Wir alle verarbeiten personenbezogene Daten. In irgendeiner Art und Weise, ob mit einem Dienstleister oder einem Tool.
Ab wann wir von einer Auftragsverarbeitung sprechen und einen Auftragsverarbeitungsvertrag benötigen, erfährst du in diesem Artikel. Außerdem habe ich dir eine Liste mit 55 Auftragsverarbeitern und den dazugehörigen Auftragsverarbeitungsverträgen zusammengestellt.
Dieser Artikel vereinfacht Datenschutzthemen für Soloselbstständige und Kleinstunternehmen. Er gibt einen Einblick, ohne alles abzudecken. Du möchtest keine Artikel mehr verpassen? Melde dich für den Newsletter an.
Was ist eine Auftragsverarbeitung?
Im Datenschutz geht es immer um den Schutz der personenbezogenen Daten. Du selbst, als Selbstständiger oder wenn du ein Unternehmen hast, bist du der Verantwortliche über die Verarbeitung und der Nutzung dieser personenbezogenen Daten deiner Kunden, Patienten, Mandanten usw.
Wenn du nun einen Teil der Verarbeitung dieser personenbezogenen Daten weitergibst, an einen deiner Dienstleister (z.B. Virtuelle Assistenz) oder du diese Daten durch ein Tool (z.B. ein E-Mail-Marketing-Anbieter, wie Sendinblue) verarbeiten lässt, sind diese Dienstleister oder das Tool deine verlängerte Werkbank. Sie unterstützen dich bei der Verarbeitung dieser Daten. Sie verarbeiten diese Daten in deinem Auftrag.
Jedoch gibt es Dienstleistungen, die im Datenschutz als Auftragsverarbeitung angesehen werden und es gibt welche, die nicht in diese Kategorie fallen. Scheint kniffelig. Folgende Beispiele sollen dir aber helfen, Licht ins Dunkle zu bringen.
Beispiele für Auftragsverarbeitungen
- Webhoster (z.B. ALL-INKL, Strato)
- Webanalyse (z.B. Matomo, Google Analytics)
- Cloud-Speicher (z.B. Dropbox, Google Drive)
- E-Mail-Marketing (z.B. Sendinblue, ActiveCampaign)
- Officemanagement (z.B. Microsoft 365, Trello, Asana)
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
- Datenträgerentsorgung durch Dienstleister
Beispiele für keine Auftragsverarbeitungen
- Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
- Bankinstitute für den Geldtransfer
- Zahlungsdienstleister für elektronische Zahlungen
- Postdienste für den Brief- oder Pakettransport
- Übersetzungen von Texten in / aus Fremdsprachen
Mehr Beispiele gibt es im Kurzpapier Nr. 13 (PDF) der DSK (Datenschutzkonferenz).
Jetzt ist ein guter Zeitpunkt dir eine Liste mit deinen Dienstleistern und Tools zu erstellen
Du brauchst mit denjenigen, die eine Auftragsverarbeitung für dich übernehmen, einen Auftragsverarbeitungsvertrag.
Die Auftragsverarbeitungsverträge solltest du zentral abspeichern, dass du sie im Fall der Fälle, falls mal die Aufsichtsbehörde nachfragt, griffbereit hast.
Es hilft dir eine Liste deiner Dienstleister und Tools zu erstellen, in der ersichtlich wird:
- Wie heißt der Dienstleister?
- Werden personenbezogene Daten übermittelt? Oder hat der Dienstleister Zugriff auf diese Daten?
- Was ist der Zweck der Verarbeitung?
- Ist ein Auftragsverarbeitungsvertrag notwendig?
- Eine mögliche Bemerkung von dir.
- Ein letztes Feld mit Info, ob und wann du einen Auftragsverarbeitungsvertrag mit dem Auftragsverarbeiter abgeschlossen hast.
Und wie sieht das mit den Auftragsverarbeitungsverträgen aus?
Auftragsverarbeitungsverträge werden zwischen dem Verantwortlichen (dir!) und dem Auftragsverarbeiter benötigt, um die Auftragsverarbeitung vertraglich zu fixieren. Ziel des Auftragsverarbeitungsvertrags ist es, sicherzustellen, dass der Auftragsverarbeiter datenschutzkonform arbeitet.
Sei dir dennoch bewusst, auch wenn du einen Auftragsverarbeitungsvertrag abschließt, du der Verantwortliche bleibst. Du haftest auch für das Fehlverhalten deines Auftragsverarbeiters.
Muster für Auftragsverarbeitungsverträge
Es gibt einige Muster für Auftragsverarbeitungsverträge. Allen voran möchte ich an dieser Stelle das Auftragsverarbeitungsvertragsmuster und die Praxishilfe der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) erwähnen.
Auch die Aufsichtsbehörden haben entsprechende Auftragsverarbeitungsvertragsmuster, bereitgestellt: Aufsichtsbehörde für Datenschutz Baden-Württemberg und das Bayrisches Landesamt für Datenschutzaufsicht.
