Auftragsdatenverarbeitung
Datenschutz & ComplianceDie Auftragsverarbeitung (AV) regelt die datenschutzkonforme Verarbeitung personenbezogener Daten durch externe Dienstleister und ist bei jeder Mitarbeiterbefragung über einen externen Anbieter Pflicht.
Was ist Auftragsverarbeitung?
Sobald HR eine Mitarbeiterbefragung über einen externen Anbieter laufen lässt, wird die Auftragsverarbeitung (oft auch Auftragsdatenverarbeitung, kurz AV oder ADV) zum Pflichtthema. Sie beschreibt die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Verantwortlichen und ist in Art. 28 der DSGVO geregelt.
Der Verantwortliche, also das Unternehmen, das die Datenverarbeitung initiiert, bleibt datenschutzrechtlich in der Pflicht. Der Auftragsverarbeiter handelt ausschließlich nach dessen Weisungen. Das gilt unabhängig davon, ob die Befragung einmalig oder im Quartalszyklus stattfindet. Wie Kultify die technischen Grundlagen dafür umsetzt, zeigt die Seite zu Anonymität und Datenschutz.
Wann ist ein AV-Vertrag erforderlich?
Ein Auftragsverarbeitungsvertrag (AVV) ist immer dann abzuschließen, wenn personenbezogene Daten durch einen Dritten im Auftrag verarbeitet werden. Typische Szenarien im HR-Kontext:
- Einsatz einer externen Befragungsplattform für Mitarbeiterbefragungen, Pulsbefragungen oder 360-Grad-Feedback
- Hosting von Befragungsdaten auf Servern eines Cloud-Anbieters
- Beauftragung eines Dienstleisters mit der Auswertung oder Analyse von Befragungsergebnissen
Ohne gültigen AVV ist die Datenverarbeitung durch den externen Anbieter rechtswidrig, unabhängig davon, wie sorgfältig der Datenschutz im Unternehmen selbst organisiert ist. Verstöße können Bußgelder nach Art. 83 DSGVO nach sich ziehen.
Wesentliche Inhalte eines AV-Vertrags
Art. 28 Abs. 3 DSGVO definiert die Mindestanforderungen an einen AVV. Ein rechtssicherer Vertrag regelt insbesondere:
- Gegenstand und Dauer der Verarbeitung: welche Daten werden zu welchem Zweck und wie lange verarbeitet?
- Art und Umfang der Verarbeitung: welche Kategorien personenbezogener Daten (z.B. Befragungsantworten, demografische Merkmale) sind betroffen?
- Technische und organisatorische Maßnahmen (TOMs): wie schützt der Auftragsverarbeiter die Daten? Dazu gehören Verschlüsselung, Zugriffskontrollen, Pseudonymisierung und regelmäßige Sicherheitsaudits.
- Einsatz von Subunternehmern: der Auftragsverarbeiter darf weitere Unterauftragnehmer nur mit vorheriger Zustimmung des Verantwortlichen einsetzen. Alle Sub-Prozessoren müssen vertraglich auf das gleiche Datenschutzniveau verpflichtet werden.
- Weisungsgebundenheit: der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
- Prüf- und Kontrollrechte: der Verantwortliche hat das Recht, die Einhaltung der vereinbarten Maßnahmen zu überprüfen, etwa durch Audits oder die Vorlage aktueller Zertifizierungen (z.B. ISO 27001).
- Löschpflichten: nach Beendigung des Auftrags müssen alle personenbezogenen Daten gelöscht oder zurückgegeben werden.
Verantwortlicher vs. Auftragsverarbeiter
Die Rollenverteilung ist klar geregelt und hat unmittelbare Konsequenzen für die Haftung:
Der Verantwortliche (das Unternehmen, das die Befragung durchführt) bestimmt Zweck und Mittel der Datenverarbeitung. Er bleibt gegenüber den betroffenen Beschäftigten rechenschaftspflichtig, muss Informationspflichten erfüllen und trägt die Verantwortung für die Auswahl eines geeigneten Auftragsverarbeiters.
