AV-Vertrag (Auftragsverarbeitungsvertrag) – Einfach erklärt

Was ist ein Auftragsverarbeitungsvertrag (ADV-Vertrag)?

Ein Auftragsverarbeitungsvertrag (kurz: AV-Vertrag, ADV-Vertrag oder AVV) ist ein Vertrag, der bei der Beauftragung über die Auftragsdatenverarbeitung personenbezogener Daten zwischen dem Verantwortlichen (Quelle von Daten) und dem Auftragsverarbeiter geschlossen wird. Der Abschluss eines ADV-Vertrages ist gemäß Artikel 28 Abs. 3 Datenschutz Grundverordnung (DS-GVO) i.V.m. den Vorschriften des BDSG (im Deutschen Bereich) als Basis zur Datensicherheit zwingend erforderlich. Der Vertrag regelt die Rechte und Pflichten von Verantwortlichen und Auftragsverarbeiter bei der Auftragsdatenverarbeitung. Durch den ADV-Vertrag soll gewährleistet werden, dass die dem Auftragsverarbeiter anvertrauten personenbezogene Daten nur zu dem Zweck verarbeitet werden, zu dem diese auch von dem Verantwortlichen erhoben wurden. Der Auftragsverarbeiter verpflichtet sich durch Verträge zur Erfüllung des umfassenden Schutzes der personenbezogenen Daten bei der Auftragsdatenverarbeitung. Um diesen auch gewährleisten zu können, werden dem Verantwortlichen vom externen Dienstleister Kontrollrechte eingeräumt.

Aus Sicht des Verantwortlichen ist eine Auftragsverarbeitung insofern vorteilhaft, als dass sie arbeitsteilige Datenverarbeitung ermöglicht. Der Verantwortliche muss somit nicht alle innerhalb seiner Organisation anfallenden Verarbeitungen selbst durchführen. Stattdessen erlangt er die Möglichkeit, Datenverarbeitung auszulagern, wodurch er Effizienzvorteile gewinnt, da Datenverarbeitung für den Verantwortlichen zumeist komplex und aufwendig ist. Dabei bleibt der Verantwortliche bei der Auftragsverarbeitung wegen Zugriff des Dienstleister auf personenbezogene Daten, im Gegensatz zu Fällen gemeinsamer Verantwortung, in welchen mehrere Personen gleichberechtigt auf die Verarbeitung einwirken (vgl. Artikel 26 DS-GVO, weisungsbefugt. Einen AVV kann man mittels AV-Generator unter https://datenbuddy.de/av-vertrag-generator schnell und kostengünstig, als Alternative zum Muster oder Vorlagen, durch Sie selbst im Antwort-Frage-Spiel individualisiert und auf Ihren Fall als individuelle Version zugeschnitten erstellt werden. Dieser Vertrag steht nach Erstellung zum Download zur Verfügung.

Wer ist Verantwortlicher und wer ist Auftragsverarbeiter?

1. Auftragsverarbeiter

Ein Auftragsverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Dabei handelt es sich um eine Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten. Der Begriff des Auftragsverarbeiters ist gemäß Artikel 4 Nr. 8 DS-GVO definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Klassische Auftragsverarbeiter sind beispielsweise Angebote von Unternehmen, welche im Auftrag des Verantwortlichen Kontakterhebung („Callcenter“) oder Werbeadressenpflege („Lettershop bzw. Newsletter Dienstleister“) betreiben.

2. Verantwortlicher

Dem Auftragsverarbeiter steht der Verantwortlichen gegenüber. Verantwortlicher ist, wer „alleine oder gemeinsam über die Mittel und den Zweck der Verarbeitung der personenbezogenen Daten entscheidet“. Die Definition des Begriffs des Verantwortlichen findet sich in Artikel 4 Nr. 7 DS-GVO. Der Verantwortliche trifft die Entscheidung über den Verarbeitungszweck der personenbezogenen Daten und kann die Entscheidung über angemessene technische und organisatorische Maßnahmen an den Auftragsverarbeiter übertragen.

Wann ist die von dem Verantwortlichen beauftragte Verarbeitung eine Auftragsverarbeitung gem. Artikel 28 DSGVO?

