Auftragsverarbeitungsvertrag (AVV) – heyData schafft Transparenz
Einleitung
Ein Auftragsverarbeitungsvertrag (AVV) ist im Tagesgeschäft eine Maßnahme, die durch die neuen, strengeren EU-Vorgaben den Datenschutz der Verbraucher stärken soll. Werden personenbezogene Daten an Dritte weitergeleitet und verarbeitet, wird oft ein sogenannter AV-Vetrag abgeschlossen. Die Notwendigkeit eines AV-Vertrags ergibt sich aus einem klassischen Szenario. Wenn ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) beauftragt, personenbezogene Daten zu sichten und zu verarbeiten, liegt die Verantwortung für diese Daten beim Auftraggeber. Der Auftragnehmer muss jederzeit alle erforderlichen Garantien gemäß Artikel 28 der Datenschutzgrundverordnung (DSGVO) geben. Dieser Artikel besagt, dass die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgen kann. Eine unsachgemäße Verarbeitung personenbezogener Daten kann zu Bußgeldern und einem Imageverlust führen!
Wann ist ein AV-Vertrag notwendig?
Die Notwendigkeit eines AV-Vertrags ergibt sich aus einem klassischen Szenario. Wenn ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) beauftragt, personenbezogene Daten zu sichten und zu verarbeiten, liegt die Verantwortung für diese Daten beim Auftraggeber. Der Auftragnehmer muss jederzeit alle erforderlichen Garantien gemäß Artikel 28 der Datenschutzgrundverordnung (DSGVO) geben. Dieser Artikel besagt, dass die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgen kann. Eine unsachgemäße Verarbeitung personenbezogener Daten kann zu Bußgeldern und einem Imageverlust führen!
Welche Daten gelten als personenbezogen?
Personenbezogene Daten sind Informationen, die eine Person identifizierbar machen. Im Internet stoßen wir häufig auf folgende Datenabfragen:
- Name
- Adresse
- E-Mail-Kontaktdaten
- Telefonnummern
- Konto- / Kreditkarteninformationen
- Geburtsdaten
- IP-Adressen
- Körperliche Merkmale
- Zeugnisse oder Bescheinigungen
Es handelt sich also um sehr sensible Daten. Bei der Verarbeitung dieser Informationen muss grundsätzlich darauf geachtet werden, ob ein externer Zugriff zur Erfüllung einer Tätigkeit zwingend erforderlich ist.
Ist die Weitergabe von personenbezogenen Daten an einen Geschäftspartner immer eine Auftragsverarbeitung?
Nein, juristisch gesehen liegt nur dann eine Auftragsverarbeitung vor, wenn die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers vorgenommen wird und den Hauptkern der vereinbarten Leistung bildet. Beauftragte Dienstleistungen, die nicht hauptsächlich den Bereich der Datenverarbeitung abdecken, erfordern nicht den Abschluss eines AVV.
Praxisbeispiel:
- Ein Unternehmen, das die Wartung eines Druckers (physische Hardware, nicht Software) anbietet, verlangt in der Regel nicht den Abschluss eines Auftragsverarbeitungsvertrags, denn der Kern der erbrachten Dienstleistung ist nicht die Verarbeitung personenbezogener Daten, sondern die Wartung eines Geräts.
- Geheimnisträger wie Wirtschaftsprüfer oder Steuerberater müssen ebenfalls keinen AVV abschließen. Diese Berufsgruppen sind von Berufs wegen zur Verschwiegenheit verpflichtet und benötigen daher keinen AV-Vertrag.
Im Gegensatz dazu muss beispielsweise eine Werbeagentur, die im Auftrag eines Unternehmens Werbeflyer versendet und dabei personenbezogene Daten wie Post- oder E-Mail-Adressen verwendet, einen AVV DSGVO abschließen, da die Agentur die Adressdaten vom Auftraggeber erhält und verarbeiten muss.
Weitere Beispiele für einen notwendigen AV-Vertrag sind:
- Auslagerung der E-Mail-Verwaltung
- Externe Datenerfassung
- Externe Backups
- Datenträgerentsorgung
- Externes Call-Center
Natürlich ist es schwierig, die Notwendigkeit eines AV-Vertrags genau zu definieren, und die Grenzen überschneiden sich oft. Ein wichtiger Indikator für die Notwendigkeit eines AV-Vertrags ist die Weisungsbindung. Wenn der externe Dienstleister nicht befugt ist, frei über die Durchführung und Art der Leistung zu entscheiden, besteht eine Weisungsbindung zum Auftraggeber, und dies macht einen AV-Vertrag zwingend erforderlich.
Beratungsleistungen zum AV-Vertrag? heyData ist dein seriöser Partner!
Bezüglich der Verwaltung eines AV-Vertrags behält heyData den Überblick. Wir stellen dir rechtssichere Vertragsvorlagen bereit und beraten dich gerne!