Speziell im Online-Business Bereich haben viele Dienstleister, allen voran Virtuelle Assistenten, Webdesigner (mit Support & Wartung der Website), Social Media Manager, Ads Manager bereits Auftragsverarbeitungsverträge im eigenen Werkzeugkoffer. Bringen ihn sozusagen zu dir mit. Rechtsanwältin Sabrina Keese-Haufs hat einige Muster und Vorlagen für diese Zielgruppe vorbereitet, die du online erwerben kannst.
Checkliste für Auftragsverarbeitungsverträge der Aufsichtsbehörden
Eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen inkl. der Hinweise zur Nutzung der Checkliste findest du bei der Berliner Datenschutzaufsicht.
Melde dich für den Newsletter an
Verpasse keine neuen Beiträge zu den Themen Datenschutz, IT-Sicherheit-Basics, verantwortungsvoller Umgang mit neuen Tools mehr.
55+ Links zu Auftragsverarbeitungsverträgen
Bitte beachte, dies ist eine wachsende Liste von gängigen Tools, die du vielleicht in deiner Selbstständigkeit oder deinem Unternehmen einsetzt. Viele der Tools sind nicht datenschutzfreundlich. Die angegebenen Links sollen es dir erleichtern, deinen Auftragsverarbeitungsvertrag zu finden.
Es gibt unterschiedliche Arten, wie ein Auftragsverarbeiter dir einen Auftragsverarbeitungsvertrag anbietet. Die gängigsten sind:
- Beim Abschluss einer Bestellung ist der Auftragsverarbeitungsvertrag eine Ergänzung der AGB.
- Du kannst nachträglich im Kundenbereich ein Button drücken und der Auftragsverarbeitungsvertrag wird automatisch erstellt.
- Du wirst zu einem dritten Dienstleister weitergeleitet, um den Auftragsverarbeitungsvertrag mit deiner elektronischen Signatur gegenzuzeichnen.
- Du wirst auf eine Website weitergeleitet, auf der du deine Daten eingeben und dann das Formular absenden kannst. Der Auftragsverarbeitungsvertrag wird dir daraufhin zugesendet.
- Du druckst den Auftragsverarbeitungsvertrag aus, unterschreibst und sendest ihn dem Auftragsverarbeiter z.B. per E-Mail zurück. Dann wird er gegengezeichnet und du erhältst deine Ausgabe.
Falls auf dieser Liste dein Auftragsverarbeiter nicht mit dabei ist, hier noch 2 Tipps, wie du ihn online selbst finden kannst:
- Gib in deine Suchmaschinen den Namen des Auftragsverarbeiters an, dann Leerzeichen und den Begriff Auftragsverarbeitungsvertrag. Das könnte, wie folgt aussehen: Microsoft 365 Auftragsverarbeitungsvertrag.
- Du findest nichts? Dann probiere Folgendes: Anstatt Auftragsverarbeitungsvertrag versuche Auftragsdatenverarbeitung (so hieß es früher), die Abkürzung AVV, Ergänzung oder Nachtrag zur Datenverarbeitung, Datenverarbeitungsbedingungen, Data Processing Agreements, die englische Abkürzung DPA, Auftragsverarbeitungs-Vertrag.
Webhoster
ALL-INKL.COM: Wie kann ich einen Vertrag zur Auftragsverarbeitung zu meinem Webhosting-Tarif abschließen?
DomainFactory: Auftragsverarbeitungsvertrag
Hetzner: Der Auftragsverarbeitungsvertrag kann im Kundenkonto abgeschlossen werden: https://accounts.hetzner.com/account/dpa. Weitere Infos zum Datenschutz und speziell zur Auftragsverarbeitung kannst du bei Hetzner in der FAQ nachlesen.
Host Europe: Wie kann ich einen Vertrag zur Auftragsverarbeitung (AV) gemäß Art. 28 DSGVO abschließen?
Ionos (ehemals 1&1): Vereinbarung zur Auftragsverarbeitung (AVV)
One.com: Der Auftragsverarbeitungsvertrag ist Teil des Registrierungsprozesses
Raidboxes: AV-Vertrag direkt online abschließen
STRATO: Fragen zum Auftragsverarbeitungsvertrag (AVV) und der neuen EU-Datenschutzgrundverordnung (DSGVO)
UD Media: Kann im Kundenkonto unter Service > Dokumente erstellt werden.
United Domains: Wie erhalte ich den Auftragsverarbeitungs-Vertrag (AVV) nach DSGVO?
Website – Baukastensysteme
Ionos (ehemals 1&1): Vereinbarung zur Auftragsverarbeitung (AVV)
Jimdo: Jimdo Auftragsverarbeitungsvereinbarung (AVV)
Squarespace: Ergänzung zur Datenverarbeitung
Wix: Nachtrag betreffend die Datenverarbeitung – Nutzer
WordPress.com: Bitte beachte, das betrifft WordPress.com und nicht WordPress.org! Bei WordPress.com wird deine Website von WordPress.com gehostet und je nach Tarif gewartet. WordPress.org hingegen ist ein Content-Management-System, dass du selbst bei dir auf deinem Server installieren kannst. Data Processing Agreements.
