Wissen

Auftragsverarbeitungsvertrag (AVV) – heyData schafft Transparenz

Auftragsverarbeitungsvertrag (AVV) – heyData schafft Transparenz

Einleitung

Ein Auftragsverarbeitungsvertrag (AVV) ist im Tagesgeschäft eine Maßnahme, die durch die neuen, strengeren EU-Vorgaben den Datenschutz der Verbraucher stärken soll. Werden personenbezogene Daten an Dritte weitergeleitet und verarbeitet, wird oft ein sogenannter AV-Vetrag abgeschlossen. Die Notwendigkeit eines AV-Vertrags ergibt sich aus einem klassischen Szenario. Wenn ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) beauftragt, personenbezogene Daten zu sichten und zu verarbeiten, liegt die Verantwortung für diese Daten beim Auftraggeber. Der Auftragnehmer muss jederzeit alle erforderlichen Garantien gemäß Artikel 28 der Datenschutzgrundverordnung (DSGVO) geben. Dieser Artikel besagt, dass die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgen kann. Eine unsachgemäße Verarbeitung personenbezogener Daten kann zu Bußgeldern und einem Imageverlust führen!

Wann ist ein AV-Vertrag notwendig?

Die Notwendigkeit eines AV-Vertrags ergibt sich aus einem klassischen Szenario. Wenn ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) beauftragt, personenbezogene Daten zu sichten und zu verarbeiten, liegt die Verantwortung für diese Daten beim Auftraggeber. Der Auftragnehmer muss jederzeit alle erforderlichen Garantien gemäß Artikel 28 der Datenschutzgrundverordnung (DSGVO) geben. Dieser Artikel besagt, dass die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgen kann. Eine unsachgemäße Verarbeitung personenbezogener Daten kann zu Bußgeldern und einem Imageverlust führen!

Welche Daten gelten als personenbezogen?

Personenbezogene Daten sind Informationen, die eine Person identifizierbar machen. Im Internet stoßen wir häufig auf folgende Datenabfragen:

  • Name
  • Adresse
  • E-Mail-Kontaktdaten
  • Telefonnummern
  • Konto- / Kreditkarteninformationen
  • Geburtsdaten
  • IP-Adressen
  • Körperliche Merkmale
  • Zeugnisse oder Bescheinigungen

Es handelt sich also um sehr sensible Daten. Bei der Verarbeitung dieser Informationen muss grundsätzlich darauf geachtet werden, ob ein externer Zugriff zur Erfüllung einer Tätigkeit zwingend erforderlich ist.

Ist die Weitergabe von personenbezogenen Daten an einen Geschäftspartner immer eine Auftragsverarbeitung?

Nein, juristisch gesehen liegt nur dann eine Auftragsverarbeitung vor, wenn die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers vorgenommen wird und den Hauptkern der vereinbarten Leistung bildet. Beauftragte Dienstleistungen, die nicht hauptsächlich den Bereich der Datenverarbeitung abdecken, erfordern nicht den Abschluss eines AVV.

Praxisbeispiel:

  • Ein Unternehmen, das die Wartung eines Druckers (physische Hardware, nicht Software) anbietet, verlangt in der Regel nicht den Abschluss eines Auftragsverarbeitungsvertrags, denn der Kern der erbrachten Dienstleistung ist nicht die Verarbeitung personenbezogener Daten, sondern die Wartung eines Geräts.
  • Geheimnisträger wie Wirtschaftsprüfer oder Steuerberater müssen ebenfalls keinen AVV abschließen. Diese Berufsgruppen sind von Berufs wegen zur Verschwiegenheit verpflichtet und benötigen daher keinen AV-Vertrag.

Im Gegensatz dazu muss beispielsweise eine Werbeagentur, die im Auftrag eines Unternehmens Werbeflyer versendet und dabei personenbezogene Daten wie Post- oder E-Mail-Adressen verwendet, einen AVV DSGVO abschließen, da die Agentur die Adressdaten vom Auftraggeber erhält und verarbeiten muss.

Weitere Beispiele für einen notwendigen AV-Vertrag sind:

  • Auslagerung der E-Mail-Verwaltung
  • Externe Datenerfassung
  • Externe Backups
  • Datenträgerentsorgung
  • Externes Call-Center

Natürlich ist es schwierig, die Notwendigkeit eines AV-Vertrags genau zu definieren, und die Grenzen überschneiden sich oft. Ein wichtiger Indikator für die Notwendigkeit eines AV-Vertrags ist die Weisungsbindung. Wenn der externe Dienstleister nicht befugt ist, frei über die Durchführung und Art der Leistung zu entscheiden, besteht eine Weisungsbindung zum Auftraggeber, und dies macht einen AV-Vertrag zwingend erforderlich.

