Vertrag zur Auftragsverarbeitung (AVV) richtig prüfen

In der heutigen digitalen Geschäftswelt ist der Schutz personenbezogener Daten von zentraler Bedeutung. Unternehmen, die externe Dienstleister mit der Verarbeitung solcher Daten beauftragen, sind verpflichtet, einen Vertrag zur Auftragsverarbeitung (AVV) abzuschließen. Doch wie stellt man sicher, dass dieser Vertrag den gesetzlichen Anforderungen entspricht? In diesem Artikel erfahren Sie, worauf Sie bei der Prüfung eines AVV achten sollten, um Datenschutzkonformität zu gewährleisten.

Grundlagen des Vertrags zur Auftragsverarbeitung

Definition und Bedeutung des AVV

Ein AVV ist ein rechtlich bindender Vertrag zwischen einem Verantwortlichen (z. B. Ihrem Unternehmen) und einem Auftragsverarbeiter (z. B. einem IT-Dienstleister), der personenbezogene Daten im Auftrag verarbeitet. Er legt unter anderem fest:

  • Art und Zweck der Datenverarbeitung
  • Dauer der Verarbeitung
  • Kategorien betroffener Personen und Daten
  • Sicherheitsmaßnahmen zum Schutz der Daten
  • Pflichten bei Vertragsende, z. B. Datenlöschung

Ohne AVV drohen Bußgelder und Haftungsrisiken. Unsere Fachanwälte stellen sicher, dass Ihr Vertrag alle Anforderungen der DSGVO erfüllt. Mehr erfahren

Wann ist ein AVV erforderlich?

Ein Auftragsverarbeitungsvertrag ist immer erforderlich, wenn Sie personenbezogene Daten an andere Unternehmen geben, die diese in Ihrem Auftrag verarbeiten. Beispiele:

  • Webhosting: Ihr Provider speichert Kundendaten.
  • Newsletter-Tools: Anbieter wie Mailchimp verarbeiten E-Mail-Adressen.
  • Cloud-Dienste: Lösungen wie Google Drive oder Dropbox.

Auch Subdienstleister (z. B. Cloud-Partner Ihres Webhosters) müssen im AVV berücksichtigt werden. Unsere Kanzlei prüft Ihre Verträge auf Lücken und sorgt für DSGVO-Konformität. Mehr erfahren

Wichtige Bestandteile eines AVV

Gegenstand und Dauer des Auftrags

Der Vertrag muss den konkreten Gegenstand und die Dauer der Datenverarbeitung klar definieren. Dies umfasst:

  • Beschreibung der beauftragten Dienstleistungen
  • Beginn und Ende der Verarbeitungstätigkeiten

Eine präzise Festlegung verhindert Missverständnisse und stellt sicher, dass beide Parteien ihre Pflichten kennen.

Umfang, Art und Zweck der Datenverarbeitung

Es ist essenziell, den Umfang, die Art und den Zweck der Datenverarbeitung detailliert zu beschreiben. Dazu gehören:

  • Welche Datenkategorien verarbeitet werden (z. B. Namen, Adressen, Zahlungsinformationen)
  • Zu welchem Zweck die Verarbeitung erfolgt (z. B. Kundenverwaltung, Marketing)
  • Welche Verarbeitungstätigkeiten durchgeführt werden (z. B. Erhebung, Speicherung, Übermittlung)

Diese Angaben gewährleisten Transparenz und helfen, den Datenschutz zu wahren.

Technische und organisatorische Maßnahmen (TOM)

Der AVV muss die vom Auftragsverarbeiter zu treffenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten festlegen. Dazu zählen:

  • Verschlüsselung von Daten
  • Zugriffskontrollen
  • Regelmäßige Sicherheitsüberprüfungen

Diese Maßnahmen sollten dem aktuellen Stand der Technik entsprechen und regelmäßig überprüft werden.

Prüfung und Kontrolle des AVV

Checkliste zur Vertragsprüfung

Um sicherzustellen, dass Ihr AVV den gesetzlichen Anforderungen entspricht, können Sie folgende Checkliste nutzen:

  • Liegt eine schriftliche Vereinbarung vor?
  • Sind Gegenstand und Dauer des Auftrags klar definiert?
  • Wurden Umfang, Art und Zweck der Datenverarbeitung festgelegt?
  • Sind die technischen und organisatorischen Maßnahmen beschrieben?
  • Gibt es Regelungen zu Unterauftragsverhältnissen?
  • Sind Kontrollrechte des Auftraggebers festgelegt?
  • Wurden Weisungsbefugnisse definiert?
  • Gibt es Vereinbarungen zur Rückgabe und Löschung von Daten nach Auftragsende?

Eine detaillierte Checkliste finden Sie bei Haufe: Checkliste zur Prüfung eines AVV

Kontrollrechte und Mitwirkungspflichten

Der Auftraggeber hat das Recht, die Einhaltung der vereinbarten Maßnahmen zu kontrollieren. Dies umfasst:

  • Regelmäßige Audits
  • Einsicht in relevante Dokumentationen
  • Vor-Ort-Inspektionen

Der Auftragsverarbeiter ist verpflichtet, diese Kontrollen zu ermöglichen und aktiv daran mitzuwirken.

Umgang mit Unterauftragsverhältnissen

Setzt der Auftragsverarbeiter weitere Subunternehmer ein, muss dies im AVV geregelt sein. Wichtige Punkte sind:

  • Einholung der Zustimmung des Auftraggebers
  • Sicherstellung, dass der Subunternehmer die gleichen Datenschutzstandards einhält
  • Vertragliche Verpflichtung des Subunternehmers zur Einhaltung der DSGVO

Eine sorgfältige Auswahl und Überwachung von Subunternehmern ist unerlässlich.

Fazit

Die korrekte Prüfung eines Vertrags zur Auftragsverarbeitung ist essenziell, um den Schutz personenbezogener Daten sicherzustellen und rechtliche Risiken zu minimieren. Durch die Beachtung der genannten Punkte und die Nutzung von Checklisten können Unternehmen ihre Datenschutzkonformität gewährleisten.

FAQ

Was passiert, wenn kein AVV abgeschlossen wird?
Ohne AVV besteht keine Rechtsgrundlage für die Datenverarbeitung durch den Auftragsverarbeiter. Dies kann zu hohen Bußgeldern und Haftungsrisiken führen. Mehr erfahren
Wer ist für die Einhaltung des AVV verantwortlich?
Beide Parteien, sowohl der Auftraggeber als auch der Auftragsverarbeiter, sind für die Einhaltung der im AVV festgelegten Pflichten verantwortlich.
Müssen bestehende AVV regelmäßig überprüft werden?
Ja, es ist empfehlenswert, bestehende AVV regelmäßig zu überprüfen, um sicherzustellen, dass sie den aktuellen gesetzlichen Anforderungen entsprechen und die vereinbarten Maßnahmen eingehalten werden.

Deine Individuelle Webseite

Klick auf den Button, um Dir eine kostenlose Beratung zu sichern gern auch bei einem Kaffee vor Ort in Donauwörth.

Los gehts
WordPress Cookie Plugin von Real Cookie Banner Call Now Button