Online-Shops
Shopify: Nachtrag zur Datenverarbeitung von Shopify
Kursplattformen
Elopage: FAQ zur Auftragsverarbeitung
Webanalyse
Google Analytics: Datenverarbeitungsbedingungen
Matomo: Matomo Cloud Data Processing Agreement (DPA)
Plausible: Plausible Analytics Data Processing Agreement
Trackboxx: AVV kann im Kundenportal heruntergeladen werden.
Automatisierungen
Zapier: Data Processing Addendum oder eine unterzeichnete Variante über ein Formular
Cloud-Speicher
AWS: AWS GDPR Data Processing Addendum
Dropbox: Dropbox Services Agreement
Google Drive: Bestandteil von Google Workspace
WeTransfer: Für den Auftragsverarbeitungsvertrag musst du zunächst ein Ticket einreichen. Weitere Infos findest du dazu auf https://help.wetransfer.com/hc/de/articles/360000905623-DSGVO-Beantragen-einer-Datenbearbeitungsvereinbarung.
E-Mail-Marketing
ActiveCampaign: „Nur“ Anschauungsmaterial Data Processing Addendum und New Standard Contractual Clauses. DPA wird im Kundenkonto abgeschlossen.
CleverReach: Bietet CleverReach einen Vertrag zur Auftragsverarbeitung an?
Klick Tipp: Im Kundenkonto einsehbar.
Mailchimp: Data Processing Addendum
Mailjet: Data Processing Agreement
Rapidmail: Auftragsverarbeitungs-Vertrag nach EU-DSGVO abschließen
Sendinblue: Datenverarbeitung im Auftrag
CRM Systeme
Hotjar: Data Processing Agreement
Hubspot: HubSpot Data Processing Agreement
Salesforce: Data Processing Agreement (PDF)
Projektmanagement
Atlassian: Atlassian Data Processing Addendum
Trello: Atlassian Data Processing Addendum
Meistertask: Eine Datenschutzvereinbarung kann im Konto, im Reiter Allgemeine Geschäftsbedingungen, runterscrollen, bis “Sie leiten eine Firma? Wenn Sie daran interessiert sind, eine Datenschutzvereinbarung mit uns abzuschließen, klicken Sie hier.” angefordert werden.
Notion: Data Processing Addendum
KI-Assistenten
DeepL: In der Pro-Version kannst du über E-Mail einen Auftragsverarbeitungsauftrag anfordern (Siehe Punkt 5).
LanguageTools: In der Premium-Version kannst du angemeldet im Helpdesk ein neues Ticket erstellen, dort gibst du an, dass du einen Auftragsverarbeitungsvertrag abschließen möchtest.
KI-Textgeneratoren
Writesonic: Data Processing Agreement
Chats
Slack: Ergänzung zur Datenverarbeitung
Threema: Vereinbarung zur Auftragsverarbeitung
WhatsApp Business: WhatsApp Business Datenverarbeitungsbedingungen („Datenverarbeitungsbedingungen“)
Buchhaltung
DATEV: Auftragsverarbeitungsvertrag
Lexoffice: Auftragsverarbeitung
Papierkram: Vertrag / Datenschutz / Auftragsverarbeitung (DSGVO)
SevDesk: Allgemeine Informationen zur Datenschutz-Grundverordnung bei sevDesk
Officemanagement
Adobe Creative Cloud: Allgemeine Informationen zum Auftragsverarbeitungsvertrag findest du hier.
Google Workspace: Datenschutzcompliance und ‑einträge für Google Workspace und Cloud Identity
Microsoft 365: Microsoft Products and Services Data Protection Addendum (DPA)
Grafikprogramme
Canva: Data Processing Addendum
Terminbuchung
TuCalendi: Den Auftragsverarbeitungsvertrag kannst du hier direkt abschließen
Videokonferenzen
Microsoft Teams: Microsoft Products and Services Data Protection Addendum (DPA)
OpenTalk: Wenn du den Premium Tarif hast, logge dich ein und klicke auf dein Profil, dort kannst du den Auftragsverarbeitungsvertrag abschließen.
Whereby: Data Processing Agreement, für zahlende Kunden.
Zoom: Data Processing Agreement
Dir fehlt in der Liste ein Auftragsverarbeiter? Dir ist noch etwas unklar? Du hast weitere Anregungen? Verbesserungsvorschläge? Schreibe mir eine Nachricht.
Nicole Werner
Ich bin Wirtschaftsinformatikerin, Datenschutzbeauftragte, Bloggerin, Vermittlerin und neuronale Pingpong-Spielerin. Ich mache komplexe Themen verständlich und liebe TechNights.
Mehr über mich erfährst du auf meiner Über Mich Seite. Bleib auf dem Laufenden und melde dich zu meinem Newsletter an.