Recht
Digitalisierung

Den Auftragsverarbeitungs-Vertrag rechtskonform umsetzen

07.03.2023
Sharing
  • In Zwischenablage kopiert

Einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) muss nach EU Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen (Verantwortlicher) abschließen, das personenbezogene Daten im Auftrag, also von einem Dienstleister (Verarbeiter) verarbeiten lässt.

Was ist der AV-Vertrag?

Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie ggfs. herangezogenen Subdienstleistern, also sogenannten Subauftragnehmern (z.B. der von einer Webagentur eingesetzte Webhoster). So soll gewährleistet werden, dass der Auftragnehmer (z.B. der Websitehoster, die Webagentur oder der Anbieter von Diensten wie einem Newsletter) die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag umfassende Kontrollrechte eingeräumt.

Inhalte eines AV-Vertrags

Die einzelnen Rechte und Pflichten beider Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein:

  • Inhalt, Zweck, Dauer sowie Art und Weise der Verarbeitung
  • Art und Kategorie der personenbezogenen Daten, Kreis betroffener Personen
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten des Verarbeiters:
    • Verarbeitung nach dokumentierter Weisung,
    • Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
    • Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
    • Benennung von Subunternehmen,
    • Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
    • Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,
      • Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DS-GVO i.V.m. Art. 32 DSGVO),
      • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 33 DS-GVO),
      • Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 34 DS-GVO),
      • Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 35 DS-GVO),
      • Konsultierung der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 36 DS-GVO).
    • Löschung oder Rückgabe nach Beendigung des Auftrags,
    • Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen

Der AV Vertrag ist durch die „technisch-organisatorischen Maßnahmen“ (TOM) gemäß Art. 32 DSGVO und ein Verfahrensverzeichnis zu flankieren.

Insbesondere mit den eigenen Dienstleistern wie einer Agentur lassen sich „persönlich“ AV-Verträge abschließen. Oftmals werden Dienste in die eigene Website eingebaut, für die kein persönlicher Ansprechpartner zur Verfügung steht. Auch mit diesen sind aber AV-Verträge abzuschließen. Dazu gehören Dienste von Google, Social Media, Chatanbieter u.ä..

Mit Hilfe der Website können aktuell die AV-Verträge von über 1500 Anbietern heruntergeladen werden. Wenn Sie mit einem Diensteanbieter (Karten, Bezahlfunktionen, Chatsysteme, Newsletter, Gewinnspiel-Tools etc.), der auf Ihrer Website oder App generierte personenbezogene Daten verarbeitet, keinen AV-Vertrag abschließen können, ist die Nutzung dieses Anbieters nicht zu empfehlen.

Hier erhalten Sie ausführliche Informationen zum Auftragsverarbeitungs-Vertrag.