Leitfaden - Auftragsverarbeitungen und Auftragsverarbeitungsverträge - Muster, Vorlagen und Anleitungen

ChatGPT
Dr. Thomas Helbing
Mittwoch, 12. März 2025 - 14:15

Inhaltsverzeichnis

Vertrags-Generator jetzt starten

Was macht meinen Leitfaden anders?

Mein Leitfaden vermittelt Ihnen das Hintergrundverständnis für die Auftragsverarbeitung und bietet praxisnahe, pragmatische Lösungen. Er basiert auf meiner Erfahrung als IT-Fachanwalt und Interims-Datenschutzbeauftragter sowohl sehr großer als auch kleiner Unternehmen. In dieser Rolle habe ich hunderte Auftragsverarbeitungsverträge bearbeitet sowie unzählige Diskussionen und Pannen zum Thema Auftragsverarbeitung erlebt.

Statt juristischer Fachausdrücke, theoretischer Abhandlungen und Gerichtsbeschlüssen finden Sie hier Antworten auf die wirklich relevanten Fragen – anschaulich erklärt.

Warum gibt es die Auftragsverarbeitung?

Wenn Ihnen ein Haus gehört, sind Sie im Grundbuch eingetragen. Es ist klar, dass Sie der Eigentümer sind und die damit verbundenen Rechte und Pflichten tragen (Grundsteuer, Instandhaltung). Wenn einem Fußgänger ein Dachziegel auf den Kopf fällt, wäre es Ihre Pflicht gewesen, das zu verhindern. Eigentum verpflichtet.

Aber wie ist das bei personenbezogenen Daten? Wenn Ihr Lebenslauf im Internet landet – wer hätte das verhindern müssen? Ihr Arbeitgeber? Die Konzernmutter Ihres Arbeitgebers? Die Personalvermittlung, die Sie dorthin empfohlen hat? Oder gar Sie selbst?

Daten sind beliebig kopierbar, vielfältig nutzbar und haben keinen Eigentümer. Der Gesetzgeber hat sich deshalb ein neues Konzept ausgedacht: Den „Verantwortlichen“. Der Verantwortliche muss alle Pflichten nach der DSGVO erfüllen. In der Praxis sind das fast immer Unternehmen (GmbH, AG, etc.), Vereine oder staatliche Stellen – aber so gut wie nie einzelne Menschen, etwa der Leiter der Personalabteilung. (Im Englischen heißt es „controller“, die deutsche Übersetzung „Verantwortlicher“ suggeriert, es handle sich typischerweise um einen Menschen).

Doch wenn es kein Grundbuch für personenbezogene Daten gibt und sie beliebig vervielfältigbar sind, wer ist dann der „Verantwortliche“? Die DSGVO hat dazu eine kurze und knappe Antwort: Derjenige, der festlegt, wofür und wie die Daten genutzt werden sollen. Im Jargon der DSGVO: Wer die „Zwecke“ und „Mittel“ der Datenverarbeitung festlegt. Wer entscheidet, ist auch verantwortlich.

Diese Verantwortlichkeit bezieht sich auf einen konkreten Datenumgang, also eine bestimmte Datenverarbeitung. Weil Daten beliebig kopiert und vielfältig genutzt werden können, kann es für dieselben Informationen viele Verantwortliche geben:

  • Der Onlineshop, der Ihren Namen und Ihre Anschrift für den Versand Ihrer Schuhe nutzt.
  • Das Finanzamt, das Ihnen dorthin den Steuerbescheid schickt.
  • Die SCHUFA, die Ihre Adresse nutzt, um Ihre Bonität zu ermitteln.

Es sind dieselben Daten, aber unterschiedliche Nutzungen, und unterschiedliche Stellen, die entschieden haben, wofür und wie die Daten genutzt werden. Deshalb sind der Onlineshop, das Finanzamt und die SCHUFA jeweils Verantwortliche für ihre Datenverarbeitung.

Aber was hat all das mit der Auftragsverarbeitung zu tun?

Es gibt Unternehmen, die mit Daten umgehen, ohne selbst zu entscheiden, wofür und warum. Es sind die vielen kleinen und großen Helferlein:

  • Der KI-Chatbot, der Ihren Brief korrigiert.
  • Der IT-Dienstleister, der den Mailserver des Arbeitgebers betreibt.
  • Der Cloudanbieter, der Ihre Daten sicher speichert.
  • Das Softwareunternehmen mit dem praktischen Online-Reisekostenabrechnungs-Tool.

Sie alle verwenden die Daten nach Vorgaben und heißen in der DSGVO Auftragsverarbeiter.

Verantwortliche entscheiden, wofür und wie Daten genutzt werden. Auftragsverarbeiter hingegen machen mit den Daten nur das, was ihnen der Verantwortliche vorgibt. Sie haben keinen oder sehr wenig Entscheidungsspielraum. Die Butler, Soldaten und Praktikanten der Datenverarbeitung. Sie folgen Anweisungen, tun was man Ihnen sagt und entscheiden nicht selbst. Da Auftragsverarbeiter nicht entscheiden, wie Daten genutzt werden, treffen sie auch nur wenige Pflichten. Die wichtigsten Pflichten lauten:

  • Behandle die Daten nur so, wie es der Verantwortliche vorgibt.
  • Halte dich an dessen Weisungen und Vorgaben.
  • Kümmere dich um die Datensicherheit: Verliere die Daten nicht, verändere sie nicht und stelle sicher, dass sie verfügbar sind, wenn sie gebraucht werden.

