Was ist ein Auftragsverarbeitungsvertrag (AVV)?

In der heutigen digitalen Geschäftswelt ist der Schutz personenbezogener Daten von zentraler Bedeutung. Unternehmen, die externe Dienstleister mit der Verarbeitung solcher Daten beauftragen, müssen sicherstellen, dass diese Verarbeitung den gesetzlichen Datenschutzvorschriften entspricht. Ein zentrales Instrument hierfür ist der Auftragsverarbeitungsvertrag (AVV). Doch was genau verbirgt sich hinter diesem Begriff, und warum ist er für Unternehmen so wichtig?

Definition und Bedeutung des Auftragsverarbeitungsvertrags

Was versteht man unter einem AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein schriftlicher Vertrag zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (Auftragnehmer). Er regelt die Bedingungen, unter denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ziel ist es, den Schutz der Daten sicherzustellen und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten.

Warum ist ein AVV notwendig?

Die DSGVO schreibt vor, dass Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten dürfen, die ausreichende Garantien für die Einhaltung geeigneter technischer und organisatorischer Maßnahmen bieten. Ein AVV stellt sicher, dass beide Parteien ihre Pflichten und Verantwortlichkeiten klar definieren und dokumentieren. Ohne einen solchen Vertrag riskieren Unternehmen hohe Bußgelder und rechtliche Konsequenzen.

Inhalte und Anforderungen eines AVV

Welche Bestandteile muss ein AVV enthalten?

Gemäß Art. 28 Abs. 3 DSGVO muss ein AVV mindestens folgende Punkte regeln:

  • Gegenstand und Dauer der Verarbeitung: Klare Definition, welche Daten verarbeitet werden und für welchen Zeitraum.
  • Art und Zweck der Verarbeitung: Beschreibung der konkreten Verarbeitungstätigkeiten und deren Zweck.
  • Art der personenbezogenen Daten und Kategorien betroffener Personen: Festlegung, welche Datenkategorien betroffen sind und welche Personengruppen.
  • Pflichten und Rechte des Verantwortlichen: Weisungsbefugnisse und Kontrollrechte des Auftraggebers.
  • Pflichten des Auftragsverarbeiters: Verpflichtung zur Vertraulichkeit, Implementierung technischer und organisatorischer Maßnahmen (TOMs), Unterstützung bei Betroffenenanfragen und Meldung von Datenschutzverletzungen.
  • Regelungen zu Subunternehmern: Bedingungen, unter denen der Auftragsverarbeiter weitere Dienstleister einbinden darf.
  • Rückgabe oder Löschung der Daten nach Beendigung der Verarbeitung: Festlegung, wie mit den Daten nach Vertragsende verfahren wird.

Technische und organisatorische Maßnahmen (TOMs)

Ein zentraler Bestandteil des AVV sind die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter ergreifen muss, um die Sicherheit der Datenverarbeitung zu gewährleisten. Dazu gehören unter anderem:

  • Verschlüsselung von Daten
  • Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme
  • Regelmäßige Überprüfung und Bewertung der Sicherheitsmaßnahmen

Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und regelmäßig überprüft werden.

Praktische Umsetzung und häufige Fallstricke

Wie schließt man einen AVV ab?

Der Abschluss eines AVV erfolgt in der Regel schriftlich oder in elektronischer Form. Viele Dienstleister bieten vorgefertigte Verträge an, die jedoch sorgfältig geprüft und an die spezifischen Anforderungen des Unternehmens angepasst werden sollten. Es ist wichtig, dass der AVV vor Beginn der Datenverarbeitung abgeschlossen wird.

Häufige Fehler und wie man sie vermeidet

Bei der Erstellung und Umsetzung eines AVV können verschiedene Fehler auftreten:

  • Unvollständige Verträge: Fehlende oder unklare Regelungen können zu rechtlichen Problemen führen.
  • Unzureichende Sicherheitsmaßnahmen: Wenn die technischen und organisatorischen Maßnahmen nicht dem Stand der Technik entsprechen, ist der Datenschutz gefährdet.
  • Fehlende Kontrolle: Der Verantwortliche muss regelmäßig überprüfen, ob der Auftragsverarbeiter die vereinbarten Maßnahmen einhält.

Um diese Fehler zu vermeiden, sollten Unternehmen bei der Auswahl ihrer Dienstleister sorgfältig vorgehen und den AVV regelmäßig überprüfen und aktualisieren.

Beispiele für Auftragsverarbeitung

Typische Szenarien, in denen ein AVV erforderlich ist, sind:

  • Beauftragung eines externen IT-Dienstleisters mit dem Hosting von Unternehmensdaten
  • Nutzung von Cloud-Services für die Speicherung von Kundendaten
  • Outsourcing der Lohnbuchhaltung an einen externen Dienstleister

In all diesen Fällen verarbeitet der Dienstleister personenbezogene Daten im Auftrag des Unternehmens, weshalb ein AVV notwendig ist.

FAQ

Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
Ein AVV ist immer dann erforderlich, wenn ein Unternehmen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt. Dies gilt unabhängig davon, ob der Dienstleister innerhalb oder außerhalb der EU ansässig ist.
Was passiert, wenn kein AVV abgeschlossen wird?
Ohne einen AVV verstößt das Unternehmen gegen die Vorgaben der DSGVO, was zu hohen Bußgeldern und rechtlichen Konsequenzen führen kann. Zudem besteht das Risiko, dass die Rechte der betroffenen Personen verletzt werden.
Kann ein AVV auch elektronisch abgeschlossen werden?
Ja, gemäß Art. 28 Abs. 9 DSGVO kann ein AVV auch in elektronischer Form abgeschlossen werden, sofern die elektronische Form den gesetzlichen Anforderungen entspricht und die Integrität des Vertrags gewährleistet ist.
WordPress Cookie Plugin von Real Cookie Banner Call Now Button