Auftragsverarbeitungsvertrag (AVV) – heyData schafft Transparenz
Einleitung
Ein Auftragsverarbeitungsvertrag (AVV) ist im Tagesgeschäft eine Maßnahme, die durch die neuen, strengeren EU-Vorgaben den Datenschutz der Verbraucher stärken soll. Werden personenbezogene Daten an Dritte weitergeleitet und verarbeitet, wird oft ein sogenannter AV-Vetrag abgeschlossen. Die Notwendigkeit eines AV-Vertrags ergibt sich aus einem klassischen Szenario. Wenn ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) beauftragt, personenbezogene Daten zu sichten und zu verarbeiten, liegt die Verantwortung für diese Daten beim Auftraggeber. Der Auftragnehmer muss jederzeit alle erforderlichen Garantien gemäß Artikel 28 der Datenschutzgrundverordnung (DSGVO) geben. Dieser Artikel besagt, dass die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgen kann. Eine unsachgemäße Verarbeitung personenbezogener Daten kann zu Bußgeldern und einem Imageverlust führen!
Wann ist ein AV-Vertrag notwendig?
Die Notwendigkeit eines AV-Vertrags ergibt sich aus einem klassischen Szenario. Wenn ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) beauftragt, personenbezogene Daten zu sichten und zu verarbeiten, liegt die Verantwortung für diese Daten beim Auftraggeber. Der Auftragnehmer muss jederzeit alle erforderlichen Garantien gemäß Artikel 28 der Datenschutzgrundverordnung (DSGVO) geben. Dieser Artikel besagt, dass die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgen kann. Eine unsachgemäße Verarbeitung personenbezogener Daten kann zu Bußgeldern und einem Imageverlust führen!
Welche Daten gelten als personenbezogen?
Personenbezogene Daten sind Informationen, die eine Person identifizierbar machen. Im Internet stoßen wir häufig auf folgende Datenabfragen:
- Name
- Adresse
- E-Mail-Kontaktdaten
- Telefonnummern
- Konto- / Kreditkarteninformationen
- Geburtsdaten
- IP-Adressen
- Körperliche Merkmale
- Zeugnisse oder Bescheinigungen
Es handelt sich also um sehr sensible Daten. Bei der Verarbeitung dieser Informationen muss grundsätzlich darauf geachtet werden, ob ein externer Zugriff zur Erfüllung einer Tätigkeit zwingend erforderlich ist.
Ist die Weitergabe von personenbezogenen Daten an einen Geschäftspartner immer eine Auftragsverarbeitung?
Nein, juristisch gesehen liegt nur dann eine Auftragsverarbeitung vor, wenn die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers vorgenommen wird und den Hauptkern der vereinbarten Leistung bildet. Beauftragte Dienstleistungen, die nicht hauptsächlich den Bereich der Datenverarbeitung abdecken, erfordern nicht den Abschluss eines AVV.
Praxisbeispiel:
- Ein Unternehmen, das die Wartung eines Druckers (physische Hardware, nicht Software) anbietet, verlangt in der Regel nicht den Abschluss eines Auftragsverarbeitungsvertrags, denn der Kern der erbrachten Dienstleistung ist nicht die Verarbeitung personenbezogener Daten, sondern die Wartung eines Geräts.
- Geheimnisträger wie Wirtschaftsprüfer oder Steuerberater müssen ebenfalls keinen AVV abschließen. Diese Berufsgruppen sind von Berufs wegen zur Verschwiegenheit verpflichtet und benötigen daher keinen AV-Vertrag.
Im Gegensatz dazu muss beispielsweise eine Werbeagentur, die im Auftrag eines Unternehmens Werbeflyer versendet und dabei personenbezogene Daten wie Post- oder E-Mail-Adressen verwendet, einen AVV DSGVO abschließen, da die Agentur die Adressdaten vom Auftraggeber erhält und verarbeiten muss.
Weitere Beispiele für einen notwendigen AV-Vertrag sind:
- Auslagerung der E-Mail-Verwaltung
- Externe Datenerfassung
- Externe Backups
- Datenträgerentsorgung
- Externes Call-Center
Natürlich ist es schwierig, die Notwendigkeit eines AV-Vertrags genau zu definieren, und die Grenzen überschneiden sich oft. Ein wichtiger Indikator für die Notwendigkeit eines AV-Vertrags ist die Weisungsbindung. Wenn der externe Dienstleister nicht befugt ist, frei über die Durchführung und Art der Leistung zu entscheiden, besteht eine Weisungsbindung zum Auftraggeber, und dies macht einen AV-Vertrag zwingend erforderlich.
Beratungsleistungen zum AV-Vertrag? heyData ist dein seriöser Partner!
Bezüglich der Verwaltung eines AV-Vertrags behält heyData den Überblick. Wir stellen dir rechtssichere Vertragsvorlagen bereit und beraten dich gerne!