Wir unterstützen dich als Auftraggeber in folgenden Punkten:
- Bereitstellung eines rechtssicheren Auftragsverarbeitungsvertrags
- Beratung über mögliche Risiken bei den einzelnen Dienstleistern
- Kontrolle der Einhaltung der Datenschutzpflichten durch die Auftragnehmer
Wir unterstützen Auftragnehmer in folgenden Punkten:
- Beratung über die datenschutzrechtlich korrekte Gestaltung der Zusammenarbeit mit Auftraggebern
- Gestaltung eines rechtsicheres Auftragsverarbeitungsvertrag
- Anweisungen zur korrekten Umsetzung der Verpflichtungen, die sich aus dem AVV ergeben
heyData bringt Licht ins Dunkel – Die Inhalte des AV-Vertrags
Einen AV-Vertrag (AV DSGVO) zu erstellen, bringt viele Unternehmen in Schwierigkeiten, da viele Details zu beachten sind. heyData ist dein kompetenter Partner, wenn es um die korrekte und datenschutzkonforme Ausarbeitung deines AV-Vetrags geht.
Bei einem AV-Vertrag sind folgende Punkte zu beachten:
1. Klarheit der Vertragsparteien
Der AVV muss den Auftraggeber und den Auftragnehmer (datenverarbeitende Partei) benennen.
2. Auftragsgegenstand
Hier muss der Auftragsgegenstand und der Zweck der Verarbeitung von personenbezogenen Daten definiert werden. Auch müssen die betroffenen Personengruppen benannt werden. Platzsparend können diese Angaben auch in einer Anlage aufgeführt werden.
3. Auftragsgeberpflichten
Der Auftraggeber hat die stetige Verantwortung für die Verarbeitung der personenbezogenen Daten und muss die Rechte der Betroffenen schützen. Er ernennt weisungsbefugte Personen. Unregelmäßigkeiten oder Verarbeitungsfehler werden verschriftlicht.
4. Auftragsnehmerpflichten
Der Auftragnehmer darf nur Daten verarbeiten, welche im Rahmen der Dienstleistungsvereinbarung definiert wurden. Im Falle eines rechtlichen Verstoßes, muss der Auftraggeber sofort in Kenntnis gesetzt werden. Die Pflichten des Auftragnehmers stellen den Kern eines AV-Vetrags dar, da in diesem Verarbeitungsbereich mit Daten umgegangen wird.
5. Der Datenschutzbeauftragte
Ist ein externer oder interner Datenschutzbeauftragter vorhanden, werden diese Informationen aufgenommen. Eine Rücksprache mit einem Datenschutzbeauftragten ist zu empfehlen – heyData berät dich zu dieser Thematik sehr gerne.
6. Meldepflichten des Auftragnehmers
Der Auftragnehmer muss die Einhaltung des Datenschutzes garantieren. Bei Verstößen gegen die DSGVO oder andere vertragliche Verpflichtungen, ist der Auftraggeber unverzüglich zu benachrichtigen.
7.Mitwirkung des Auftragnehmers
Der Auftragnehmer ist in der Pflicht, den Auftraggeber in allen Bereichen zu unterstützen, die die Verarbeitung von Daten betreffen. Hierzu gehören die Bearbeitung von Anfragen in Bezug auf die Wahrnehmung von Betroffenenrechten und die Erstellung von Verarbeitungslisten.
8. Datenschutzkontrolle
Der Auftraggeber ist rechtlich befugt, die Einhaltung der DSGVO jederzeit zu überprüfen. Eine Kontrolle in den Geschäftsräumen des Auftragnehmers ist zu ermöglichen.
9. Definition eines Unterauftragsverhältnisses
Ist dem Auftragnehmer es vertraglich gestattet einen Unterauftragnehmer zu beschäftigen, muss dies detailliert verschriftlicht werden.
10. Vertraulichkeit
Deut Auftragnehmer und seine Mitarbeiter sind zur Vertraulichkeit verpflichtet, wenn personenbezogene Daten verarbeitet werden. Die Geheimnisschutzregeln des Auftraggebers sind zu beachten.
11. Betroffenenrechte
Der Auftraggeber ist nach Art. 12-23 DSGVO in der Pflicht Anträge von Betroffenen zu bearbeiten. Der Auftragnehmer wird in die Pflicht genommen, den Auftraggeber hierbei zu unterstützen.
12. Offenlegung der Maßnahmen
Der Auftragnehmer ist verpflichtet, alle technischen und organisatorischen Maßnahmen offenzulegen.
13. Dauer der Zusammenarbeit
Der Beginn und die Beendigung des Vertragsverhältnisses wird definiert. Kündigungsmodalitäten werden festgehalten.
14. Beendigung der Zusammenarbeit
Unterlagen, Daten und alle weiteren Ergebnisse sind dem Auftraggeber auszuhändigen oder auch zu löschen.
15. Schlussbestimmung
Definierte Schlussbestimmungen werden festgehalten.
