Zum Inhalt springen Zur Navigation springen
Hilfe, ein ADV!? – Tipps für Dienstleister

Hilfe, ein ADV!? – Tipps für Dienstleister

Sei es das Drucken von Visitenkarten, die Gestaltung einer Homepage oder die Konfiguration von Hard- oder Software – Einzelunternehmer und kleine Agenturen verarbeiten häufig personenbezogene Daten im Auftrag. Bekommen sie von ihrem Auftraggeber einen Vertrag zur Auftragsdatenverarbeitung (sogenannter „ADV“) vorgelegt, sind gerade kleinere Unternehmen mit dem umfangreichen Vertragswerk und den darin geforderten Angaben verständlicherweise oft überfordert. Dieser Artikel enthält Tipps zum Ausfüllen eines ADV und soll eine Hilfestellung für Dienstleister bieten.

Was ist ein ADV?

Anders als andere Verträge wird ein ADV nicht deshalb abgeschlossen, weil die Beteiligten es wollen. Ein ADV muss geschlossen werden, weil das Bundesdatenschutzgesetz (genauer § 11 Abs. 2 S. 2 BDSG) es vorschreibt. Immer dann, wenn eine Auftragsdatenverarbeitung vorliegt.

Kennzeichen einer Auftragsdatenverarbeitung ist, dass der Dienstleister bei seiner Tätigkeit mit personenbezogenen Daten seines Auftraggebers in Berührung kommt. Er darf die Daten aber nicht nach eigenem Belieben und für eigene Zwecke nutzen. Vielmehr darf er die Daten nur insoweit verwenden, wie es der Auftrag vorsieht und seine Tätigkeit es verlangt.

Dann spricht man von einer Auftragsdatenverarbeitung und ein ADV muss geschlossen werden.

Inhalte eines ADV

§ 11 Abs. 2 S. 2 BDSG schreibt die Inhalte, die in einem ADV enthalten sein müssen, verbindlich vor. Deshalb handelt es sich bei einem ADV in aller Regel um einen Mustervertrag, der einem festen Schema folgt. In jedem ADV müssen Festlegungen zu den unter § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG aufgeführten Punkten enthalten sein. Die meisten der Punkte sind in den Muster-ADV-Verträgen bereits vorformuliert, so dass wir hier nicht näher darauf eingehen.

Auftragnehmer sollten die vorformulierten Teile aber immer genau lesen und prüfen, ob sie mit den Regelungen einverstanden sind. Ist das nicht der Fall, sollten sie den Auftraggeber um Anpassung bitten. Bei der Beurteilung, ob eine Regelung angemessen und üblich ist, kann ein Vergleich mit einem der Musterverträge der Aufsichtsbehörden helfen.

Tipps zu den einzelnen Punkten

Im Folgenden werden die Punkte dargestellt, die typischerweise von den Dienstleistern auszufüllen sind und diesen erfahrungsgemäß Probleme bereiten:

Gegenstand des Auftrags

Hier genügt eine Kurzbeschreibung der Tätigkeit des Auftragnehmers. Zum Beispiel:

  • Visitenkartendruck nach Vorgabe
  • Akten-/ Datenträgerentsorgung oder
  • Lieferung und Konfiguration von Hard- oder Software

Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

Dieser Punkt ergibt sich in aller Regel aus dem Hauptvertrag, so dass ein Verweis auf den richtigen Abschnitt des Hauptvertrages genügt. Nur wenn der Hauptvertrag keine Festlegungen zu Umfang, Art und Zweck der Datenverarbeitung enthält oder kein schriftlicher Hauptvertrag vorhanden ist, muss hier eine Detailbeschreibung vorgenommen werden.

Dauer des Auftrags

Die Dauer des Auftrags ergibt sich ebenfalls meist aus dem Hauptvertrag, so dass ein entsprechender Verweis regelmäßig genügt. Ist im Hauptvertrag keine Regelung zur Dauer enthalten, müssen hier konkrete Angaben gemacht werden, z.B. „Der Auftrag ist zur einmaligen Ausführung erteilt.“ oder „Der Auftrag ist befristet bis zum …“.

Art der Daten

An dieser Stelle müssen Angaben dazu gemacht werden, mit welchen Arten von Daten der Auftragnehmer bei seiner Tätigkeit in Berührung kommt. Die Daten sollen möglichst vollständig aufgezählt werden.

Idealerweise sollten konkrete Datenarten angegeben werden, also z.B. Vor- und Nachname, Adresse, Telefonnummer, E-Mail-Adresse, persönliches Passwort etc. Sollte das nicht möglich sein, können auch Datenkategorien angegeben werden. Datenkategorien sind beispielsweise Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten oder Abrechnungs- und Zahlungsdaten.

Kreis der Betroffenen

Es muss zudem angegeben werden, zu welchen Personen die zuvor genannten Daten gehören. Betroffen sein können insbesondere:

  • Endkunden (B2C)
  • Geschäftskunden (B2B)
  • Interessenten
  • Mitarbeiter/ Beschäftigte
  • Lieferanten
  • Dienstleister

Technische und organisatorische Maßnahmen

Erfahrungsgemäß die größten Probleme bereiten die Angaben zu den technischen und organisatorischen Maßnahmen.

