AV-Vertrag – diese Abkürzung hat sich manifestiert und steht grunsätzlich für „Vereinbarung zur Auftragsverarbeitung nach Artikel 28 der EU-DSGVO“.

Doch was ist AV-Vertrag gemeint?

Der europäische Gesetzgeber fordert in der Datenschutzgrundverordnung eine klare Regelung zum Umgang mit Daten, wenn sie ein Auftragsverarbeiter im Rahmen der Bearbeitung als „Kerntätigkeit“ für Sie als Dienstleistung verarbeitet bzw. erbringt. Kerntätigkeit bedeutet, dass die eigentliche Dienstleistung darin besteht, diese Daten zu verarbeiten. Hier rücken beispielsweise IT-Dienstleister, Softwareportale, Clouddienste etc. in den Fokus. Ist die eigentliche Kerntätigkeit eine andere und Daten werden nur benötigt, um diese andere Kerntätigkeit zu erbringen, ist in der Regel kein AV-Vertrag notwendig. Das betrifft z.B. Speditionen, Postdienste etc.. Mit Banken, Rechtsanwälten, Notaren und Steuerberatern ist von Haus aus kein AV-Vertrag notwendig, da diese Berufsgruppen grundsätzlich zu den Berufsgeheimnisträgern gehören.

Was soll dieser AV-Vertrag denn nun eigentlich bewirken?

Stellen Sie sich Ihren Datenschutz doch mal als Schneekugel vor. Innen in der Schneekugel ist ihr Unternehmen. Die „Schneeflocken“ symbolisieren die vielen Daten, die sie in Ihrem Unternehmen verarbeiten. Die Hülle der Schneekugel symbolisiert Ihren Datenschutz. Dieser ist „Wasserdicht“. Nichts dringt nach außen. Sie haben den Datenschutz mit viel Einsatz, Engagement und letztendlich auch finanziellen Aufwänden umgesetzt. Perfekt.

Nun möchten Sie gewisse „Verarbeitungen“ aus Ihrem Unternehmen heraus an einen Dienstleister geben. Nehmen wir als Beispiel mal an, dass es ein HR-Portal (Human Ressort) zur Organisation des Personals ist. Sie geben also vielfältige, teils hochsensible Daten Ihres Personals an ein Webportal. Hier ist ein AV-Vertrag dringend erforderlich!

Wir haben Ihnen im Folgenden eine Checkliste erstellt, die es Ihnen ermöglicht, die wesentlichen Elemente eines AV-Vertrages zu beurteilen und die wesentlichen Elemente, die enthalten sein müssen, zu kontrollieren:

