Auftragsdatenverarbeitung Mustervertrag | §11 BDSG

| 24 Kommentare | Von Dr. Datenschutz
Fachbeitrag

Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen nach § 11 BDSG ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung.

Wozu brauche ich einen Vertrag zur Auftragsdatenverarbeitung?

Ein Vertrag, der die sog. Auftragsdatenverarbeitung regelt, ist natürlich nur dann erforderlich, wenn es sich der Natur der Datenverarbeitung nach um eine Auftragsdatenverarbeitung handelt. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung. So liegt häufig bereits eine Auftragsdatenverarbeitung vor, wenn Unternehmen z.B. für ihre Datenverarbeitung Kapazitäten externer Rechenzentren nutzen oder die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen. Liegt eine Auftragsdatenverarbeitung vor, ist zwischen den Parteien vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zu schließen.

Was, wenn ich keinen Vertrag abgeschlossen habe?

Die Anforderungen an die Auftragsdatenverarbeitung sind durch den Gesetzgeber im Rahmen einer Novellierung des Bundesdatenschutzgesetzes 2009 massiv verschärft worden. Wird ein Auftrag zur Auftragsdatenverarbeitung u.a. nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt, stellt dies eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 50.000,- Euro geahndet werden kann (§ 43 Abs. 1 Nr. 2b, Abs. 3 BDSG)

Wie sehen Verträge zur Auftragsdatenverarbeitung aus?

Hat man also nun festgestellt, dass tatsächlich ein Auftragsdatenverarbeitungsverhältnis vorliegt, so kann man den Inhalt dieses Vertrages nicht etwa selbst bestimmen. Ausnahmsweise hat sich der Gesetzgeber hier mal in die Privatautonomie der Vertragsparteien eingemischt und einen Mindest-Vertragsinhalt in § 11 BDSG vorgegeben. Demgemäß muss ein Vertrag zur Auftragsdatenverarbeitung Festlegungen zu folgenden 10 Punkten enthalten:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Hier finden Sie eine Auswahl von Musterverträgen zur Auftragsdatenverarbeitung, die im Internet zu finden sind:

Die Musterverträge sind auf die Gegebenheiten des jeweiligen Auftragsdatenverarbeitsverhältnisses anzupassen und sollten nicht ohne vorherige Prüfung übernommen werden.

Was ist bei technischen und organisatorischen Maßnahmen zu beachten?

Besonders schwierig ist es, die zu treffenden technischen und organisatorischen Maßnahmen (Nr. 3) zu bestimmen. Hier reicht leider kein allgemeiner Satz, dass diese eingehalten werden. Vielmehr ist auf jeden der in Anlage zu § 9 Satz 1 BDSG genannten Punkte einzugehen. Zu beachten ist allerdings auch hier, dass nicht immer sämtliche getroffenen Maßnahmen gegenüber dem Auftraggeber offenbart werden können. Denn immerhin muss auch die eigene Daten- und Informationssicherheit noch gewährleistet bleiben.

Welche besonderen Problemfelder gibt es?

Leider wäre es zu einfach, wenn die oben genannten 10 Punkte immer gelten würden, doch tatsächlich können sie nicht immer strikt und vollumfänglich umgesetzt werden. Denn in vielen Fällen weicht die Praxis von den zugrundeliegenden Vorstellungen des Gesetzgebers ab. Ein Beispiel hierfür ist etwa der externe IT-Dienstleister, der nur In-House arbeitet und für den daher nur wenige der gesetzlich vorgeschriebenen Punkte tatsächlich zutreffend sind.

Ein weiteres Problem in der Praxis ist außerdem, wenn der Auftragnehmer im datenschutzrechtlichen Sinne zufällig der Mutterkonzern des Auftraggebers ist. Hier ist es in der Praxis oft sehr schwierig, den Mutterkonzern auf die Einhaltung bestimmter datenschutzrechtlicher Maßnahmen zu verpflichten oder diesem gar zu erklären, dass er abhängig von den Weisungen des Tochterunternehmens ist. Ärger ist hier meist vorprogrammiert.

Gibt es Gestaltungsspielräume?

Trotz Vorgaben des Vertragsinhaltes durch den Gesetzgeber bleibt die genaue Ausgestaltung der Verträge einzelfallabhängig. Insbesondere verbleiben gewisse Gestaltungsspielräume, die zugunsten des jeweiligen Auftraggebers oder Auftragnehmers ausgeschöpft werden können.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Mit dem Code „Webinar2023B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2023.

Über den Autor

Dr. Datenschutz
Dr. Datenschutz

Der Beitrag wurde von Dr. Datenschutz geschrieben. Unsere Mitarbeiter, dies sind in der Regel Juristen mit IT-Kompetenz, veröffentlichen Beiträge unter diesem Pseudonym. mehr →

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Weitere Beiträge

Auftragsdatenverarbeitung – Unwissenheit schützt vor Strafe nicht
Hilfe, ein ADV!? – Tipps für Dienstleister
Arbeitnehmerdatenschutz nach DSGVO und BDSG
DSGVO: Mit diesen 5 Schritten sind Unternehmen optimal vorbereitet
IT-Forensik hilft Datendiebstahl durch Mitarbeiter aufzudecken
Daten(schutz) im Wandel der Mobilität

24 Kommentare zu diesem Beitrag

  1. Hallo und herzlichen Dank für diesen informativen Artikel.

    Ich hätte allerdings noch eine Frage dazu. Wie verhält es sich mit Autorespondern aus dem Ausland. Zum Beispiel habe ich eine englische Auftragsdatenverarbeitung mit einem großen Autoresponder aus einem EU-Land (Polen) abgeschlossen. Ist das dann in Deutschland auch rechtskräftig? Eine andere Möglichkeit als eine schriftliche Vereinbarung gibt es ja in solchen Fällen gar nicht. Und persönlich überprüfen geht hier auch nichts, bei anderen übrigens ebenfalls nicht. Wie kann man sich da absichern?

    • Mit einem polnischen Dienstleister (für Autoreply) kann man genauso wie mit einem deutschen Dienstleister personenbezogene Daten austauschen, weil Polen Mitgliedstaat der EU ist. Mit dem Dienstleister müsste ein Zusatzvertrag nach § 11 Bundesdatenschutzgesetz abgeschlossen werden, wie es im Blogartikel ausgeführt wird. Solche Verträge werden häufig in englischer Sprache verfasst und sind natürlich auch und gerade in Deutschland wirksam.

      Da es in solchen Konstellationen häufig zu aufwendig ist, die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vor Ort zu überprüfen, sollte der Dienstleister die Maßnahmen schriftlich zusammenfassen. Es ist ohnehin gesetzlich vorgeschrieben, dass die Sicherheitsmaßnahmen in einem Dokument aufgeführt werden, das als Anlage Bestandteil des Zusatzvertrags wird.

  2. Bzgl. einer evtl. Bestrafung würde mich sehr interessieren, ob dies nur den Auftraggeber betrifft. Kann hier auch der Auftragnehmer zur Rechenschaft gezogen werden, wenn er vom AG keinen ADV Vertrag erhalten hat? Besten Dank für die Auskunft.

    • Uns sind nur Fälle bekannt, in denen Bußgelder gegen den Auftraggeber verhängt worden sind. Das Bayrische Landesamt für Datenschutzaufsicht hat z.B. diesen Sommer ein Bußgeld in fünfstelliger Höher gegen ein Unternehmen festgesetzt, dass einen unvollständige (und damit unwirksame) Vereinbarung zur Auftragsdatenverarbeitung mit einem Dienstleister abgeschlossen hat:
      Auftragsdatenverarbeitung: fünfstelliges Bußgeld verhängt

      Das heißt aber nicht, dass Auftragnehmer grundsätzlich vor Strafe gefeit sind. Wenn Sie ohne wirksame vertragliche Grundlage personenbezogenen Daten von Auftraggebern erhalten und verarbeiten, verstoßen sie ebenfalls gegen Datenschutzrecht. Wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, kann gemäß § 43 Abs. 2 Nr. 1 Bundesdatenschutzgesetz mit einem Bußgeld bis zu 300.000 Euro belegt werden.

  3. Eine weitere Frage in diesem Zusammenhang. Hat bei einer Auftragsverarbeitung in der Schweiz (Muttergesellschaft), die deutsche Tochtergesellschaft einen Datenschutzbeauftragten zu stellen? Wenn ja, hat dieser nur ein quasi Outsourcingcontrolling der gemäß Vertrag definierten Auftragsverarbeitung vorzunehmen oder gehen die Pflichten weiter?

