Ein AVV, der Auftragsverarbeitungsvertrag, ist einer der praktisch wichtigsten Verträge im Datenschutzrecht. Er ist nach Artikel 28 der DSGVO immer dann vorgeschrieben, wenn ein Unternehmen einen Dienstleister einschaltet, der in seinem Auftrag personenbezogene Daten verarbeitet. Auf Englisch wird er als Data Processing Agreement (DPA) bezeichnet. Der AVV stellt sicher, dass der Datenschutz nicht endet, wenn Daten an einen externen Dienstleister gelangen, sondern dass dieser an dieselben Schutzpflichten gebunden ist wie das beauftragende Unternehmen.
Verantwortlicher und Auftragsverarbeiter
Um den AVV zu verstehen, muss man zwei Rollen unterscheiden. Der Verantwortliche ist die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet — typischerweise das Unternehmen, das eine Dienstleistung gegenüber seinen Kunden erbringt. Der Auftragsverarbeiter ist der Dienstleister, der Daten ausschliesslich nach Weisung des Verantwortlichen verarbeitet, ohne über die Zwecke zu bestimmen. Klassische Beispiele für Auftragsverarbeiter sind Cloud-Hosting-Anbieter, E-Mail-Versanddienste, Zahlungsabwickler und SaaS-Tools. Sobald ein solches Verhältnis besteht, verlangt die DSGVO einen AVV als rechtliche Grundlage.
Wann ein AVV erforderlich ist
Ein AVV ist erforderlich, sobald ein Auftragsverarbeiter personenbezogene Daten im Auftrag verarbeitet. Das ist bei den meisten modernen Geschäftsabläufen der Fall: Wer Kundendaten in einer Cloud speichert, Newsletter über einen Versanddienstleister verschickt, Zahlungen über einen Dienstleister abwickelt oder ein CRM in der Cloud nutzt, braucht mit jedem dieser Dienstleister einen AVV. Fehlt der AVV, ist die Datenverarbeitung formal rechtswidrig, selbst wenn der Dienstleister technisch einwandfrei arbeitet. Unternehmen sollten daher systematisch erfassen, welche Dienstleister sie einsetzen, und für jeden einen AVV abschliessen.
Die Pflichtinhalte nach Artikel 28
Artikel 28 DSGVO schreibt vor, welche Punkte ein AVV mindestens regeln muss. Dazu gehören Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen. Der Auftragsverarbeiter muss sich verpflichten, Daten nur auf dokumentierte Weisung zu verarbeiten, die Vertraulichkeit zu wahren, angemessene Sicherheitsmassnahmen zu treffen, den Verantwortlichen bei dessen Pflichten zu unterstützen, Unterauftragsverarbeiter nur unter Bedingungen einzusetzen und Daten nach Auftragsende zu löschen oder zurückzugeben. Zudem muss er Audits ermöglichen und nachweisen, dass er die Anforderungen erfüllt.
Unterauftragsverarbeiter
Ein häufig unterschätzter Aspekt sind die Unterauftragsverarbeiter, auf Englisch Subprocessors. Viele Dienstleister setzen ihrerseits weitere Dienstleister ein — ein SaaS-Anbieter nutzt etwa einen Cloud-Hoster, einen E-Mail-Dienst und einen Zahlungsabwickler. Diese Subprocessors verarbeiten die Daten letztlich ebenfalls, weshalb der AVV regeln muss, unter welchen Bedingungen sie eingesetzt werden dürfen. In der Regel verlangt die DSGVO, dass der Verantwortliche über neue Subprocessors informiert wird und ihnen widersprechen kann. Für SaaS-Nutzer bedeutet das, dass sie die Subprocessor-Liste ihres Anbieters kennen und prüfen sollten, um die gesamte Verarbeitungskette zu überblicken.
AVV bei SaaS-Diensten
Für die meisten Unternehmen entsteht der praktische Bedarf an AVVs vor allem bei SaaS-Diensten. Nahezu jedes moderne Tool — vom Projektmanagement über die Buchhaltung bis zum Kundensupport — verarbeitet personenbezogene Daten und ist damit Auftragsverarbeiter. Seriöse SaaS-Anbieter stellen einen AVV bereit, oft als standardisiertes Dokument, das sich elektronisch abschliessen lässt. Bei der Auswahl eines SaaS-Anbieters sollte daher geprüft werden, ob ein AVV verfügbar ist, welche Subprocessors eingesetzt werden und wo die Daten gehostet werden. Ein Anbieter ohne AVV ist für die datenschutzkonforme Nutzung ungeeignet.
Die Sorgfaltspflicht bei der Auswahl
Der Verantwortliche darf nur Auftragsverarbeiter einsetzen, die hinreichende Garantien für einen datenschutzkonformen Umgang bieten. Diese Sorgfaltspflicht bedeutet, dass die Auswahl eines Dienstleisters nicht nur nach Preis und Funktion erfolgen darf, sondern auch nach Datenschutzniveau. Zu prüfen sind die technischen und organisatorischen Massnahmen des Dienstleisters, seine Hosting-Region, seine Subprocessors und seine Bereitschaft, einen ordentlichen AVV abzuschliessen. Wählt ein Unternehmen einen unsicheren Dienstleister, kann es dafür mitverantwortlich gemacht werden. Der AVV ist damit nicht nur ein Vertragsformular, sondern Ausdruck einer echten Auswahlentscheidung.