Der Auftragsverarbeiter (z.B. der Anbieter der Befragungssoftware) verarbeitet Daten ausschließlich im Rahmen der erteilten Weisungen. Er muss die vertraglich vereinbarten Sicherheitsmaßnahmen umsetzen und den Verantwortlichen unverzüglich über Datenschutzverletzungen informieren.
Wichtig: Handelt der Auftragsverarbeiter eigenmächtig (etwa indem er Befragungsdaten für eigene Zwecke auswertet), wird er selbst zum Verantwortlichen und haftet unmittelbar.
Checkliste: AV-Vertrag bei der Anbieterauswahl
HR-Teams sollten bei der Evaluation externer Befragungsanbieter diese Punkte vor Vertragsschluss abhaken:
- AV-Vertrag vorhanden: stellt der Anbieter einen AVV bereit, der den Anforderungen von Art. 28 DSGVO genügt?
- Serverstandort und Rechtsraum: werden Daten innerhalb der EU/des EWR verarbeitet? Bei Drittlandtransfers: Gibt es angemessene Garantien (z.B. Standardvertragsklauseln)?
- Technische Schutzmaßnahmen: bietet der Anbieter Verschlüsselung (at rest und in transit), Zugriffsmanagement und regelmäßige Penetrationstests?
- Sub-Prozessoren transparent: sind alle Unterauftragnehmer namentlich benannt und vertraglich gebunden?
- Zertifizierungen: verfügt der Anbieter über relevante Nachweise wie ISO 27001, SOC 2 oder vergleichbare Standards?
- Auditrechte verankert: sind Prüf- und Kontrollrechte im Vertrag klar geregelt?
- Löschkonzept definiert: ist festgelegt, wie und wann Daten nach Vertragsende gelöscht werden?
- Abstimmung mit Datenschutzbeauftragtem: wurde der interne DSB in die Anbieterauswahl einbezogen?
- Betriebsrat informiert: ist die AV-Konstellation Bestandteil der Betriebsvereinbarung?
Ein sorgfältig geprüfter AV-Vertrag ist kein bürokratisches Hindernis. Er ist die Grundlage für eine vertrauensvolle Zusammenarbeit mit externen Partnern, und damit auch für die Akzeptanz der Befragung bei den Beschäftigten.
Mehr zu diesem Thema?
Funktionen entdeckenVerwandte Begriffe
DSGVO & Mitarbeiterbefragungen
Die DSGVO setzt den Rahmen für jede Mitarbeiterbefragung: Rechtsgrundlage, Anonymisierung, Informationspflichten und Einbindung des Betriebsrats. Ein Überblick für HR-Verantwortliche.
Datenschutz im Personalwesen
Datenschutz im Personalwesen umfasst alle rechtlichen Anforderungen und organisatorischen Maßnahmen zum Schutz personenbezogener Mitarbeiterdaten.
Anonymität in Mitarbeiterbefragungen
Anonymität in Mitarbeiterbefragungen stellt sicher, dass Antworten nicht auf einzelne Personen zurückgeführt werden können. Das ist die Grundlage für ehrliches Feedback.
Betriebsvereinbarung
Eine Betriebsvereinbarung ist ein verbindlicher Vertrag zwischen Arbeitgeber und Betriebsrat, der betriebliche Regelungen festlegt. Bei Mitarbeiterbefragungen ist sie ein wichtiges Instrument für Vertrauen und Rechtssicherheit.
Bereit für besseres Feedback?
Buchen Sie eine kostenlose Demo und erfahren Sie, wie Kultify Ihr Unternehmen unterstützt.
Wir sprechen mit Ihnen über
- Mitarbeiterbefragung mit wenig Aufwand
- Unkomplizierte Einführung inklusive Schulung
- DSGVO-konform, anonym, mit Betriebsrat abgestimmt
- Ein Tool für HR, Führung und Geschäftsleitung