Ein AV-Vertrag ist ein Rechtsdokument, das Unternehmen benötigen, wenn sie Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen – unsere Datenschutzberatung klärt auf, der externe Datenschutzbeauftragte unterstützt Sie dabei.
Bei einem Auftragsverarbeitungsvertrag (AVV) handelt es sich um eine zentrale Anforderung der DSGVO.
Werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines AVV erforderlich.
Unsere TÜV-zertifitierten Datenschutzbeauftragten erstellen & verwalten Verträge zur Auftragsverarbeitung.
Bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgen. Der AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie ggfs. erforderlicher Subdienstleister.
Der Auftragsverarbeiter tritt nach außen nicht in Erscheinung und ist in keinem Fall befugt, die von Ihnen gelieferten personenbezogenen Daten für seine eigenen Zwecke oder im eigenen Interesse zu verwenden (Art. 28 DSGVO). Damit ist Ihr Unternehmen weisungsbefugt, bleibt aber auch verantwortlich dafür, wie diese Daten verarbeitet werden – und für ihren Schutz (Art. 29 DSGVO).
Dem Auftraggeber werden im Vertrag umfassende Rechte zur Kontrolle der vereinbarten Vertragsinhalte (respektive: die beim Dienstleister getroffenen Maßnahmen und Vorkehrungen) eingeräumt. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftraggeber in Kontakt kommt, weiterhin verantwortlich.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDer Auftragsverarbeitungsvertrag muss schriftlich (auch elektronisch) abgeschlossen werden, bevor der erste Datentransfer erfolgt, also deutlich vor der ersten Datenverarbeitung.
Laut § 28 DSGVO sieht der Auftragsverarbeitungsvertrag insbesondere vor, dass der Auftragsverarbeiter
Umgekehrt muss der Verantwortliche in regelmäßigen Abständen kontrollieren, ob der Auftragsverarbeiter alle datenschutzrechtlichen Bestimmungen einhält. Dazu muss er ein Konzept zur Umsetzung seiner Datenschutzanforderungen haben, dessen Einhaltung er kontrolliert. Alle derartigen Überprüfungen müssen vom Auftraggeber dokumentiert werden, da sie von der Aufsichtsbehörde kontrolliert werden können.
Ganz konkret muss der Auftragsverarbeitungsvertrag folgende Aspekte enthalten – je nach Branche können jedoch noch weitere Punkte hinzukommen, bitte wenden Sie sich an Ihren IT-Juristen oder den Datenschutzbeauftragten:
Verantwortlichkeit, Rechte und Pflichten des Auftraggebers für
Nach Artikel 4 Absatz 2 der DSGVO versteht man unter „Verarbeiten“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe wie
personenbezogener Daten zu einem beliebigen Zeitpunkt.
Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.
Die drei Buchstaben AVV hat fast jeder schon einmal gehört. Überraschenderweise weiß kaum ein Verantwortlicher, was AVV praktisch (und im Detail) bedeutet. Ein AV-Vertrag ist in vielen Fällen eine unverzichtbare Grundlage bei der Nutzung von Diensten bzw. Dienstleistungen.
Ein paar Beispiele wären Google Analytics, Newsletter-Versand über einen externen Anbieter, Outsourcing von Diensten (z. B. Rechenzentrum), Beauftragung von Callcentern, externer Support / IT-Dienstleister etc.
Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden.
Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden:
Pflichten und Rechte des Auftragsverarbeiter:
Auftragsverarbeiter sind alle natürlichen oder juristischen Personen oder Institutionen innerhalb der EU oder des EWR, die die Daten Ihres Unternehmens weiterverarbeiten. Das sind nicht nur Kundendaten, sondern beispielsweise auch Lieferanten- oder Personaldaten. Deshalb gehören dazu
Mit allen diesen Verarbeitern und jedem anderen, der auf Kunden-/Besucher-/Personal-/Abrechnungsdaten Zugriff hat, müssen Sie Auftragsverarbeitungsverträge schließen – auch mit Trackinganbietern wie Google Analytics. Dabei ist es nicht von Bedeutung, ob die auszuführende Dienstleistung den Zugriff auf personenbezogene Daten vorsieht. Sobald ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, muss ein Auftragsverarbeitungsvertrag vorliegen.
Lassen Sie die verschiedenen Dienstleistungsverhältnisse Ihres Hauses sowie die Auftragsverarbeitungsverträge von einem spezialisierten Juristen oder Datenschutzbeauftragten aufsetzen, die im Internet kursierenden Vorlagen können nicht ohne Weiteres übernommen werden. Ist der Auftragsverarbeiter nicht ohne Weiteres austausch- und ersetzbar oder hat Ihr Unternehmen keinen Einfluss auf die weitere Datenverarbeitung (z. B. wenn Sie eine Vermittlungsplattform betreiben) , ist ein Auftragsverarbeitungsvertrag nicht das richtige Dokument für den Verarbeitungsprozess.
