Häufig gestellte Fragen zum Auftragsverarbeitungsvertrag

Wofür braucht man einen AV-Vertrag?

Ein AV-Vertrag (Abkürzung für Auftragsverarbeitungsvertrag) ist gesetzlich durch Artikel 28 DSGVO (Datenschutzgrundverordnung) vorgeschrieben, wenn eine Organisation personenbezogene Daten durch eine andere Organisation „im Auftrag“ verarbeiten lässt. Eine Verarbeitung im Auftrag im Sinne der DSGVO liegt vor, wenn die eine Seite „Mittel und Zwecke der Verarbeitung bestimmt“ und der Auftragnehmer mit den Daten nur macht, was der Auftraggeber wünscht.

Letztlich ist damit alles gemeint, was ein traditionelles Unternehmen intern gemacht hätte, heute aber an Dienstleister übergibt (Outsourcing). Also Dienste wie Hosting, Administration und Wartung, Versanddruckleistungen (Lettershop), Buchhaltung und vielfältige Dienste, die heutzutage als Software-as-a-Service-Angebote (SaaS) verfügbar sind.

Die Bereitstellung der OpenProject Cloud-Dienste als einer SaaS-Lösung ist eine klassische Auftragsverarbeitung. OpenProject hat seinen AV-Vertrag daher über die allgemeinen Nutzungs- und Vertragsbedingungen (dort in Abschnitt C § 8) automatisch in das Vertragsverhältnis mit seinen Kunden einbezogen, so dass auf jeden Fall ein AV-Vertrag abgeschlossen ist und keine zusätzlichen Schritte hierfür notwendig sind.

Können die Vertragspartner entscheiden, ob sie einen AV-Vertrag schließen?

Nein, bei jeder Konstellation, die eine Auftragsverarbeitung im Sinne der DSGVO ist, muss ein solcher Vertrag gemäß Artikel 28 DSGVO geschlossen werden. Diese Pflicht trifft den Auftraggeber genauso wie den Auftragnehmer.

Regelmäßig stellen Auftragnehmer einen Vertrag zur Verfügung, da sie besser in der Lage sind, den Vertragsgegenstand und die Maßnahmen für die Datensicherheit passend zu beschreiben. OpenProject stellt seinen Kunden standardmäßig einen AV-Vertrag zur Verfügung, der über Abschnitt C § 8 der Nutzungs- und Vertragsbedingungen automatisch Vertragsbestandteil wird. So sind keine weiteren Schritte für den Abschluss erforderlich.

Muss ein AV-Vertrag unterschrieben werden oder in Papierform vorliegen?

Nein, ein AV-Vertrag muss nur in Textform vorliegen. Eine handschriftliche Unterschrift oder eine gleichwertige elektronische Signatur nach den entsprechenden Signaturvorschriften ist nicht erforderlich.

Wichtig ist, dass der Text des AV-Vertrags in den Vertragsschluss der Parteien einbezogen wird. Ein AV-Vertrag muss kein eigenständiger Vertrag zwischen den Parteien sein; er kann wie bei OpenProject üblich über die allgemeinen Nutzungs- und Vertragsbedingungen in den Leistungsvertrag zwischen den Parteien integriert werden.

Was muss ein AV-Vertrag enthalten?

Ein AV-Vertrag umfasst eine Sammlung an rechtlichen Vereinbarungen, die weitestgehend durch Artikel 28 DSGVO vorgegeben sind. Um den Abschluss von Standard-AV-Verträgen zu vereinfachen, hat die EU-Kommission einen Standardvertrag bereitgestellt. OpenProject nutzt den EU-Standard-AV-Vertrag. Das vereinfacht für die Kunden von OpenProject die Prüfung des Vertragsinhalts.

Diese Standardvereinbarungen benötigt Anlagen mit konkreten Angaben zum Vertragsverhältnis. Die Beschreibung des Vertragsgegenstands nennt OpenProject am Ende seines AV-Vertrags. Die Beschreibung umfasst die Art der Datenverarbeitung, die Datenkategorien und die Kategorien betroffener Personen.

Die erforderliche Zusammenstellung der eingesetzten Unterauftragnehmer steht als eigenständige Übersicht zur Verfügung. Die Übersicht nennt auch, zu welchen Zwecken die Unterauftragnehmer zum Einsatz kommen und ob durch deren Einbindung ein sogenannter Drittstaatentransfer erfolgt.

Eine weitere Anlage beschreibt die technischen und organisatorischen Maßnahmen (TOMs), die zur Gewährleistung von Datenschutz und Datensicherheit zu vereinbaren sind.

Was gilt bei Veränderungen an den Unterauftragnehmern?

OpenProject darf grundsätzlich nach Ziffer 7.7 des AV-Vertrags die Zusammensetzung der Unterauftragnehmer verändern.

Soll ein neuer Unterauftragnehmer hinzutreten oder einen bisherigen ersetzen, muss OpenProject die Auftraggeber hierüber vorab informieren. Die Einbindung des neuen Dienstleisters gilt als genehmigt, wenn ein Auftraggeber nicht innerhalb von zwei Wochen nach der entsprechenden Information widerspricht.

Was gilt bei Veränderungen an den TOMs?

OpenProject darf die TOMs (technisch-organisatorischen Maßnahmen) ohne Rücksprache mit den Auftraggebern verändern, wenn die Veränderungen die Integrität, Vertraulichkeit und Verfügbarkeit der verarbeiteten Daten nicht negativ beeinträchtigt.

Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der von OpenProject verarbeiteten personenbezogenen Daten beeinträchtigen können, müssen vorab mit den Auftraggebern abgestimmt werden. Hierzu greift der Änderungsvorbehalt in Abschnitt A § 9 der Nutzungs- und Vertragsbedingungen.

