Sie wollen als Verantwortlicher einen Auftragsverarbeiter einsetzen, wissen aber nicht, ob der angebotene Auftragsverarbeitungs-Vertrag den Anforderungen von Art. 28 DSGVO entspricht? Sie verarbeiten als Dienstleister personenbezogene Daten im Auftrag und wollen sichergehen, dass Ihr AV-Vertrag rechtskonform ist?

In beiden Fällen sollten Sie Ihren Vertrag über die Verarbeitung von Daten im Auftrag durch einen unserer Datenschutzexperten überprüfen lassen. Unsere Juristen prüfen oder erstellen regelmäßig AV-Verträge für unsere Mandanten verschiedenster Branchen und Größe und wissen deshalb, auf welche Besonderheiten und Fallstricke gemäß EU-Datenschutz-Grundverordnung (DSGVO) zu achten ist.

Wir prüfen, ob Ihr Vertrag zur Auftragsverarbeitung den Anforderungen aus Art. 28 DSGVO entspricht. Zudem bewerten wir die vom Auftragsverarbeiter angeführten technischen und organisatorischen Maßnahmen und stellen fest, ob diese eine geeignete Garantie für die Sicherheit der Betroffenenrechte nach Art. 32 DSGVO darstellen. Ist dies nicht der Fall, besteht ein Bußgeldrisiko sowohl für den Auftraggeber als auch für den Auftragnehmer. Diesem Risiko lässt sich begegnen, indem die Auftragsverarbeitungsverträge vor Abschluss entsprechend geprüft werden, um einen etwaigen Änderungsbedarf festzustellen.

Dabei analysieren wir den von Ihnen zur Verfügung gestellten Vertrag zur Auftragsverarbeitung sowie zusammengehörige Vertragsunterlagen auf Vollständigkeit und Rechtskonformität. Sie erhalten von uns einen detaillierten Prüfbericht mit konkreter Hilfestellung bei Änderungsbedarf des Vertrages. Zuletzt geben wir noch eine Gesamteinschätzung über die Rechtskonformität des Vertrages ab.

In den Warenkorb Zzgl. 16% USt.

Wie funktioniert die Prüfung eines Vertrages zur Auftragsverarbeitung?

01.

Hochladen der Vertragsunterlagen

Unmittelbar nach dem Kaufabschluss können Sie Ihren AV-Vertrag und weitere benötigte Dokumente in Ihrem Benutzerkonto hochladen. Beachten Sie bitte unbedingt die FAQ, welche Vertragsunterlagen für die Prüfung zwingend erforderlich sind.
02.

Prüfung des Vertrages

Einer unserer Juristen prüft die Vertragsunterlagen dahingehend, ob alle datenschutzrechtlich erforderlichen Angaben enthalten und rechtskonform gestaltet sind. Den Prüfbericht laden wir anschließend in Ihrem Benutzerkonto hoch und benachrichtigen Sie per E-Mail.
03.

Prüfbericht und Empfehlungen

Im ausführlichen Prüfbericht finden Sie eine Bewertung hinsichtlich der Rechtskonformität des Vertrages. Bei Abweichungen geben wir Ihnen Hilfestellungen, was geregelt sein müsste, um die Anforderungen der DSGVO zu erfüllen.

Häufig gestellte Fragen zur Prüfung eines Vertrages zur Auftragsverarbeitung

Was ist ein Auftragsverarbeitungsvertrag?

Ein Vertrag über Auftragsverarbeitung (AV, ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Bei AV-Dienstleistern kann es sich zum Beispiel um Gehaltsabrechnungsbüros, Datenträgerentsorger, Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Web- bzw. E-Mailhoster oder auch freie Mitarbeiter handeln.

Der zu schließende AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsverarbeiter) sowie ggfs. einzusetzenden Subdienstleistern. So soll u. a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag diesbezüglich umfassende Kontrollrechte eingeräumt.

Ebenfalls sollte der Vertrag die Grenzen der Auftragsverarbeitung enthalten und festlegen, ab wann der Auftragsverarbeiter die Pflicht zur weisungsbeschränkten Verarbeitung bricht und selbst zum Verantwortlichen wird. Diese Umstände genau zu definieren, liegt daher sowohl im Interesse des Auftraggebers als auch des Auftragnehmers.

Wer hat die Pflicht, einen Auftragsverarbeitungsvertrag zu stellen?

Sowohl der Auftraggeber als auch der Auftragsnehmer sind gleichermaßen verpflichtet, einen rechtmäßigen Vertrag zur Auftragsverarbeitung zu schließen. Daher müssen sich jeweils beide Parteien darum bemühen, einen solchen Vertrag aufzustellen und dafür zu sorgen, dass dieser zumindest den gesetzlichen Mindestanforderungen des Art. 28 DSGVO genügt.

Die Vorlage für den AV-Vertrag kann von beiden Seiten bereitgestellt werden. Bei der Nutzung von z. B. Webhostinganbietern als Auftragsverarbeitern bleibt in der Regel allerdings nur die Wahl, den angebotenen AV-Vertrag anzunehmen. Auch hier kann eine Prüfung des AV-Vertrags durch unsere Juristen helfen, eine Entscheidung für oder gegen einen Anbieter zu treffen.

Welche Anforderungen an einen Auftragsverarbeitungsvertrag gibt es?

Ein Vertrag zur Auftragsverarbeitung muss inhaltlich die Anforderungen nach Art. 28 DSGVO erfüllen. Hierfür gibt es einen Katalog an Mindestinhalten, welche nach bestimmten Grundsätzen geregelt sein müssen.

Welche Vertragsunterlagen sind für die Prüfung zur Verfügung zu stellen?