Wenn ein Verantwortlicher einen Auftragsverarbeiter einschaltet, bezeichnet man den Verantwortlichen meist als Auftraggeber und den Auftragsverarbeiter als Auftragnehmer. Bei der Auftragsverarbeitung entspricht also vereinfacht gesagt der Auftraggeber dem Verantwortlichen und der Auftragnehmer dem Auftragsverarbeiter.

Wieso ist das Thema Auftragsverarbeitung wichtig?

Mit der Entscheidung, wer Verantwortlicher und wer „nur“ Auftragsverarbeiter ist, wird festgelegt, wer die Pflichten der DSGVO erfüllen muss. Zudem wird die Datenweitergabe zwischen Verantwortlichen und Auftragsverarbeitern erleichtert. Und rein praktisch gesehen müssen Verantwortliche und Auftragsverarbeiter bestimmte Verträge schließen.

Pflichten

Der Verantwortliche ist für die Einhaltung der DSGVO-Pflichten verantwortlich und er steht für alles ein, was der Auftragsverarbeiter mit den Daten bestimmungsgemäß unternimmt.

Der Datenumgang des Auftragsverarbeiters wird dem Verantwortlichen also zugerechnet, d. h., er wird so behandelt, als würde der Verantwortliche die Daten selbst nutzen. Speichert der Auftragsverarbeiter z.B. die Daten zu lange, weil der Verantwortliche ihn nicht zur Löschung angewiesen hat, landet das Bußgeld beim Verantwortlichen. Verliert der Auftragsverarbeiter Daten aufgrund eines Versehens, muss der Verantwortliche dies der Datenschutzbehörde melden.

Den Verantwortlichen treffen auch alle Begleitpflichten, z.B. die Pflicht zur Information der Betroffenen über den Datenumgang (Datenschutzhinweise). Nutzt etwa ein Arbeitgeber ein Online-Tool eines Drittanbieters zur Reisekostenabrechnung, muss der Arbeitgeber und nicht der Tool-Anbieter den Mitarbeitern die Datenschutzhinweise bereitstellen.

Aus Sicht des Verantwortlichen ist der Auftragsverarbeiter wie eine IT-Abteilung. Sie muss angewiesen werden, was sie machen soll und sie ist Teil des Unternehmens. Wenn etwas bei der IT-Abteilung schiefgeht, können Sie die Verantwortung nicht von Ihrem Unternehmen wegschieben.

Privilegien

Der Datenaustausch zwischen Verantwortlichem und Auftragsverarbeiter ist grundsätzlich zulässig. Schließlich arbeitet der Auftragsverarbeiter streng weisungsgebunden, entscheidet nicht selbst, was er mit den Daten unternimmt und der Verantwortliche steht für den Auftragsverarbeiter ein.

Dies ist eine Privilegierung der Auftragsverarbeitung. Anders sieht es nämlich aus, wenn ein Verantwortlicher die Daten an einen anderen Verantwortlichen übermittelt – getreu dem Motto: „Hier sind die Daten, du kannst entscheiden, wofür und wie du sie nutzt.“ Eine solche Übermittlung außerhalb einer Auftragsverarbeitung bedarf einer Rechtsgrundlage und ist deutlich schwieriger zu rechtfertigen. Die Weitergabe von Daten an einen Auftragsverarbeiter ist also – im Vergleich zur Weitergabe an einen anderen Verantwortlichen – erleichtert.

Verträge

Die vielleicht praxisrelevanteste Auswirkung: Verantwortliche und Auftragsverarbeiter müssen einen Vertrag schließen: den Auftragsverarbeitungsvertrag. Der Auftragsverarbeitungsvertrag muss bestimmte gesetzlich vorgeschriebene Themen regeln, zum Beispiel, ob der Auftragsverarbeiter weitere (Unter-)Auftragsverarbeiter einsetzen darf und was bei Abschluss der Arbeiten mit den Daten passieren soll. Hierzu unten mehr.

Wann liegt eine Auftragsverarbeitung vor?

Wenn Sie ein Tier sehen und es als Vogel identifizieren, gehen Sie vermutlich kein Prüfschema durch: Federn, Schnabel (statt Maul mit Zähnen), umgebildete Vordergliedmaßen (Flügel), großes Brustbein mit Kiel, legt Eier usw. Stattdessen haben Sie ein Bild vor Augen, wie ein Vogel typischerweise aussieht. Nur bei nicht trivialen Fällen, etwa einem Strauß oder Pinguin, holen Sie die „Checkliste“ heraus.

Ich empfehle Ihnen, bei der Auftragsverarbeitung genauso vorzugehen. Orientieren Sie sich zunächst an den typischen Erscheinungsformen, statt sich jedes Mal in juristischer Prüfmethodik (Subsumtion) zu üben. Das hat nichts mit Schludrigkeit oder Faulheit zu tun: Die Abgrenzung, was Auftragsverarbeitung ist und was nicht, ist unscharf, teils historisch gewachsen, nicht immer nachvollziehbar und teils heillos umstritten – selbst unter Aufsichtsbehörden. Wer Ihnen erzählt oder vorgibt, den Unterschied genau zu kennen, hat ihn vermutlich selbst nicht richtig verstanden.

