Externe Dienstleister mit Datenzugriff: AV-Vertrag ist ein Muss für Unternehmen

Unternehmen greifen im täglichen Geschäft häufig auf externe Dienstleister zurück – etwa für IT-Services, Cloud-Lösungen, Lohnabrechnungen oder Supportleistungen. Sobald diese Dienstleister im Auftrag personenbezogene Daten verarbeiten, schreibt die Datenschutz-Grundverordnung (DSGVO) den Abschluss eines Vertrags zur Auftragsverarbeitung (AV-Vertrag) gemäß Art. 28 DSGVO zwingend vor. Der AV-Vertrag schafft eine klare rechtliche Grundlage für die Zusammenarbeit und stellt sicher, dass personenbezogene Daten auch bei externen Dienstleistern datenschutzkonform verarbeitet werden.

Regelungsgegenstände eines AV-Vertrages

Die Erstellung eines AV-Vertrages erfolgt nach den Vorgaben von Art. 28 Abs. 3 DSGVO. Der Vertrag regelt den Rahmen, in dem ein Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Dabei geht es vor allem um:

• Gegenstand und Dauer der Verarbeitung: Welche Daten werden verarbeitet und wie lange?
• Art und Zweck der Verarbeitung: Wofür werden die Daten genutzt?
• Pflichten des Auftragsverarbeiters:
  • Daten nur gemäß Weisung des Verantwortlichen verarbeiten
  • Mitarbeitende zur Vertraulichkeit verpflichten
  • Unterstützung bei Auskunfts- und Löschanfragen leisten
• Unterauftragsverarbeiter: Nur mit Zustimmung des Verantwortlichen darf der Auftragsverarbeiter Dritte einsetzen.
• Sicherheitsmaßnahmen: Geeignete technische und organisatorische Maßnahmen müssen implementiert werden, um die Daten zu schützen, Art. 32 DSGVO.
  • Ist die Verarbeitung, sofern diese u.a. in einem Drittstaat gem. Art. 4 Nr. 23 DSGVO durchgeführt wird, durch geeignete Garantien gem. Art. 46 DSGVO legitimiert?
• Rechenschaftspflicht: Der Verantwortliche muss prüfen können, ob der Auftragsverarbeiter die Vereinbarungen einhält.

Risiken eines fehlenden AV-Vertrages

Ein fehlender AV-Vertrag stellt für Unternehmen ein erhebliches Risiko dar, da er den notwendigen rechtlichen Rahmen für die Zusammenarbeit zwischen verantwortlicher Stelle und Auftragsverarbeiter schafft. Die Verarbeitung gilt dann als nicht DSGVO-konform. Es drohen Folgen:

• Bußgelder: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes gemäß Art. 83 Abs.4 DSGVO
• Haftung: Unternehmen haften für Fehler des Dienstleisters und können von Betroffenen auf Schadensersatz in Anspruch genommen werden, Art. 82 DSGVO
• Reputationsschäden: Vertrauensverlust bei Kunden, Partnern und Mitarbeitenden

Ein AV-Vertrag ist daher keine Formalie, sondern eine zentrale Vorgabe der externen Datenverarbeitung.

Praxisbeispiel: IT-Dienstleister

Ein Unternehmen nutzt einen externen IT-Dienstleister zur Wartung des CRM-Systems. Der Dienstleister hat dabei Zugriff auf Kundenstammdaten, Kontaktdaten und Kommunikationshistorien. Die Datenverarbeitung erfolgt ausschließlich im Auftrag und nach Weisung des Unternehmens; eigene Zwecke verfolgt der Dienstleister nicht.

In diesem Fall liegt ein klassisches Auftragsverarbeitungsverhältnis gemäß Art. 28 DSGVO vor. Ohne AV-Vertrag wäre der Zugriff des IT-Dienstleisters auf die Kundendaten unzulässig. Der AV-Vertrag regelt hier insbesondere den zulässigen Zugriff, die Sicherheitsmaßnahmen, den Einsatz von Unterauftragnehmern sowie die Unterstützung bei Datenschutzvorfällen und Betroffenenanfragen.

Zusammenarbeit absichern

Ein AV-Vertrag gemäß Art. 28 DSGVO ist ein unverzichtbarer Bestandteil jeder datenschutzkonformen Zusammenarbeit mit externen Dienstleistern. Er sorgt für klare Zuständigkeiten, erhöht die Transparenz und schützt Unternehmen vor rechtlichen Risiken. Unternehmen sollten daher regelmäßig prüfen, ob für alle relevanten Dienstleister ein aktueller und vollständiger AV-Vertrag vorliegt. Damit schützten Sie sich und alle Nutzerinnen und Nutzer vor unbefugter Datenweitergabe.