1. Personenbezogene Daten

Bei einer Auftragsverarbeitung müssen zum einen personenbezogene Daten verarbeitet werden. Gemäß Art. 4 Nr. 1 Datenschutz Grundverordnung können personenbezogene Daten „alle Informationen sein, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online - Kennung oder zu einem oder mehreren besonderen Merkmalen (…) identifiziert werden kann“. Personenbezogene Daten können daher insbesondere folgende Informationen über Kunden oder Beschäftigte sein:

• Name, Alter, Familienstand, Geburtsdatum,
• Kontaktdaten wie postalische Anschrift, Telefonnummer, E-Mail-Adresse.
• dienstliche Kontaktdaten, die einen Personenbezug aufweisen, wie max.mustermann[at]unternehmen.de oder die persönliche dienstliche Durchwahl,
• Bankverbindungsdaten
• Kraftfahrzeugnummer, Kfz-Kennzeichen,
• Personalausweis- und Sozialversicherungsdaten, einschließlich der Ausweis- und Versicherungsnummern sowie
• genetische Daten und Gesundheitsdaten.

Es ist zudem zu beachten das personenbezogene Daten auch auf Foto- und Videoaufnahmen enthalten sein können. Das von einer Kamera aufgezeichnete Bild einer Person fällt unter den Begriff „personenbezogene Daten“, sofern es die Identifikation der betroffenen Person ermöglicht (vgl. EuGH, Urteil vom 11.12.2014 – C-212/13).

Steht in Frage, ob eine Person identifizierbar ist, so sind alle Mittel zu berücksichtigen, die der Verantwortliche oder eine andere Person nach allgemeinem Ermessen voraussichtlich nutzen wird, um eine Identifizierung vorzunehmen. Im Rahmen dessen ist auf alle objektiven Faktoren abzustellen – insbesondere auf die Kosten und den erforderlichen Zeitaufwand sowie die zum Zeitpunkt der Verarbeitung verfügbare Technologie zur Erhebung der Daten. Es bleibt jedoch stets die Möglichkeit, eine Anonymisierung der personenbezogenen Daten durchzuführen, sodass die betroffene Person nicht (mehr) identifiziert werden kann. Es reicht in der Regel aus, den Personenbezug derart aufzuheben, dass eine Re-Identifizierung praktisch nicht durchführbar ist.

2. Weisungsgebundenheit

Zu anderen darf die beauftragte Stelle nicht ihrerseits Verantwortliche sein. Eine Auftragsverarbeitung gem. Art. 28 DS-GVO liegt grundsätzlich dann vor, wenn nicht über die Mittel und Zwecke der Verarbeitung entschieden wird. Maßgebend ist die Weisungsgebundenheit des Auftragnehmers. Ausschlaggebend sind insoweit die tatsächlichen Verhältnisse, nicht etwaige Vertragsbezeichnungen. Eine Auftragsverarbeitung ist bei den folgenden Dienstleistungen als Thema anzunehmen:

• Hosting der Website (Ansprechpartner Webhoster)
• Hosting von E-Mail Postfächern
• Löschung von Datenträgern mit personenbezogenen Daten durch Dienstleister
• Speicherung von personenbezogenen Daten in einer Cloud (Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing auch ohne, dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist)
• Verarbeitung von Kundendaten und Kontaktdatenerhebung durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort
• Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten mit personenbezogenen Daten
• Datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren (nicht aber Steuerberater, da dieser freiberuflich tätig ist)
• Übernahme der Digitalisierung des schriftlichen Posteingangs durch einen Dienstleister
• Übernahme von Werbeadressenpflege und -ausdruck sowie Werbepostversand („Lettershop“)
• Zugriff des IT-Dienstleisters zu Wartungszwecken auf die IT-Infrastruktur des Verantwortlichen (Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, soweit bei dieser Tätigkeit ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann)
• Auslagerung von Backup-Sicherungsspeicherung und anderer Archivierungen
• Zentralisierung bestimmter Dienstleistungen innerhalb eines Konzerns wie Dienstreisen-Planungen oder Reisekostenabrechnungen („Shared Services“)
• Apothekenrechenzentren gemäß § 300 SGB V (Abrechnung von Apotheken und weiteren Stellen)
• Ärztliche Verrechnungsstellen ohne Forderungsverkauf
• Sicherheitsdienste, welche an der Pforte Besucher- und Anlieferdaten erheben
• externe Dienstleister, die dazu beauftragt wurden, Messwerte in Mietwohnungen abzulesen, zu erfassen oder zu verarbeiten
• Visabeschaffungsdienstleister, welche durch den Arbeitgeber die Daten des Beschäftigten erhalten

Wann ist demgegenüber eine Auftragsverarbeitung zu verneinen?