Fallgruppen

Auftragsverarbeitung

Typische Auftragsverarbeiter sind:

  • IT-Dienstleister, die Software oder Datenbanken betreiben, in denen personenbezogene Daten gespeichert werden.
  • Cloud- und Software as a Service (SaaS)-Anbieter, in deren Lösungen personenbezogene Daten gespeichert sind.
  • Anbieter externer Tools, die in eigene Webseiten integriert werden (z.B. Terminvereinbarungs-Plugin).
  • Hosting-Anbieter von Webseiten, bei denen Serverlogfiles mit IP-Adressen geführt werden.
  • Dienstleister für externes Scannen, Archivieren oder Vernichten von Unterlagen.
  • Datenträgerentsorger.
  • Backupdienstleister.
  • Anbieter von IT-Wartungsleistungen, bei denen der Dienstleister im Rahmen von Wartungsleistungen Zugriff auf personenbezogene Daten erhält (remote per Fernwartung oder Vor-Ort im eigenen Rechenzentrum). Solche Dienstleister erbringen häufig Leistungen, bei denen die Verwendung personenbezogener Daten gar nicht unmittelbar Gegenstand der Leistung ist, er also an sich nichts mit den Daten „machen“ soll, z.B. Einspielen von Updates oder Sichtung von Fehlerlogs. Der Dienstleister hat aber notwendigerweise Zugriff auf personenbezogene Daten. Auch dann liegt eine Auftragsverarbeitung vor.

Keine Auftragsverarbeitung

In den folgenden Fällen liegt keine Auftragsverarbeitung vor:

Der Dienstleister bzw. Datenempfänger nutzt die Daten für eigene, von ihm selbst festgelegte Zwecke. Dies ist der Fall bei:

  • Lieferanten und Kunden, die Kontaktdaten Ihres Unternehmens zur Abwicklung der Warenlieferung nutzen. Sie entscheiden aber selbst, wie sie mit den Daten umgehen.
  • Sonstige Geschäfts- und Kooperationspartner, die Daten über Ihre Mitarbeiter aus Projektplänen, Gesprächsprotokollen oder im Rahmen des E-Mail-Verkehrs erhalten. Sie nutzen diese Daten eigenverantwortlich und für eigene Zwecke der Vertragserfüllung und nicht nach Vorgaben des Geschäftspartners.
  • Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen.
  • Externe Zahlungsdienstleister (z. B. PayPal).
  • Banken beim Zahlungsverkehr.

Ebenfalls keine Auftragsverarbeitung liegt vor, wenn der Umgang mit personenbezogenen Daten lediglich „Beiwerk“ einer ganz anderen Leistung ist, wenn also die erbrachte Leistung „im Kern“ keine Datenverarbeitung ist. Beispiele für solche Leistungen sind:

  • Postdienste für den Brief- oder Pakettransport. Kern der Leistung ist der Warentransport, das Verwenden der Absender- und Empfängeradresse ist nur Beiwerk.
  • Druck von Prospekten, Katalogen mit Bildern von Beschäftigten. Kern der Leistung ist die Herstellung von Druckerzeugnissen. Aber Achtung: Wenn der Druckdienstleister die zu druckenden Dokumente selbst zusammensetzt, ist er insoweit Auftragsverarbeiter, z.B. wenn er den Brieftext erhält und eine gesonderte Adressliste und beides erst zu einem Dokument zusammenfügt und dann druckt.
  • Übersetzung von Texten in Fremdsprachen - Kern der Leistung ist die Übersetzung, nicht der Umgang mit darin etwaig enthaltenen personenbezogenen Daten.
  • Empfangspersonal. Kern der Leistung ist in der Regel die Begrüßung und Hilfestellung, nicht das Erfassen von Besucherdaten.
  • Reinigungsleistungen. Kern der Leistung ist die Reinigung, nicht die beiläufige Kenntnisnahme von Daten (z.B. herumliegende Unterlagen).

Daneben gibt es noch Spezialregelungen, die eine Auftragsverarbeitung ausschließen:

  • Anbieter von Telekommunikationsleistungen sind keine Auftragsverarbeiter. Der Begriff „Telekommunikationsleistungen“ umfasst dabei alles, was mit der Übermittlung von Signalen (Daten) zu tun hat. Anbieter von Mobilfunk, Festnetzanschlüssen und Internet-Datentarifen sind demnach keine Auftragsverarbeiter.
  • Aber auch hier ist die Abgrenzung wichtig: Bieten Telekommunikationsunternehmen zusätzlich Leistungen an, die nicht unmittelbar die Signalübermittlung betreffen, können sie Auftragsverarbeiter sein. Wird neben dem Sprachtelefondienst, z. B. auch eine Speicherung von Sprachnachrichten in der Cloud und ggf. deren Umwandlung in Text angeboten, dann gehört dieser Teil der Leistung nicht zur Signalübermittlung und unterliegt der Auftragsverarbeitung.
  • Berufsgeheimnisträger handeln aufgrund berufsrechtlicher Regeln eigenverantwortlich und sind in Bezug auf den Datenumgang nicht strikt weisungsgebunden. Deshalb sind Steuerberater, Rechtsanwälte, externe Betriebsärzte und Wirtschaftsprüfer bei Ausübung ihrer Tätigkeit als solche keine Auftragsverarbeiter. Wenn sie aber außerhalb dieser Tätigkeit Daten nutzen, können sie insoweit Auftragsverarbeiter werden. Beispiel: Eine Anwaltskanzlei nimmt eine Datenanalyse vor oder eine Wirtschaftsprüfungsgesellschaft erstellt Benchmarks (Branchenvergleiche), die nicht zur Kern-Tätigkeit eines Wirtschaftsprüfers gehört.

