibt detailliert die implementierten Sicherheitsmaßnahmen, von Verschlüsselung über Zugriffskontrollen bis hin zur Datensicherung.
• Weisungsgebundenheit: Wir verarbeiten Daten ausschließlich nach Weisung unserer Kunden. Automatisierte Verarbeitungen beschränken sich auf das für den Dienst Notwendige.
• Audit-Trail: Alle Zugriffe und Verarbeitungsvorgänge werden protokolliert, sodass Kunden jederzeit nachvollziehen können, was mit ihren Daten geschieht.
• Löschkonzept: Dateien können mit automatischen Ablauffristen versehen werden. Nach Beendigung des Vertragsverhältnisses werden alle Daten gemäß den AVV-Bestimmungen gelöscht.

Häufig gestellte Fragen

Wann brauche ich einen AVV?

Sie benötigen einen AVV immer dann, wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Typische Fälle sind: Cloud-Speicher, E-Mail-Marketing-Tools, Hosting-Provider, CRM-Systeme, Plattformen für Dateitransfer und Buchhaltungssoftware. Entscheidend ist, ob der Dienstleister Zugriff auf personenbezogene Daten hat oder haben könnte.

Was muss in einem AVV stehen?

Art. 28 Abs. 3 DSGVO legt die Mindestinhalte fest: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen, technische und organisatorische Maßnahmen, Regelungen zu Unterauftragnehmern, Unterstützung bei Betroffenenrechten, Löschung nach Vertragsende und Duldung von Kontrollen.

Was passiert, wenn ich keinen AVV abgeschlossen habe?

Das Fehlen eines AVV ist ein eigenständiger Verstoß gegen die DSGVO, unabhängig davon, ob tatsächlich ein Datenschutzproblem aufgetreten ist. Aufsichtsbehörden können Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängen. In der Praxis wird bei Prüfungen regelmäßig nach AVVs gefragt, und ihr Fehlen führt fast immer zu einer Beanstandung.

Kann ein AVV auch digital abgeschlossen werden?

Ja, die DSGVO erlaubt den Abschluss eines AVV in elektronischer Form. Ein digitaler AVV ist genauso rechtswirksam wie ein Papierdokument. Bei SendMeSafe können Sie den AVV direkt in der Plattform einsehen und akzeptieren, ohne dass ein Papierprozess notwendig ist.