Auftragsverarbeitungsvertrag – AVV

Wir erstellen Ihren Auftragsverarbeitungsvertrag – rechtskonform & sicher

Sehr gut! Sie wissen Ihre Privatsphäre zu schützen. Um das Kontaktformular zu aktivieren, müssen wir Sie an dieser Stelle um Ihr Einverständnis bitten. Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf "Zustimmen" zu besagtem Formular gelangen.

Sehr gut! Sie wissen Ihre Privatsphäre zu schützen. Um das Kontaktformular zu aktivieren, müssen wir Sie an dieser Stelle um Ihr Einverständnis bitten. Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf "Zustimmen" zu besagtem Formular gelangen.

Beim einem Auftragsverarbeitungsvertrag (AVV) handelt es sich um eine zentrale Anforderung der DSGVO: Werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines AVV erforderlich. Unsere TÜV-zertifitierten Datenschutzbeauftragten erstellen & verwalten Verträge zur Auftragsverarbeitung.

Bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgen. Der AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie ggfs. erforderlicher Subdienstleister.

Damit soll erreicht werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Zusätzlich wird der Dienstleister verpflichtet, die Daten in angemessenem Maße zu schützen.

Dem Auftraggeber werden im Vertrag umfassende Rechte zur Kontrolle der vereinbarten Vertragsinhalte (respektive: die beim Dienstleister getroffenen Maßnahmen und Vorkehrungen) eingeräumt. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftraggeber in Kontakt kommt, weiterhin verantwortlich.

Wann brauche ich einen AV-Vertrag?

Die drei Buchstaben AVV hat fast jeder schon einmal gehört. Überraschenderweise weiß kaum ein Verantwortlicher, was AVV praktisch (und im Detail) bedeutet. Ein AV-Vertrag ist in vielen Fällen eine unverzichtbare Grundlage bei der Nutzung von Diensten bzw. Dienstleistungen. Ein paar Beispiele:

  • Google Analytics
  • Newsletter-Versand über einen externen Anbieter
  • Outsourcing von Diensten (z. B. Rechenzentrum)
  • Beauftragung von Callcentern
  • externer Support / IT-Dienstleister
  • etc.
Auftragsverarbeitungsvertrag, AVV, AV-Vertrag, Auftragsvereinbarung

Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden.

Sie brauchen ein Angebot für einen AVV?

Wir helfen Unternehmen bundesweit bei der Erstellung und Pflege von Auftragsverarbeitungsverträgen

Wann ist ein Dienstleister weisungsabhängig und zählt somit als Auftragsverarbeiter?

Satteln wir das Pferd einmal von hinten auf:

Keine Datenverarbeitung liegt vor, wenn der Dienstleister die anvertrauten Daten eigenverantwortlich behandelt. Der Auftraggeber verfügt also weder über Weisungs- noch über Kontrollrechte und überlässt dem Dienstleister die Entscheidung über Mittel und Zweck der Datenverarbeitung und der inhaltlichen Gestaltung. In diesem Falle ist der Dienstleister kein Auftragsverarbeiter. Ein typisches Beispiel dafür ist die Finanz- oder Steuerberatung.

Wenn Sie aber einen Auftragsverarbeiter beauftragen und die Zwecke und Mittel der Datenverarbeitung festlegen, sind Sie verantwortlich für die Daten der Betroffenen. Es liegt vermutlich eine Auftragsverarbeitung vor, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • keinen eigenen Geschäftszweck mit der Verarbeitung der Daten verfolgt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht
  • der Auftraggeber verantwortlich für die Datenverarbeitung ist.

Sind Sie sich nach wie vor nicht sicher ob Sie einen AVV benötigen, können Sie sich auch an Ihre Aufsichtsbehörde oder Ihren Datenschutzbeauftragten wenden.

Hier finden Sie eine Liste mit AV-Verträgen.

Was muss in einem Vertrag zur Auftragsverarbeitung beachtet werden?

Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten, Kategorien der Betroffenen
  • Umfang der Weisungsbefugnisse
  • Anlage mit technischen und organisatorischen Maßnahmen
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten und Rechte des Auftragsverarbeiter:
    o Verarbeitung nach dokumentierter Weisung
    o Wahrung der Vertraulichkeit und Verschwiegenheitspflicht
    o Ergreifung geeigneter Maßnahmen zur Verarbeitung
    o Hinzuziehen von Subunternehmen
    o Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
    o Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten
    o Informieren des Verantwortlichen, falls eine Weisung gegen Datenschutzrecht verstößt
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters

Pauschalen – externer Datenschutzbeauftragter

Unsere Angebote als externer Datenschutzbeauftragter

Wird ein Einverständnis der Betroffenen benötigt?

Klären wir zunächst einmal was es mit dem Verbot mit Erlaubnisvorbehalt auf sich hat.

Für die Weitergabe von Daten an Dritte und für die Verarbeitung wird eine Rechtsgrundlage benötigt, das besagt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet konkret, dass eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen für den Umgang mit personenbezogenen Daten benötigt wird.

Ein Auftragsverarbeiter wird jedoch nicht als Dritter eingestuft und somit ist auch keine weitere Rechtsgrundlage erforderlich. Betroffene müssen lediglich auf den Einsatz von Auftragsverarbeitern hingewiesen werden.

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Als TÜV zertifizierter externer Datenschutzbeauftragter steht er Ihnen bei allen Fragen der DSGVO zur Seite und unterstützt Sie u.a. bei diesen Themen:

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

Wichtig zu wissen:

Auftragsverarbeitung findet statt, wenn ein Auftragnehmer der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags personenbezogene Daten erhebt, verarbeitet und nutzt. Die DSGVO regelt diese Auftragsverarbeitung detailliert und europaweit.

Der Auftragsverarbeiter muss sorgfältig und unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Er darf nur auf Weisung des Verantwortlichen die entsprechenden Daten für den vorgesehenen Zweck verarbeiten.

Die Datenverarbeitung kann auch außerhalb der EU stattfinden. Gemäß der DSGVO müssen aber nun auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen. Ansprechpartner für Betroffene bleibt aber weiterhin der für die Verarbeitung Verantwortliche.

Unseren Blogbeitrag zum Thema AVV bei Lohn- & Gehaltsbuchhaltung durch Steuerberater finden Sie hier.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter / Datenschutzberatung - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
[email protected]

Download

Laden Sie hier Ihr Vertragsmuster zur Auftragsverarbeitung von der Gesellschaft für Datenschutz und Datensicherheit herunter.

Download

Laden Sie hier Ihre Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien herunter.

Unsere Zertifizierungen

Unsere externen Datenschutzbeauftragten sind TÜV geprüft und entsprechen den gesetzlichen Voraussetzungen und Richtlinien.

Durch Praxiserfahrung und optimierte Arbeitsweisen können wir Ihnen eine fachkundige, praxiskonforme und individuelle Beratung generieren, die kostengünstig bleibt.

TÜV Rheinland Datenschutzzertifizierung
Tüv-zertifizierte Datenschutzberatung für den Mittelstand

Cortina Consult

100% Datenschutz

100+

REALISIERTE

Datenschutzprojekte

REMOTE ORDER IN KÖLN

DSB

CONSULTING

zertifizierte Berater

Wir freuen uns auf Ihr Projekt!