Prüfschema

Wenn Ihnen die Fallgruppen nicht weiterhelfen oder Sie unsicher sind, prüfen Sie den Einzelfall anhand des Gesetzes.

Wir erinnern uns: Verantwortlicher ist, wer entscheidet. Die DSGVO drückt es so aus: Verantwortlicher ist, wer „Zwecke“ und „Mittel“ der Datenverarbeitung festlegt.

Der „Zweck“ einer Datenverwendung meint das „Wieso?“, „Warum?“, „Wofür?“ und „mit welchem Ziel?“ wird eine Datenverarbeitung. Die Entscheidungen über diese Fragen sind so grundlegend, dass sie nur der Verantwortliche treffen darf. Entscheidet ein Auftragnehmer über die Zwecke selbst, ist er kein Auftragsverarbeiter mehr, sondern selbst Verantwortlicher.

Beispiel:

Werden Mitarbeiterdaten einer Tochtergesellschaft auf Rechnern der Muttergesellschaft zu Sicherungszwecken gespeichert und entscheidet die Muttergesellschaft dann, diese Daten auch für konzernweite Gehaltsreportings zu nutzen, dann legt die Mutter insofern den Zweck der Verarbeitung, das „Wofür?“ fest. Sie ist damit in Bezug auf die Datenverwendung für Gehaltsreportings kein Auftragsverarbeiter mehr, sondern selbst Verantwortlicher.

Mit „Mittel“ der Verarbeitung ist das „Wie?“ der Verarbeitung durchgeführt wird. Die Art und Weise der Datennutzung ist teilweise keine so gravierende Entscheidung wie die Frage, wofür die Daten verwendet werden. Daher wird hier unterschieden:

Ein Auftragsverarbeiter darf bei kleineren Fragen des Wie mitentscheiden, jedoch nicht bei wesentlichen Fragen. Wesentlich sind alle Entscheidungen, die sich unmittelbar auf die Zulässigkeit der Verarbeitung auswirken. Dazu gehören folgende Punkte:

  • der Umfang der personenbezogenen Daten
  • die Speicherdauer
  • die Datenempfänger

Die Entscheidung hierüber muss also der Auftraggeber treffen und darf sie nicht seinem Auftragnehmer überlassen. Andernfalls wird der Auftragnehmer wieder selbst zum Verantwortlichen.

Unwesentliche Fragen, die auch ein Auftragsverarbeiter mitentscheiden kann, sind z. B.:

  • die Frage, welche Datensicherheitsmaßnahmen ergriffen werden
  • welche konkrete Software zum Einsatz kommt.

Damit ergibt sich folgendes Bild:

Entscheidungsthema Zwecke Mittel - Wesentliche Mittel - Unwesentliche
Beispiel Wieso, Warum, Wofür, mit welchem Ziel werden die Daten genutzt? Welche Datenarten werden verarbeitet?
Wie lange werden Daten gespeichert?
Wer hat Zugriff oder erhält die Daten?		 Welche Software wird genutzt?
Welche Datensicherheitsmaßnahmen werden getroffen?
Wer darf entscheiden? Nur Auftraggeber Nur Auftraggeber Auftraggeber und Auftragnehmer

Leider lassen sich manche Fälle damit trotzdem nicht eindeutig klären. In solchen Fällen helfen diese Hilfsfragen. Je mehr und je klarer Sie diese mit „Ja“ beantworten, desto eher liegt eine Auftragsverarbeitung vor:

  • Der Auftraggeber bleibt für die Rechtmäßigkeit der Datenverarbeitung weiter verantwortlich (und wälzt sie nicht auf den Auftragnehmer ab).
  • Der Auftraggeber behält faktisch (also in der Praxis) die Möglichkeit, dem Auftragnehmer Weisungen in Bezug auf den Datenumgang zu geben und diesen zu kontrollieren.
  • Der Auftragnehmer hat keinen oder einen geringen inhaltlichen Bewertungs- und Ermessensspielraum in Bezug auf den Umgang mit den Daten.
  • Der Auftraggeber nimmt faktisch (tatsächlich) Kontrollen der Verarbeitungstätigkeit des Auftragnehmers vor.
  • Der Auftragnehmer hat keine eigenständige rechtliche Beziehung zu den Betroffenen (deren personenbezogene Daten verarbeitet werden) und tritt nicht im eigenen Namen gegenüber Betroffenen auf.
  • Der Auftragnehmer erhält keine eigenständigen Nutzungsrechte an den Daten (darf sie nicht „für sich“ verwenden).

Beispiele:

Zwei Unternehmen beauftragen ein Call-Center, die Kontaktdaten der richtigen Ansprechpartner bei potentiellen Neukunden zu ermitteln (Lead). Unternehmen 1 überlässt es dem Call-Center, wie es die Kontaktdaten ermittelt, wie es auf die Unternehmen zugeht und welche Fragen es stellt, um Leads zu generieren. Hier hat das Call-Center freie Hand, welche Daten es wie erfasst. Selbst wenn das Call-Center „im Namen“ des Unternehmens anruft, liegt keine Auftragsverarbeitung vor. Unternehmen 2 gibt dem Call-Center eine Liste potentieller Kunden und legt fest, welche Fragen zu stellen sind und wann ein Unternehmen als geeigneter Kunde gilt. Zudem muss das Call-Center am Ende alle Daten zurückgeben und darf sie nicht anderweitig nutzen. Hier sind alle wichtigen Fragen zum Datenumgang vorgegeben. Das Call-Center hat wenig eigenen Ermessensspielraum und handelt als Auftragsverarbeiter.

