Auftragsdatenverarbeitung

Was ist Auftragsverarbeitung?

Sobald HR eine Mitarbeiterbefragung über einen externen Anbieter laufen lässt, wird die Auftragsverarbeitung (oft auch Auftragsdatenverarbeitung, kurz AV oder ADV) zum Pflichtthema. Sie beschreibt die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Verantwortlichen und ist in Art. 28 der DSGVO geregelt.

Der Verantwortliche, also das Unternehmen, das die Datenverarbeitung initiiert, bleibt datenschutzrechtlich in der Pflicht. Der Auftragsverarbeiter handelt ausschließlich nach dessen Weisungen. Das gilt unabhängig davon, ob die Befragung einmalig oder im Quartalszyklus stattfindet. Wie Kultify die technischen Grundlagen dafür umsetzt, zeigt die Seite zu Anonymität und Datenschutz.

Wann ist ein AV-Vertrag erforderlich?

Ein Auftragsverarbeitungsvertrag (AVV) ist immer dann abzuschließen, wenn personenbezogene Daten durch einen Dritten im Auftrag verarbeitet werden. Typische Szenarien im HR-Kontext:

• Einsatz einer externen Befragungsplattform für Mitarbeiterbefragungen, Pulsbefragungen oder 360-Grad-Feedback
• Hosting von Befragungsdaten auf Servern eines Cloud-Anbieters
• Beauftragung eines Dienstleisters mit der Auswertung oder Analyse von Befragungsergebnissen

Ohne gültigen AVV ist die Datenverarbeitung durch den externen Anbieter rechtswidrig, unabhängig davon, wie sorgfältig der Datenschutz im Unternehmen selbst organisiert ist. Verstöße können Bußgelder nach Art. 83 DSGVO nach sich ziehen.

Wesentliche Inhalte eines AV-Vertrags

Art. 28 Abs. 3 DSGVO definiert die Mindestanforderungen an einen AVV. Ein rechtssicherer Vertrag regelt insbesondere:

• Gegenstand und Dauer der Verarbeitung: welche Daten werden zu welchem Zweck und wie lange verarbeitet?
• Art und Umfang der Verarbeitung: welche Kategorien personenbezogener Daten (z.B. Befragungsantworten, demografische Merkmale) sind betroffen?
• Technische und organisatorische Maßnahmen (TOMs): wie schützt der Auftragsverarbeiter die Daten? Dazu gehören Verschlüsselung, Zugriffskontrollen, Pseudonymisierung und regelmäßige Sicherheitsaudits.
• Einsatz von Subunternehmern: der Auftragsverarbeiter darf weitere Unterauftragnehmer nur mit vorheriger Zustimmung des Verantwortlichen einsetzen. Alle Sub-Prozessoren müssen vertraglich auf das gleiche Datenschutzniveau verpflichtet werden.
• Weisungsgebundenheit: der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
• Prüf- und Kontrollrechte: der Verantwortliche hat das Recht, die Einhaltung der vereinbarten Maßnahmen zu überprüfen, etwa durch Audits oder die Vorlage aktueller Zertifizierungen (z.B. ISO 27001).
• Löschpflichten: nach Beendigung des Auftrags müssen alle personenbezogenen Daten gelöscht oder zurückgegeben werden.

Verantwortlicher vs. Auftragsverarbeiter

Die Rollenverteilung ist klar geregelt und hat unmittelbare Konsequenzen für die Haftung:

Der Verantwortliche (das Unternehmen, das die Befragung durchführt) bestimmt Zweck und Mittel der Datenverarbeitung. Er bleibt gegenüber den betroffenen Beschäftigten rechenschaftspflichtig, muss Informationspflichten erfüllen und trägt die Verantwortung für die Auswahl eines geeigneten Auftragsverarbeiters.

Der Auftragsverarbeiter (z.B. der Anbieter der Befragungssoftware) verarbeitet Daten ausschließlich im Rahmen der erteilten Weisungen. Er muss die vertraglich vereinbarten Sicherheitsmaßnahmen umsetzen und den Verantwortlichen unverzüglich über Datenschutzverletzungen informieren.

Wichtig: Handelt der Auftragsverarbeiter eigenmächtig (etwa indem er Befragungsdaten für eigene Zwecke auswertet), wird er selbst zum Verantwortlichen und haftet unmittelbar.

Checkliste: AV-Vertrag bei der Anbieterauswahl

HR-Teams sollten bei der Evaluation externer Befragungsanbieter diese Punkte vor Vertragsschluss abhaken:

• AV-Vertrag vorhanden: stellt der Anbieter einen AVV bereit, der den Anforderungen von Art. 28 DSGVO genügt?
• Serverstandort und Rechtsraum: werden Daten innerhalb der EU/des EWR verarbeitet? Bei Drittlandtransfers: Gibt es angemessene Garantien (z.B. Standardvertragsklauseln)?
• Technische Schutzmaßnahmen: bietet der Anbieter Verschlüsselung (at rest und in transit), Zugriffsmanagement und regelmäßige Penetrationstests?
• Sub-Prozessoren transparent: sind alle Unterauftragnehmer namentlich benannt und vertraglich gebunden?
• Zertifizierungen: verfügt der Anbieter über relevante Nachweise wie ISO 27001, SOC 2 oder vergleichbare Standards?
• Auditrechte verankert: sind Prüf- und Kontrollrechte im Vertrag klar geregelt?
• Löschkonzept definiert: ist festgelegt, wie und wann Daten nach Vertragsende gelöscht werden?
• Abstimmung mit Datenschutzbeauftragtem: wurde der interne DSB in die Anbieterauswahl einbezogen?
• Betriebsrat informiert: ist die AV-Konstellation Bestandteil der Betriebsvereinbarung?

Ein sorgfältig geprüfter AV-Vertrag ist kein bürokratisches Hindernis. Er ist die Grundlage für eine vertrauensvolle Zusammenarbeit mit externen Partnern, und damit auch für die Akzeptanz der Befragung bei den Beschäftigten.