Skip to content

Auftragsverarbeitungsvertrag (AVV)

Gretchenfrage: Nun sag, wie hast du’s mit der Weitergabe von Daten?

Klingt kompliziert. Und zugegeben, ist es manchmal auch. Dabei handelt es sich um eine zentrale Anforderung der DSGVO: Werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich.

Was ist ein Auftragsverarbeitungsvertrag?

Bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgen. Der AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie ggfs. erforderlicher Subdienstleister.

Damit soll erreicht werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Zusätzlich wird der Dienstleister verpflichtet, die Daten in angemessenem Maße zu schützen.

Dem Auftraggeber werden im Vertrag umfassende Rechte zur Kontrolle der vereinbarten Vertragsinhalte (respektive: die beim Dienstleister getroffenen Maßnahmen und Vorkehrungen) eingeräumt. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftraggeber in Kontakt kommt, weiterhin verantwortlich.

Wann brauche ich einen AV-Vertrag?

Die drei Buchstaben AVV hat fast jeder schon einmal gehört. Aber kaum ein Verantwortlicher weiß, was AVV praktisch (und im Detail) bedeutet. Dabei ist ein AV-Vertrag in vielen Fällen eine unverzichtbare Grundlage bei der Nutzung von Diensten bzw. Dienstleistungen. Ein paar Beispiele:

  • Google Analytics
  • Newsletter-Versand über einen externen Anbieter
  • Outsourcing von Diensten (z. B. Rechenzentrum)
  • Beauftragung von Callcentern
  • externer Support / IT-Dienstleister
  • etc.

Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden.

Sie benötigen einen Auftragsverarbeitungsvertrag (AVV) erstellt von einem ext. Datenschutzbeauftragter?

Doch wann ist ein Dienstleister weisungsabhängig und zählt somit als Auftragsverarbeiter?

Satteln wir das Pferd einmal von hinten auf:

Keine Datenverarbeitung liegt vor, wenn der Dienstleister die anvertrauten Daten eigenverantwortlich behandelt. Der Auftraggeber verfügt also weder über Weisungs- noch über Kontrollrechte und überlässt dem Dienstleister die Entscheidung über Mittel und Zweck der Datenverarbeitung und der inhaltlichen Gestaltung. In diesem Falle ist der Dienstleister kein Auftragsverarbeiter. Ein typisches Beispiel dafür ist die Finanz- oder Steuerberatung.

Wenn Sie aber einen Auftragsverarbeiter beauftragen und die Zwecke und Mittel der Datenverarbeitung festlegen, sind Sie verantwortlich für die Daten der Betroffenen. Es liegt vermutlich eine Auftragsverarbeitung vor, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • keinen eigenen Geschäftszweck mit der Verarbeitung der Daten verfolgt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht
  • der Auftraggeber verantwortlich für die Datenverarbeitung ist.

Je weisungsgebundener ein Dienstleister ist, desto höher ist die Wahrscheinlichkeit, dass Sie weiterhin für die Daten verantwortlich sind und einen AVV abschließen müssen.

Sind Sie sich nach wie vor nicht sicher ob Sie einen AVV benötigen, können Sie sich auch an Ihre Aufsichtsbehörde oder Ihren Datenschutzbeauftragten wenden.

Hier finden Sie eine Liste mit AV-Verträgen.

Sie benötigen Unterstützung?

Wir helfen Unternehmen bundesweit bei der Erstellung und Pflege von Auftragsverarbeitungsverträgen

Was muss in einem Auftragsverarbeitungsvertrag beachtet werden?

Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten, Kategorien der Betroffenen
  • Umfang der Weisungsbefugnisse
  • Anlage mit technischen und organisatorischen Maßnahmen
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten und Rechte des Auftragsverarbeiter:
    o Verarbeitung nach dokumentierter Weisung
    o Wahrung der Vertraulichkeit und Verschwiegenheitspflicht
    o Ergreifung geeigneter Maßnahmen zur Verarbeitung
    o Hinzuziehen von Subunternehmen
    o Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
    o Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten
    o Informieren des Verantwortlichen, falls eine Weisung gegen Datenschutzrecht verstößt
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters

Wird ein Einverständnis der Betroffenen benötigt?

Klären wir zunächst einmal was es mit dem Verbot mit Erlaubnisvorbehalt auf sich hat.

Für die Weitergabe von Daten an Dritte und für die Verarbeitung wird eine Rechtsgrundlage benötigt, das besagt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet konkret, dass eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen für den Umgang mit personenbezogenen Daten benötigt wird.

Ein Auftragsverarbeiter wird jedoch nicht als Dritter eingestuft und somit ist auch keine weitere Rechtsgrundlage erforderlich. Betroffene müssen lediglich auf den Einsatz von Auftragsverarbeitern hingewiesen werden.

Wichtig zu wissen:

Auftragsverarbeitung findet statt, wenn ein Auftragnehmer der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags personenbezogene Daten erhebt, verarbeitet und nutzt. Die DSGVO regelt diese Auftragsverarbeitung detailliert und europaweit.

Der Auftragsverarbeiter muss sorgfältig und unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Er darf nur auf Weisung des Verantwortlichen die entsprechenden Daten für den vorgesehenen Zweck verarbeiten.

Die Datenverarbeitung kann auch außerhalb der EU stattfinden. Gemäß der DSGVO müssen aber nun auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen. Ansprechpartner für Betroffene bleibt aber weiterhin der für die Verarbeitung Verantwortliche.

Unseren Blogbeitrag zum Thema AVV bei Lohn- & Gehaltsbuchhaltung durch Steuerberater finden Sie hier.

Wir freuen uns auf Ihr Projekt!

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Download

Laden Sie hier Ihr Vertragsmuster zur Auftragsverarbeitung von der Gesellschaft für Datenschutz und Datensicherheit herunter.

Angebot anfordern 0251 29794740 Remote-Desktop download