Die Fälle, bei denen eine ganze Abteilung, Geschäftsfunktion oder einen Geschäftsprozess vollständig an ein anderes Unternehmen ausgelagert wird, ohne dem Dienstleister konkrete Vorgaben zum Datenumgang zu machen, kommen recht häufig vor. Bis zum Jahr 2018, als die DSGVO Geltung erlangte, wurde dies im Datenschutz oft als „Funktionsübertragung“ bezeichnet. Übertragen wird dabei nicht eine konkret festgelegte Datenverarbeitung, sondern eine ganze (Geschäfts-)Funktion. Neudeutsch ist das ein „Business Process Outsourcing“. Auch wenn der Begriff „Funktionsübertragung“ nicht mehr genutzt wird, kann man die Konstellationen gut zur Abgrenzung zur Auftragsverarbeitung heranziehen. Funktionsübertragungen sind keine Auftragsverarbeitung.

Funktionsübertragungen können an Externe erfolgen (z.B. Facility Management). Noch häufiger kommen sie innerhalb von Unternehmensverbünden vor, z.B. wenn eine Shared Service Gesellschaft oder die Muttergesellschaft komplette Geschäftsprozesse übernimmt oder ganze Abteilungen ausgelagert werden, etwa das Personalwesen (HR-Abteilung), das Finanz- und Rechnungswesen, die Beschaffung bzw. der Einkauf, der Datenschutz, die Rechts- oder Compliance-Abteilung. Hier wird eine ganze Funktion bzw. Abteilung ausgelagert. Und das auslagernde Unternehmen macht keine konkreten Vorgaben zum Datenumgang, etwa welche Daten die Compliance-Abteilung erheben darf, oder wie sie interne Ermittlungen zu führen und zu dokumentieren hat.

Abgrenzungsfragen

Viele Probleme bei der Abgrenzung, ob eine Auftragsverarbeitung vorliegt oder nicht, entstehen, weil der Prüfgegenstand entweder sehr weit bzw. grob oder sehr klein und feingliedrig gewählt werden kann.

Ein Beispiel ist das Fuhrparkmanagement: Manche Unternehmen lagern ihr gesamtes Fuhrparkmanagement an externe Dienstleister aus. Das Fuhrparkmanagement umfasst einerseits Leistungen, die typischerweise keine Auftragsverarbeitung sind, etwa die Überwachung von Verträgen, Logistik, Rechnungskontrolle, Beratung bei der Fahrzeugauswahl und das Schadensmanagement. Andererseits werden jedoch auch Leistungen erbracht, die isoliert gesehen eine Auftragsverarbeitung darstellen, z. B. das Bereitstellen einer Online-Plattform, über die Mitarbeiter ihr Fahrzeug auswählen und Schäden melden können, oder die Kontrolle des Vorliegens eines gültigen Führerscheins über eine gesonderte App.

Hier stellt sich die Frage, wie man den Prüfgegenstand wählt:

Prüft man jede Leistung einzeln, kommt man bei einzelnen ggf. zu einer Auftragsverarbeitung. Betrachtet man das Fuhrparkmanagement als Ganzes, gelangt man insgesamt zu einer anderen Einschätzung.

Ein weiteres Beispiel sind Kanzleien, die bei internen Ermittlungen beraten. Sie beraten zu Rechtsfragen, werten aber oft auch E-Mail-Postfächer und Datenablagen mittels forensischer Software aus, um die für Ermittlung relevante Informationen erst herauszufiltern. Der Datenumgang im Rahmen der Rechtsberatung ist keine Auftragsverarbeitung, die Dienstleistung „Daten nach Stichwörtern filtern“ dagegen schon. Betrachtet man beides als Einheit oder gesondert?

Letztlich gibt es hier kein eindeutiges Richtig oder Falsch. Wichtig ist eine saubere Begründung. Dabei können folgende Kontrollfragen helfen:

  • Macht die eine Leistung nur in Verbindung mit der anderen Sinn? Falls ja, spricht dies dafür, die Leistungen gemeinsam zu betrachten.
  • Werden die Leistungen am Markt auch isoliert angeboten? Falls ja, dürfte dies für eine getrennte Betrachtung sprechen.

Zudem können strategische Überlegungen eine Rolle spielen: Man berücksichtigt also nicht stoisch die ohnehin schwammigen Bewertungskriterien, sondern denkt vom Ergebnis her: Welche Vor- und Nachteile hat eine Auftragsverarbeitung? Siehe hierzu den nächsten Abschnitt.

Und schließlich spielt eine nicht unbedeutende Rolle, wie der Vertragspartner denkt. Denn letztlich muss man sich einig werden, ob einen Auftragsverarbeitungsvertrag geschlossen werden soll oder nicht.

Neben der Frage, wie spezifisch oder breit man den Prüfgegenstand wählt, gibt es eine weitere Herausforderung bei der Bewertung potentieller Auftragsverarbeitungen: In einer Geschäftsbeziehung zwischen zwei Unternehmen kann ein Unternehmen sowohl als Auftragsverarbeiter als auch als Verantwortlicher handeln – und das sogar in Bezug auf dieselben Daten. Prüfen Sie eine Auftragsverarbeitung, müssen Sie sich dafür überlegen, welche Datenverarbeitung betrachtet wird, d.h. welche Daten für welchen Zweck genutzt werden.

