AV-Vertrag erstellen: Klauseln, Vorlagen und Inhalte
Früher oder später kommt der Moment. Entweder müssen Sie einem Partner einen Auftragsverarbeitungsvertrag (AV-Vertrag) ausstellen, oder ein Anbieter schiebt Ihnen einen über den Tisch und wartet auf Ihre Unterschrift. Ich habe auf beiden Seiten dieses Austauschs gesessen, und die Arbeit läuft jedes Mal auf dasselbe hinaus: zu wissen, was ein guter AV-Vertrag enthält, und zu erkennen, wo sich die Schwachstellen gerne verstecken.
Ein AV-Vertrag ist keine Formalität, die Sie unterschreiben, damit das Beschaffungsformular grün wird. Er ist das Dokument, das festlegt, wie jemand anderes die personenbezogenen Daten Ihrer Kunden und Mitarbeiter verarbeitet, was er in Bezug auf deren Sicherheit verspricht und welche Handhabe Sie haben, wenn etwas schiefgeht. Machen Sie es richtig, und er schützt Sie über Jahre hinweg unauffällig. Machen Sie es falsch, und Sie merken es im denkbar schlechtesten Moment.
Dieser Leitfaden geht den Aufbau eines soliden AV-Vertrags Abschnitt für Abschnitt durch und gibt Ihnen anschließend eine Checkliste an die Hand, die Sie durchgehen sollten, bevor Sie einen unterschreiben oder versenden.
Dies ist eine praktische Orientierungshilfe, keine Rechtsberatung. Lassen Sie jede Vereinbarung von einer qualifizierten Fachkraft prüfen, bevor Sie sich darauf verlassen.
Am Ende dieses Leitfadens werden Sie:
- jeden Abschnitt verstehen, den ein AV-Vertrag nach Artikel 28 DSGVO enthalten sollte
- wissen, wann Standardvertragsklauseln ins Spiel kommen
- die Warnsignale in der "Standard"-Vorlage eines Anbieters erkennen können
- eine Checkliste für die Phase vor der Unterschrift haben, die Sie sofort nutzen können
Der Aufbau eines AV-Vertrags
Ein AV-Vertrag nach Artikel 28 DSGVO deckt im Allgemeinen die folgenden Bereiche ab. Ich finde es hilfreich, jede Vereinbarung an dieser Liste zu messen, denn die Lücken sagen Ihnen ebenso viel wie der Text.
Umfang und Rollen
Wer ist Verantwortlicher und wer ist Auftragsverarbeiter, dazu Gegenstand und Dauer der Verarbeitung sowie deren Art und Zweck. Das klingt grundlegend, und dennoch habe ich Vereinbarungen gesehen, in denen die Rollen vermengt oder schlicht vorausgesetzt werden. Machen Sie das falsch, steht der Rest des Dokuments auf Sand.
Kategorien der Daten und betroffenen Personen
Welche Arten personenbezogener Daten verarbeitet werden und von wem: Kunden, Mitarbeiter, Endnutzer. Genauigkeit schützt hier alle, denn sie grenzt ein, was der Auftragsverarbeiter tatsächlich anfassen darf.
Verarbeitung auf Weisung
Der Auftragsverarbeiter handelt ausschließlich auf dokumentierte Weisung des Verantwortlichen und nicht aus eigener Initiative. Das ist die Klausel, die verhindert, dass Ihre Daten unauffällig zweckentfremdet werden.
Sicherheitsmaßnahmen
Die erforderlichen technischen und organisatorischen Maßnahmen: Verschlüsselung, Zugriffskontrollen, Ausfallsicherheit, regelmäßige Prüfungen. Das Wort, auf das Sie achten sollten, ist ein alleinstehendes "angemessen". Angemessene Maßnahmen ohne Details sind ein Versprechen, später zu entscheiden, was in der Praxis oft ein Versprechen bedeutet, wenig zu tun. Gute Sicherheitsklauseln sind konkret, und sie sollten genau jene Schutzmechanismen abbilden, die Sie von jeder ernstzunehmenden Plattform erwarten würden: das EU-Hosting, die Verschlüsselung und der rollenbasierte Zugriff, die unserem eigenen Sicherheits-Ansatz zugrunde liegen.
Vertraulichkeit
Jede Person mit Zugriff auf die Daten ist zur Vertraulichkeit verpflichtet. Kurze Klausel, echte Konsequenzen.