Beratungsleistungen zum AV-Vertrag? heyData ist dein seriöser Partner!

Bezüglich der Verwaltung eines AV-Vertrags behält heyData den Überblick. Wir stellen dir rechtssichere Vertragsvorlagen bereit und beraten dich gerne!

Wir unterstützen dich als Auftraggeber in folgenden Punkten:

  • Bereitstellung eines rechtssicheren Auftragsverarbeitungsvertrags
  • Beratung über mögliche Risiken bei den einzelnen Dienstleistern
  • Kontrolle der Einhaltung der Datenschutzpflichten durch die Auftragnehmer

Wir unterstützen Auftragnehmer in folgenden Punkten:

  • Beratung über die datenschutzrechtlich korrekte Gestaltung der Zusammenarbeit mit Auftraggebern
  • Gestaltung eines rechtsicheres Auftragsverarbeitungsvertrag
  • Anweisungen zur korrekten Umsetzung der Verpflichtungen, die sich aus dem AVV ergeben

heyData bringt Licht ins Dunkel – Die Inhalte des AV-Vertrags

Einen AV-Vertrag (AV DSGVO) zu erstellen, bringt viele Unternehmen in Schwierigkeiten, da viele Details zu beachten sind. heyData ist dein kompetenter Partner, wenn es um die korrekte und datenschutzkonforme Ausarbeitung deines AV-Vetrags geht.

Bei einem AV-Vertrag sind folgende Punkte zu beachten:

1. Klarheit der Vertragsparteien

Der AVV muss den Auftraggeber und den Auftragnehmer (datenverarbeitende Partei) benennen.

2. Auftragsgegenstand

Hier muss der Auftragsgegenstand und der Zweck der Verarbeitung von personenbezogenen Daten definiert werden. Auch müssen die betroffenen Personengruppen benannt werden. Platzsparend können diese Angaben auch in einer Anlage aufgeführt werden.

3. Auftragsgeberpflichten

Der Auftraggeber hat die stetige Verantwortung für die Verarbeitung der personenbezogenen Daten und muss die Rechte der Betroffenen schützen. Er ernennt weisungsbefugte Personen. Unregelmäßigkeiten oder Verarbeitungsfehler werden verschriftlicht.

4. Auftragsnehmerpflichten

Der Auftragnehmer darf nur Daten verarbeiten, welche im Rahmen der Dienstleistungsvereinbarung definiert wurden. Im Falle eines rechtlichen Verstoßes, muss der Auftraggeber sofort in Kenntnis gesetzt werden. Die Pflichten des Auftragnehmers stellen den Kern eines AV-Vetrags dar, da in diesem Verarbeitungsbereich mit Daten umgegangen wird.

5. Der Datenschutzbeauftragte

Ist ein externer oder interner Datenschutzbeauftragter vorhanden, werden diese Informationen aufgenommen. Eine Rücksprache mit einem Datenschutzbeauftragten ist zu empfehlen – heyData berät dich zu dieser Thematik sehr gerne.

6. Meldepflichten des Auftragnehmers

Der Auftragnehmer muss die Einhaltung des Datenschutzes garantieren. Bei Verstößen gegen die DSGVO oder andere vertragliche Verpflichtungen, ist der Auftraggeber unverzüglich zu benachrichtigen.

7.Mitwirkung des Auftragnehmers

Der Auftragnehmer ist in der Pflicht, den Auftraggeber in allen Bereichen zu unterstützen, die die Verarbeitung von Daten betreffen. Hierzu gehören die Bearbeitung von Anfragen in Bezug auf die Wahrnehmung von Betroffenenrechten und die Erstellung von Verarbeitungslisten.

8. Datenschutzkontrolle

Der Auftraggeber ist rechtlich befugt, die Einhaltung der DSGVO jederzeit zu überprüfen. Eine Kontrolle in den Geschäftsräumen des Auftragnehmers ist zu ermöglichen.

9. Definition eines Unterauftragsverhältnisses

Ist dem Auftragnehmer es vertraglich gestattet einen Unterauftragnehmer zu beschäftigen, muss dies detailliert verschriftlicht werden.

10. Vertraulichkeit

Deut Auftragnehmer und seine Mitarbeiter sind zur Vertraulichkeit verpflichtet, wenn personenbezogene Daten verarbeitet werden. Die Geheimnisschutzregeln des Auftraggebers sind zu beachten.