1. Datenverarbeitung als „Nebensache“

Eine Auftragsverarbeitung ist nicht gegeben, wenn die Datenverarbeitung im Zusammenhang mit der Erbringung einer Hauptdienstleistung für einen anderen erfolgt. Dies ist der Fall, wenn die Datenverarbeitung nicht speziell beabsichtigt ist, beziehungsweise nicht den Schwerpunkt oder einen wichtigen Bestandteil der Leistung des Auftragnehmers darstellt. Erhält ein Dienstleister den Auftrag, Textilien mit Namen zu bedrucken, ist der Schwerpunkt des Auftrags das Bedrucken der Textilien und nicht die Verarbeitung von personenbezogenen Daten. In diesem Fall liegt somit keine Auftragsverarbeitung vor, zwar erfolgt ein Zugriff auf personenbezogene Daten, allerdings ist die Verarbeitung personenbezogener Daten nur unvermeidliches Beiwerk der eigentlichen Dienstleistung. Weitere Fälle, in welchen keine beauftragte Verarbeitung von personenbezogenen Daten vorliegt, da der Auftrag im Schwerpunkt auf eine andere Tätigkeit zielt, sind:

• ein vom Vermieter beauftragter Handwerker, welcher die erforderlichen Mieterdaten erhält,
• ein Sachverständiger, der einen Kfz-Schaden begutachtet,
• Personenbeförderung und Krankentransportleistungen,
• Bewachungsdienstleistungen,
• Reinigungsdienstleistungen und Handwerkseinsätze in Unternehmen,
• Reinigung von Berufskleidung mit Namensschildern,
• Druck von Prospekten oder Katalogen mit Bildern von Beschäftigten und Fotomodellen,
• Transport von ausreichend geschreddertem Papiermaterial (sofern es nicht ohnehin bereits an der Identifizierbarkeit fehlt),
• Transport von Unterlagen und Waren durch Kurierdienste, Speditionen oder Zeitungsausträger,
• Übersetzung von Texten aus oder in fremde Sprachen.

2. Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen

Eine Auftragsverarbeitung ist nicht gegeben, wenn fremde Fachleistungen bei einem eigenständigen Verantwortlichen in Anspruch genommen werden. Beispiele für Dritte hierfür sind:

• Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Insolvenzverwalter,
• Inkassobüros mit Forderungsübertragung,
• Bankinstitute für den Geldtransfer,
• Postdienste für den Brief- oder Pakettransport,
• Privatdetektive im Rahmen ihrer Überwachungs- und Ausforschungstätigkeit,
• Versicherungs- oder Finanzmakler im Rahmen ihres Kundenvertrages.

Berufsgeheimnisträgern droht im Falle einer Offenbarung fremder Daten gegebenenfalls eine Strafbarkeit gemäß § 203 StGB (Verletzung von Privatgeheimnissen). Für Steuerberater, Rechtsanwälte, Wirtschaftsprüfer sowie entsprechende (Partner-) Gesellschaften stellt § 3 i.V.m. § 11 II StBerG klar, dass die Verarbeitung personenbezogener Daten unter Beachtung der im Übrigen geltenden Berufspflichten weisungsfrei erfolgt.

3. Abgrenzung zur gemeinsamen Verantwortlichkeit

Eine Auftragsverarbeitung ist zu verneinen, wenn eine gemeinsame Verantwortlichkeit gem. Art. 26 Datenschutz Grundverordnung gegeben ist („joint control“). In diesem Fall entscheiden mehrere Verantwortliche statt einer Person allein über die Verarbeitungszwecke und Verarbeitungsmittel. Die an der Verarbeitung beteiligten können jeweils eigene Zwecke verfolgen. Es fehlt gerade an der Weisungsgebundenheit. Erforderlich ist jedoch nicht, dass die Verantwortung gleichmäßig oder gleichberechtigt verteilt ist. Die gemeinsam Verantwortlichen können in die Entscheidungen etwa bezüglich des verfolgten Zwecks unterschiedlich stark und in unterschiedlicher Weise eingebunden sein. So ist beispielsweise der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Seitenbesucher verantwortlich (EuGH, 5.6.2018 – C-210/16). Dass der Fanpage-Betreiber keinen Einfluss auf oder Zugang zur Datenverarbeitung durch Facebook hat, sei demnach kein entscheidendes Kriterium, da maßgebend sei, dass der Betreiber mit der Eröffnung seines Accounts die Nutzungsbedingungen einschließlich der Cookie-Richtlinien von Facebook akzeptiere. Demnach sei er sich zum einen der Datenverarbeitung durch Facebook bewusst und zum anderen akzeptiere er diese durch Abschluss der Nutzungsbedingungen. Zudem profitiere er durch die von Facebook durchgeführte Nutzungsanalyse und nehme durch seine Einstellungen an der Verarbeitung teil. Gemeinsame Verantwortlichkeit liegt zudem beispielsweise vor bei:

• klinischen Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen,
• grundsätzlich im Rahmen gemeinsamer Forschungsprojekte und Produktentwicklungen,
• gemeinsamer Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen,
• Personalvermittlern, welche nicht nur Bewerbungen auswerten, sondern auch geeignete Bewerber aus ihrer eigenen Datenbank auswählen („Headhunter“),
• dem Einbinden von Tracking-Tools,
• möglicherweise auch WhatsApp: der „Fanpage“-Entscheidung (s.o.) zu Folge soll genügen, dass die Möglichkeit einer Datenerhebung „vermittelt“ wird; die Nutzung von WhatsApp durch den Verwender allein bedingt, dass WhatsApp die empfangenen Daten zu anderen Zwecken verwenden kann – andererseits soll das „Institut“ der gemeinsamen Verantwortlichkeit nicht dazu führen, dass Einzelpersonen sich verpflichtet fühlen, aus Sorge vor den entsprechenden Anordnungen von einer Verwendung abzusehen; daher bei WhatsApp wohl eher keine gemeinsame Verantwortlichkeit,
• im Rahmen von Tür-zu-Tür-Verkündigungen gesammelten personenbezogenen Daten durch eine religiöse Gruppe soweit davon auszugehen ist, dass die Gemeinschaft das entsprechende Verhalten organisiert, koordiniert und dazu ermuntert („Jehova“-Entscheidung; EuGH, 10.07.2018 – C-25/17),
• dem Verwalter einer Wohnungseigentümergemeinschaft, da der Verwalter über die Verarbeitung personenbezogener Daten der Wohnungseigentümergemeinschaft und evtl. Mieter entscheidet (AG Mannheim, 11.9. 2019 – 5 C 1733/19 WEG).

Welche Pflichten bestehen für Verantwortliche

1. Auswahl des Auftragsverarbeiters

Gemäß Art. 24 Datenschutzgrundverordnung liegt Datenschutz im Pflichtenkreis des Verantwortlichen. Der Verantwortliche muss den Auftragsverarbeiter sorgfältig auswählen. Bei der Auswahl ist darauf zu achten, dass der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass die technischen und organisatorischen Maßnahmen (TOMs) durchgeführt werden, die einen angemessenen Schutz für die Verarbeitung von personenbezogenen Daten gewährleisten (Art. 28 Abs.1 DSGVO i.V.m. Art. 32 Abs.1 DSGVO).

Technische Maßnahmen im Sinne der Norm sind alle Vorkehrungen und Verfahrensweisen, deren Schutzwirkung auf der Funktonalität technischer Hilfsmittel beruht, welche sich auf die Datenverarbeitung unmittelbar oder mittelbar physisch auswirken (beispielsweise Wegschließen von Datenträgern; Maßnahmen, die den Zutritt Unbefugter verhindern sollen; Verschlüsselung und Passwortsicherung oder sonstige Maßnahmen der Zugriffs- und Weitergabekontrolle).

