Checkliste der Aufsichtsbehörden für Auftragsverarbeitungsverträge

Einige der deutschen Datenschutz-Aufsichtsbehörden prüfen derzeit die von großen Anbietern eingesetzten Verträge zur Auftragsverarbeitung. Die zur Prüfung verwendete und veröffentlichte Checkliste bietet auch für andere Unternehmen gute Anhaltspunkte für die vorgeschriebene Vereinbarung zwischen Verantwortlichen und Auftragsverarbeitern.

Die Checkliste für AV-Verträge

Was die Behörden erwarten, ist vorhersehbar und richtig. In einigen Punkten wird erfreulicherweise hinsichtlich etlicher Bedingungen Klarheit geschaffen, die sich nach wie vor in vielen Verträgen finden und die von den Verwendern mit einer bemerkenswerten Hartnäckigkeit verteidigt werden.

Wir fassen die praxisrelevanten Hinweise aus der Checkliste kurz zusammen und kommentieren diese:

Vertragsform

Wenn es um eine Auftragsverarbeitung geht, ist eine für die Parteien verbindliche vertragliche Regelung zwingend, soweit die betroffene Verarbeitung im Auftrag nicht durch den Gesetzgeber geregelt ist. Der Vertrag muss elektronisch oder schriftlich vorliegen und alle gesetzlich vorgesehenen Angaben, insbesondere zu den Umständen und dem Umfang der Verarbeitung, enthalten. Alle Angaben müssen präzise, vollständig und konkret sein und zu der im Auftrag erbrachten Verarbeitung passen.

Hinweis: Die in der Praxis oft vorkommenden schwammigen und schlampigen Formulierungen sind also unzureichend.

Bezug zum Hauptvertrag

Verweise auf einen Hauptvertrag sind möglich. Dieser muss dann aber auch für eine Prüfung vorliegen und es müssen sämtliche Pflichtinhalte tatsächlich, konkret und passend für die relevante Auftragsverarbeitung vorhanden sein.

Hinweis: Diese Pflicht, dann auch den Hauptvertrag vorzulegen, gilt auch bei einer Kontrolle durch Dritte. Es sollte daher im Vorfeld abgeklärt werden, ob eine Offenlegung des Hauptvertrages immer gewünscht ist, oder ob es nicht sinnvoller wäre, die entsprechenden Punkte im Auftragsverarbeitungsvertrag zu regeln und dann eben nur diesen vorlegen zu müssen.

Weisungsgebundenheit

Der Auftragsverarbeiter ist weisungsabhängig und muss jegliche Verarbeitung, die nicht von einer Weisung getragen wird, mitteilen.

Hinweis: Viele Dienstleister lassen sich in ihren Vertragsmustern auch Verarbeitungen zu eigenen Zwecken gestatten, etwa statistische Auswertungen oder die Verbesserung der eigenen Leistungen und Produkte. Hierbei bleibt regelmäßig völlig offen und im Ergebnis ungelöst, woher der Auftraggeber das Recht haben soll, diese Verarbeitung zu genehmigen. Wer hier als Verantwortlicher nicht aufpasst, dem wird möglicherweise eine rechtswidrige Datenweitergabe untergeschoben.

Auch zur möglichen Kostenpflicht ist eine klare Aussage enthalten. Nur Leistungen, die über die Vertragspflichten hinausgehen und nicht erforderlich sind, um Verstöße abzustellen, dürfen berechnet werden.

Pflichten des Auftragsverarbeiters

Alle Unterstützungspflichten dem Verantwortlichen gegenüber müssen vollständig und konkret aufgeführt sein. Gleiches gilt für die Löschpflicht nach Auftragserledigung. Die Checkliste empfiehlt hier oftmals die Übernahme des Gesetzeswortlaut.

Technische und organisatorische Maßnahmen

Die wohl praktisch wichtigste Klarstellung betrifft die technischen und organisatorischen Maßnahmen und die Kontrollrechte des Verantwortlichen:

Die technischen und organisatorischen Maßnahmen müssen konkret beschrieben sein und die Bewertung zulassen, dass sie im relevanten Einzelfall ausreichend sind.

Hinweis: Gerade dies ist nach wie vor in den allermeisten Verträgen nicht der Fall. Vielmehr beschränken sich die enthaltenen Beschreibungen fast regelmäßig auf unvollständige und völlig offen formulierte Aussagen, die nicht erkennen lassen, was der Dienstleister im Detail versprechen möchte.