Beispiel:

Ein IT-Dienstleister stellt Ihrem Unternehmen eine Online-Plattform für die Verwaltung Ihrer E-Learnings bereit. Eine klassische Auftragsverarbeitung. Hierbei werden Nutzerdaten erfasst, z. B. welche Teilnehmer wann, wie schnell und von welchen Geräten aus ein Training absolviert haben, um Ihnen entsprechende Reports bereitzustellen, damit Sie den Lernfortschritt nachverfolgen können. Ebenfalls eine Auftragsverarbeitung.

Aber jetzt: Der Dienstleister wertet diese Nutzungs-Daten auch aus, um seine Plattform weiterzuentwickeln, etwa um zu analysieren, welche Funktionen häufig oder weniger häufig genutzt werden oder um auf „Ideen“ für neue Funktionen zu kommen. Diese Datennutzung liegt nicht primär in Ihrem Interesse. Sie haben dem IT-Unternehmen dazu auch keine Vorgaben gemacht und schon gar nicht beabsichtigen Sie, diese Nutzung zu kontrollieren. Die Verwendung der Nutzungsdaten für die Produktentwicklung ist deshalb keine Auftragsverarbeitung mehr. Für dieselben Daten ist der Anbieter je nach Nutzungszweck einmal Auftragsverarbeiter (Bereitstellung Reports) und einmal eigenständiger Verantwortlicher (Produktverbesserung).

Weitere Fälle, bei denen der IT-Dienstleister zum eigenen Verantwortlichen werden kann, sind Maßnahmen zur Betrugsbekämpfung (zum Schutz des Anbieters) oder die Erstellung von kundenübergreifenden Benchmarks.

Was mache ich, wenn ich unsicher bin?

So gut Sie sich jetzt gewappnet fühlen, es gibt immer Grenzfälle oder der Partner bewertet es anders als Sie.

Gehen Sie deshalb immer auch strategisch vom Ergebnis her an die Sache heran. Wenn die Einordnung im Graubereich liegt, welche Vor- und Nachteile bietet Ihnen die eine oder andere Einwertung. Hier ist zu differenzieren, ob Sie Auftraggeber oder Auftragnehmer sind:

Als Auftragnehmer

Wenn Sie Auftragnehmer sind, also für andere Unternehmen etwas mit deren Daten machen:

Vorteil einer Auftragsverarbeitung ist:

  • Sie sind nicht für die Rechtmäßigkeit des Datenumgangs verantwortlich. Die Verantwortung für die Zulässigkeit der Datennutzung liegt beim Auftraggeber.
  • Alle Begleitpflichten wie die Dokumentation im Verfahrensverzeichnis, Meldepflichten zu Behörden bei Datenpannen oder Informationspflichten gegenüber Betroffenen liegen beim Auftraggeber.

Nachteile:

  • Sie müssen den Vorgaben und Weisungen des Auftraggebers folgen und sich ggf. kontrollieren lassen.
  • Sie dürfen nicht selbst festlegen, die Daten für andere, z.B. eigene Zwecke zu nutzen.
  • Wenn Sie Subdienstleister für die Datenverarbeitung einschalten, hat der Auftraggeber ein Mitspracherecht (siehe unten).

Im Zweifel ist es für Auftragnehmer bequemer, eine Auftragsverarbeitung anzunehmen. Deswegen tendieren viele Anbieter dazu, per Gießkannenprinzip für alle ihre Leistungen eine Auftragsverarbeitung zu vereinbaren.

Als Auftraggeber

Für Auftraggeber hat eine Auftragsverarbeitung diese Vorteile:

  • Die Weitergabe an den Auftragsverarbeiter ist privilegiert, Sie müssen sich also keine Gedanken machen, ob Sie Ihre Daten an einen Dienstleister übergeben dürfen.
  • Der Auftragsverarbeiter darf die Daten nur nach Ihren Vorgaben und nicht für eigene Zwecke nutzen.

Die wesentlichen Nachteile:

  • Sie bleiben für alles verantwortlich, was der Auftragsverarbeiter mit den Daten unternimmt und müssen z.B. auch dessen Datenpannen als „eigene“ melden.
  • Sie müssen den Auftragsverarbeiter sorgfältig auswählen, anweisen und kontrollieren, was in der Praxis meist zu kurz kommt.

Wenn Sie als Auftraggeber die Datenübermittlung an den Dienstleister rechtfertigen können, z.B. weil die Daten wenig sensibel und die Auslagerung „üblich“ ist, ist es strategisch oft vorteilhafter, von keiner Auftragsverarbeitung auszugehen.

Zusätzlich zu diesen Aspekten ist das Risiko zu betrachten, das mit einer falschen Einwertung einhergeht. Hierzu geht es im nächsten Abschnitt.

Was ist das Risiko, wenn ich falsch liege bei der Bewertung als Auftragsverarbeitung?

Wenn das mit der Frage, ob eine Auftragsverarbeitung vorliegt, so kompliziert ist, fragen Sie sich vielleicht (zu Recht): Was ist das Risiko, wenn ich falsch liege?

Ob eine Auftragsverarbeitung vorliegt oder nicht, können Sie nicht dadurch beeinflussen, ob Sie einen Vertrag abschließen oder nicht. Entscheidend ist allein, wer in der Praxis die Mittel und Zwecke der Verarbeitung festgelegt hat.