    • Eine deutsche, rechtlich selbständige Gesellschaft hat immer dann einen Datenschutzbeauftragten zu bestellen, wenn die Voraussetzungen des § 4f Abs. 1 BDSG erfüllt sind (nicht-öffentliche Stellen, die mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen). Dies ist unabhängig davon, wo die Muttergesellschaft ihren Sitz hat. Die Pflichten des BDSG sind dementsprechend einzuhalten. Für eine eindeutige Aussage, welche Pflichten im Einzelnen bestehen, wären weitere Informationen zu den Tätigkeiten des deutschen Unternehmens erforderlich.

  4. Hallo,
    wenn eine Deutsche GmbH einen Dienst (SaaS dessen Daten in der Amazon Cloud in den USA liegen) in den USA nutzen möchte, um z.B. Zielvereinbarungen und Personalgespräche zwischen Angestellten und Vorgesetzten zu hinterlegen, so ist ebenfalls eine ADV nötig, die dem deutschen und demnächst dem europäischen Datenschutzgesetz genügt – Richtig? Ich suche für einen solchen Fall eine Beispiel ADV.
    Das Dokument, das das der US Anbieter als ADV geschickt hat, ist keine ganze Din A4 Seite lang und beinhaltet nur die Felder, die ausgefüllt werden bei dem Dienst.
    Vielen Dank.
    Wigald

  5. Guten Tag.
    Wir haben von unserem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung erhalten. Die Rechtslage des Vertrages läuft noch auf BDSG. Müssen wir nach Inkrafttreten der EU-DSGVO erneut einen Vertrag aufsetzten oder gilt der alte Vertrag weiter?
    Vielen Dank

    • Die Pflichtinhalte von ADV-Vereinbarrungen nach alter und künftiger Rechtslage sind sehr ähnlich. Alte ADV-Verträge können daher grundsätzlich beibehalten werden. Wir empfehlen jedoch, die alten Vertragsverhältnisse genau zu prüfen und ggf. an die neue Rechtslage anzupassen.

  6. Guten Morgen,
    wir haben mit unseren Kunden auch alle ADV-Verträge noch nach BDSG abgeschlossen. Für die EU-DSGVO müssen wir mit allen Kunden neue Verträge abschließen.
    Müssen wir die Verträge „per Papier“ abschließen oder reicht eine digitale Version?
    Vielen Dank.
    O. Murmann

  7. Hallo, wir müssen einen ADV als Auftragnehmer mit einem Kunden erstellen. Stellt sich mir die Frage, ob ich detailliert darlegen muss, wie z.B. das Berechtigungskonzept aussieht, oder ob es ausreicht, im Vertrag zu sagen, dass es ein angepasstes Rollen- und Berechtigungskonzept gibt, welches regelmässig überprüft wird. Ebenso die Frage nach der Ausstattung des Serverraumes: Reicht es, wenn ich sage, dass die Daten auf einem IT System, in einem angemessenen Serverraum mit Zutrittskontrolle stehend, verarbeitet werden. Oder muss ich angeben, dass der Serverraum an einer USV & Notstromaggregat angeschlossen ist, redundante Klimatisierung etc. Vielen Dank für eine Rückmeldung.

    • Wie im Artikel beschrieben, benötigen Sie zu einer rechtskonformen Auftragsdatenverarbeitung unter anderem einen Auftragsdatenverarbeitungsvertrag, der inhaltlich mindestens die in § 11 Abs. 2 BDSG festgelegten Punkte umfassen muss. Ein wichtiger Bestandteil dieser Mindestinhalte sind die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen (TOMs). In Anlage 1 zu § 9 BDSG werden diese TOMs weiter konkretisiert. Durch Festlegung der Pflichten des Auftragnehmers kann der Auftraggeber seinen Kontrollpflichten nach § 11 Abs. 2 S. 1 und 4 BDSG effektiv nachkommen. Es ist daher erforderlich am Einzelfall möglichst genau zu beschreiben, wie die konkreten Vorgaben beim Auftragnehmer umgesetzt werden. Eine pauschale Feststellung zu einzelnen Punkten, wie von Ihnen beschrieben ist nicht ausreichend. Die Angaben zu den TOMs können dabei auch als eine Anlage zum Auftragsdatenverarbeitungsvertrag gestaltet werden.

  8. Guten Morgen,
    Ich habe eine datenschutzrechtliche Frage in Hinsicht auf das Datenschutzniveau zwischen EU und USA . Es geht um einen US Anbieter fuer Marketing Automation. Es liegt ein DPA, Data Processing Agreement vor, ist an dieser Stelle noch ein separater Auftragsdatensverarbeitungsvertrag erforderlich ? Ist zusaetzlich eine Schriftformerfordernis der EU Standardvertragsklausel erforderlich ? Vielen Dank fuer eine Rueckmeldung. AgathaW.

    • Soweit ein Data Processing Agreement den erforderlichen Inhalt hat, handelt es sich dabei um einen Auftragsdatenverarbeitungsvertrag. Eine weitere schriftliche Vereinbarung zur Auftragsdatenverarbeitung ist damit nicht notwendig. Bei Datenverarbeitungen im Auftrag, die in den USA, als datenschutzrechtlich unsicheres Drittland, durchgeführt werden, sollte zusätzlich schriftlich mit EU-Standartvertragsklauseln das angemessene Datenschutzniveau sichergestellt werden.

  9. Hallo, kann ein DPA/ Auftragsdatensverarbeitungsvertrag per Docusign, also digital unterschrieben werden oder bedarf das einer Schriftform von beiden Parteien? Ist Docusign auch vollstaendig konform?

    • Bitte beachten Sie zunächst, dass wir im Rahmen dieses Blogs keine konkrete Rechtsberatung erbringen können. Allgemeine Formerfordernisse für Verträge finden sich im allgemeinen Teil des Bürgerlichen Gesetzbuches (§§ 125 ff. BGB). Ein Auftragsdatenverarbeitungsvertrag bildet hier keine Ausnahme. Mit dem 25.05.2018 könnten die Formanforderungen an den Vertrag mit dem Auftragsverarbeiter sinken. Zwar ist auch nach Art. 28 DSGVO eine „Schriftform“ vorgeschrieben, diese entspricht aber nicht der Definition des deutschen § 126 BGB. Vielmehr ist es noch nicht abschließend geklärt, wie dieser europarechtliche Begriff auszulegen ist. Zu der Frage, ob Docusign die aktuellen oder künftigen Anforderungen erfüllt, können wir uns im Rahmen dieses Blogs leider nicht äußern.

  10. Herzlichen Dank für diesen tollen Artikel – wie immer :)
    Ich hätte eine konkrete Frage, die im Projektgeschäft angesiedelt ist.
    Inwieweit und vor allem wie konkret muss ein Auftragnehmer auf die Einhaltung der Datenschutzbestimmungen verpflichtet werden? Gibt es hier ein Mindestmaß an Kriterien, die ein Vertrag enthalten soll? Herzlichen Dank und viele Grüße

    • Vielen Dank für Ihr nettes Feedback. Die Regelungen zur Auftragsverarbeitung (früher Auftragsdatenverarbeitung) finden Sie seit 25.05.2018 in Art. 28 DSGVO, in dem auch die Mindestbestandteile einer entsprechenden Vereinbarung aufgeführt werden.

  11. Danke für die informative Übersicht, in der Flut von unklaren Informationen. Eine Frage bleibt uns allerdings. Wir sind eine Stiftung und betreiben einen Blog, dessen einzige personenbezogener Inhalt, die Kontakt/ & Emaildaten der schreibenden Mitarbeiter sind. Wir wollen einen externen Dienstleister mit Wartungsarbeiten für den Blog betrauen, dieser wird die Kontaktdaten einsehen können, hat dort aber keine Bearbeitungsauftrag. Wenn ich ihre Ausführungen richtig interpretiere, ist dies weniger ein Fall von auftragsbezogener Datenverarbeitung im Sinne des Gesetzes?

  12. Guten Tag!
    Ich bin Gesellschafter einer GmbH mit angestellten Mitarbeitern, Geschäftsräumen und IT-Infrastruktur. Außerdem bin ich Mitgesellschafter einer GbR ohne Angestellte. Die GbR nutzt sowohl die Räumlichkeiten als auch die Infrastruktur der GmbH.

    Sehen Sie in dieser Konstellation den Bedarf für einen Auftragsdatenverarbeitungvertrag mit der GbR als Auftraggeber und der GmbH als Leistungserbringer?

    • Bitte haben Sie Verständnis dafür, dass wir im Rahmen dieses Blogs keine Rechtsberatung erteilen dürfen. Grundsätzlich lässt sich sagen, dass immer dann die Notwendigkeit eines Auftragsverarbeitungsvertrages gegeben ist, wenn ein potentieller Dienstleister personenbezogene Daten ausschließlich auf Weisung des Auftraggebers verarbeitet und die Datenverarbeitung dabei auch Kern des Auftrags ist. Über Zwecke und Mittel der Datenverarbeitung entscheidet dabei letzten Endes aber allein der Auftraggeber als Verantwortlicher im Sinne der DSGVO.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.