Müssen kirchliche Einrichtungen besondere AV-Verträge abschließen?

Nein, kirchliche Einrichtungen können mit Organisationen, die selbst nicht dem kirchlichem Datenschutzrecht unterfallen, deren Standard-AV-Verträge nach DSGVO-Muster abschließen.

Organisationen, die dem Datenschutzgesetz der Evangelischen Kirche Deutschland (DSG-EKD) unterfallen, müssen jedoch nach § 30 Absatz 5 Satz 3 DSG-EKD von den Auftragnehmern eine Erklärung verlangen, dass die Auftragnehmer sich der kirchlichen Datenschutzaufsicht unterwerfen. OpenProject hat eine solche Unterwerfungserklärung in Teil C § 8 seiner Nutzungs- und Vertragsbedingungen aufgenommen, so dass evangelische Einrichtungen bei OpenProject keine zusätzliche Erklärung anfragen müssen. Die Zusammenarbeit kann unmittelbar starten.

Für katholische Einrichtungen gilt nach § 29 Absatz 9 Kirchliches Datenschutzgesetz (KDG), dass AV-Verträge schriftlich im Sinne der §§ 126 ff. BGB abzuschließen sind. Sprich: Für den Einsatz durch katholische Einrichtungen muss die Vereinbarung handschriftlich unterzeichnet werden oder über entsprechend qualifizierte elektronische Signaturen. Katholische Einrichtungen werden gebeten, hierzu den Support von OpenProject zu kontaktieren.

Müssen Berufsgeheimnisträger besondere AV-Verträge abschließen?

Berufsgeheimnisträger sind Personen und Einrichtungen, die unter die besonderen Vertraulichkeitspflichten nach § 203 StGB (Strafgesetzbuch) fallen. Das sind z.B. Ärzte, Rechtsanwälte, Steuerberater sowie einige weitere Berufe und im Gesetz genannte Arten von Beratungsstellen zu sensiblen Themen wie Schwangerschaftsabbruch oder Suchthilfe.

Berufsgeheimnisträger können sich strafbar machen, wenn sie Informationen aus dem Leben der Hilfe suchenden Personen in rechtswidriger Weise offenbaren. Hierzu kann auch schon die Aussage zählen, dass eine Person Kontakt zu einem Berufsgeheimnisträger aufgenommen hat.

Auch Berufsgeheimnisträger können SaaS-Dienstleister als sogenannte Mitwirkende in Anspruch nehmen. Soweit es hierbei um Datenverarbeitung im Auftrag geht, genügt – wenn man nur auf die DSGVO schaut – ein gängiger AV-Vertrag. Jedoch sind die Berufsgeheimnisträger über § 203 Absatz 4 Satz 2 StGB dazu verpflichtet, ihre Mitwirkenden – also auch ihre SaaS-Dienstleister – ausdrücklich auf deren Strafbarkeit nach § 203 Absatz 4 Satz 1 StGB zu verpflichten. Verpflichtet ein Berufsgeheimnisträger seine Dienstleister nicht auf § 203 StGB, kann er sich schon allein durch dieses Unterlassen strafbar machen.

OpenProject sichert den Berufsgeheimnisträgern unter seinen Kunden über die Nutzungs- und Vertragsbedingungen zu, dass OpenProject seine Angestellten auf die Strafbarkeit nach § 203 StGB verpflichtet hat.

Wann braucht man keinen AV-Vertrag?

Sobald der Dienstleister oder Geschäftspartner eigene Interessen an der Verarbeitung der Daten hat, liegt keine Auftragsverarbeitung vor. Dementsprechend muss in diesen Fällen kein AV-Vertrag geschlossen werden.

Alle beratenden Berufe haben solche eigenen Interessen, da sie sich anhand der Daten ein eigenes Bild von der Sachlage verschaffen und eigene Einschätzungen abgeben. Das betrifft z.B. Rechtsanwälte, Steuerberater, Ärzte, Architekten, aber auch Unternehmensberater, Design- und Marketingberater.

Als einschränkendes Kriterium greift bei der Auftragsverarbeitung auch, dass die Verarbeitung der personenbezogenen Daten nicht nur eine nachrangige Nebenleistung sein darf. Typisches Beispiel: Reinigungskräfte, die Papierkörbe leeren, verarbeiten dabei zwar regelmäßig im Sinne der DSGVO Daten – es handelt sich aber insoweit um eine reine Nebenleistung, denn den Reinigungskräften sollte es vollkommen egal sein, was auf den Papieren geschrieben steht.

Ebenso bedarf es keines AV-Vertrags, wenn die Datenverarbeitung unter das Telekommunikationsrecht oder Bankenrecht fällt. Telefonanbieter und Banken verarbeiten personenbezogene Daten als Hauptleistung und mit Blick auf die genauen Inhalte eigentlich auch nicht im eigenen Interesse – sie sind aber als regulierte Branchen verpflichtet, bestimmte Nachweispflichten einzuhalten, die darüber ein eigenes Interesse an der Datenverarbeitung begründen.

Ein AV-Vertrag muss auch nicht geschlossen werden, wenn beide Seiten an der Verarbeitung personenbezogener Daten Dritter jeweils eigene Interessen haben. In solchen Fällen kann jedoch der Abschluss einer Vereinbarung über die gemeinsame Verantwortung nach Artikel 26 DSGVO erforderlich sein.

Wann endet der AV-Vertrag?

Ein AV-Vertrag ist rechtliche Voraussetzung für die Inanspruchnahme der SaaS-Dienstleistungen. Dementsprechend entspricht die Laufzeit des AV-Vertrags der Laufzeit des Leistungsvertrags und ist an dessen Kündigungsrechte gekoppelt.