Wir unterstützen dich als Auftraggeber in folgenden Punkten:
- Bereitstellung eines rechtssicheren Auftragsverarbeitungsvertrags
- Beratung über mögliche Risiken bei den einzelnen Dienstleistern
- Kontrolle der Einhaltung der Datenschutzpflichten durch die Auftragnehmer
Wir unterstützen Auftragnehmer in folgenden Punkten:
- Beratung über die datenschutzrechtlich korrekte Gestaltung der Zusammenarbeit mit Auftraggebern
- Gestaltung eines rechtsicheres Auftragsverarbeitungsvertrag
- Anweisungen zur korrekten Umsetzung der Verpflichtungen, die sich aus dem AVV ergeben
heyData bringt Licht ins Dunkel – Die Inhalte des AV-Vertrags
Einen AV-Vertrag (AV DSGVO) zu erstellen, bringt viele Unternehmen in Schwierigkeiten, da viele Details zu beachten sind. heyData ist dein kompetenter Partner, wenn es um die korrekte und datenschutzkonforme Ausarbeitung deines AV-Vetrags geht.
Bei einem AV-Vertrag sind folgende Punkte zu beachten:
1. Klarheit der Vertragsparteien
Der AVV muss den Auftraggeber und den Auftragnehmer (datenverarbeitende Partei) benennen.
2. Auftragsgegenstand
Hier muss der Auftragsgegenstand und der Zweck der Verarbeitung von personenbezogenen Daten definiert werden. Auch müssen die betroffenen Personengruppen benannt werden. Platzsparend können diese Angaben auch in einer Anlage aufgeführt werden.
3. Auftragsgeberpflichten
Der Auftraggeber hat die stetige Verantwortung für die Verarbeitung der personenbezogenen Daten und muss die Rechte der Betroffenen schützen. Er ernennt weisungsbefugte Personen. Unregelmäßigkeiten oder Verarbeitungsfehler werden verschriftlicht.
4. Auftragsnehmerpflichten
Der Auftragnehmer darf nur Daten verarbeiten, welche im Rahmen der Dienstleistungsvereinbarung definiert wurden. Im Falle eines rechtlichen Verstoßes, muss der Auftraggeber sofort in Kenntnis gesetzt werden. Die Pflichten des Auftragnehmers stellen den Kern eines AV-Vetrags dar, da in diesem Verarbeitungsbereich mit Daten umgegangen wird.
5. Der Datenschutzbeauftragte
Ist ein externer oder interner Datenschutzbeauftragter vorhanden, werden diese Informationen aufgenommen. Eine Rücksprache mit einem Datenschutzbeauftragten ist zu empfehlen – heyData berät dich zu dieser Thematik sehr gerne.
6. Meldepflichten des Auftragnehmers
Der Auftragnehmer muss die Einhaltung des Datenschutzes garantieren. Bei Verstößen gegen die DSGVO oder andere vertragliche Verpflichtungen, ist der Auftraggeber unverzüglich zu benachrichtigen.
7.Mitwirkung des Auftragnehmers
Der Auftragnehmer ist in der Pflicht, den Auftraggeber in allen Bereichen zu unterstützen, die die Verarbeitung von Daten betreffen. Hierzu gehören die Bearbeitung von Anfragen in Bezug auf die Wahrnehmung von Betroffenenrechten und die Erstellung von Verarbeitungslisten.
8. Datenschutzkontrolle
Der Auftraggeber ist rechtlich befugt, die Einhaltung der DSGVO jederzeit zu überprüfen. Eine Kontrolle in den Geschäftsräumen des Auftragnehmers ist zu ermöglichen.
9. Definition eines Unterauftragsverhältnisses
Ist dem Auftragnehmer es vertraglich gestattet einen Unterauftragnehmer zu beschäftigen, muss dies detailliert verschriftlicht werden.
10. Vertraulichkeit
Deut Auftragnehmer und seine Mitarbeiter sind zur Vertraulichkeit verpflichtet, wenn personenbezogene Daten verarbeitet werden. Die Geheimnisschutzregeln des Auftraggebers sind zu beachten.
11. Betroffenenrechte
Der Auftraggeber ist nach Art. 12-23 DSGVO in der Pflicht Anträge von Betroffenen zu bearbeiten. Der Auftragnehmer wird in die Pflicht genommen, den Auftraggeber hierbei zu unterstützen.
12. Offenlegung der Maßnahmen
Der Auftragnehmer ist verpflichtet, alle technischen und organisatorischen Maßnahmen offenzulegen.
13. Dauer der Zusammenarbeit
Der Beginn und die Beendigung des Vertragsverhältnisses wird definiert. Kündigungsmodalitäten werden festgehalten.
14. Beendigung der Zusammenarbeit
Unterlagen, Daten und alle weiteren Ergebnisse sind dem Auftraggeber auszuhändigen oder auch zu löschen.
15. Schlussbestimmung
Definierte Schlussbestimmungen werden festgehalten.
