Schützt Ihr AVV Sie, oder schützt sie nur den Dienstleister?

Ein Auftragsverarbeitungsvertrag, also der nach der DSGVO vorgeschriebene Vertrag der die Datenverarbeitung durch einen Dienstleister regelt (Art. 28), wird in der Praxis fast nie ausgehandelt. Die stärkere Partei legt ihr Muster vor, die schwächere unterschreibt. Das Ergebnis sieht konform aus, ist es im Alltag oft nicht, und es schwächt am Ende beide Seiten.

Das Wichtigste auf einen Blick

  • Der Auftragsverarbeitungsvertrag ist Pflicht, sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, und er muss ein funktionierendes Instrument sein, kein Formular zum Abhaken.
  • Eine einseitig diktierte Fassung senkt das Risiko nicht, sie verschiebt es nur. Der Verantwortliche bekommt häufig Kontrollrechte, die in der Praxis nicht greifen, der Auftragsverarbeiter unterschreibt Pflichten, die er nicht halten kann.
  • Ob ein AVV im Alltag trägt, entscheidet sich an drei Klauseln, dem Weisungsrecht, den Unterauftragsverarbeitern und den Kontrollrechten.
Gabriel Montiel
Gabriel Montiel
Berater Datenschutz
Bitkom Consult

Warum eine diktierte AVV beide Seiten schwächt

Der Auftragsverarbeitungsvertrag ist keine Kür. Wer Daten im Auftrag verarbeiten lässt, muss diesen Vertrag schließen, und das Gesetz schreibt einen festen Mindestinhalt vor. In der Praxis sehen wir regelmäßig, dass dieser Vertrag nicht als gemeinsame Risikoverteilung verstanden wird, sondern als Machtfrage. Mal ist es der große öffentliche Auftraggeber, der dem mittelständischen Dienstleister sein Muster aufzwingt, mal der Hyperscaler, der dem kleineren Verantwortlichen seine Standardfassung vorlegt. Die Richtung wechselt, das Muster bleibt gleich.

Das eigentliche Problem ist nicht die Asymmetrie an sich, sondern dass eine auf eine Seite optimierte Vorlage Klauseln erzeugt, die auf dem Papier passen und im Betrieb nicht funktionieren. Der Verantwortliche, der ein unbegrenztes Recht auf Audits jederzeit durchdrückt, hat im Vertrag etwas stehen, das ein Anbieter mit tausend Kunden niemals erfüllen kann, und damit ein Recht, das er faktisch nie ausübt. Der Auftragsverarbeiter, der jede echte Kontrolle abwehrt, sitzt auf einer Klausel, die im Prüfungsfall vor der Aufsichtsbehörde nicht hält. Beide haben unterschrieben, beide stehen schlechter da, als wenn sie drei Punkte besser verhandelt hätten.

Genau an diesen drei Punkten konzentriert sich in unseren Mandaten fast jeder Konflikt.

Die drei Klauseln, an denen es Probleme gibt
 

  • Das Weisungsrecht, wer darf was anweisen?

Die diktierte Fassung bleibt entweder vage, der Dienstleister verarbeite Daten nur auf Weisung, ohne dass jemand definiert wer auf welchem Weg überhaupt anweisen darf, oder sie verlangt vom Auftragsverarbeiter unbegrenzte Weisungsumsetzung ohne Rücksicht auf Aufwand. Die ausgewogene Fassung benennt den Weisungsweg und die berechtigten Personen, hält fest, dass nur dokumentierte Weisungen gelten (Art. 28 Abs. 3 lit. a), und bewahrt die Pflicht des Auftragsverarbeiters, auf eine rechtswidrige Weisung hinzuweisen. Das schützt beide, der Verantwortliche hat eine nachvollziehbare Spur, der Auftragsverarbeiter weiß genau, was er schuldet.

  • Die Unterauftragsverarbeiter, wer steht hinter dem Dienstleister?

Hier kippt die diktierte Fassung in zwei Extreme, entweder ein vollständiges Verbot von Subdienstleistern, das für jeden Cloud Dienst realitätsfern ist, oder eine unbegrenzte Freiheit, neue Dienstleister einzuschalten, ohne den Verantwortlichen je zu informieren. Die ausgewogene Fassung arbeitet mit einer allgemeinen schriftlichen Genehmigung, einer aktuellen Liste der eingesetzten Dienstleister, einer Vorabinformation bei Änderungen und einem Widerspruchsrecht aus datenschutzrechtlichen Gründen, wobei der Auftragsverarbeiter dieselben Pflichten an seine Subdienstleister weitergibt (Art. 28 Abs. 2 und Abs. 4). So bleibt die Lieferkette transparent, ohne den Betrieb des Dienstleisters einzufrieren.

  • Die Kontrollrechte, wie wird die Kontrolle wirklich ausgeübt?

Die diktierte Fassung verspricht entweder uneingeschränkten Zugang vor Ort zu jeder Zeit, was in einer Umgebung die viele Kunden teilen technisch gar nicht geht, oder sie reduziert die Kontrolle auf eine bloße Selbstauskunft. Die ausgewogene Fassung staffelt, zuerst Nachweise wie Zertifikate und Prüfberichte etwa nach ISO 27001 oder SOC 2, dann Audits vor Ort mit angemessener Ankündigung und in verhältnismäßigem Rahmen, mit einer klaren Regel zur Kostentragung (Art. 28 Abs. 3 lit. h). Der Verantwortliche bekommt eine echte Gewissheit, der Auftragsverarbeiter hält seine Umgebung für alle Kunden sicher.

Wie wir AVV verhandeln

In unserer Praxis prüfen wir Auftragsverarbeitungsverträge systematisch gegen die Anforderungen aus Art. 28 und gegen die Prüfpraxis der Aufsichtsbehörden, und zwar konsequent aus der Perspektive der Seite, die wir vertreten. In einem Projekt nehmen wir einen konkreten AVV auseinander, benennen die Klauseln, die nicht tragen, und liefern eine verhandelbare Gegenfassung statt einer Liste von Bedenken. In der laufenden Begleitung werden wir zur festen Prüfinstanz für jeden AVV, die bei Ihnen eingeht, sodass kein diktiertes Muster mehr ungeprüft unterschrieben wird.

Beratungsgespräch vereinbaren

In einem kurzen Gespräch sehen wir uns Ihren AVV an und zeigen, an welchen Klauseln Sie nachverhandeln sollten.

Share