1. Haben Sie alle Auftragsverarbeitungen für sich selbst erfasst? Liegt ihnen eine Übersicht vor, aus der sie erkennen können, mit wem Sie einen AV-Vertrag abschließen müssen und ob dieser ggf. schon unterschrieben vorliegt?
2. Prüfen Sie die Zulässigkeit der Verarbeitung vor der Vergabe der Dienstleistung an den Auftragsverarbeiter (Dienstleister). Hat der Auftragsverarbeiter eine Erklärung zu seinen TOMs (Technische und Organisatorische Maßnahmen)?
3. Ist im Vertrag geregelt, dass die Wahrung der Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung der Daten der betroffenen Person bei Ihnen als Verantwortlicher verbleibt und der Auftragsverarbeiter verpflichtet wird, hier Ihren Weisungen Folge zu leisten und ggf. auch bei der Aufklärung von Datenpannen mithelfen muss?
4. Ist beim Auftragsverarbeiter ein Ansprechpartner schriftlich benannt?
5. Ist der Verantwortliche des Auftragsverarbeiters im Sinne der EU-DSGVO Art. 7 Abs. 4 korrekt benannt.
6. Ist ein Datenschutzbeauftragter schriftlich bestellt und der Aufsichtsbehörde gemeldet? Hier werden im AV-Vertrag der vollständige Name und die Kontaktdaten des Datenschutzbeauftragten benötigt.
7. Ist die Dienstleistung im Vertrag ausführlich, stichhaltig und präzise definiert?
   Ist der Verarbeitungszweck eindeutig erkennbar?
8. Sind Rechte und Pflichten des Verantwortlichen (von Ihnen als Verantwortlicher Ihres Unternehmens) und des Auftragnehmers (der Verantwortliche des Auftragsverarbeiters) schriftlich geregelt?
9. Ist die Laufzeit des Vertrages bzw. der Auftragsverarbeitung definiert?
10. Ist geregelt, dass der Auftragsverarbeiter bei der Beauftragung eines Unterauftragsverarbeiters (Subdienstleister) vorher eine schriftliche Genehmigung bei Ihnen einholen muss, ob Sie als Verantwortlicher (Auftraggeber) damit einverstanden sind?
11. Ist im Vertrag geregelt, dass bei Verstößen gegen die Einhaltung der Pflichten des Unterauftragsverarbeiters der eigentliche Auftragsverarbeiter (Dienstleister) haftet?
12. Haben Sie im Vertrag geregelt, wer die Weisungshoheit behält?
13. Was passiert mit den Daten, die dem Auftragsverarbeiter (Dienstleister) übergeben wurden, wenn der Vertrag beendet wird bzw. die Laufzeit erfüllt ist? Ist klar geregelt, dass sämtliche Daten gelöscht werden?
14. Ist der Auftragsverarbeiter in der Lage, Informationen und Protokolle zum Nachweis seiner Pflichten zu liefern damit beispielsweise Datenpannen oder auch Auskunftsersuchen betroffener Personen aufgeklärt bzw. erfüllt werden können?
15. Haben Sie die Kontrolle über die Verarbeitung? Ist im Vertrag geregelt, dass Sie den Auftragsverarbeiter vor Ort kontrollieren dürfen?
16. Kann der Auftragsverarbeiter revisionsfähige Aufzeichnungen seiner technischen und organisatorischen Maßnahmen, die insbesondere die IT-Sicherheit betreffen, liefern?
17. Enthält der Vertrag Definitionen, wie mit Vertragsverletzungen umgegangen wird?
18. Kann der Vertrag bei Vertragsverletzungen fristlos gekündigt werden?
19. Sind die beim Auftragnehmer agierenden Personen auf den Datenschutz und die Geheimhaltung verpflichtet und befindet sich im Vertrag eine Klausel zu der Thematik?
20. Ist ein Gerichtsstand im Vertrag definiert?

Die hier dargestellten Fragen sollen Ihnen ein Mindestmaß an Inhalten eines AV-Vertrages vorgeben. Bei Bedarf empfehlen wir Ihnen, sich extern beraten zu lassen, denn wir als Datenschutzbeauftragte können mit kurzem Blick sehen, ob diese wesentlichen Inhalte existent sind.

Die Vereinbarung zur Auftragsverarbeitung nach Artikel 28 stellt eine wesentliche Komponente im Rahmen der Rechenschafts- und Dokumentationspflicht, die Sie als Verantwortlicher haben, dar. Ein Nichterfüllen dieser Pflicht schlägt insbesondere bei Datenpannen und bei schlecht oder gar nicht erteilten Auskünften betroffener Personen im Rahmen einer Beschwerde bei den Aufsichtsbehörden sehr zu Buche.

Muss das ganze schriftlich sein? Braucht es die Unterschriften der Vertragspartner?

Der hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch (HBDI – Hessischer Beauftragter für den Datenschutz und IT-Sicherheit) hat hierzu in seinem 48. Tätigkeitsbericht zur Schriftform Stellung bezogen. Das Ganze finden Sie unter Der Hessische Beauftragte für Datenschutz und Informationsfreiheit legte seinen 48. Tätigkeitsbericht zum Datenschutz und seinen 2. Tätigkeitsbericht zur Informationsfreiheit vor | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (hessen.de)

Demnach genügt die „digitale“ Anerkennung der Vereinbarung zur Auftragsverarbeitung in folgenden zwei Varianten:

• Austausch von Computerfaxen
• Austausch von E-Mails mit oder ohne PDF-Anhang

Beide Varianten genügen der Schriftformerfordernis des Art. 28 Abs. 9 DSGVO.

„Die DSGVO überlässt es … den Parteien, zu entscheiden, wie beweissicher sie Abschluss und Inhalt des Auftragsverarbeitungsvertrages dokumentieren möchten.“