Auftragsverarbeiter Vertrag (AVV)

Vertrag erstellen gem. Art 28 DSGVO

Auftragsverarbeiter nach Art 28 DSGVO

Auftragsverarbeiter Vertrag (AVV) - DSGVO & GDPR

Laut Artikel 28 der DSGVO muss man einen Vertrag zur Auftragsverarbeitung (AVV) abschließen, sobald personenbezogene Daten im Auftrag verarbeitet werden.

Wer oder was ist nun ein Auftragsverarbeiter?

Der datenschutzrechtliche Dienstleister ist mit der neuen DSGVO der Auftragsverarbeiter und verarbeiten personenbezogene Daten. Der Datenverarbeiter kann eine natürliche oder juristische Person, eine Behörde, eine Einrichtung oder eine andere Stelle sein.

Die Verarbeitung von personenbezogenen Daten

Wie üblich in einem Gesetzestext, ist die Auffassung oft mit Wortklauberei verbunden. Um Missverständnisse zu vermeiden, wollen wir uns den Begriff Verarbeitung genauer betrachten.

Laut Auffassung der DSGVO wird unter Verarbeitung jedes Verfahren mit oder ohne Hilfe von automatisierten Verfahren ausgeführter Vorgang oder Vorgangsreihe im Bezug auf personenbezogene Daten verstanden. Das heißt, Datenverarbeitung personenbezogener Daten im Sinne der DSGVO schließt folgende Verfahren ein:

  • erheben, erfassen, organisieren, ordnen, speichern, anpassen oder
  • verändern, auslesen, abfragen, verwenden, offenlegen durch Übermittlung, verbreiten, bereitstellen oder
  • abgleichen, verknüpfen, einschränken, bis hin zum Löschen oder Vernichten.

In diesem Sinne gilt ebenso der Anbieter Ihres IT-Systems beispielsweise Ihres CRM-Programmes aber auch Google Analytics als Auftragsverarbeiter.

Beispiele für Auftragsverarbeiter

Da diese Thematik nicht für jeden klar ist, möchten wir gerne weitere Beispiele nennen, wann ein AV-Vertrag geschlossen werden muss. Unter Auftragsverarbeiter fallen ebenso Gehaltsabrechnungsbüros bzw.Lohnverrechner, Rechenzentren, Datenträgerentsorger, Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Buchhaltungs-Software, Web- bzw. E-Mailhoster, Homepage-Baukästen (WordPress, Jimdo, Wix) oder auch freie Mitarbeiter die Zugriff auf personenbezogene Daten haben.

Joint Control – gemeinsame Verantwortung

Laut Artikel 26 DSGVO gibt es eine gemeinsame, gleichberechtigte Verantwortungsaufgabe von Auftraggeber und Auftragnehmer. Diese wird Joint Control genannt. Das heißt bei einer Verletzung des DSGVO kann eine betroffene Person ihre Rechte gegenüber jedem verantwortlich machen, der für die Verarbeitung der personenbezogenen Daten Verantwortlich ist. Dementsprechend gegenüber dem Auftraggeber als auch dem Auftragsverarbeiters.

Daher ist man als Unternehmen, dass den Auftrag erteilt, dazu verpflichtet vor Vertragsschluss zu prüfen, ob der  Auftragsverarbeiter nach den Datenschutzbestimmungen laut DSGVO arbeitet. Aus diesem Grund und ebenso aus Gründen der Dokumentation (Verzeichnis) sollten Sie herausfinden auf welchen Servern Ihre erhobenen personenbezogenen Daten gespeichert werden bzw. wo der Server des Anbieters liegt.

Verzeichnisse über die Verarbeitung von Daten

Anstelle der DVR-Nummer sind Sie verpflichtet ein Verzeichnis über die Verarbeitung von Daten zu führen. Die Pflicht ein Verzeichnis zu führen betrifft den Verantwortlichen als auch den Auftragsverarbeiter. Lediglich der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen.

Darunter müssen auch Empfänger aus Drittländern dokumentiert werden, wie auch gegebenenfalls die Übermittlung von personenbezogenen Daten in ein Drittland. Daher müssen Sie auch wissen, wenn der Server, wo personenbezogene Daten gespeichert werden, in einem Land außerhalb der EU liegt.

Wie sieht ein AV-Vertrag aus?

Der Auftragsverarbeiter-Vertrag basiert auf den Grundlagen eines Vertrages und muss schriftlich abgeschlossen werden. Eine Ausnahme bildet der Vertragsschluss in elektronischer Form, dieser wird wie der schriftliche Vertrag verstanden und akzeptiert. Der Vertrag kann auf die Standardvertragsklauseln beruhien, die von der Europäischen Kommission oder von der Aufsichtsbehörde festgelegt werden.