Der Verantwortliche muss selbst das Recht haben, die Einhaltung der technischen und organisatorischen Maßnahmen zu kontrollieren und das nötigenfalls auch vor Ort. Ein abschließender Verweis auf Kontrollen, Zertifizierungen oder sonstige Maßnahmen durch Dritte ist unzulässig. Ebenso darf das Kontrollrecht nicht allein auf die Vorlage von Unterlagen beschränkt sein.

Hinweis: Gerade die großen Cloud-Anbieter erfüllen diese Anforderung regelmäßig nicht.

Unterauftragnehmer

Unterauftragnehmer dürfen nur mit dem Willen des Verantwortlichen eingesetzt werden. Sollen Subdienstleister bereits im Vertrag genannt werden, so sind diese darin konkret, vollständig, mit Anschrift und einer wenigstens stichwortartigen Beschreibung ihrer Aufgaben aufzunehmen. Ein Verweis auf eine Aufstellung auf einer Website ist nicht zulässig. Auch muss der Auftragsverarbeiter auf neue oder veränderte Subdienstleister aktiv hinweisen; die Schaffung einer Abrufmöglichkeit genügt nicht.

Hinweis: Auch diese Anforderungen erfüllen die ganz großen Anbieter regelmäßig nicht.

Interessant ist der Hinweis zu den Folgen, falls eine Änderung bei Subdienstleistern nicht genehmigt wird. Hier gehen die Aufsichtsbehörden davon aus, dass zumindest eine kurzfristige Beendigung der Zusammenarbeit durch den Auftragsverarbeiter nach verweigerter Zustimmung nicht möglich sein soll.

Bei der Übertragung von Pflichten auf den Subdienstleister ist der konkrete Auftragsverarbeitungsvertrag Maßstab, nicht allgemein Art. 28 DSGVO.

Hinweis: Auch dies wird von vielen Dienstleistern in der Praxis derzeit nicht korrekt umgesetzt. Eine Abstimmung der Rechte und Pflichten im Verhältnis nach oben (zum Verantwortlichen) mit den Rechten und Pflichten nach unten (im Verhältnis zu Subdienstleistern) erfolgt regelmäßig nicht.

Drittlandtransfer

Die Regelung von Übertragungen in Drittstaaten muss ggf. auch ein ausreichendes Datenschutzniveau unter Berücksichtigung von Behördenzugriffen vorsehen. Allein der Abschluss von Standardvertragsklauseln genügt nicht.

Fazit: Viele Auftragsverarbeitungsverträge erfüllen nicht die Anforderungen

Die Checkliste der Aufsichtsbehörden macht deutlich, dass in der Praxis viele Verträge zur Verarbeitung personenbezogener Daten im Auftrag nicht den Ansprüchen genügen. Viele Unternehmen machen es sich derzeit noch zu einfach und verkennen, dass saubere Vereinbarungen und insbesondere eine möglichst klare Beschreibung der geschuldeten Maßnahmen im Interesse aller liegt. Die deutlichen Hinweise in der Checkliste machen hoffentlich viele ärgerliche Diskussionen künftig überflüssig.

Tipp: Füllen Sie unsere kostenlose Vorlage für einen Auftragsverarbeitungsvertrag gewissenhaft und erfüllen so die oben aufgeführten Anforderungen der Aufsichtsbehörden.

Jetzt unverbindlich anfragen: Einer unserer Experten als externer Datenschutzbeauftragter für Ihr Unternehmen!

2 Kommentare

  1. Martin Profilbild
    Martin

    Sie schreiben:

    „Technische und organisatorische Maßnahmen
    Die wohl praktisch wichtigste Klarstellung betrifft die technischen und organisatorischen Maßnahmen und die Kontrollrechte des Verantwortlichen:

    Die technischen und organisatorischen Maßnahmen müssen konkret beschrieben sein und die Bewertung zulassen, dass sie im relevanten Einzelfall ausreichend sind.