11. Betroffenenrechte

Der Auftraggeber ist nach Art. 12-23 DSGVO in der Pflicht Anträge von Betroffenen zu bearbeiten. Der Auftragnehmer wird in die Pflicht genommen, den Auftraggeber hierbei zu unterstützen.

12. Offenlegung der Maßnahmen

Der Auftragnehmer ist verpflichtet, alle technischen und organisatorischen Maßnahmen offenzulegen.

13. Dauer der Zusammenarbeit

Der Beginn und die Beendigung des Vertragsverhältnisses wird definiert. Kündigungsmodalitäten werden festgehalten.

14. Beendigung der Zusammenarbeit

Unterlagen, Daten und alle weiteren Ergebnisse sind dem Auftraggeber auszuhändigen oder auch zu löschen.

15. Schlussbestimmung

Definierte Schlussbestimmungen werden festgehalten.

Fazit

Abschließend lässt sich sagen, dass ein Auftragsverarbeitungsvertrag (AVV) eine wichtige Maßnahme ist, um den Datenschutz bei der Verarbeitung personenbezogener Daten zu gewährleisten. Du solltest Dir bewusst sein, dass die Weitergabe von Daten an Dritte und deren Verarbeitung mit erheblichen rechtlichen und finanziellen Risiken verbunden sein kann, wenn keine angemessenen Schutzmaßnahmen getroffen werden.

Ein AV-Vertrag regelt Deine Rechte und Pflichten sowie die des Auftragnehmers und schafft somit Transparenz und Rechtssicherheit. Er legt fest, wie die Daten verarbeitet werden, welche Sicherheitsvorkehrungen getroffen werden müssen und wie mit Datenschutzverletzungen umzugehen ist.

Es ist wichtig, dass Du die Notwendigkeit eines AV-Vertrags sorgfältig prüfst und sicherstellst, dass Du mit vertrauenswürdigen und zuverlässigen Auftragnehmern zusammenarbeitest. Ein seriöser Partner wie heyData kann Dir bei der Erstellung und Umsetzung eines AV-Vertrags unterstützen und sicherstellen, dass alle rechtlichen Anforderungen erfüllt werden.

Der Schutz personenbezogener Daten ist in der heutigen digitalen Welt von entscheidender Bedeutung. Du musst sicherstellen, dass Du die Privatsphäre Deiner Kunden respektierst und alle erforderlichen Maßnahmen ergreifst, um deren Daten zu schützen. Ein gut strukturierter und umfassender AV-Vertrag ist ein wichtiger Schritt in diese Richtung.

Bei Fragen zum Thema Datenschutz und Auftragsverarbeitungsverträgen steht heyData Dir gerne zur Verfügung. Vertrau auf unsere Expertise und lass uns gemeinsam dafür sorgen, dass Deine Daten sicher und geschützt sind.

Hast Du Fragen zum Thema Datenschutz und AV-Vertrag? – heyData berät Dich gerne – Sprich uns an!


Über den Autor

Weitere Artikel

Datenschutz Basics - Betroffenenrechte

Datenschutz Basics - Betroffenenrechte

Betroffenenrechte sind Instrumente für Einzelpersonen, um die Nutzung ihrer persönlichen Daten zu kontrollieren. Die DSGVO gilt, wenn Unternehmen personenbezogene Daten sammeln, und gewährt Rechte wie Informationsbereitstellung, Zugang, Korrektur, Datenlöschung, Einschränkung der Datenverwendung und Datenübertragbarkeit. Die Missachtung des Datenschutzes kann zu hohen Geldstrafen führen. heyData bietet Unterstützung bei der DSGVO-Konformität.

Mehr erfahren

Die EU Whistleblowing Richtlinie - Neue Hinweisgeberpflichten für Unternehmen

Am 17. Dezember 2021 tritt in der EU die Whistleblower-Richtlinie in Kraft. Höchste Zeit für kleine und mittlere Unternehmen die Auswirkungen der Richtlinie in den Blick zu nehmen! Wir geben einen Überblick, was die Whistleblower-Richtlinie für Unternehmen bedeutet:

Mehr erfahren
Wichtige Datenschutz-Trends in 2023

Wichtige Datenschutz-Trends in 2023

Die sich ständig verändernde digitale Landschaft und der Zustrom neuer Technologien machen den Datenschutz immer komplexer - auch im neuen Jahr 2023 solltet ihr über die wichtigsten Trends im Datenschutz auf dem Laufenden bleiben.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen