Hilfe, ein ADV!? – Tipps für Dienstleister

Fachbeitrag

Sei es das Drucken von Visitenkarten, die Gestaltung einer Homepage oder die Konfiguration von Hard- oder Software – Einzelunternehmer und kleine Agenturen verarbeiten häufig personenbezogene Daten im Auftrag. Bekommen sie von ihrem Auftraggeber einen Vertrag zur Auftragsdatenverarbeitung (sogenannter „ADV“) vorgelegt, sind gerade kleinere Unternehmen mit dem umfangreichen Vertragswerk und den darin geforderten Angaben verständlicherweise oft überfordert. Dieser Artikel enthält Tipps zum Ausfüllen eines ADV und soll eine Hilfestellung für Dienstleister bieten.

Was ist ein ADV?

Anders als andere Verträge wird ein ADV nicht deshalb abgeschlossen, weil die Beteiligten es wollen. Ein ADV muss geschlossen werden, weil das Bundesdatenschutzgesetz (genauer § 11 Abs. 2 S. 2 BDSG) es vorschreibt. Immer dann, wenn eine Auftragsdatenverarbeitung vorliegt.

Kennzeichen einer Auftragsdatenverarbeitung ist, dass der Dienstleister bei seiner Tätigkeit mit personenbezogenen Daten seines Auftraggebers in Berührung kommt. Er darf die Daten aber nicht nach eigenem Belieben und für eigene Zwecke nutzen. Vielmehr darf er die Daten nur insoweit verwenden, wie es der Auftrag vorsieht und seine Tätigkeit es verlangt.

Dann spricht man von einer Auftragsdatenverarbeitung und ein ADV muss geschlossen werden.

Inhalte eines ADV

§ 11 Abs. 2 S. 2 BDSG schreibt die Inhalte, die in einem ADV enthalten sein müssen, verbindlich vor. Deshalb handelt es sich bei einem ADV in aller Regel um einen Mustervertrag, der einem festen Schema folgt. In jedem ADV müssen Festlegungen zu den unter § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG aufgeführten Punkten enthalten sein. Die meisten der Punkte sind in den Muster-ADV-Verträgen bereits vorformuliert, so dass wir hier nicht näher darauf eingehen.

Auftragnehmer sollten die vorformulierten Teile aber immer genau lesen und prüfen, ob sie mit den Regelungen einverstanden sind. Ist das nicht der Fall, sollten sie den Auftraggeber um Anpassung bitten. Bei der Beurteilung, ob eine Regelung angemessen und üblich ist, kann ein Vergleich mit einem der Musterverträge der Aufsichtsbehörden helfen.

Tipps zu den einzelnen Punkten

Im Folgenden werden die Punkte dargestellt, die typischerweise von den Dienstleistern auszufüllen sind und diesen erfahrungsgemäß Probleme bereiten:

Gegenstand des Auftrags

Hier genügt eine Kurzbeschreibung der Tätigkeit des Auftragnehmers. Zum Beispiel:

  • Visitenkartendruck nach Vorgabe
  • Akten-/ Datenträgerentsorgung oder
  • Lieferung und Konfiguration von Hard- oder Software

Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

Dieser Punkt ergibt sich in aller Regel aus dem Hauptvertrag, so dass ein Verweis auf den richtigen Abschnitt des Hauptvertrages genügt. Nur wenn der Hauptvertrag keine Festlegungen zu Umfang, Art und Zweck der Datenverarbeitung enthält oder kein schriftlicher Hauptvertrag vorhanden ist, muss hier eine Detailbeschreibung vorgenommen werden.

Dauer des Auftrags

Die Dauer des Auftrags ergibt sich ebenfalls meist aus dem Hauptvertrag, so dass ein entsprechender Verweis regelmäßig genügt. Ist im Hauptvertrag keine Regelung zur Dauer enthalten, müssen hier konkrete Angaben gemacht werden, z.B. „Der Auftrag ist zur einmaligen Ausführung erteilt.“ oder „Der Auftrag ist befristet bis zum …“.

Art der Daten

An dieser Stelle müssen Angaben dazu gemacht werden, mit welchen Arten von Daten der Auftragnehmer bei seiner Tätigkeit in Berührung kommt. Die Daten sollen möglichst vollständig aufgezählt werden.

Idealerweise sollten konkrete Datenarten angegeben werden, also z.B. Vor- und Nachname, Adresse, Telefonnummer, E-Mail-Adresse, persönliches Passwort etc. Sollte das nicht möglich sein, können auch Datenkategorien angegeben werden. Datenkategorien sind beispielsweise Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten oder Abrechnungs- und Zahlungsdaten.