Fazit
Abschließend lässt sich sagen, dass ein Auftragsverarbeitungsvertrag (AVV) eine wichtige Maßnahme ist, um den Datenschutz bei der Verarbeitung personenbezogener Daten zu gewährleisten. Du solltest Dir bewusst sein, dass die Weitergabe von Daten an Dritte und deren Verarbeitung mit erheblichen rechtlichen und finanziellen Risiken verbunden sein kann, wenn keine angemessenen Schutzmaßnahmen getroffen werden.
Ein AV-Vertrag regelt Deine Rechte und Pflichten sowie die des Auftragnehmers und schafft somit Transparenz und Rechtssicherheit. Er legt fest, wie die Daten verarbeitet werden, welche Sicherheitsvorkehrungen getroffen werden müssen und wie mit Datenschutzverletzungen umzugehen ist.
Es ist wichtig, dass Du die Notwendigkeit eines AV-Vertrags sorgfältig prüfst und sicherstellst, dass Du mit vertrauenswürdigen und zuverlässigen Auftragnehmern zusammenarbeitest. Ein seriöser Partner wie heyData kann Dir bei der Erstellung und Umsetzung eines AV-Vertrags unterstützen und sicherstellen, dass alle rechtlichen Anforderungen erfüllt werden.
Der Schutz personenbezogener Daten ist in der heutigen digitalen Welt von entscheidender Bedeutung. Du musst sicherstellen, dass Du die Privatsphäre Deiner Kunden respektierst und alle erforderlichen Maßnahmen ergreifst, um deren Daten zu schützen. Ein gut strukturierter und umfassender AV-Vertrag ist ein wichtiger Schritt in diese Richtung.
Bei Fragen zum Thema Datenschutz und Auftragsverarbeitungsverträgen steht heyData Dir gerne zur Verfügung. Vertrau auf unsere Expertise und lass uns gemeinsam dafür sorgen, dass Deine Daten sicher und geschützt sind.
Hast Du Fragen zum Thema Datenschutz und AV-Vertrag? – heyData berät Dich gerne – Sprich uns an!
Weitere Artikel
Top 3 Cybersecurity-Prognosen für Unternehmen in 2025
Im Jahr 2024 werden Diskussionen über künstliche Intelligenz (KI) in der Cybersicherheit dominieren, die sowohl Herausforderungen als auch Chancen für Unternehmen und Einzelpersonen mit sich bringen. Während die KI weiter voranschreitet, eröffnet ihre Integration in Cybersicherheitspraktiken neue Wege sowohl für die Cyberabwehr als auch für die Ausnutzung von Schwachstellen. Erfahre, wie Organisationen einen ganzheitlichen Ansatz für die Cybersicherheit verfolgen können, um die Komplexität KI-gesteuerter Bedrohungen effektiv zu bewältigen und die Widerstandsfähigkeit gegenüber neu auftretenden Risiken zu gewährleisten.
Mehr erfahrenDSGVO oder SOC 2: Navigieren durch die Meere der Compliance
Die Navigation durch die Komplexität der Datenkonformität kann entmutigend sein. Im heutigen digitalen Zeitalter sind die DSGVO in Europa und SOC 2 in Nordamerika wichtige Rahmenwerke für Datensicherheit und Datenschutz. Die DSGVO fungiert als starker Wächter personenbezogener Daten in der EU, während SOC 2 die Sicherheit von Cloud-Daten in Nordamerika gewährleistet. Das Verständnis ihrer Unterschiede hilft Unternehmen, Compliance zu erreichen, sensible Informationen zu schützen und das Vertrauen der Kunden zu stärken. Für Unternehmen, die in die EU expandieren, ist die Beherrschung der DSGVO unerlässlich.
Mehr erfahrenDer EU-Digital Services Act: Ein Leitfaden für Unternehmen
Der EU-Digital Services Act (DSA) schafft einen sichereren, transparenteren digitalen Raum und schützt Nutzerrechte. Seit Dezember 2020 überarbeitet er die E-Commerce-Richtlinie von 2000 erheblich. Der DSA fördert Transparenz, Rechenschaftspflicht, Bekämpfung illegaler Inhalte und Wettbewerb im digitalen Markt und gilt für diverse digitale Dienstleistungen in der EU, einschließlich Netzinfrastrukturanbietern, Hosting-Diensten, Online-Plattformen und sehr großen Online-Plattformen (VLOPs). Hauptverpflichtungen umfassen transparente Berichterstattung, Entfernung illegaler Inhalte, Nutzerbeschwerdemechanismen, Risikobewertungen und transparente Werbung. Nichteinhaltung kann zu erheblichen Geldbußen, Sanktionen und Rufschäden führen. Unternehmen sollten ihre Verpflichtungen verstehen und Maßnahmen zur Einhaltung ergreifen, um ein vertrauenswürdiges digitales Ökosystem zu fördern.
Mehr erfahren