Allgemein

Auftragsverarbeitung nach DSGVO: Was ist ein AVV und was geht mich das an?

Fast jeder hat den Begriff „Auftragsverarbeitung“ schon einmal gehört. Aber kaum einer weiß, was dieser Begriff eigentlich praktisch bedeutet. Dabei sind Auftragsverarbeitungsverträge (AVV) für die meisten Unternehmen ein Muss: Denn, wenn Daten im Auftrag und unter Weisung eines Unternehmens von externen Dienstleistern verarbeitet werden, müssen Auftraggeber und Auftragnehmer einen gesonderten Vertrag abschließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. AVVs sollen also den Schutz der eigenen Daten in fremden Unternehmen garantieren. Damit stellen sie ein wichtiges Element Ihres Datenschutzes dar.

Deshalb verraten wir Ihnen heute alles, was Sie über Auftragsverarbeitungsverträge wissen müssen und auf was Sie als Unternehmer konkret achten sollten!

Was ist ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO?

Ein Auftragsverarbeitungsvertrag (ehemals: Auftragsdatenverarbeitungsvertrag) ist immer dann zu schließen, wenn personenbezogene Daten Ihrer Kunden oder Mitarbeiter durch einen externen (weisungsabhängigen) Dienstleister verarbeitet werden.

Der zu schließende AVV regelt dabei die Rechte und Pflichten von Auftraggeber und Auftragnehmer. So soll unter anderem gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten personenbezogenen Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag diesbezüglich umfassende Kontrollrechte eingeräumt.

Ein AVV sollte grundsätzlich folgendes enthalten:

  • Gegenstand und Dauer des Auftrags
  • Art, der Zweck und der Umfang der Datenverarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Rechte und Pflichten des Auftragsgebers
  • Pflichten des Auftragsverarbeiters
  • Meldepflichten des Auftragsverarbeiters
  • Umgang mit eventuellen Subunternehmern

Die genauen Mindestanforderungen an den Inhalt eines AVV sind in Art. 28 Abs. 3 DSGVO definiert.

Was bedeutet Auftragsverarbeitung?

Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen externe Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Die Verantwortung für die DSGVO-konforme Datenverarbeitung verbleibt dabei beim Auftraggeber. Dieser ist somit der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister wird bei der Auftragsverarbeitung nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ des Auftraggebers.

Hier ein paar Beispiele von Auftragsverarbeitungen:

  • Marketing-Aktionen, Kundenumfragen, Newsletter-Versand durch eine externe Agentur
  • Beauftragung eines Callcenters für den Kundensupport oder zur Kundengewinnung
  • Outsourcing des Rechenzentrums
  • Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern
  • Externe Lohn- und Gehaltsabrechnung oder Buchhaltung

Wann brauche ich einen AVV?

Bei der Beantwortung der Frage, ob ein AVV abgeschlossen werden muss, spielt vor allem die Weisungsgebundenheit eine Rolle. Je weisungsgebundener ein Dienstleister ist, desto höher ist auch die Wahrscheinlichkeit, dass Sie weiterhin für die Daten verantwortlich sind und einen AVV abschließen müssen. Das heißt, wenn Sie dem Dienstleister sagen was zu tun ist, können Sie in den meisten Fällen davon ausgehen, dass Sie einen AVV mit ihm benötigen (sofern dieser beauftragte Dienstleister Zugriff auf personenbezogene Daten hat).

Einen AVV müssen Sie zum Beispiel abschließen, wenn Sie

  • Google Analytics oder andere Tracking Software nutzen
  • externe Dienstleister für Ihre Newsletter und Marketingaktionen nutzen
  • Eexterne Unternehmen mit der Buchhaltung/ Gehaltsabrechnung oder Werbe-/ Marketingagenturen beauftragen
  • Ihr Rechenzentrum ganz oder teilweise outsourcen oder
  • Fernwartungssysteme einsetzen.

Die Dienste von Rechtsanwälten, Steuerberatern, Wirtschaftsprüfern, externen Betriebsärzten, Bankinstituten und dergleichen gelten übrigens nicht als Auftragsverarbeitung, sondern als fremde Fachleistung. Somit liegt die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten in diesen Fällen beim Auftragnehmer.

Was passiert, wenn ich keinen Vertrag zur Auftragsverarbeitung mit externen Dienstleistern abschließe?

Haben Auftraggeber und Auftragnehmer keinen AVV abgeschlossen, obwohl Sie gemäß DSGVO dazu verpflichtet sind oder entspricht dieser nicht den Anforderungen des Art. 28 DSGVO, kann das schnell richtig teuer werden! In der Regel kostet JEDER fehlende Auftragsverarbeitungsvertrag € 5.000! Darüber hinaus können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen.

DSGVO-­sichere Vorlagen für Ihren Arbeitsalltag

Der DSGVO Schutzbrief ist Ihr Rundum-Sorglos Paket, wenn es um den Datenschutz in Ihrem Unternehmen geht! Von der Erstellung der DSGVO Dokumentation bis hin zur Stellung des Datenschutzbeauftragten – Wie kümmern uns um alles! Und zudem erhalten Sie auch Zugang zu geprüften Dokumenten für Ihren Arbeitsalltag, wie zum Beispiel Muster für

  • Auftragsverarbeitungsverträge
  • IT-Richtlinien
  • Geheimhaltungsvereinbarungen
  • Videoüberwachung usw.

So sind Sie für alle Fälle gerüstet!

Tags: , , ,

Die fertige DSGVO Lösung für JEDE Branche und JEDEN Verein! Schützen Sie sich und alle Personen in Ihrem Unternehmen oder Ihrem Verein.

Bereits ab € 9 pro Monat – Und schon sind Ihre DSGVO-Sorgen verflogen!

Menü