Unterauftragsverarbeiter
Ob Unterauftragsverarbeiter überhaupt zugelassen sind, die Pflicht, gleichwertige Bedingungen an sie weiterzugeben, sowie Ihr Recht, über Änderungen benachrichtigt zu werden und ihnen zu widersprechen. Personenbezogene Daten liegen heute nur noch selten bei einem einzigen Unternehmen. Sie wandern eine Kette entlang, und diese Klausel ist Ihr Mittel, diese Kette im Blick zu behalten.
Unterstützung
Der Auftragsverarbeiter hilft Ihnen, auf Anfragen zur Wahrnehmung der Rechte betroffener Personen zu reagieren und Ihre eigenen Pflichten in Bezug auf Sicherheit, Datenpannen und Folgenabschätzungen zu erfüllen. Wenn ein Kunde sein Recht auf Löschung ausübt, werden Sie froh sein, dass dies schriftlich festgehalten ist.
Meldung von Datenpannen
Eine klare, kurze Frist, innerhalb derer der Auftragsverarbeiter Sie über eine Verletzung des Schutzes personenbezogener Daten informiert. "Ohne unangemessene Verzögerung" ist der Standard, den Sie wollen. Alles, was in Wochen gemessen wird, ist ein Problem, das Sie erben werden.
Internationale Datenübermittlungen
Ein gültiger Übermittlungsmechanismus, etwa Standardvertragsklauseln, überall dort, wo Daten den EWR verlassen, samt der zugehörigen Bewertungen. Mehr dazu weiter unten, denn dies ist der Bestandteil, der am häufigsten fehlt.
Löschung oder Rückgabe
Was mit den Daten geschieht, wenn die Beziehung endet: Löschung oder Rückgabe, nach Ihrer Wahl, mit Nachweis auf Anfrage. Eine unbefristete Aufbewahrung ist eines der leiseren Risiken in einem schwachen AV-Vertrag.
Audits
Ihr Recht zu überprüfen, dass der Auftragsverarbeiter tatsächlich das tut, was er zugesagt hat. Echte Auditrechte, keine höfliche Geste.
Standardvertragsklauseln: wann Sie sie brauchen
Wenn personenbezogene Daten außerhalb des EWR verarbeitet werden, oder von einem Unterauftragsverarbeiter, der dort sitzt, muss der AV-Vertrag in der Regel Standardvertragsklauseln (SCC) einbinden und auf eine Folgenabschätzung der Übermittlung verweisen. Das ist einer der am häufigsten übersehenen Bestandteile, die mir begegnen.
Die Falle ist subtil. Der "Standard"-AV-Vertrag eines Anbieters geht oft von einer reinen EU-Verarbeitung aus, weil das zutraf, als die Vorlage erstmals geschrieben wurde, oder weil es schlicht einfacher zu formulieren war. Dann fügt der Anbieter ein US-basiertes Support-Tool oder einen Analyse-Unterauftragsverarbeiter hinzu, und die Realität stimmt nicht mehr mit dem Papier überein. Niemand aktualisiert den AV-Vertrag, weil niemand hineinschaut. Die Übermittlung findet trotzdem statt, ungedeckt.
Wenn Sie also einen AV-Vertrag prüfen, schauen Sie über die bloße Erwähnung von SCC hinaus. Prüfen Sie, ob die im Vertrag beschriebenen Datenflüsse tatsächlich mit dem übereinstimmen, wo die Verarbeitung stattfindet. In dieser Diskrepanz liegt das Risiko.
Warnsignale beim Akzeptieren des AV-Vertrags eines Anbieters
Wenn der AV-Vertrag eines Anbieters vor Ihnen liegt, sind dies die Warnsignale, nach denen ich zuerst suche:
- Meldefristen für Datenpannen, die in Wochen statt in "ohne unangemessene Verzögerung" gemessen werden
- Pauschale Rechte für Unterauftragsverarbeiter ohne Benachrichtigungs- oder Widerspruchsmechanismus
- Vage Sicherheitsformulierungen ohne konkret benannte Maßnahmen
- Löschbedingungen, die es dem Auftragsverarbeiter erlauben, Daten unbegrenzt aufzubewahren
- Überhaupt kein Übermittlungsmechanismus, obwohl die Verarbeitung den EWR eindeutig verlässt
Jedes einzelne davon ist ein Gespräch vor der Unterschrift wert. Zwei oder mehr, und Sie haben es mit einer Vorlage zu tun, die geschrieben wurde, um den Anbieter zu schützen, nicht Sie.