Organisatorische Maßnahmen sind dagegen auf die äußeren Bedingungen des technischen Verarbeitungsprozesses gerichtet (beispielsweise Einhaltung des Vier-Augen-Prinzips; Protokollierungen; Stichprobenüberprüfungen; Mitarbeiterschulungen). Auch die Sicherstellung einer Möglichkeit, personenbezogene Daten oder den Zugang zu ihnen notfalls rasch wiederherstellen zu können sowie die Einführung eines regelmäßigen Überprüfungsverfahrens der Wirksamkeit der Maßnahmen kommen in Betracht (vgl. Art. 32 Abs. 1 DSGVO). Die Vorschrift des Art. 28 Abs. 1 DSGVO stellt zudem nicht ausschließlich auf den Zeitpunkt ab, in welchem das Auftragsverhältnis begründet wird. Hieraus lässt sich schlussfolgern, dass den Verantwortlichen neben einer Auswahlpflicht auch eine fortwährende Überprüfungspflicht trifft („arbeitet nur mit“). Bietet der Auftragsverarbeiter nicht mehr die erforderlichen hinreichenden Garantien oder stellt der Verantwortliche im Nachhinein fest, dass der Auftragsverarbeiter die Voraussetzungen nie erfüllt hat, ist er verpflichtet, die Zusammenarbeit mit dem Auftragsverarbeiter zu beenden und weitere Datenverarbeitungen zu unterbinden was ebenfalls im Auftragsverarbeitungsvertrag geregelt werden kann.

Die Beachtung von TOMs als Datenschutzanforderungen kann mittels des Datenschutz Generators unter https://datenbuddy.de/av-vertrag-generator und Befragung Ihres IT-Dienstleister erfolgen:

2. Bestehen Informations- und Mitteilungspflichten seitens des Auftraggebers gegenüber dem Betroffenen?

Den Verantwortlichen und Auftraggeber treffen gesonderte Informations- und Mitteilungspflichten. Er muss insbesondere den Betroffenen darüber informieren, wer Empfänger der personenbezogenen Daten ist. Gemäß Art. 33 Abs.1 DSGVO hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten grundsätzlich unverzüglich der zuständigen Aufsichtsbehörde zu melden. In Betracht kommt in diesem Fall auch eine Pflicht zur Benachrichtigung der betroffenen Person, sofern ein hohes Risiko für deren persönliche Rechte und Freiheiten besteht (Art. 34 DSGVO). Gemäß Art. 30 Abs. 1 DS-GVO ist er grundsätzlich (vgl. Ausnahmen gemäß Abs. 5) zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten unter seiner Zuständigkeit verpflichtet, welches gemäß Abs. 4 auf Anfrage der Aufsichtsbehörde zu Verfügung zu stellen ist. Das Verzeichnis hat die folgenden Angaben zu enthalten:

• Name und Kontaktdaten des Verantwortlichen und Auftraggeber, seines Vertreters sowie des Datenschutzbeauftragten,
• die Verarbeitungszwecke,
• eine Beschreibung der Kategorien betroffener Personen und Daten,
• die Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden,
• ggf. Übermittlungen von Daten an Drittländer oder internationale Organisationen,
• soweit möglich die vorgesehenen Fristen zur Löschung von Daten,
• soweit möglich eine Beschreibung der getroffenen Schutzmaßnahmen.

Die Gesamtverantwortung der Verarbeitung von personenbezogenen Daten und die Nachweisplicht gem. Art. 5 Abs. 2 DS-GVO bleiben, trotz Auftragsverarbeitung zwischen Auftragnehmer und Auftraggeber, bei dem Verantwortlichen. Diese Rechenschaftspflicht bezieht sich auf die Grundsätze für die Bearbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DS-GVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“, „Integrität und Vertraulichkeit“). Diese Pflichten sind jedoch durch die Art. 24 ff. DS-GVO hinreichend konkretisiert (s.o.), sodass Art. 5 DS-GVO für den Verantwortlichen einer Auftragsverarbeitung allenfalls ergänzende Bedeutung hat.

Welche Pflichten hat der Auftragsverarbeiter nach dem Auftragsverarbeitungsvertrag?

Die Pflicht des Auftragsverarbeiters ist es, weisungsgebunden die personenbezogenen Daten zu verarbeiten (Art. 29 DSGVO). Des Weiteren muss der Auftragsverarbeiter wie auch der Verantwortliche (s.o.) ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien der von ihm durchgeführten Tätigkeiten führen, wobei die inhaltlichen Anforderungen derjenigen des Verantwortlichen im Wesentlichen entsprechen (gem. Art. 30 Abs. 2 DSGVO). Dieses Verzeichnis muss der Auftragsverarbeiter ebenfalls der Aufsichtsbehörde auf Anfrage zu Verfügung stellen (Art. 30 Abs. 4 DSGVO). Zudem ist der Auftragsverarbeiter verpflichtet, Verletzungen des Schutzes personenbezogener Daten bei Unregelmäßigkeiten unverzüglich nach Bekanntwerden dem Verantwortlichen zu melden, Grundlage hierfür ist (Art. 33 Abs. 2 DSGVO).

