Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag (AVV)


Beim einem Auftragsverarbeitungsvertrag (AVV) werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, dadurch ist der Abschluss eines Auftragsverarbeitungsvertrag (AVV) erforderlich. Die EU-DSGVO regelt diese Auftragsverarbeitung detailliert. Wir erstellen für Sie individuelle Verträge zur Auftragsverarbeitung.


Was ist ein Auftragsverarbeitungsvertrag (AVV)?


Kaum einem Verantwortlichen ist bekannt, was ein Auftragsverarbeitungsvertrag (AVV) bedeutet.


Bei einer Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen (Auftraggeber) und dem Auftragsverarbeiter (Auftragnehmer) erfolgen. Der AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie den eventuell erforderlicher Subdienstleister (Auftragnehmer).


Damit wird erreicht, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Zusätzlich wird der Auftragnehmer verpflichtet, die Daten in angemessenem Maße zu schützen.


Dem Auftraggeber werden im Vertrag besondere Rechte zu Kontrollen des vereinbarten Vertragsinhalts eingeräumt. Wer als Auftraggeber einen Auftragsverarbeitungsvertrag (AVV) abschließt, ist für die personenbezogenen Daten, mit denen der Auftragnehmer in Kontakt kommt, vollumfänglich verantwortlich.


Wann wird ein Auftragsverarbeitungsvertrag (AVV) benötigt?


Beispiele:

  • Cloud-Speicher

  • Webhosting

  • Google Analytics

  • Advertising

  • Newsletter-Versand über einen externen Anbieter

  • Outsourcing von Diensten (z. B. Rechenzentrum)

  • Beauftragung von Callcentern

  • CRM-System

  • Support durch Provider

  • IT-Dienstleister

  • usw.


Wesentlichen Inhalte der Verarbeitung in einem Auftragsverarbeitungsvertrag (AVV):


  • Gegenstand und Dauer der Verarbeitung

  • Art und Zweck der Verarbeitung

  • Art der personenbezogenen Daten, Kategorien der Betroffenen

  • Umfang der Weisungsbefugnisse

  • Anlage mit technischen und organisatorischen Maßnahmen

  • Pflichten und Rechte des Verantwortlichen

  • Beteiligte Subunternehmen


Rechte und Pflichten des Auftragsverarbeiters:


  • Verarbeitung nach dokumentierter Weisung

  • Verwendung geeigneter Maßnahmen zur Verarbeitung

  • Wahrung der Vertraulichkeit und Verschwiegenheitspflicht

  • Einbeziehung von Subunternehmen

  • Unterstützung des für die Verarbeitung Verantwortlichen bei Auskunftsersuchen und Ansprüchen Betroffener

  • Unterstützung des Verantwortlichen bei der Einhaltung seiner Pflichten

  • Information an den Verantwortlichen, falls eine Weisung gegen Datenschutzrecht verstößt

  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung nach Anweisung des Verantwortlichen

  • Kontrollrechte des für die Verarbeitung Verantwortlichen und dadurch resultierende Duldungspflichten des Auftragsverarbeiters


Auftragsverarbeitung findet statt, wenn ein Auftragnehmer der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags personenbezogene Daten erhebt, verarbeitet und nutzt.


Der Auftragsverarbeiter muss sorgfältig und unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Er darf nur auf Weisung des Verantwortlichen die entsprechenden Daten für den vorgesehenen Zweck verarbeiten.


Eine Datenverarbeitung kann auch außerhalb der EU stattfinden. Gemäß der EU-DSGVO müssen auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen. Ansprechpartner für Betroffene ist der für die Verarbeitung entsprechende Verantwortliche.