Kurz zum Hintergrund: Bei einer Auftragsdatenverarbeitung ist der Auftraggeber kraft Gesetzes für die Einhaltung der Datenschutzvorschriften verantwortlich (§ 11 Abs. 1 S. 1 BDSG). Deshalb ist er gesetzlich dazu verpflichtet, die Maßnahmen, die sein Auftragnehmer zum Schutz der für ihn verarbeiteten Daten trifft, auf Angemessenheit hin zu prüfen. Die Angaben im ADV zu den technischen und organisatorische Maßnahmen sollen diese Prüfung ermöglichen und müssen deshalb so konkret wie möglich sein.

Manche ADV-Vorlagen enthalten eine Checkliste, die der Auftragnehmer nur ankreuzen muss. Schwieriger wird es, wenn selbst Angaben zu den getroffenen Schutzmaßnahmen gemacht werden sollen und in der Vertragsvorlage nur Freifelder vorhanden sind. Dann ist es empfehlenswert, sich an einer Checkliste zu orientieren und alle zutreffenden Maßnahmen in dem Vertrag zu ergänzen. Dabei sollte auf jeden der in der Anlage zu § 9 Satz 1 BDSG genannten Punkte eingegangen werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Klasse Beitrag!

    Ich, als DSB eines Online-Technologieanbieters, habe beinahe täglich mit ADVs zu tun. Die Praxis sieht so aus, dass 90% der Auftraggeber ihren ADV selbst verfassen (teils mit abenteuerlichen Dingen darin) und meist gleichzeitig einen umfassenden Sicherheitscheck mitschicken. Dieser Check umfasst dann nicht selten mal 30 Seiten in Word oder ist ein einschüchterndes Excel-Konstrukt über 5 Tabellenblätter und viele Dutzende Zeilen, gerne auch auf Englisch. Wer glaubt, er könne solche Überprüfungen in 15 Minuten „abhaken“ irrrt gewaltig. Regelmäßig bindet das Abarbeiten solcher Dokumente 1-2 Arbeitskräfte für einen ganzen Arbeitstag (DSB und IT-Sicherheitsbeauftragter). Da wir gleichzeitig verlangt die voll ausgearbeiteten und detaillierten TOMs mitzuschicken UND im eigenen Check-Dokument nochmal jeden einzelnen Punkt ausführlich und lückenlos zu beschreiben (stichwortartig wird ausdrücklich untersagt). Durch den individuellen Aufbau und die Fragestellungen ist ein Copy & Paste praktisch nie möglich (und auch das ist albern) Und dann wundern sich die Kunden, wenn die Preise für ihre Dienstleistung anziehen und man die Unterlagen nicht gleich am nächsten Tag unterschriftsreif hat.

    Auftraggeber DSBs haben quasi immer die Trumpfkarte, dass der DSB des Auftragnehmers ja einen Kundenquftrag gefährden würde, wenn er sich hier querstellt und darauf pocht, dass der Auftraggeber DSB ja schließlich lesen könne (TOMs sind ja da).

    Gerade in der Online Business Welt ist Datenschutz wichtig, genauso wichtig wäre aber auch den Bürokratieschimmel etwas zu zähmen bzw. die Last fair zu verteilen.(Zu) gewissenhafte DSBs, die vielleicht manchmal besser beim Finanzamt arbeiten sollten, sind ein realer Wirtschaftsfaktor im negativen Sinne.

  • Sehe ich das nun richtig, dass ich als kleiner Dienstleister/Webdesigner nicht den ersten Schritt zum AV mit meinem Auftraggeber machen, sondern vielmehr der Auftraggeber mich dbz. ansprechen muss? Heißt, ich bin rechtlich nicht verpflichtet, mit meinem Auftraggeber einen AV abzuschließen, der Auftraggeber aber sehr wohl. Ist das so richtig? Oder wer ist nun definitiv verpflichtet, einen AV vorzuweisen, der Auftraggeber oder der Auftragnehmer? Oder anders herum: Besteht eine generelle Verpflichtung und für welche Seite?

    • In der Vergangenheit hätte man sich noch auf den Standpunkt stellen können, dass aufgrund der Haftungsregelungen des BDSG (alt) allein der Auftraggeber verantwortlich ist und dieser somit für den Abschluss des Auftragsdatenverarbeitungsvertrages Sorge zu tragen hat.

      Nach Anwendbarkeit der DSGVO lässt sich dies so pauschal wohl nicht mehr vertreten. Zum einen haften gemäß Art. 82 DSGVO nun der Auftraggeber und Auftragnehmer gemeinschaftlich. Zudem besagt Art. 28 Abs. 3 DSGVO, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags erfolgt. Daraus könnte man herauslesen, dass hier eine beiderseitige Verpflichtung anzunehmen ist. Hinzu kommt, die Hinweispflicht nach Art. 28 Abs. 3 DSGVO am Ende, wonach der Auftragsverarbeiter den Verantwortlichen mit Blick auf Unterabsatz 1 Buchstabe h unverzüglich informiert, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Mithin wird man davon ausgehen dürfen, dass zumindest eine Mitwirkungspflicht besteht.

      Ungeachtet dessen, ist es weiterhin primär die Aufgabe des Auftraggebers sicherzustellen, dass eine Verarbeitung im Auftrag im Einklang mit den Anforderungen der DSGVO erfolgt (vgl. Art. 28 Abs. 1 DSGVO), so dass grds. dieser auf den Auftragsverarbeiter zugehen und dessen technischen und organisatorischen Maßnahmen nach Eignung für dessen Zwecke prüfen müsste.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.