In diesem Fall müssen Sie eine ausdrückliche Erlaubnis des Users zur Weitergabe seiner Daten an Dritte zu deren eigenständiger Weiterverarbeitung einholen. Das kann etwa durch ein Cookie Banner geschehen. Auftragsverarbeitungsverträge mit Anbietern außerhalb der EU/EWR (in sogenannten Drittländern gem. Artikel 44 DSGVO) sind derzeit nahezu unmöglich, weil die gesetzlichen Regelungen sehr komplex sind und Sie von jeder einzelnen betroffenen Person eine Datenweitergabeerlaubnis erbitten müssten.
Keine Datenverarbeitung liegt vor, wenn der Dienstleister die anvertrauten Daten eigenverantwortlich behandelt. Der Auftraggeber verfügt also weder über Weisungs- noch über Kontrollrechte und überlässt dem Dienstleister die Entscheidung über Mittel und Zweck der Datenverarbeitung und der inhaltlichen Gestaltung. In diesem Falle ist der Dienstleister kein Auftragsverarbeiter.
Wenn Sie aber einen Auftragsverarbeiter beauftragen und die Zwecke und Mittel der Datenverarbeitung festlegen, sind Sie verantwortlich für die Daten der Betroffenen. Es liegt vermutlich eine Auftragsverarbeitung vor, wenn der Auftragnehmer:
Sind Sie sich nach wie vor nicht sicher ob Sie einen AVV benötigen, können Sie sich auch an Ihre Aufsichtsbehörde oder Ihren Datenschutzbeauftragten wenden.
Hier finden Sie eine Liste mit AV-Verträgen.
Die Pflichten des Auftragsverarbeiters sind in den §Artikeln 32 bis 35 der DSGVO aufgeführt. Er muss mit geeigneten technischen und organisatorischen Maßnahmen (TOM) sicherstellen, dass der Datenschutz und die Datensicherheit während der Datenübertragung und der Verarbeitung beständig gewahrt werden. Er muss also dafür sorgen, dass
Es gibt nur wenige Ausnahmen, denen Sie Daten ohne AVV zur Verarbeitung übertragen dürfen, weil sie bereits durch besondere gewerbespezifische und berufsständische Regelungen („Berufsgeheimnis“) verpflichtet sind, personenbezogene Daten besonders zu schützen.
Hier gilt die Nutzung der Daten als fremde Fachleistung und die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten liegt beim Dienstleister. Üblicherweise von der Auftragsverarbeitungsvertragspflicht befreit sind laut Datenschutzkonferenz
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Sollten Sie keinen Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geschlossen haben, wird es teuer. Die DSGVO sieht in Artikel 82 bei einem Vertragsbruch oder einem Pflichtverstoß des Auftragsverarbeiters eine gemeinsame Haftung von Verantwortlichem und Auftragsverarbeiter vor, die
bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist, Artikel 83 Absatz 4 DSGVO) betragen kann.
bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist, Artikel 83 Absatz 5 DSGVO) betragen kann.
Zudem haben die betroffenen Personen ein Schadensersatzrecht gegen Verantwortlichen und Auftragsverarbeiter, wenn sich ein Datenmissbrauch nachweisen lässt. Dies betrifft beispielsweise
In diesen Fällen müssten die betroffenen Unternehmen ihre Unschuld nachweisen, um der Schadenersatzforderung zu begegnen – etwa durch einen gültigen Auftragsverarbeitungsvertrag.
Manche Gerichte haben bereits entscheiden, dass das datenschutzkonforme Verhalten von Wettbewerbern einklagbar ist. Damit besteht die Gefahr von Abmahnwellen professioneller Kläger.
Verantwortliche sollten eine Auftragsverarbeitung in jedem Fall in ihre Datenschutzerklärung aufnehmen.
Klären wir zunächst einmal was es mit dem Verbot mit Erlaubnisvorbehalt auf sich hat.
Für die Weitergabe von Daten an Dritte und für die Verarbeitung wird eine Rechtsgrundlage benötigt, das besagt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet konkret, dass eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen für den Umgang mit personenbezogenen Daten benötigt wird.
Ein Auftragsverarbeiter wird jedoch nicht als Dritter eingestuft und somit ist auch keine weitere Rechtsgrundlage erforderlich. Betroffene müssen lediglich auf den Einsatz von Auftragsverarbeitern hingewiesen werden.
Auftragsverarbeitung findet statt, wenn ein Auftragnehmer der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags personenbezogene Daten erhebt, verarbeitet und nutzt. Die DSGVO regelt diese Auftragsverarbeitung detailliert und europaweit.
Der Auftragsverarbeiter muss sorgfältig und unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Er darf nur auf Weisung des Verantwortlichen die entsprechenden Daten für den vorgesehenen Zweck verarbeiten.
Die Datenverarbeitung kann auch außerhalb der EU stattfinden. Gemäß der DSGVO müssen aber nun auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen. Ansprechpartner für Betroffene bleibt aber weiterhin der für die Verarbeitung Verantwortliche.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
