Wozu dient ein Auftragsverarbeitungvertrag?

Ein Auftragsverarbeitungsvertrag regelt, welche Daten zu welchem Zweck verarbeitet werden sollen und welche rechtlichen Rahmenbedingungen dabei eingehalten werden müssen.

Er verschafft also Klarheit darüber, welche Rechte und Pflichten beide Vertragspartner haben.

Außerdem soll er dem Auftraggeber, im Falle eines Datenschutzverstoßes durch den Auftragsverarbeiter, eine gewisse Sicherheit geben. Er kann so nämlich nachweisen, dass die Verantwortung für die jeweilige Aufgabe im Bereich des Auftragsverarbeiters gelegen hat. 

Was genau wird in einem Auftragsverarbeitungsvertrag geregelt?

Wenn Sie einen Auftragsverarbeitungsvertrag erstellen, müssen Sie einige Inhalte inkludieren:

1. Die Vertragsparteien

Zuerst werden der Auftraggeber und der Auftragnehmer (=Auftragsverarbeiter) namentlich genannt. 

2. Der Gegenstand der Vereinbarung

Dann werden der Auftragsgegenstand, die Art und der Zweck der Verarbeitung, sowie die Kategorien der personenbezogenen Daten und der betroffenen Personen möglichst detailliert beschrieben.

3. Die Rechte und Pflichten des Auftraggebers

In diesem Punkt werden die Verantwortlichkeit des Auftraggebers für die Verarbeitung der Daten, die Erfüllung der Betroffenenrechte, die Ernennung weisungsberechtigter Personen oder die Information bei Fehlern und Problemen im Bezug auf die Verarbeitung beschrieben.

4. Die Pflichten des Auftragnehmers

Nun werden die Pflichten des Auftragsverarbeiters gemäß DSGVO oder evtl. anderer gültiger Gesetze definiert. Beispielsweise gehört hierzu der Punkt, dass der Auftragsverarbeiter die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarung oder einer dokumentierten Weisung des Auftraggebers verarbeitet. Außerdem wird erwähnt, dass er im Falle eines Verstoßes gegen die gesetzlichen Regelungen den Auftraggeber unverzüglich benachrichtigen muss. 

5. Der Datenschutzbauftragte des Auftragnehmers

Wenn der Auftragsverarbeiter einen Datenschutzbeauftragten hat, wird dieser hier erwähnt. 

6. Die Meldepflicht des Auftragnehmers

Verstößt der Auftragnehmer gegen datenschutzrechtliche Regelungen, gegen die vertraglichen Vereinbarungen oder die erteilten Weisungen des Auftraggebers, ist er verpflichtet, dies dem Auftraggeber unverzüglich zu melden. 

7. Die Mitwirkungspflichten des Auftragnehmers

Hier wird geregelt, dass der Auftragnehmer den Auftraggeber bei verschiedenen Aufgaben, wie z.B. bei der Beantwortung von Betroffenenanfragen oder der Erstellung eines Verarbeitungsverzeichnisses, unterstützen muss.

8. Die Kontrollbefugnisse

Dieser Punkt besagt, dass der Auftraggeber jederzeit das Recht hat, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz zu kontrollieren. Dazu gehören gegebenenfalls auch Vor-Ort-Kontrollen. 

9. Der Einsatz von Sub-Auftragsverarbeitern

Dieser Teil definiert, ob und inwieweit Auftragsverarbeiter berechtigt sind, Sub-Auftragsverarbeiter bei der Datenverarbeitung hinzuzuziehen. Es kann ein generelles Verbot festgelegt werden, oder die Zulässigkeit einer Hinzuziehung bestimmter Sub-Auftragsverarbeiter.

10. Die Vertraulichkeitsverpflichtung

Der Auftragsverarbeiter und seine Mitarbeiter sind bei der Verarbeitung personenbezogener Daten zur Vertraulichkeit verpflichtet. Der Auftragsverarbeiter muss dabei die gleichen Geheimhaltungsregeln beachten, wie der Auftraggeber.

11. Die Wahrung der Betroffenenrechte

Dieser Punkt definiert, dass der Auftragnehmer verpflichtet ist, den Auftraggeber bei seiner Pflicht der Beantwortung von Betroffenenanfragen innerhalb der gesetzlichen Fristen zu unterstützen.

12. Die technischen und organisatorischen Maßnahmen

In diesem Abschnitt werden die technischen und organisatorischen Maßnahmen, die der Auftragnehmer zum Schutz der verarbeiteten Daten ergriffen hat, konkret erfasst. 

13. Der Ort der Durchführung und der Datenverarbeitung

Beschreiben Sie hier, ob die Auftragsverarbeitung ausschließlich innerhalb der EU (bzw. Des EWR) stattfindet oder auch außerhalb. Werden die Verarbeitungen auch außerhalb durchgeführt, sollte definiert werden, aus welchen rechtlichen Bedingungen sich dann das angemessene Datenschutzniveau ergibt. 

14. Die Dauer der Auftragsverarbeitungsvereinbarung

Hier werden der Beginn, die Beendigung und die Kündigungsbedingungen des Vertrages festgehalten.

15. Die Beendigung

Wird der Vertrag beendigt, muss der Auftragnehmer alle Unterlagen, Daten und sonstige Ergebnisse, die sich in seinem Besitz befinden, an den Auftraggeber zurückgeben oder löschen. 

16. Die Schlussbestimmungen

Schlussendlich können noch andere Punkte, wie z.B. das Vorgehen im Falle eines Insolvenzverfahrens, festgelegt werden.

Unsere Tipps zum Auftragsverarbeitungsvertrag:

Jetzt wissen Sie also, welche Informationen ein Auftragsverarbeitungsvertrag enthalten muss und worauf Sie besonders achten sollten. Wenn Sie all diese Punkte umsetzen, sind Sie auf einem guten Weg!

Sie hätten dennoch gerne Hilfe bei der Erstellung Ihres Auftragsverarbeitungsvertrages?

Kein Problem, das DSVO Schutzteam unterstützt Sie gerne dabei! In unserem Auftragsverarbeiter-Paket sind Leistungen, wie die Erstellung eines Auftragsverarbeitungsvertrages oder die laufende Aktualisierung Ihres Auftragsverarbeitungs-Verzeichnisses inkludiert.

Überzeugen Sie sich jetzt vom DSGVO Schutzteam!