Verpflichtender Vertragsinhalt:

  • Verantwortlichen für die Datenverarbeitung,
  • Gegenstand und Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • die Art und Weise der personenbezogenen Daten,
  • die Kategorien betroffener Personen,
  • Umfang der Weisungsbefugnisse,
  • Verpflichtung zur Vertraulichkeit (oder einer angemesseneren, gesetzlichen Verschwiegenheitspflicht) den Inhalt der personenbezogenen Daten entsprechend,
  • Gewährleistung der größtmöglichen Sicherheit der Verarbeitung der Daten entsprechend,
  • Sicherstellung von technischen & organisatorischen Maßnahmen (Artikel 28 Abs. 1 DSGVO),
  • Meldung von Datenschutzverletzungen (vgl. Art. 32 bis 36 DSGVO)
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Vertragsdauer,
  • Kontrollrechte des Verantwortlichen für die Verarbeitung der pb. Daten,
  • Duldungspflichten des Auftragsverarbeiters,
  • die Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, wenn eine Weisung gegen die Bestimmungen des DSGVO verstößt,
  • eine vorherige schriftliche Genehmigung des Verantwortlichen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters (Sub-Auftragsverarbeiter),
  • der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten eine Ausnahme bildet die Übermittlung der Daten an eine Stelle die durch das Recht der Union oder der Mitgliedstaaten die notwendige Befugnis hat. In diesem speziellen Fall muss der Auftragsverarbeiter dies vor der Verarbeitung dem Verantwortlichen mitteilen, sofern das betreffende Recht eine Mitteilung nicht verbietet.

Was sind Subunternehmen?

Subunternehmen bzw. Sub-Auftragsdatenverarbeitung sind weitere Auftragsdatenverarbeiter mit denen das Unternehmen zusammenarbeitet, mit dem Sie den ADV-Vertrag geschlossen haben. Das können wiederum Programme oder Dienstleister sein, die ebenso auf Ihre generierten personenbezogenen Daten Zugriff haben. Gesetzlich ist vorgeschrieben, dass Sie über alle Subunternehmen in Kenntnis gesetzt werden müssen und Ihre Genehmigung in schriftlicher Form erfolgen muss.

Auftragsdatenverarbeiter mit Niederlassung außerhalb der EU

Wenn nun ein Auftragsdatenverarbeiter seinen Firmensitz außerhalb der Europäischen Union hat, muss dieser schriftlich einen Vertreter benennen. Der Vertreter muss seine Niederlassung in einem der EU Mitgliedsstaaten haben, wo auch die personenbezogenen Daten verarbeitet werden. Nicht so einfach, die Sache mit der Auftragsdatenverarbeitung. Der Vertreter des Auftragsdatenverarbeiters ist zudem Anlaufstelle für die Aufsichtsbehörden oder betroffene Personen.

Es gibt auch Ausnahmen, die keine Benennung eines Vertreters erforder. Diese Ausnahmen gelten:

  • wenn die Verarbeitung gelegentlich und in keinem großem Umfang erfolgt,
  • wenn es sich bei den Datensätzen nicht um sensible Daten handelt oder um Datensätze die eine strafrechtliche Verurteilung oder Straftaten einer Person zuordnen lassen,
  • wenn die Daten aufgrund der Art, Umstände, des Umfangs und des Zwecks der Verarbeitung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen, Behörden oder öffentlichen Stellen führt.

Hilfreiche Links

Liste von Online Dienstleistern, die eine AV-Vertrag erfordern

Bei Blogmojo finden Sie in einer übersichtlichen Liste die am meisten verwendeten Webdienste, die einen AV-Vertrag erfordern.  Unter folgenden Kategorien sind die Anbieter zu finden:

  • Hosting Anbieter
  • Newsletter Dienste
  • Google Dienste
  • Homepage Baukasten und Blog Plattformen
  • Analytics
  • Affiliate Programme und -Netzwerke
  • Soziale Netzwerke
  • Sonstige Dienstleister und Apps

Zudem wurden der Name, der Server Standort, ob ein Vertrag erforderlich ist oder nicht und wenn vorhanden, der Link zur Vertrags-Vorlage von diesem Anbieter, erfasst.

Zur Liste von Blogmojo

Muster & Vorlagen des AV-Vertrag

Online findet man zahlreiche Anbieter, die ein Muster bzw. eine Vorlage eines Auftragsdatenverarbeitungs-Vertrag als Download zur Verfügung stellen. Wir haben einige dieser Anbieter gesammelt:

Sie haben Fragen zur Auftragsdatenverarbeitung? Zögern Sie nicht, wir arbeiten mit renommierten Partnern zusammen!

Ähnliche Beiträge