    Hinweis: Gerade dies ist nach wie vor in den allermeisten Verträgen nicht der Fall. Vielmehr beschränken sich die enthaltenen Beschreibungen fast regelmäßig auf unvollständige und völlig offen formulierte Aussagen, die nicht erkennen lassen, was der Dienstleister im Detail versprechen möchte.“

    Das ist schlicht und einfach falsch. Die Checkliste ist da ganz eindeutig. Ich zitiere Fußnote 8:

    „Die konkreten technischen und organisatorischen Maßnahmen müssen nach Art. 28 Abs. 3 UAbs. 1 lit. c nicht im AVV selbst aufgeführt werden. Allerdings müssen Verantwortliche sie jedenfalls vor Beginn der Verarbeitung geprüft haben (Art. 28 Abs. 1) und jederzeit nachweisen können (Art. 5 Abs. 2), welche Maßnahmen getroffen sind und dass für die konkrete Verarbeitung die getroffenen Maßnahmen den Anforderungen des Art. 32 entsprechen.“

    Es ist ja schön und gut, dass Sie Ihr Vertragsmuster „verkaufen“ wollen, aber doch bitte nicht mit Falschaussagen – zumal die Aufsichtsbehörden hier ja gerade eine sehr praxisfreundliche Auslegung vertreten, die vielen Bäumen das Leben rettet.

    1. Michael Plankemann Profilbild
      Michael Plankemann

      Vielen Dank für Ihren Kommentar.
      Er zeigt auf, dass der Artikel offensichtlich nicht so leicht verständlich ist, wie angenommen, und eventuell zu viel voraussetzt.
      Gerne daher folgende Klarstellung:

      Ja, die technischen und organisatorischen Maßnahmen müssen nicht im Vertrag selbst beschrieben werden, eine geeignete Dokumentation muss aber vorhanden sein, entweder im Vertragstext oder im Rahmen der Dokumentation der erfolgten Prüfung durch den Verantwortlichen. Unklare Formulierungen gehen in beiden Fällen nicht an und die Maßnahmen müssen nachweislich, mithin also durchsetzbar sein. Gerade in diesem Zusammenhang steht die entscheidende Aussage. Die technischen und organisatorischen Maßnahmen müssen konkret sein. Und das ist der entscheidende Aspekt, wird sich doch spätestens bei einer gerichtlichen Auseinandersetzung jede unklare und offene Formulierung rächen; wie bei jeder anderen Klage auch, bei der es darum geht, ob die zugesagte (!) Leistung korrekt und mangelfrei erbracht wurde.
      Die Frage bleibt, wie rechtsverbindlich die einseitige Dokumentation einer Kontrolle ist, im Vergleich zu einem sauberen und konkreten vertraglichen Versprechen. Nur letzteres ist rechtlich belastbar und – wenn wir schon über die Praxis sprechen – es ist doch eher selten, dass der Verantwortliche am Anfang tatsächlich prüft. Praktisch üblich ist die Beschreibung der Maßnahmen im Vertrag und diese ist leider erfahrungsgemäß in aktuellen Verträgen in den allermeisten Fällen zweifelhaft bis unbrauchbar. Das ist nicht „praxisfreundlich“ sondern lediglich billig und zeitsparend, genau betrachtet aber fahrlässig und möglicherweise ein Haftungsfall. Im derzeit praktischen Ergebnis liegt regelmäßig weder eine taugliche Vereinbarung vor, noch eine brauchbare und für einen Dritten nachvollziehbare Kontrolle.

      Nachdrücklich richtigstellen darf ich, dass unser Muster-AVV a) kostenfrei verfügbar ist und b) eben aus den nun hoffentlich verständlichen Gründen keine weiteren Ausführungen zu den technischen und organisatorischen Maßnahmen enthält. Die Behauptungen in Ihrem Kommentar sind in diesen beiden Punkten leider unwahr.

      Abschließend bleibt zu hoffen, dass die aktuelle Prüfung durch die Aufsichtsbehörden nun endlich zu einer Verbesserung in diesem Bereich führt. Es ist eine Farce, was derzeit oft am Markt geliefert wird; oft befeuert durch wenig geeignete und kurzsichtige Beratung. Die erste ernstzunehmende Kontrolle des Auftragsverarbeiters führt dies dann beiden Parteien schmerzhaft vor Augen und der Ärger entsteht bei schon laufender Zusammenarbeit.
      Die neuen Standardvertragsklauseln gehen übrigens erfreulicherweise in dieselbe Richtung. Auch hier ist schließlich und endlich folgender Hinweis zu finden: „Die technischen und organisatorischen Maßnahmen müssen konkret (nicht allgemein) beschrieben werden.“
      Diese Tendenz von offizieller Seite ist sehr zu begrüßen und es bleibt zu hoffen, dass nun auch die konsequente Durchsetzung folgt.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.