Fazit
Abschließend lässt sich sagen, dass ein Auftragsverarbeitungsvertrag (AVV) eine wichtige Maßnahme ist, um den Datenschutz bei der Verarbeitung personenbezogener Daten zu gewährleisten. Du solltest Dir bewusst sein, dass die Weitergabe von Daten an Dritte und deren Verarbeitung mit erheblichen rechtlichen und finanziellen Risiken verbunden sein kann, wenn keine angemessenen Schutzmaßnahmen getroffen werden.
Ein AV-Vertrag regelt Deine Rechte und Pflichten sowie die des Auftragnehmers und schafft somit Transparenz und Rechtssicherheit. Er legt fest, wie die Daten verarbeitet werden, welche Sicherheitsvorkehrungen getroffen werden müssen und wie mit Datenschutzverletzungen umzugehen ist.
Es ist wichtig, dass Du die Notwendigkeit eines AV-Vertrags sorgfältig prüfst und sicherstellst, dass Du mit vertrauenswürdigen und zuverlässigen Auftragnehmern zusammenarbeitest. Ein seriöser Partner wie heyData kann Dir bei der Erstellung und Umsetzung eines AV-Vertrags unterstützen und sicherstellen, dass alle rechtlichen Anforderungen erfüllt werden.
Der Schutz personenbezogener Daten ist in der heutigen digitalen Welt von entscheidender Bedeutung. Du musst sicherstellen, dass Du die Privatsphäre Deiner Kunden respektierst und alle erforderlichen Maßnahmen ergreifst, um deren Daten zu schützen. Ein gut strukturierter und umfassender AV-Vertrag ist ein wichtiger Schritt in diese Richtung.
Bei Fragen zum Thema Datenschutz und Auftragsverarbeitungsverträgen steht heyData Dir gerne zur Verfügung. Vertrau auf unsere Expertise und lass uns gemeinsam dafür sorgen, dass Deine Daten sicher und geschützt sind.
Hast Du Fragen zum Thema Datenschutz und AV-Vertrag? – heyData berät Dich gerne – Sprich uns an!
Weitere Artikel
Biometrische Daten und DSGVO: Die Balance zwischen Privatsphäre und Fortschritt
Biometrische Daten revolutionieren die Sicherheit und das Benutzererlebnis, aber die Einhaltung der DSGVO ist von entscheidender Bedeutung. In diesem Artikel werden die Herausforderungen beim Umgang mit biometrischen Daten, Lehren aus realen Fällen von Nichteinhaltung und praktische Tipps für die Einhaltung der DSGVO bei gleichzeitiger Nutzung biometrischer Technologie untersucht. Erfahre, wie du Datenschutz und Fortschritt mit Transparenz, sicheren Verfahren und proaktivem Datenmanagement in Einklang bringst. Stelle sicher, dass deine Organisation biometrische Daten verantwortungsbewusst nutzt und Vertrauen aufbaut, ohne Bußgelder zu riskieren.
Mehr erfahrenNIS2 konform: Was Unternehmen wissen müssen
Die NIS2-Richtlinie, die am 17. Oktober 2024 in Kraft tritt, stärkt den Cybersicherheitsrahmen der EU, indem sie die NIS-Richtlinie von 2016 erweitert. Sie gilt für große und mittlere Unternehmen in kritischen Sektoren wie Energie, Verkehr, Banken und Gesundheitswesen sowie für einige kleinere Firmen, insbesondere für solche, die wichtige Dienstleistungen erbringen. NIS2 schreibt strenge Sicherheitsmaßnahmen vor und legt den Schwerpunkt auf Risikomanagement, Unternehmensverantwortung, Meldung von Vorfällen, Geschäftskontinuität und zwischenstaatliche Zusammenarbeit. Die Unternehmen müssen die Vorschriften erfüllen, um Strafen zu vermeiden, wobei der Schwerpunkt auf proaktiven Cybersicherheitsstrategien und grenzüberschreitender Zusammenarbeit innerhalb der EU liegt.
Mehr erfahrenHinweisgeberschutzgesetz: So schaffst du eine Kultur des Vertrauens in deinem Unternehmen
Es ist wichtig, dass in deinem Unternehmen eine Kultur geschaffen wird, in der Whistleblower willkommen sind. Das sorgt für mehr Transparenz, Verantwortlichkeit und Compliance. Dieser Leitfaden zeigt, wie man eine Kultur schafft, in der Mitarbeiter:innen offen über Probleme sprechen können. Dazu muss man erst Whistleblowing-Programme einrichten. Diese Programme müssen einfach zu nutzen sein und alle Informationen vertraulich behandeln. Außerdem muss man die Mitarbeiter:innen schulen und ihnen zeigen, dass man ihnen vertraut. Wenn jemand einen Fehler macht, darf er oder sie nicht bestraft werden. Alle Meldungen müssen schnell bearbeitet werden. Wenn man das alles beachtet, kann man eine transparente und ethische Organisationskultur schaffen, in der alle vertrauen und gemeinsam Probleme lösen.
Mehr erfahren