Inhaltsverzeichnis
- Einleitung
- Wann liegt eine Auftragsverarbeitung vor?
- Warum sind AV-Verträge so wichtig?
- Was muss ein AV-Vertrag mindestens enthalten?
- Reicht es, den AV-Vertrag einmal abzuschließen?
- Wie prüfen Sie Dienstleister in der Praxis richtig?
- Häufige Fehler bei der Dienstleisterprüfung
- Mythos: „Ein AV-Vertrag ist nur eine Formalität – Hauptsache, er ist unterschrieben“
- Fazit: Dienstleister prüfen heißt Verantwortung wahrnehmen
- Ausblick: Sie entscheiden, wie es weitergeht
Einleitung
Viele Unternehmen arbeiten mit externen Dienstleisterinnen und Dienstleistern zusammen. Cloud-Anbieter, IT-Support, Lohnabrechnung, Newsletter-Tools oder Agenturen verarbeiten dabei häufig personenbezogene Daten im Auftrag.
Doch genau hier entstehen regelmäßig Datenschutzlücken. Denn nicht jeder Dienstleister darf einfach so eingebunden werden. Die DSGVO stellt klare Anforderungen an die Auswahl, Prüfung und vertragliche Absicherung.
Wann liegt eine Auftragsverarbeitung vor?
Eine Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung Ihres Unternehmens verarbeitet.
Typische Beispiele sind:
- IT-Dienstleisterinnen und IT-Dienstleister
- Cloud- und Hosting-Anbieter
- Lohn- und Gehaltsabrechnung
- Newsletter- und CRM-Tools
- externe Support- oder Wartungsdienste
Keine Auftragsverarbeitung liegt vor, wenn der Dienstleister eigenständig über Zweck und Mittel der Verarbeitung entscheidet.
Warum sind AV-Verträge so wichtig?
Die DSGVO verpflichtet Unternehmen dazu, Auftragsverarbeitungen vertraglich abzusichern. Der sogenannte Auftragsverarbeitungsvertrag (AV-Vertrag) regelt unter anderem:
- Gegenstand und Dauer der Verarbeitung
- Art der Daten und Kategorien betroffener Personen
- Pflichten und Rechte der Verantwortlichen
- technische und organisatorische Maßnahmen
- Kontroll- und Mitwirkungspflichten
Ohne AV-Vertrag ist die Zusammenarbeit datenschutzrechtlich unzulässig.
Was muss ein AV-Vertrag mindestens enthalten?
Ein wirksamer AV-Vertrag sollte insbesondere regeln:
- dass der Dienstleister nur auf Weisung handelt
- welche Sicherheitsmaßnahmen umgesetzt werden
- wie mit Datenschutzverletzungen umgegangen wird
- ob und wie Subdienstleister eingesetzt werden
- welche Kontrollrechte bestehen
Fehlende oder unvollständige Regelungen sind ein häufiger Beanstandungspunkt bei Prüfungen.
Reicht es, den AV-Vertrag einmal abzuschließen?
Nein. Ein AV-Vertrag ist kein reines Formaldokument.
Unternehmen müssen:
- Dienstleister sorgfältig auswählen
- die getroffenen Sicherheitsmaßnahmen prüfen
- regelmäßig kontrollieren, ob die Vorgaben eingehalten werden
Die Verantwortung für den Datenschutz bleibt immer beim beauftragenden Unternehmen.
Wie prüfen Sie Dienstleister in der Praxis richtig?
Bewährt hat sich ein strukturierter Ablauf:
- Prüfung, ob eine Auftragsverarbeitung vorliegt
- Abschluss eines AV-Vertrags vor Beginn der Verarbeitung
- Dokumentation der technischen und organisatorischen Maßnahmen
- regelmäßige Überprüfung, insbesondere bei Änderungen
- klare Zuständigkeiten für die Dienstleisterverwaltung
So entsteht ein nachvollziehbarer und prüfbarer Prozess.
Häufige Fehler bei der Dienstleisterprüfung
In der Praxis treten immer wieder dieselben Probleme auf:
- fehlende AV-Verträge
- Verwechslung von Auftragsverarbeitung und gemeinsamer Verantwortung
- ungeprüfte Standardverträge
- fehlende Dokumentation der Prüfung
- keine regelmäßige Aktualisierung bei neuen Tools oder Anbietern
Diese Fehler können bei Prüfungen zu erheblichen Beanstandungen führen.
Mythos: „Ein AV-Vertrag ist nur eine Formalität – Hauptsache, er ist unterschrieben“
Das ist falsch.
Dieser Mythos ist weit verbreitet, aber falsch.
Ein Auftragsverarbeitungsvertrag ist keine reine Formsache. Unternehmen sind verpflichtet, Dienstleister sorgfältig auszuwählen, regelmäßig zu prüfen und die Einhaltung der vereinbarten Maßnahmen zu kontrollieren.
Ein unterschriebener AV-Vertrag allein reicht nicht aus, wenn:
- die technischen und organisatorischen Maßnahmen nicht angemessen sind,
- der Dienstleister Weisungen nicht korrekt umsetzt,
- oder keine regelmäßige Überprüfung erfolgt.
Die datenschutzrechtliche Verantwortung bleibt immer beim beauftragenden Unternehmen – auch wenn die Verarbeitung ausgelagert wurde.
Fazit: Dienstleister prüfen heißt Verantwortung wahrnehmen
Die Einbindung externer Dienstleister ist im Unternehmensalltag unverzichtbar. Gleichzeitig bleibt der datenschutzrechtliche Verantwortungsteil immer beim eigenen Unternehmen. Wer AV-Verträge versteht, sauber einsetzt und Dienstleister regelmäßig prüft, reduziert Risiken und sorgt für klare Verhältnisse gegenüber Aufsichtsbehörden und betroffenen Personen.
Ausblick: Sie entscheiden, wie es weitergeht
Welche Frage sollen wir in der nächsten Woche beantworten?
Am Montag stellen wir Ihnen wieder drei Datenschutzthemen zur Auswahl – Sie stimmen ab, welches Thema wir im nächsten Blogbeitrag ausführlich erklären.
Folgen Sie uns auf Instagram, um mitzuentscheiden und kein Thema der Serie zu verpassen.
Noch mehr Praxiswissen?
Erfahren Sie in unserem Blogbeitrag, wie Unsere Vorgehensmethodik zur Datenschutz-Grundverordnung (DSGVO) ist – In diesem Blogbeitrag erläutern wir unsere simple Vorgehensmethodik zur Datenschutz-Grundverordnung in drei Phasen: Analysephase, Umsetzungsphase und Integrationsphase.