Was muss ein ADV-Vertrag beinhalten?

Art. 28 DSGVO regelt die Mindestanforderungen des AV-Vertrages, welche in einem Auftragsverarbeitungsvertrag enthalten sein müssen. Diese sollten dem Einzelfall entsprechend ausgearbeitet werden und dem Auftragsverarbeiter und seiner Tätigkeiten angepasst werden. Auftragsverarbeitungsverträge (AV-Verträge) regeln:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten, die verarbeitet werden
• Kategorien der von der Verarbeitung betroffener Personen
• Rechte und Pflichten des Verantwortlichen
• Pflichten des Auftragsverarbeiters:
  • Verarbeitungsvorgänge dürfen nach dokumentierter Weisung vorgenommen werden,
  • Vertraulichkeitsverpflichtung,
  • geeignete technische und organisatorische Maßnahmen zum Schutz der Verarbeitung,
  • Bedingung für die rechtmäßige Einbindung von Subunternehmern,
  • Unterstützung des Verantwortlichen bei:
    • Betroffenenanfragen,
    • der Bestimmung von geeigneten technischen und organisatorischen Maßnahmen,
    • Meldungen an die Aufsichtsbehörde bei Verletzungen des Schutzes personenbezogener Daten,
    • Benachrichtigung der von der Verletzung betroffener Personen,
    • der Datenschutzfolgenabschätzung,
    • der Kontaktierung der Aussichtsbehörde für Verarbeitungstätigkeiten mit hohem Risiko.
  • Löschung / Rückgabe der personenbezogenen Daten bei Beendigung der Auftragsverarbeitung,
  • Unterstützung bei Überprüfungen durch bereitstellen der benötigten Informationen.

Wer haftet bei Datenschutzverstößen?

Nach Art. 82 Abs. 1 DSGVO hat jeder, dem aufgrund eines Verstoßes bei der Auftragsverarbeitung gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Auftraggeber und Auftragnehmer. Der Begriff des Schadens ist hierbei weit auszulegen, um sicherzustellen, dass der Betroffene wirksam geschützt ist. In Betracht kommt unter anderem ein Ersatzanspruch aufgrund folgender Schäden:

• Diskriminierung,
• Identitätsdiebstahl oder –betrug,
• Rufschädigung,
• Verlust von der Vertraulichkeit des Berufsgeheimnisses unterliegenden personenbezogen Daten,
• unbefugte Aufhebung der Pseudonymisierung,
• jeder finanzielle Verlust oder andere erhebliche wirtschaftliche Nachteile.

Gemäß Artikel 82 Abs. 2 DSGVO haftet der Verantwortliche für jeden aufgrund einer nicht den Anforderungen der DSGVO entsprechenden Auftragsdatenverarbeitung entstandenen Schaden, wohingegen sich die Haftung des Auftragsverarbeiter auf Verstöße gegen die ihm im AVV auferlegten Pflichten beschränkt. Von der Haftung freigestellt ist der Auftraggeber und Auftragnehmer, wenn nachweisbar ist, dass diese für den Umstand, durch welchen der Schaden entstanden ist, nicht verantwortlich sind (Art. 82 Abs. 3 DSGVO). „Verantwortung“ meint Verschulden, welches grundsätzlich vermutet wird. Um diese Vermutung zu widerlegen, hat der in Anspruch Genommene die Beweislast dafür zu tragen, dass er weder vorsätzlich noch fahrlässig im Sinne des § 276 Abs. 2 BGB gehandelt hat.

Sind sowohl ein Auftraggeber als auch ein Auftragnehmer an der fraglichen Verarbeitung beteiligt und für den entstandenen Schaden bei der Auftragsdatenverarbeitung verantwortlich, so ist ein wirksamer Schutz des Betroffenen dadurch sichergestellt, dass er oder dem Auftraggeber und Auftragnehmer gleichermaßen den vollen Schadensersatz verlangen kann (§ 82 Abs. 4 DSGVO). Der voll in Anspruch Genommene kann das ihm Zustehende im Anschluss im Innenverhältnis von seinem Vertragspartner zurückfordern (DSGVO Art. 82 Abs. 5).