Auftragsverarbeitungsvertrag
Auftragsverarbeitungsvertrag (AVV)
Beim einem Auftragsverarbeitungsvertrag (AVV) werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, dadurch ist der Abschluss eines Auftragsverarbeitungsvertrag (AVV) erforderlich. Die EU-DSGVO regelt diese Auftragsverarbeitung detailliert. Wir erstellen für Sie individuelle Verträge zur Auftragsverarbeitung.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Kaum einem Verantwortlichen ist bekannt, was ein Auftragsverarbeitungsvertrag (AVV) bedeutet.
Bei einer Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen (Auftraggeber) und dem Auftragsverarbeiter (Auftragnehmer) erfolgen. Der AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie den eventuell erforderlicher Subdienstleister (Auftragnehmer).
Damit wird erreicht, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Zusätzlich wird der Auftragnehmer verpflichtet, die Daten in angemessenem Maße zu schützen.
Dem Auftraggeber werden im Vertrag besondere Rechte zu Kontrollen des vereinbarten Vertragsinhalts eingeräumt. Wer als Auftraggeber einen Auftragsverarbeitungsvertrag (AVV) abschließt, ist für die personenbezogenen Daten, mit denen der Auftragnehmer in Kontakt kommt, vollumfänglich verantwortlich.
Wann wird ein Auftragsverarbeitungsvertrag (AVV) benötigt?
Beispiele:
Cloud-Speicher
Webhosting
Google Analytics
Advertising
Newsletter-Versand über einen externen Anbieter
Outsourcing von Diensten (z. B. Rechenzentrum)
Beauftragung von Callcentern
CRM-System
Support durch Provider
IT-Dienstleister
usw.
Wesentlichen Inhalte der Verarbeitung in einem Auftragsverarbeitungsvertrag (AVV):
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten, Kategorien der Betroffenen
Umfang der Weisungsbefugnisse
Anlage mit technischen und organisatorischen Maßnahmen
Pflichten und Rechte des Verantwortlichen
Beteiligte Subunternehmen
Rechte und Pflichten des Auftragsverarbeiters:
Verarbeitung nach dokumentierter Weisung
Verwendung geeigneter Maßnahmen zur Verarbeitung
Wahrung der Vertraulichkeit und Verschwiegenheitspflicht
Einbeziehung von Subunternehmen
Unterstützung des für die Verarbeitung Verantwortlichen bei Auskunftsersuchen und Ansprüchen Betroffener
Unterstützung des Verantwortlichen bei der Einhaltung seiner Pflichten
Information an den Verantwortlichen, falls eine Weisung gegen Datenschutzrecht verstößt
Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung nach Anweisung des Verantwortlichen
Kontrollrechte des für die Verarbeitung Verantwortlichen und dadurch resultierende Duldungspflichten des Auftragsverarbeiters
Auftragsverarbeitung findet statt, wenn ein Auftragnehmer der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags personenbezogene Daten erhebt, verarbeitet und nutzt.
Der Auftragsverarbeiter muss sorgfältig und unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Er darf nur auf Weisung des Verantwortlichen die entsprechenden Daten für den vorgesehenen Zweck verarbeiten.
Eine Datenverarbeitung kann auch außerhalb der EU stattfinden. Gemäß der EU-DSGVO müssen auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen. Ansprechpartner für Betroffene ist der für die Verarbeitung entsprechende Verantwortliche.