Heute stehen uns zwei AVV-Expert:innen Rede und Antwort: Für Inna Gendelman und Alexander Lembke gehört die Prüfung von Auftragsverarbeitungsverträgen zur täglichen Arbeit. Warum das eine wichtige Aufgabe in jedem Unternehmen ist und worauf dabei besonders geachtet werden muss, verraten Sie uns im Gespräch.
Ein wichtiges Element des Datenschutzes in Unternehmen ist der Auftragsverarbeitungsvertrag, kurz AVV. Dabei handelt es sich um eine vertragliche Regelung über die Verarbeitung personenbezogener Daten zwischen Unternehmen und ihren Dienstleistern. Gute Auftragsverarbeitungsverträge sind die Basis für die Beziehung der beiden Parteien. Sie bilden Verarbeitungstätigkeiten rechtssicher ab und gewährleisten ein lückenloses Datenschutzniveau bei der Zusammenarbeit.
Doch warum sind AVV-Prüfungen so wichtig und was muss bei der Durchführung beachtet werden? Wir haben mit zwei Personen gesprochen, zu deren täglichen Aufgaben die Prüfung von AVVs gehört.
Inna Gendelman ist seit 2015 Rechtsanwältin bei der Kanzlei Schürmann Rosenthal Dreyer. Daneben arbeitet sie bei der Tochter ISiCO Datenschutz GmbH als Management Consultant. Dabei ist sie mit zahlreichen Aufgaben betraut – die Prüfung von Auftragsverarbeitungsverträgen europäischer und internationaler Mandanten ist eine davon. Unterstützt wird sie dabei von Alexander Lembke, wissenschaftlicher Mitarbeiter der ISiCO Datenschutz GmbH
Inna Gendelman: Das kommt ganz auf den Beziehungstyp an [lacht]. Tatsächlich lassen sich zwischenmenschliche Beziehungen auf das Verhältnis von Unternehmen und Dienstleistern innerhalb der DSGVO übertragen. Liegt beispielsweise eine Co-Abhängigkeit vor, befinden wir uns nach der DSGVO im Bereich des AVV. Bedeutet: Wenn 1. der Dienstleister für die Hauptdienstleistung personenbezogene Daten nutzt, die von mir als Unternehmen zur Verfügung gestellt werden und unterliegt er dabei 2. meinem Weisungsrecht, ist ein AVV Pflicht.
Inna Gendelman: Ganz klar, weil es das Gesetz fordert. Die Bedingungen für den AVV sind im Art. 28 DSGVO geregelt, der diese bestimmte eben angesprochene Dienstleistungskonstellation darstellt und ganz klar vorgibt, welche Mindestinhalte der Vertrag enthalten muss. Betrachtet man den Sinn und Zweck des AVV in einem größeren Kontext, wird die Bedeutung auch unabhängig davon deutlich. Unternehmen haben sich geändert und gerade im Zuge der Digitalisierung ist Outsourcing von Dienstleistungen und Teilaufgaben in der Wirtschaft mittlerweile gang und gäbe. Allround-Dienstleister sind selten geworden, viele Firmen spezialisieren sich und erweitern ihr Leistungsspektrum durch Sub-Dienstleister. Das gilt vor allem für Software as a Service, Cloud-Anbieter oder externe Server. Und an dieser Stelle kommen AVV und DSGVO ins Spiel, um den Schutz der personenbezogenen Daten einer Betroffenen Person weiterhin sicherzustellen.
Warum? Der Betroffene hat meist nur einen Vertragspartner, dem er in einer bewussten Entscheidung seine personenbezogenen Daten zur Verfügung stellt. Das können Name und Adresse sein, aber je nach Verhältnis auch Gesundheitsdaten, religiöse Zugehörigkeit und mehr. Damit sich dieser Betroffene selbst im Falle von Outsourcing keine Sorgen um seine Daten machen muss, hat der Gesetzgeber das Instrument des AVV geschaffen. Allgemeinsprachlich sagt das Gesetz dem verantwortlichen Vertragspartner des Betroffenen: „Wenn du Arbeitsschritte in einem eng weisungsgebundenen Verhältnis auslagerst, dann musst du dem Dienstleister ganz genau sagen, was er für Rechte und Pflichten hat, und prüfen, welche TOM er hat.“ Der Vertragspartner bleibt dabei gegenüber dem Betroffenen für die Sicherheit der Daten verantwortlich.
Inna Gendelman: Genau. Die DSGVO regelt nämlich nicht nur, dass ein AVV an sich abgeschlossen werden muss. Sie definiert auch, wie dieser auszusehen hat und welche Klauseln enthalten sein müssen. Bei der Prüfung ist es dann interessant zu schauen, welche Punkte ich vielleicht einbauen kann, die für mich als Auftragsverarbeiter oder Verantwortlicher besonders günstig sind. Das gibt Spielraum für Verhandlungen. Aber: Verstößt man gegen Art. 28 DSGVO, droht ein Bußgeld. Ein Verstoß kann sowohl bei Nichtabschluss eines AVV als auch bei einer mangelhaften Regelung vorliegen.
Daneben ist eine AVV-Prüfung auch für das eigene Datenschutzmanagementsystem wichtig. Denn der Auftragsverarbeiter hat zahlreiche Pflichten, für deren Erfüllung er intern die nötigen Prozesse braucht. Es muss beispielsweise klar sein, was im Falle eines Datenschutzvorfalls zu tun ist. Das wird deutlich, wenn der AVV geprüft wird.
