AV-Vertrag abschließen – so geht’s

Die Verarbeitung personenbezogener Daten durch externe Dienstleister ist für viele Unternehmen unverzichtbar. Um dabei den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, ist der Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) unerlässlich. In diesem Artikel erfahren Sie, was ein AV-Vertrag ist, wann er benötigt wird und wie Sie ihn erfolgreich abschließen.

Was ist ein Auftragsverarbeitungsvertrag?

Definition und rechtliche Grundlage

Ein Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Gemäß Art. 28 DSGVO ist ein solcher Vertrag erforderlich, wenn ein Unternehmen personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt. Der AV-Vertrag stellt sicher, dass der Dienstleister die Daten ausschließlich nach den Weisungen des Verantwortlichen und unter Einhaltung der Datenschutzvorschriften verarbeitet.

Inhalte eines AV-Vertrags

Ein AV-Vertrag muss mindestens folgende Punkte enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten des Auftragsverarbeiters, einschließlich technischer und organisatorischer Maßnahmen
  • Regelungen zur Inanspruchnahme von Subunternehmern
  • Unterstützung des Verantwortlichen bei der Wahrung der Betroffenenrechte
  • Verpflichtung zur Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung
  • Kontrollrechte des Verantwortlichen und Duldungspflichten des Auftragsverarbeiters

Diese Anforderungen sind in Art. 28 Abs. 3 DSGVO festgelegt und müssen individuell auf die jeweilige Verarbeitungssituation angepasst werden.

Wann ist ein AV-Vertrag erforderlich?

Beispiele für Auftragsverarbeitung

Ein AV-Vertrag ist immer dann erforderlich, wenn ein Unternehmen personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt. Typische Beispiele sind:

  • Hosting von Websites oder Online-Shops
  • Nutzung von Cloud-Diensten
  • Auslagerung des Kundenservices an ein externes Callcenter
  • Beauftragung von Marketingagenturen für Newsletter-Versand
  • Wartung von IT-Systemen durch externe Dienstleister

In all diesen Fällen verarbeitet der Dienstleister personenbezogene Daten im Auftrag des Unternehmens, weshalb ein AV-Vertrag erforderlich ist.

Abgrenzung zu anderen Vertragsarten

Es ist wichtig, zwischen Auftragsverarbeitung und anderen Formen der Datenverarbeitung zu unterscheiden. Wenn ein Dienstleister die Daten nicht weisungsgebunden verarbeitet, sondern eigene Zwecke verfolgt, handelt es sich nicht um eine Auftragsverarbeitung, sondern um eine gemeinsame Verantwortlichkeit oder eine eigenständige Verantwortlichkeit. In solchen Fällen sind andere vertragliche Regelungen erforderlich.

Schritte zum erfolgreichen Abschluss eines AV-Vertrags

Identifikation der relevanten Dienstleister

Der erste Schritt besteht darin, alle Dienstleister zu identifizieren, die personenbezogene Daten im Auftrag Ihres Unternehmens verarbeiten. Erstellen Sie eine Liste dieser Dienstleister und prüfen Sie, ob bereits AV-Verträge bestehen oder abgeschlossen werden müssen.

Vertragsvorlagen nutzen und anpassen

Es gibt zahlreiche Muster für AV-Verträge, die als Grundlage dienen können. Beispielsweise stellt die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) ein überarbeitetes Muster zur Auftragsverarbeitung gemäß Art. 28 DSGVO zur Verfügung. Dieses Muster enthält neben dem eigentlichen Vertragsentwurf auch Erläuterungen zu den einzelnen Vertragsklauseln und allgemeine Hinweise zur Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter. Sie können das Muster hier herunterladen: Muster zur Auftragsverarbeitung gem. Art. 28 DS-GVO.

Passen Sie die Vorlage an die spezifischen Anforderungen Ihres Unternehmens und die Art der Datenverarbeitung an. Achten Sie darauf, dass alle erforderlichen Punkte gemäß Art. 28 DSGVO abgedeckt sind.

Verhandlungen und Abschluss des Vertrags

Nachdem der Vertrag erstellt wurde, sollten Sie ihn dem Dienstleister zur Prüfung vorlegen. Es kann zu Verhandlungen über bestimmte Klauseln kommen. Ziel ist es, eine Einigung zu erzielen, die den gesetzlichen Anforderungen entspricht und die Interessen beider Parteien berücksichtigt. Nach erfolgreicher Verhandlung sollte der Vertrag von beiden Parteien unterzeichnet und sorgfältig archiviert werden.

Dokumentation und regelmäßige Überprüfung

Bewahren Sie alle abgeschlossenen AV-Verträge gut auf und dokumentieren Sie den gesamten Prozess. Es ist empfehlenswert, die Verträge regelmäßig zu überprüfen und bei Bedarf anzupassen, insbesondere wenn sich die Art der Datenverarbeitung oder die gesetzlichen Anforderungen ändern.

Fazit

Der Abschluss eines Auftragsverarbeitungsvertrags ist ein zentraler Bestandteil der DSGVO-Compliance für Unternehmen, die personenbezogene Daten durch externe Dienstleister verarbeiten lassen. Durch sorgfältige Identifikation der relevanten Dienstleister, Nutzung und Anpassung geeigneter Vertragsvorlagen sowie regelmäßige Überprüfung und Dokumentation stellen Sie sicher, dass Ihr Unternehmen den gesetzlichen Anforderungen entspricht und die Daten Ihrer Kunden geschützt sind.

FAQ

Was passiert, wenn kein AV-Vertrag abgeschlossen wird?
Ohne einen AV-Vertrag verstoßen Unternehmen gegen die DSGVO, was zu hohen Bußgeldern führen kann. Zudem fehlt die rechtliche Grundlage für die Datenverarbeitung durch den Dienstleister.
Muss ein AV-Vertrag schriftlich abgeschlossen werden?
Ja, gemäß Art. 28 Abs. 9 DSGVO muss der AV-Vertrag in schriftlicher Form, einschließlich elektronischer Form, abgeschlossen werden.
Kann ein AV-Vertrag auch nachträglich abgeschlossen werden?
Ja, es ist möglich, einen AV-Vertrag nachträglich abzuschließen. Es ist jedoch wichtig, dies so schnell wie möglich zu tun, um den gesetzlichen Anforderungen zu entsprechen.

Deine Individuelle Webseite

Klick auf den Button, um Dir eine kostenlose Beratung zu sichern gern auch bei einem Kaffee vor Ort in Donauwörth.

Los gehts
WordPress Cookie Plugin von Real Cookie Banner Call Now Button