Allerdings kann der Abschluss oder Nicht-Abschluss eines Auftragsverarbeitungsvertrags eine gewisse Anscheinswirkung haben. Eine Aufsichtsbehörde oder ein Gericht könnte sagen: Wenn die Parteien einen Auftragsverarbeitungsvertrag geschlossen haben, scheinen sie davon auszugehen, dass eine Auftragsverarbeitung vorliegt. Dieses sich an der falschen eigenen Einschätzung „Festhalten“ lassen ist bei der Risikobetrachtung stets zu berücksichtigen.

Auftragsverarbeitungsvertrag versäumt

Angenommen, es liegt eine Auftragsverarbeitung vor (bzw. eine Behörde oder ein Gericht sieht dies so), aber Sie sind fälschlicherweise davon ausgegangen, dass der Empfänger eigenständiger Verantwortlicher ist („Falsch-Negativ“).

Ihr Risiko als Auftragnehmer:

  • Sie haben keinen Auftragsverarbeitungsvertrag geschlossen, was ein Bußgeld nach sich ziehen kann. Allerdings dürfte das Bußgeld in der Regel eher den Auftraggeber treffen.
  • Hält man Sie an Ihrer Fehleinschätzung fest, dann sind Sie Verantwortlicher und voll für den Datenumgang verantwortlich. Bei richtiger Einschätzung wären Sie bloßer Auftragsverarbeiter gewesen.

Risiko für den Auftraggeber:

  • Da kein Auftragsverarbeitungsvertrag abgeschlossen wurde, besteht das Risiko eines Bußgeldes.
  • Wird Ihre Fehleinschätzung von einer Behörde oder einem Gericht bestätigt, kommen Sie nicht in den Genuss der Privilegierung der Auftragsverarbeitung. In diesem Fall könnte die Weitergabe Ihrer Daten an den Dienstleister als unzulässig angesehen werden.

Auftragsverarbeitungsvertrag zu Unrecht geschlossen

Liegt keine Auftragsverarbeitung vor - oder eine Behörde oder ein Gericht verneint dies -, Sie haben aber dennoch einen Auftragsverarbeitungsvertrag geschlossen („Falsch-Positiv“), ergibt sich folgendes Bild:

Ihr Risiko als Auftragnehmer:

  • Die Datenverarbeitung wird Ihnen als Verantwortlichem voll zugerechnet, obwohl Sie sich darauf verlassen haben, nur als Auftragsverarbeiter zu agieren. Sie haben dann wahrscheinlich Pflichten nicht erfüllt, die Sie als Verantwortlicher gehabt hätten (z. B. Informations- und Dokumentationspflichten).
  • Die Weitergabe der Daten an Sie und Ihr Umgang damit als externer Dienstleister sind nicht privilegiert und könnten als unzulässig gewertet werden.
  • Falls man Sie wegen des „zuviel“ geschlossenen Vertrags (Indizwirkung) als Auftragsverarbeiter behandelt, obwohl an sich keine Auftragsverarbeitung vorliegt, unterwerfen Sie sich unnötigen Einschränkungen – insbesondere Weisungen des Auftraggebers und Beschränkungen bei der Beauftragung von Subunternehmen.

Risiko für den Auftraggeber:

  • Die angenommene Privilegierung der Auftragsverarbeitung greift nicht, sodass die Weitergabe der Daten an den Auftragnehmer möglicherweise unzulässig ist.
  • Falls man Sie dagegen wegen der Indizwirkung des Vertrags für einen Auftragsverarbeiter hält, haften Sie als Auftraggeber für den Datenumgang des Auftragnehmers, obwohl dieser eigentlich eigenständig verantwortlich wäre.

Tendenz & Praxisempfehlung

Viele schließen eher zu viele Auftragsverarbeitungsverträge, um das Risiko eines fehlenden Vertrags zu vermeiden. Doch auch „zu viel“ abgeschlossene AVVs bergen Risiken.

Für den Auftraggeber: Wenn Sie nicht für die Details des Datenumgangs verantwortlich sein oder diesen überwachen wollen/können, schließen Sie besser keinen AVV – es sei denn, die Weitergabe besonders sensibler Daten (Finanzen, Gesundheit) an einen Dienstleister wäre sonst schwer zu rechtfertigen.

Für den Auftragnehmer: Eher einen AVV zu viel als zu wenig abschließen, da Sie sich so aus der Verantwortung ziehen und nur weisungsgebunden handeln müssen.

Woher bekomme ich einen guten Auftragsverarbeitungsvertrag?

Meinen AVV-Generator starten

Kurz und knapp: Verwenden Sie den EU-Mustervertrag der Kommission und meinen Auftragsverarbeitungsvertrags-Generator.

Es gibt zahlreiche Muster für Auftragsverarbeitungsverträge, etwa von Anwaltskollegen, von Aufsichtsbehörden, Branchenverbänden (z. B. Bitkom) oder der Gesellschaft für Datenschutz und Datensicherheit (GDD). Oder Sie bedienen sich bei anderen Unternehmen und übernehmen deren Muster.

Das Problem dieser Vorlagen: Sie sind oft einseitig zugunsten einer Vertragspartei gestaltet, enthalten teilweise unwirksame oder veraltete Klauseln und sind international nicht anerkannt. Zudem sind die Muster häufig viel zu lang und kompliziert. Gerade Entwürfe von Aufsichtsbehörden sind oft übermäßig ausführlich und stark auf die Auftraggeberseite ausgerichtet, um die Anforderungen der DSGVO möglichst zu übererfüllen.

