Auftragsverarbeitungsvertrag prüfen

Jeder KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, muss als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden werden. Der Auftragsverarbeitungsvertrag (AVV) ist eine datenschutzrechtliche Pflichtgrundlage — sein Fehlen begründet einen DSGVO-Verstoß. Dieser Skill stellt eine strukturierte Prüfcheckliste bereit.

Rechtlicher Hintergrund

Art. 28 Abs. 1 DSGVO: Beauftragung nur von Auftragsverarbeitern mit hinreichenden Garantien für technisch-organisatorische Maßnahmen. Art. 28 Abs. 3 DSGVO: Pflichtinhalt des AVV (Gegenstand, Dauer, Art, Zweck, Weisungsgebundenheit, Vertraulichkeit, TOMs, Unterauftragsverarbeiter, Betroffenenrechte, Löschung/Rückgabe, Audits). Art. 28 Abs. 4 DSGVO: Unterauftragsverarbeiter müssen denselben Pflichten unterliegen. Art. 46 DSGVO: Anforderungen für Drittlandtransfers (SCC, Angemessenheitsbeschluss). Art. 83 Abs. 4 DSGVO: Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei AVV-Verstößen. Art. 82 DSGVO: Schadensersatzhaftung.

Vorgehen

1. AVV-Existenz prüfen: Besteht überhaupt ein schriftlicher (oder elektronischer) AVV mit dem KI-Anbieter?
2. Pflichtinhalte nach Art. 28 Abs. 3 DSGVO verifizieren: Sind alle gesetzlich vorgeschriebenen Regelungspunkte enthalten?
3. Subprozessoren-Liste einholen: Welche Unterauftragnehmer setzt der KI-Anbieter ein? Sind diese ebenfalls durch AVV gebunden? Wird eine aktuelle Liste bereitgestellt?
4. TOMs prüfen: Sind die technisch-organisatorischen Maßnahmen konkret beschrieben und dem Stand der Technik entsprechend?
5. Drittlandtransfer-Regelung verifizieren: Verarbeitet der Anbieter Daten außerhalb des EWR? Falls ja: Welche Rechtsgrundlage für den Drittlandtransfer (Angemessenheitsbeschluss, SCC, TIA)?
6. Audit- und Kontrollrechte sicherstellen: Räumt der AVV der Kanzlei das Recht ein, die Einhaltung der DSGVO durch den Anbieter zu überprüfen oder überprüfen zu lassen?
7. Löschfristen definieren: Verpflichtet der AVV den Anbieter zur Löschung oder Rückgabe aller Daten nach Vertragsende?

Vorlagentext / Bausteine

AVV-Prüfcheckliste:

☐ Schriftliche AVV-Vereinbarung liegt vor (Art. 28 Abs. 9 DSGVO: auch elektronische Form genügt) ☐ Gegenstand, Dauer, Art und Zweck der Verarbeitung sind definiert ☐ Kategorien personenbezogener Daten und betroffener Personen sind spezifiziert ☐ Weisungsgebundenheit des Auftragsverarbeiters ist vereinbart ☐ Vertraulichkeitspflicht für alle zugriffsberechtigten Personen ist geregelt ☐ Konkrete TOMs sind beschrieben oder als Anlage beigefügt ☐ Liste der genehmigten Unterauftragsverarbeiter liegt vor und wird aktuell gehalten ☐ Kanzlei-Genehmigung bei Änderungen der Unterauftragsverarbeiter ist vereinbart ☐ Unterstützungspflicht bei Betroffenenanfragen und Datenschutzbehörden ist geregelt ☐ Meldepflicht bei Datenschutzverletzungen nach Art. 33 DSGVO ist vereinbart ☐ Datenschutz-Folgenabschätzung-Unterstützung nach Art. 35 DSGVO ist zugesagt ☐ Löschung oder Rückgabe aller Daten nach Vertragsende ist geregelt ☐ Audit- und Kontrollrechte der Kanzlei sind vereinbart ☐ Drittlandtransfer-Rechtsgrundlage ist dokumentiert (falls anwendbar) ☐ § 43e-BRAO-Vereinbarung ist zusätzlich abgeschlossen (berufsrechtliche Anforderung)

Hinweise zur Aktualisierung

Die Anforderungen an AVV können sich durch Entscheidungen der Datenschutzbehörden oder neue EuGH-Rechtsprechung ändern. Ebenso müssen AVV bei wesentlichen Änderungen der Datenverarbeitungstätigkeit aktualisiert werden. Bei Änderungen der Unterauftragsverarbeiter des KI-Anbieters ist zu prüfen, ob eine erneute Risikobeurteilung erforderlich ist.

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• Art. 28 DSGVO — Auftragsverarbeitung (Pflichtinhalt AVV)
• Art. 46 DSGVO — Drittlandtransfer-Garantien (SCC, Angemessenheitsbeschluss)
• Art. 82 DSGVO — Schadensersatz
• Art. 83 Abs. 4 DSGVO — Bussgelder bis 10 Mio. EUR
• § 43e BRAO — Berufsrechtliche IT-Dienstleister-Anforderungen

Triage zu Beginn

1. Besteht ein schriftlicher AVV nach Art. 28 DSGVO mit dem KI-Anbieter?
2. Sind alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO enthalten?
3. Verarbeitet der Anbieter Daten ausserhalb des EWR — ist eine TIA durchgefuehrt?
4. Sind Unterauftragsverarbeiter benannt und durch eigenen AVV gebunden?
5. Sind Auditrechte der Kanzlei nach Art. 28 Abs. 3 lit. h DSGVO vereinbart?

Output-Template — AVV-Pruefungsprotokoll

Adressat: Kanzlei intern / DSB — Tonfall: checklisten-strukturiert

AVV-PRUEFUNGSPROTOKOLL
[DATUM] — Anbieter: [ANBIETERNAME] — Anwendungsfall: [BESCHREIBUNG]

Ergebnis: [WIRKSAMER AVV / LUECKEN / KEIN AVV — EINSATZ UNZULAESSIG]

Pflichtinhalte Art. 28 Abs. 3 DSGVO:
☑/☐ Gegenstand und Dauer der Verarbeitung
☑/☐ Weisungsgebundenheit
☑/☐ Vertraulichkeitspflicht
☑/☐ TOMs (konkret oder als Anlage)
☑/☐ Unterauftragsverarbeiter-Liste
☑/☐ Unterstuetzung Betroffenenrechte
☑/☐ Meldepflicht Datenpanne Art. 33 DSGVO
☑/☐ Loeschung / Rueckgabe nach Vertragsende
☑/☐ Auditrecht Art. 28 Abs. 3 lit. h DSGVO
☑/☐ Drittlandtransfer-Rechtsgrundlage (Art. 46 DSGVO)

§ 43e BRAO Berufsrechts-AVV: ☑/☐ vorhanden

Naechste Pruefung: [DATUM]
Geprueft von: [NAME]