Zudem können AVVs versteckte Kostentragungspflichten enthalten. Oder andere nachteilige Klauseln, beispielsweise zur Ausgestaltung von Auditrechten. Und auch bei der Vereinbarung von Fristen ist besondere Aufmerksamkeit gefragt. Um dies alles zu erkennen und gegebenenfalls nachzuverhandeln, muss man eine detaillierte AVV-Prüfung durchführen.
Alexander Lembke: Das wichtigste ist, den Vertrag gründlich und mehrfach zu lesen. Das mag banal klingen, ist aber unerlässlich, um gegebenenfalls versteckte Klauseln zu entdecken oder Verbindungen zwischen Klauseln zu erkennen und zu verstehen. Wenn man in einer versteckten Klausel zum Beispiel Kostenregelungen oder einen umfassenden Haftungsausschluss übersieht, kann es für das eigene Unternehmen schnell teuer werden.
Außerdem sollte man ein gutes Verständnis dafür haben, für welchen Dienstleister und welchen Service der AVV aufgesetzt wird. Damit kann bereits eingegrenzt werden, welche Klauseln überhaupt relevant sind und welche Daten Gegenstand des AVV sein müssen. Der AVV sollte dies alles möglichst konkret bezeichnen und festhalten.
Es ist außerdem von Vorteil, alle neuen Entwicklungen bei Rechtsprechung, Kommentierung und Behördenmeinungen zu verfolgen sowie die Empfehlungen des Europäischen Datenschutzausschuss‘ zu beachten. Nur so bleibt man auf dem neuesten rechtlichen Stand. Schon Verträge aus 2018 entsprechen häufig nicht mehr den Standards, die mittlerweile angewendet werden müssen.
Inna Gendelman: Guter Punkt, Altverträge sind wirklich ein großes Thema aufgrund der sich schnell wandelnden Rechtsprechung. Im vergangenen Jahr gab es zum Beispiel umfangreiche Neuerungen beim Drittstaatentransfer von Daten, woraufhin die betroffenen AVVs aktualisiert werden mussten. Unternehmen müssen hier aufmerksam sein und mögliche Übergangsfristen im Blick behalten. Das gleiche gilt, wenn Unternehmen verschmelzen und sich der Name des Vertragspartners ändert. Bei all diesen Angelegenheiten müssen die AVVs immer mitgedacht werden.
Inna Gendelman: Prüfer sollten den AVV nicht als in Stein gemeißelt betrachten, sondern sich mit dem Vertragspartner unterhalten und Klauseln gegebenenfalls nachverhandeln, bis man gemeinsam zu einer guten Lösung gefunden hat. Dabei darf man jedoch nicht immer einen guten Willen des Vertragspartners voraussetzen. Stattdessen sollte man mögliche Bedenken direkt äußern und Unklarheiten ausräumen. Möglichkeiten zum Nachverhandeln werden oft erst bei der AVV-Prüfung erkennbar.
Alexander Lembke: Zum einen sind AVV-Prüfungen eine ‚dankbare‘ Arbeit, weil es dabei einen konkreten Gegenstand und ein konkretes Ziel gibt – den Vertrag, der genau geprüft werden muss. Zum anderen erhält man als externer AVV-Prüfer einen guten Überblick über die zahlreichen spezialisierten Unternehmen auf dem Markt und welche spannenden Dienstleistungen sie anbieten.
Außerdem finde ich das Rechtsgebiet persönlich sehr interessant. Es bedeutet für die Unternehmen eine große Verantwortung, die Daten von betroffenen Personen zu verarbeiten. Diese Verarbeitung muss daher sicher gestaltet sein und die Daten dürfen nicht fahrlässig behandelt werden. Dafür existieren AVVs in unserem Datenschutzrecht – und das ist auch gut so!
Inna Gendelman: Dem kann ich nur zustimmen. Darüber hinaus sind AVV-Prüfungen auch handwerklich schön. Es gibt nämlich wenig Spielraum, da AVVs gesetzlich klar geregelt sind. Dadurch existieren kaum Grauzonen im AVV-spezifischen Datenschutzrecht und wir können mit klaren Gesetzen arbeiten.
Um das Ganze in wenigen Sätzen zusammenzufassen: Auftragsverarbeitungsverträge zwischen Unternehmen und Dienstleistern sind essenziell für den korrekten Umgang mit Personendaten – und müssen daher mit der entsprechenden Sorgfalt geprüft werden. Das erkennt auch der Gesetzgeber, weshalb er Verstöße und Versäumnisse teils mit hohen Bußgeldern belegt. Trotzdem kann die Arbeit mit AVVs auch Spaß machen.
Am meisten Spaß macht eine AVV-Prüfung sicherlich, wenn eine Software sie vollautomatisch und rechtssicher erledigt. Daher entwickeln wir von caralegal eine auf Künstlicher Intelligenz (KI) basierte Software, die AVV-Prüfungen auf Mausklick durchführt. Für den Feinschliff der KI brauchen wir im letzten Prozessschritt die Hilfe von Beta-Tester:innen. Melden Sie sich jetzt an, um aus schwergängigen AVV-Prüfungen einen leichtgängigen Prozess zu machen.
Entdecke weitere Beiträge zu diesem Thema:
Wir informieren monatlich zu den Best Practices aus der Welt des Datenschutzmanagements und mehr.
Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Datenschutzthemen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.