Schlechte Muster führen zu langen Diskussionen mit Vertragspartnern. Wenn Sie nicht täglich mit Datenschutz und AVVs zu tun haben, fällt es schwer zu beurteilen, welche Klauseln wirklich wichtig sind. Das kann dazu führen, dass Sie zwar schnell einen AVV haben, aber viel Zeit verlieren, um ihn unterzeichnet zu kriegen.

Die einfache Lösung: Der EU-Mustervertrag

AVV-Generator jetzt starten

Die EU-Kommission hat ein offizielles Muster für Auftragsverarbeitungsverträge bereitgestellt. Die Nutzung ist freiwillig, setzt sich aber zunehmend durch – und bietet viele Vorteile:

  • Die Klauseln wurden von den EU-Datenschutzbehörden geprüft und gelten daher als DSGVO-konform und neutral. Sie sind also erstmal weder zugunsten des Auftraggebers noch des Auftragnehmers gestaltet.
  • Die Klauseln sind zunehmend bekannt. Dadurch ist die Akzeptanz in der Praxis deutlich höher, weil Ihr Gegenüber nicht das x-te neue AVV Muster prüfen muss. Die Verhandlungen sind dadurch wesentlich unkomplizierter.
  • Das Muster liegt in offizieller Übersetzung in allen EU-Sprachen vor und kann einfach durch Verweis vereinbart werden, was den Vertrag deutlich kürzer macht.

Ein Mandant von mir, der jährlich eine dreistellige Anzahl individueller AVVs abschließt, hat sein eigenes Muster durch das EU-Muster ersetzt. Laut Datenschutzabteilung ist der Bearbeitungsaufwand der Fachbereiche für AVVs dadurch um 80 % gesunken!

Wichtiger Hinweis: EU-Mustervertrag ≠ Standardvertrag für Drittlandsübermittlungen

Die hier gemeinten EU-Musterklauseln betreffen ausschließlich Auftragsverarbeitungen innerhalb der EU. Sie dürfen nicht mit den Standardvertragsklauseln für Datenübermittlungen in Drittländer verwechselt werden, die von der EU-Kommission am 4. Juni 2021 verabschiedet wurden.

Unterstützung durch meinen AVV-Generator

AVV-Generator jetzt starten

Im EU-Mustervertrag müssen bestimmte Optionen gewählt und Details zur konkreten Auftragsverarbeitung ergänzt werden, z. B.:

  • Welche Datenarten werden verarbeitet?
  • Für welche Zwecke werden sie genutzt?
  • Wie genau erfolgt die Verarbeitung?

Wer solche Verträge nicht regelmäßig erstellt, steht beim Ausfüllen dieser Angaben oft vor großen Unsicherheiten. Die Folge: unklare oder fehlerhafte Angaben, langwieriges Hin und Her zwischen Fachbereichen und Datenschutzbeauftragten.

Hier hilft mein AVV-Generator:

  • Basierend auf Ihren Angaben entwirft die KI passende Formulierungen.
  • Die KI stützt sich auf umfangreiche Vorgaben und Beispiele aus meiner Erfahrung mit hunderten AVVs.
  • Sensible Daten werden automatisch erkannt.
  • So erhalten Sie eine klare Vorstellung davon, was in Ihrem konkreten Fall in den einzelnen Feldern anzugeben ist. Sie können oft die Entwürfe der KI übernehmen oder müssen nur kleine Änderungen vornehmen.
  • 95 % des Vertragstextes bestehen aus Mustertexten, die ich als Anwalt erstellt habe.
  • Alle KI-generierten Inhalte sind als solche gekennzeichnet und können von Ihnen bei Bedarf angepasst werden.

Automatische Ergänzung von Zusatzklauseln

Ganz perfekt sind die EU-Klauseln nicht. In Einzelfällen sind Ergänzungen sinnvoll – etwa zu Kostenregelungen, Haftung, Drittlandstransfers oder Audits. Auch hier unterstützt mein Generator:

Anders als viele andere Vertragsgeneratoren stellt er nicht einfach Fragen wie "Soll Klausel XY aufgenommen werden?", sondern erfasst den Hintergrund des Vertrags (Einsatzgebiet, Risiko, besondere Anforderungen). Auf dieser Basis wird bei den einzelnen Zusatzklauseln vorgeschlagen, ob diese aufgenommen werden sollen oder weggelassen werden können. Diese Logik beruht auf über 100 individuellen Regeln und wird punktuell durch KI ergänzt. Sie bleiben stets Herr des Geschehens und können entscheiden, ob sie der Empfehlung folgen oder davon abweichen und Zusatzklauseln doch übernehmen oder auf sie verzichten wollen.

Zusätzlich zum Vertrag erhalten Sie ein individuelles Memo mit Erläuterungen, ähnlich wie bei einem Anwalt. Das ist ein großer Vorteil gegenüber Standardmustern, denn dort fehlt meist eine Erklärung, wie mit Klauseln in der Praxis umzugehen ist – etwa, wenn der Vertragspartner bestimmte Abschnitte nicht akzeptieren will oder sich später Änderungen ergeben.

Datenschutzfreundlich & ohne Registrierung

Sie müssen keine Unternehmensdaten online eingeben. Am Ende erhalten Sie ein editierbares Word-Dokument, in das Sie die sensiblen Daten selbst eintragen können.

Auftragsverarbeitungs-Vertrags Generator starten

Rechtsgebiet
Datenschutzrecht