Das revDSG und der AVV
Auch das Schweizer revDSG kennt das Konzept der Auftragsbearbeitung und verlangt vergleichbare vertragliche Regelungen, wenn ein Dritter Personendaten im Auftrag bearbeitet. Die Anforderungen ähneln denen der DSGVO, sodass ein gut gestalteter AVV in der Regel beide Rechtsrahmen abdecken kann. Für DACH-Unternehmen, die in der Schweiz und in der EU tätig sind, empfiehlt sich ein AVV, der die Anforderungen beider Regime erfüllt. Diese doppelte Tauglichkeit vereinfacht die Vertragsverwaltung und stellt sicher, dass die Auftragsverarbeitung in beiden Märkten rechtskonform ist.
Die praktische Umsetzung
In der Praxis sollten Unternehmen ein Verzeichnis aller Auftragsverarbeiter führen und für jeden einen aktuellen AVV vorhalten. Bei neuen Dienstleistern wird der AVV vor Beginn der Verarbeitung abgeschlossen, bei bestehenden regelmässig auf Aktualität geprüft. Da viele Anbieter Standard-AVVs bereitstellen, ist der Aufwand pro Vertrag oft gering, die systematische Erfassung aber entscheidend. Innopulse stellt für seine eigenen SaaS-Produkte AVVs bereit — bei Flenio etwa ist der AVV sogar im kostenlosen Plan inklusive — und unterstützt Kunden beim Aufbau eines vollständigen Auftragsverarbeiter-Verzeichnisses und der zugehörigen Verträge als Teil der Datenschutz- und SaaS-Entwicklungsarbeit.
Haftung und Verantwortlichkeiten
Der AVV regelt nicht nur Pflichten, sondern auch die Verteilung der Verantwortung zwischen Verantwortlichem und Auftragsverarbeiter. Verarbeitet der Auftragsverarbeiter Daten entgegen den Weisungen des Verantwortlichen oder über den Auftrag hinaus, kann er selbst zum Verantwortlichen werden und entsprechend haften. Diese Klarstellung der Verantwortlichkeiten ist ein wesentlicher Zweck des AVV: Sie schafft Rechtssicherheit darüber, wer im Schadensfall wofür einzustehen hat. Betroffene Personen können sich grundsätzlich an beide wenden, weshalb eine saubere vertragliche Regelung im Interesse beider Seiten liegt. Ein durchdachter AVV ist damit auch ein Instrument des Risikomanagements, nicht nur eine formale Pflichterfüllung.
Technische und organisatorische Massnahmen
Ein wichtiger Bestandteil jedes AVV ist die Beschreibung der technischen und organisatorischen Massnahmen, mit denen der Auftragsverarbeiter die Daten schützt. Dazu gehören etwa Verschlüsselung, Zugriffskontrollen, Protokollierung, Backup-Konzepte und Massnahmen zur Wiederherstellung nach Zwischenfällen. Diese Massnahmen werden oft in einer Anlage zum AVV dokumentiert und geben dem Verantwortlichen die Möglichkeit zu prüfen, ob der Dienstleister ein angemessenes Sicherheitsniveau bietet. Ein AVV ohne aussagekräftige Beschreibung dieser Massnahmen ist von begrenztem Wert, weil er die zentrale Frage offenlässt, wie die Daten tatsächlich geschützt werden. Seriöse SaaS-Anbieter legen ihre Sicherheitsmassnahmen transparent offen.
Audit- und Kontrollrechte
Der AVV muss dem Verantwortlichen ermöglichen, die Einhaltung der vereinbarten Pflichten zu überprüfen. Dazu gehören Informations- und Auditrechte, die es erlauben, sich von der Konformität des Auftragsverarbeiters zu überzeugen. In der Praxis erfüllen viele Dienstleister diese Anforderung durch unabhängige Zertifizierungen und Prüfberichte, etwa nach anerkannten Sicherheitsstandards, sodass nicht jeder Kunde ein eigenes Audit durchführen muss. Für den Verantwortlichen ist wichtig, dass das Recht zur Kontrolle besteht und dass der Dienstleister die nötigen Nachweise bereitstellt. Diese Kontrollmöglichkeit ist die praktische Absicherung dafür, dass die im AVV versprochenen Schutzmassnahmen auch tatsächlich umgesetzt werden.
Fazit
Der Auftragsverarbeitungsvertrag ist ein unverzichtbares Instrument, sobald ein Unternehmen Dienstleister mit der Verarbeitung personenbezogener Daten betraut — was bei nahezu jeder modernen Geschäftstätigkeit der Fall ist. Er stellt sicher, dass der Datenschutz über die Unternehmensgrenze hinaus gewahrt bleibt, verteilt Verantwortlichkeiten klar und verpflichtet den Dienstleister auf konkrete Schutzmassnahmen. Wer seine Auftragsverarbeiter systematisch erfasst, für jeden einen ordentlichen AVV vorhält und die Subprocessor-Ketten im Blick behält, schafft die vertragliche Grundlage für eine datenschutzkonforme Nutzung externer Dienste.