Eine Checkliste für die Phase vor der Unterschrift
Bevor Sie unterschreiben oder bevor Sie versenden, gehen Sie das hier durch. Ich halte eine Version davon griffbereit, wann immer ein AV-Vertrag auf meinem Schreibtisch landet.
| Prüfpunkt | Bestätigen Sie, dass |
|---|---|
| Rollen | Verantwortlicher und Auftragsverarbeiter korrekt benannt sind |
| Sicherheit | Maßnahmen konkret sind und über "angemessen" hinausgehen |
| Unterauftragsverarbeiter | Benachrichtigungs- und Widerspruchsrechte bestehen |
| Datenpannen | Die Meldung umgehend erfolgt ("ohne unangemessene Verzögerung") |
| Übermittlungen | Ein gültiger Mechanismus vorhanden ist, falls Daten den EWR verlassen |
| Löschung | Die Bedingungen zum Ende der Beziehung klar sind |
| Audits | Prüfrechte echt sind, nicht dekorativ |
Wenn Sie diese Bedingungen regelmäßig im Rahmen der Beschaffung oder eines umfassenderen Lieferantenvertragsmanagements aushandeln, lohnt es sich, diese Checkliste zu standardisieren, damit jede Vereinbarung dieselbe Prüfung erhält, statt davon abzuhängen, wer sie zufällig gerade prüfte.
Der AV-Vertrag endet nicht mit der Unterschrift
Hier ist der Teil, der vergessen wird. Einmal unterschrieben, wird ein AV-Vertrag zu einer fortlaufenden Verpflichtung, nicht zu einer abgeschlossenen Aufgabe. Die Liste der Unterauftragsverarbeiter ändert sich. Die jährliche Prüfung steht an. Eine rechtliche Entwicklung bedeutet, dass die SCC neu validiert werden müssen. Nichts davon meldet sich von selbst.
Den AV-Vertrag zusammen mit dem Lieferantenvertrag aufzubewahren, mit nachverfolgten Prüfterminen, Bedingungen für Unterauftragsverarbeiter und Übermittlungspflichten, ist genau das, wofür das Management von Auftragsverarbeitungsverträgen da ist. So vergilbt die so sorgfältig ausgehandelte Vereinbarung nicht still und leise in einem Ordner. Ein Vertragsarchiv hält das Dokument auffindbar, und automatische Erinnerungen an Ablauf und Verlängerung sorgen dafür, dass die Prüftermine tatsächlich auftauchen, statt unbemerkt zu verstreichen. Wenn Sie spüren möchten, wie das funktioniert, ohne sich zu etwas zu verpflichten, richtet unsere kostenlose Erinnerung für Auftragsverarbeitungsverträge eine solche in ein paar Minuten ein.
Einen schneller prüfen
Wenn Sie gerade jetzt auf den AV-Vertrag eines Anbieters starren und schnell einschätzen möchten, ob er solide ist, extrahiert unser kostenloser Analysator für Datenaustauschvereinbarungen die Bedingungen zu zulässiger Nutzung, Sicherheit, Aufbewahrung, Meldung von Datenpannen und Übermittlung und markiert, wo sie unzureichend erscheinen. Es ist ein nützlicher erster Durchgang vor einer detaillierten Rechtsprüfung, die Art von Werkzeug, das Ihnen binnen einer Minute sagt, ob Sie eine sorgfältige Vereinbarung oder ein kommendes Problem vor sich haben. Wenn Sie das größere Bild dazu wollen, wie KI diese Art von Arbeit verändert, ist unser Beitrag zu Legal AI eine gute ergänzende Lektüre.
Das Aufsetzen und Prüfen von AV-Verträgen ist wirklich befriedigende Arbeit, sobald Sie ein klares Bild davon haben, wie gut aussieht, und ich helfe immer gern jemandem, dorthin zu gelangen. Melden Sie sich, wenn Sie Fragen haben. Ich lese jede Nachricht selbst und beantworte sie persönlich.
Legen Sie mit Contracko los
Nehmen Sie sich den Stress aus dem Vertrags- und Abonnementmanagement. Mit Contracko bleiben Sie organisiert, pünktlich und in Kontrolle. Beginnen Sie noch heute mit der Vereinfachung.