Um eine vollständige Prüfung vornehmen zu können, müssen sämtliche relevante Vertragsunterlagen und Anhänge bereitgestellt werden. Hierzu gehören neben dem eigentlichen Auftragsverarbeitungsvertrag folgende Dokumente und Informationen:

  • Hauptvertrag: Oft wird im Auftragsverarbeitungsvertrag auf den Hauptvertrag verwiesen. Dies ist in der Regel der Dienstleistungsvertrag. Soweit inhaltliche Verweise auf den Hauptvertrag bestehen, ist dieser ebenfalls notwendig für die Prüfung.
  • Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO: Die sog. TOM sind oft am Ende des Auftragsverarbeitungsvertrages angehängt. Es kann auch vorkommen, dass diese bereits in einem gesonderten Dokument, etwa in einem Sicherheitskonzept oder Datenschutzkonzept etc. enthalten sind.
  • Liste der Subdienstleister: Die Liste der vom Dienstleister eingesetzten Subdienstleister ist meist im Auftragsverarbeitungsvertrag enthalten. Soweit sich diese Informationen in einem gesonderten Dokument befinden, wird dieses für die Prüfung benötigt.
  • Sonstige relevante Dokumente: In seltenen Fällen sind weitere datenschutzrechtliche Informationen vorhanden, die zur Prüfung des Auftragsverarbeitungsvertrages erforderlich sind. Haben Sie daher vom Dienstleister weitere datenschutzrechtliche Dokumente erhalten, dann laden Sie bitte auch diese mit hoch.

Zudem hilft es uns, wenn Sie die zu prüfende Dienstleistung kurz beschreiben. Das sollte zwar in der Regel im Vertrag erfolgen, ist jedoch nicht immer der Fall.

Sind Zertifikate als Nachweis der technischen und organisatorischen Maßnahmen ausreichend?

Getroffene technische und organisatorische Maßnahmen (TOM) können ebenfalls durch Zertifikate nachgewiesen werden. Diese müssen jedoch tauglich und geeignet sein.

Bei Zertifikaten ist zu beachten, dass diese lediglich als Faktor berücksichtigt werden dürfen. Mit anderen Worten: Zertifikate stellen lediglich ein Indiz, jedoch keinen Beweis für das Vorliegen hinreichender TOM dar. Es ist weiterhin eine Gesamtbeurteilung durch hinreichende Informationen und Nachweise notwendig.

Für die Indizwirkung ist es erforderlich, dass der Prüfungsumfang und -maßstab des Zertifikats bekannt ist. Dies ist etwa bei einer Zertifizierung nach ISO 27001 der Fall, weil es sich um eine Norm handelt. Derzeit kursieren jedoch einige Datenschutz-Zertifikate ohne eine solche Aussagekraft. Hierbei handelt es sich meist um Datenschutz-Zertifikate, die auf von Unternehmen eigens entwickelten und nicht veröffentlichen Standards beruhen. Was genau geprüft wird oder auf welchen Maßstäben das Ergebnis beruht, kann nicht ohne Weiteres nachvollzogen werden.

Was wird beim Vertag zur Auftragsverarbeitung geprüft?

Ein bestehender oder abzuschließender Vertrag zur Auftragsverarbeitung wird ausschließlich auf Rechtskonformität der Anforderungen nach Art. 28 DSGVO sowie auf die Geeignetheit der Nachweise der technischen und organisatorischen Maßnahmen geprüft.

Wir können leider nicht bewerten, ob der Vertrag für Sie im konkreten Fall vorteilhaft ist. Haftungsregeln, Kostenübernahmen, etc. werden von uns lediglich daraufhin untersucht, ob ein Verstoß gegen die Anforderungen der DSGVO besteht.

Leistungsbeschreibung Prüfung Vertrag zur Auftragsverarbeitung

Bitte beachten Sie folgende Hinweise zum Leistungsumfang unserer Prüfung Ihrer Verträge zur Auftragsverarbeitung:

  1. Die Prüfung umfasst ausschließlich datenschutzrechtliche Aspekte. D.h. wir prüfen die Vertragsunterlagen auf Vorgaben der DSGVO hin. Wir zeigen auf, an welchen Stellen die Umsetzung nicht rechtskonform ist und wie Abweichungen vor gesetzlichen Vorgaben beseitigt werden können. Explizit ausgeschlossen ist die Prüfung der Rechtskonformität nach anderen Gesetzen als der EU-Datenschutz-Grundverordnung (DSGVO) und ggf. dem Bundesdatenschutzgesetz.
  2. Die Prüfung umfasst eine Bewertung des Vertrages mit Änderungsempfehlungen auf Deutsch oder Englisch. Konkrete Formulierungsvorschläge werden nur im begrenzten Umfang angeboten.
  3. Wir übernehmen insbesondere keine Gewähr für die Vollständigkeit und Aktualität des Vertrages. Wir überprüfen lediglich die übermittelnden Dokumente hinsichtlich der Vereinbarkeit mit den gesetzlichen Bestimmungen.
  4. Sollten zusätzliche Angaben durch den Auftraggeber gemacht werden, so werden diese als wahr unterstellt.
  5. Die Leistung gilt als erbracht, wenn das Prüfungsergebnis inkl. der Handlungsempfehlung zum Download bereitgestellt wird.
  6. Die Leistungserbringung erfolgt innerhalb von 15 Werktagen. Fristbeginn ist der Werktag nach Upload aller für die Prüfung notwendigen Vertragsunterlagen (Vertrag zur Auftragsverarbeitung, Hauptvertrag, technische und organisatorische Maßnahmen, Liste der Subdienstleister, sonstige relevante Dokumente).

Produktempfehlung

Sie haben noch gar keinen AV-Vertrag?

Dann nutzen Sie einfach unseren Generator, um einen angepassten Auftragsverarbeitungsvertrag zu konfigurieren.