Kreis der Betroffenen

Es muss zudem angegeben werden, zu welchen Personen die zuvor genannten Daten gehören. Betroffen sein können insbesondere:

  • Endkunden (B2C)
  • Geschäftskunden (B2B)
  • Interessenten
  • Mitarbeiter/ Beschäftigte
  • Lieferanten
  • Dienstleister

Technische und organisatorische Maßnahmen

Erfahrungsgemäß die größten Probleme bereiten die Angaben zu den technischen und organisatorischen Maßnahmen.

Kurz zum Hintergrund: Bei einer Auftragsdatenverarbeitung ist der Auftraggeber kraft Gesetzes für die Einhaltung der Datenschutzvorschriften verantwortlich (§ 11 Abs. 1 S. 1 BDSG). Deshalb ist er gesetzlich dazu verpflichtet, die Maßnahmen, die sein Auftragnehmer zum Schutz der für ihn verarbeiteten Daten trifft, auf Angemessenheit hin zu prüfen. Die Angaben im ADV zu den technischen und organisatorische Maßnahmen sollen diese Prüfung ermöglichen und müssen deshalb so konkret wie möglich sein.

Manche ADV-Vorlagen enthalten eine Checkliste, die der Auftragnehmer nur ankreuzen muss. Schwieriger wird es, wenn selbst Angaben zu den getroffenen Schutzmaßnahmen gemacht werden sollen und in der Vertragsvorlage nur Freifelder vorhanden sind. Dann ist es empfehlenswert, sich an einer Checkliste zu orientieren und alle zutreffenden Maßnahmen in dem Vertrag zu ergänzen. Dabei sollte auf jeden der in der Anlage zu § 9 Satz 1 BDSG genannten Punkte eingegangen werden.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung von Verträgen zur Auftragsdatenverarbeitung
  • Durchführung der gesetzlich vorgeschriebenen Dienstleisterkontrolle
  • Dokumentation des laufenden Prozesses, sowie regelmäßige Folgeprüfungen

Informieren Sie sich hier über unser Leistungsspektrum: Auftragsdatenverarbeitung

Ein Kommentar zu diesem Beitrag

  1. Klasse Beitrag!

    Ich, als DSB eines Online-Technologieanbieters, habe beinahe täglich mit ADVs zu tun. Die Praxis sieht so aus, dass 90% der Auftraggeber ihren ADV selbst verfassen (teils mit abenteuerlichen Dingen darin) und meist gleichzeitig einen umfassenden Sicherheitscheck mitschicken. Dieser Check umfasst dann nicht selten mal 30 Seiten in Word oder ist ein einschüchterndes Excel-Konstrukt über 5 Tabellenblätter und viele Dutzende Zeilen, gerne auch auf Englisch. Wer glaubt, er könne solche Überprüfungen in 15 Minuten „abhaken“ irrrt gewaltig. Regelmäßig bindet das Abarbeiten solcher Dokumente 1-2 Arbeitskräfte für einen ganzen Arbeitstag (DSB und IT-Sicherheitsbeauftragter). Da wir gleichzeitig verlangt die voll ausgearbeiteten und detaillierten TOMs mitzuschicken UND im eigenen Check-Dokument nochmal jeden einzelnen Punkt ausführlich und lückenlos zu beschreiben (stichwortartig wird ausdrücklich untersagt). Durch den individuellen Aufbau und die Fragestellungen ist ein Copy & Paste praktisch nie möglich (und auch das ist albern) Und dann wundern sich die Kunden, wenn die Preise für ihre Dienstleistung anziehen und man die Unterlagen nicht gleich am nächsten Tag unterschriftsreif hat.

    Auftraggeber DSBs haben quasi immer die Trumpfkarte, dass der DSB des Auftragnehmers ja einen Kundenquftrag gefährden würde, wenn er sich hier querstellt und darauf pocht, dass der Auftraggeber DSB ja schließlich lesen könne (TOMs sind ja da).

    Gerade in der Online Business Welt ist Datenschutz wichtig, genauso wichtig wäre aber auch den Bürokratieschimmel etwas zu zähmen bzw. die Last fair zu verteilen.(Zu) gewissenhafte DSBs, die vielleicht manchmal besser beim Finanzamt arbeiten sollten, sind ein realer Wirtschaftsfaktor im negativen Sinne.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.