Warum ein Auftragsverarbeitungsvertrag nicht in der Schublade verschwinden darf
Wenn ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO unterschrieben ist, herrscht in vielen Unternehmen ein trügerisches Gefühl von Erledigung. Der Vertrag wandert in die Akte, das Häkchen im Compliance-Register wird gesetzt – und damit gilt die Sache als abgeschlossen. Genau hier liegt der Denkfehler. Der Abschluss des AVV ist nicht die Ziellinie, sondern der Startpunkt einer laufenden Verpflichtung, die sowohl den Auftraggeber als auch den Auftragsverarbeiter trifft.
Der AVV übersetzt die Vorgaben des Art. 28 DSGVO in vertragliche Regelungen. Seine eigentliche Schutzwirkung entfaltet er aber nur, wenn diese Regelungen im operativen Alltag auch gelebt werden. Der AVV ist also ein lebender Vertrag. Er muss so in ein Vertragsmanagement eingebettet sein, dass Änderungen während der Laufzeit kommuniziert, empfangen und bewertet werden. Was das konkret bedeutet, lässt sich an mehreren Regelungskomplexen zeigen, die im Vertragstext stehen – und die jeweils ein Pendant im operativen Betrieb brauchen.
Der Auftragsverarbeiter wird regelmäßig auditiert – aber wonach?
Das Kontrollrecht des Verantwortlichen ist in Art. 28 Abs. 3 lit. h DSGVO verankert und wird im AVV regelmäßig als Prüf- und Auditrecht konkretisiert. Es ist zugleich Kehrseite der Pflicht: Wer einen Auftragsverarbeiter auswählt, muss sich davon überzeugen, dass dieser hinreichende Garantien im Sinne des Art. 28 Abs. 1 DSGVO bietet – und zwar nicht nur einmalig, sondern fortlaufend.
Ein Audit kann verschiedene Formen annehmen: die schriftliche Selbstauskunft anhand eines Fragebogens, die Vorlage aktueller Zertifikate oder Testate oder sogar eine Vor-Ort-Prüfung. Im Rahmen eines Audits sollten z.B. der aktuelle Stand der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs), der Unterauftragsverarbeiter, der Drittlandtransfers sowie die Umsetzung von Löschverpflichtungen oder die Einhaltung von Meldeprozessen bei Datenschutzverletzungen geprüft werden. Ein Audit ist kein Selbstzweck, sondern der strukturierte Nachweis, dass die vertraglichen Zusicherungen der Realität entsprechen.
Wichtig ist jedoch: Die regelmäßige Auditierung ist nur ein Baustein des lebenden Vertrags. Daneben gibt es eine Reihe von Regelungen, deren Einhaltung ständig überwacht werden muss.
Weisungen: nur zwischen den benannten Personen
Der AVV regelt typischerweise, wer auf Seiten des Verantwortlichen weisungsbefugt und wer auf Seiten des Auftragsverarbeiters Weisungsempfänger ist. Diese personelle Zuordnung ist kein Formalismus. Die Verarbeitung darf nach Art. 28 Abs. 3 lit. a DSGVO ausschließlich auf dokumentierte Weisung des Verantwortlichen erfolgen – und die vertragliche Benennung legt fest, wer diese Weisung überhaupt wirksam erteilen und entgegennehmen kann.
Findet die Kommunikation stattdessen an den benannten Personen vorbei statt, werden Fakten geschaffen, die die vertraglichen Regelungen ungewollt aufheben oder zumindest ergänzen. Erteilt etwa ein Fachanwender „auf dem kurzen Dienstweg" eine Weisung, die von der vertraglich vorgesehenen Konstellation abweicht, entsteht das Risiko einer undokumentierten konkludenten Vertragsänderung. Im Extremfall handelt der Auftragsverarbeiter außerhalb der Weisungslage – mit der Folge, dass er nach Art. 28 Abs. 10 DSGVO für diese Verarbeitung selbst als Verantwortlicher anzusehen sein kann.
Ebenso wichtig ist die Erreichbarkeit der benannten Personen: Fällt der einzige Weisungsbefugte urlaubs- oder krankheitsbedingt aus, muss eine Vertretungsregelung sicherstellen, dass zeitkritische Weisungen nicht versäumt werden (oder auf Seiten des abwesenden Weisungsempfängers: nicht rechtzeitig umgesetzt) .
Änderungen der TOM: ein Kanal reicht nicht, es braucht einen Empfänger, der handelt
In nahezu jedem AVV verpflichtet sich der Auftragsverarbeiter, wesentliche Änderungen seiner technischen und organisatorischen Maßnahmen mitzuteilen. Diese Pflicht korrespondiert mit der Verantwortung des Verantwortlichen, fortlaufend ein dem Risiko angemessenes Schutzniveau nach Art. 32 DSGVO sicherzustellen.
Damit die Mitteilung ihren Zweck erfüllt, muss zweierlei geregelt sein: ein klarer Kommunikationsweg und ein Empfänger, der die Nachricht auch verarbeitet. Es genügt nicht, dass die Änderungsmitteilung irgendwo im Unternehmen eingeht. Der Empfänger auf Seiten des Auftraggebers muss die Meldung bewerten und – wo es an eigener Fachkenntnis fehlt – Expertise aus dem Datenschutz oder der Informationssicherheit hinzuziehen, um zu prüfen, ob sich daraus ein To-do ergibt. Verschlechtert der Auftragsverarbeiter etwa ein bislang zugesichertes Sicherheitsmerkmal, kann das Schutzniveau unter die Schwelle des Art. 32 DSGVO fallen – und der Verantwortliche muss reagieren, nicht nur ablegen.
Neue Unterauftragsverarbeiter: die richtige Anwendung der eigenen Vertragsklausel
Besonders fehleranfällig ist der Umgang mit neuen Unterauftragsverarbeitern. Art. 28 Abs. 2 DSGVO unterscheidet zwischen einer gesonderten und einer allgemeinen schriftlichen Genehmigung – und diese Unterscheidung entscheidet über den zulässigen Ablauf.
Hier lohnt der genaue Blick, ob der Auftragsverarbeiter die Regelung des AVV überhaupt richtig anwendet. Ein Auftragsverarbeiter darf nicht einfach eine Frist setzen, nach deren Ablauf die Zustimmung als erteilt gilt, wenn im AVV keine allgemeine, sondern eine gesonderte Zustimmung im Einzelfall vereinbart ist. Er kann eine vereinbarte Einzelfallgenehmigung nicht eigenmächtig in ein Widerspruchsmodell umdeuten. Nur wenn eine allgemeine schriftliche Genehmigung vereinbart wurde, greift das Regime des Art. 28 Abs. 2 S. 2 DSGVO mit Informationspflicht und Einspruchsrecht – und auch dann muss der Auftragsverarbeiter die vertraglich vereinbarten Fristen einhalten.
Bei dieser Gelegenheit ist zudem zu prüfen, ob sich durch den neuen Unterauftragsverarbeiter ein neuer Drittlandtransfer ergibt. Ist das der Fall, sind Garantien nach Art. 44 ff. DSGVO einzufordern – etwa Standardvertragsklauseln nach Art. 46 DSGVO nebst der erforderlichen Transfer-Folgenabschätzung (engl. Transfer Impact Assessment, kurz: TIA).
Der praktische Stolperstein liegt oft im Posteingang: Nicht selten gehen in Unternehmen Briefe mit Änderungsmitteilungen zu AVV ein, die die zuständige Stelle erst erreichen, wenn die Frist bereits abgelaufen ist. Ohne einen definierten Eingangs- und Weiterleitungsprozess verstreicht die Einspruchsfrist ungenutzt – und der Verantwortliche findet sich mit einem Unterauftragsverarbeiter wieder, den er faktisch nie geprüft hat.
Warum der oder die Datenschutzbeauftragte nicht immer der richtige Adressat ist
Für Änderungsmitteilungen wird gerne reflexhaft der oder die Datenschutzbeauftragte als Empfänger benannt. Das ist häufig kontraproduktiv. Der oder die Datenschutzbeauftragte kennt die einzelnen Dienstleister oft nicht und ist mit den Details der jeweiligen Vertragsbeziehung nicht vertraut.
Hinzu kommt die rollenbedingte Grenze: Der oder die Datenschutzbeauftragte darf die Entscheidung – hier die Akzeptanz oder Ablehnung einer Änderung – nicht selbst treffen. Er oder sie berät den Fachbereich, entscheidet aber nicht an dessen Stelle. Landet die Mitteilung bei ihm bzw. ihr, kann es zu lange dauern, bis überhaupt geklärt ist, zu welchem Bereich der Dienstleister gehört und wer intern verantwortlich ist. Wertvolle Zeit, die – gerade bei fristgebundenen Meldungen zu Unterauftragsverarbeitern – schlicht fehlt.
Pflichtverletzungen ahnden – auch auf der Vertragsebene
Der letzte, im Alltag am häufigsten vernachlässigte Punkt: Pflichtverletzungen des Auftragsverarbeiters müssen tatsächlich Konsequenzen haben. Im Tagesgeschäft geht das oft unter, weil man entstandene Mängel oder Vorfälle auf der operativen Ebene löst – das Problem wird technisch behoben, der Vorgang ist erledigt – ohne die Verletzung auf die vertragliche Ebene zu übertragen.
Damit bleibt die Auftragskontrolle unvollständig. Zur laufenden Kontroll- und Überwachungspflicht des Verantwortlichen gehört, dass Verstöße dokumentiert werden. Und die Dokumentation ist kein Selbstzweck: Sie ist die Voraussetzung, um die vertraglich vorgesehenen Instrumente zu nutzen – die Abmahnung im Einzelfall und, bei wiederholten oder schwerwiegenden Verstößen gegen das Datenschutzrecht oder den AVV, die Kündigung. Wer Verstöße ausschließlich operativ „wegarbeitet", verliert nicht nur den Nachweis für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, sondern erschwert sich auch jede spätere Sanktion, weil die Historie fehlt.
Fazit: Der Vertrag „lebt“ oder er erfüllt seinen eigentlichen Zweck nicht
Ein AVV entfaltet seine Schutzwirkung nicht durch die Unterschrift, sondern durch die konsequente Umsetzung seiner Regelungen über die gesamte Laufzeit. Weisungswege, TOM-Änderungen, Meldungen zu Unterauftragsverarbeitern und die Ahndung von Pflichtverletzungen sind keine papierenen Klauseln, sondern operative Prozesse mit klaren Zuständigkeiten, Fristen und Empfängern.
Eingebettet in ein funktionierendes Vertragsmanagement wird aus dem Schubladenvertrag ein Steuerungsinstrument – und genau das ist es, was die Rechenschaftspflicht des Verantwortlichen im Kern verlangt: nicht der Nachweis, dass man einmal einen guten Vertrag geschlossen hat, sondern der Nachweis, dass man ihn lebt.