Was muss ich bei einem Auftragsverarbeitungsvertrag beachten? Wie erstelle ich einen Auftragsverarbeitungsvertrag?

| gepostet in Allgemein, Datenschutz

AVV – Auftragsverarbeitungsvertrag im Sinne der DSGVO – Wenn Daten im Auftrag verarbeitet werden

Sie verarbeiten Daten im Auftrag? Dann haben Sie bestimmt einen sogenannten Auftragsverarbeitungsvertrag mit dem Auftraggeber geschlossen. Dieser wird nach der DSGVO gefordert, um transparente Regelungen zur Verarbeitung festzulegen. Auftragsverarbeitungsverträge sollten nahezu allen Unternehmen geläufig sein. Falls nicht, sollten Sie sich unseren Blog zum Thema Auftragsverarbeitungsvertrag zu Herzen nehmen. Lesen Sie grundlegenden Fakten, die Sie über einen Auftragsverarbeitungsvertrag wissen müssen.

Was ist Auftragsverarbeitung?

Es geht um die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen, beispielsweise durch einen Dienstleister. Typisch ist hier die Nutzung von IT-technischen Dienstleistungen wie Wartung von Systemen oder der Nutzung von externen Rechenzentren. Unter Verarbeitung versteht man neben der Speicherung auch das Erheben, Erfassen, Ändern und sogar das Löschen von Daten. Dabei handelt der Auftragsverarbeiter auf Weisung des Verantwortlichen, also des Autraggebers. Der Auftragsverarbeitungsvertrag regelt die Befugnisse, Weisungen, Zwecke der Verarbeitung und die Pflichten der Vertragspartner hierbei. Und er legt fest, ob und welche Unterauftragnehmer für die Verarbeitung im Auftrag eingesetzt werden dürfen. Auftragsverarbeitungsverträge schaffen Sicherheit zusätzlich zum Hauptvertrag. Stellen Sie sich vor, Ihrem Dienstleister unterläuft während der Verarbeitung in Ihrem Auftrag eine Datenschutzverletzung. Dank des Auftragsverarbeitungsvertrags sind dann Haftungsfragen, Zuständigkeiten und Abläufe für beide Seiten definiert. Allerdings bleibt bei der Auftragsverarbeitung laut DSGVO der Auftraggeber letztlich der Verantwortliche für die personenbezogenen Daten.

Wann benötigt man nun einen Auftragsverarbeitungsvertrag?

Wann ist man nicht mehr Verantwortlicher, sondern Auftragsverarbeiter? Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung. Als Verantwortlicher braucht man für jede Verarbeitung personenbezogener Daten eine Einwilligung oder eine gesetzliche Erlaubnis, also eine Rechtsgrundlage. Als Auftragsverarbeiter „übernimmt“ man die Rechtsgrundlage des Auftraggebers und auch dessen Zwecke; über den Einsatz bestimmter Mittel kann manchmal auch der Auftragnehmer selbst entscheiden. Der Aspekt der Weisungsgebundenheit spielt hier also eine wichtige Rolle. Und was ist mit Steuerberatern, Rechtsanwälten, Betriebsärzten, Bankinstituten und Postdiensten? Diese sind per Berufsordnungen und Rechtsvorschriften selbst Verantwortliche, daher ist kein Auftragsverarbeitungsvertrag nötig. Sollten Sie sich unsicher sein, wann Sie einen Auftragsverarbeitungsvertrag benötigen, wenden Sie sich an Ihren Datenschutzbeauftragten, um Klarheit zu schaffen.

Welche Inhalte muss ein Auftragsverarbeitungsvertrag beinhalten?

Hier ist die DSGVO ziemlich deutlich und verlangt unter anderem die Regelung von:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung auf Vertraulichkeit der Personen, die befugt sind, Daten im Auftrag zu verarbeiten
  • Einsatz von Subunternehmern
  • Unterstützung bei Betroffenenanfragen
  • Unterstützung bei der Sicherheit der Verarbeitung
  • Unterstützung bei Meldepflicht von Verstößen gegen den Datenschutz
  • Unterstützung bei Datenschutz-Folgenabschätzungen
  • Rückgabe und Löschung der personenbezogenen Daten nach Beendigung der Auftragsverarbeitung
  • Informationspflicht, falls eine Weisung gegen den Datenschutz verstoßen sollte
  • Nachweis zur Einhaltung der Pflichten

Wo finde ich AVV-Muster?

Das Internet bietet zwar Unmengen an Vorlagen, viele sind jedoch veraltet oder beinhalten nicht alle geforderten Aspekte der DSGVO zum Auftragsverarbeitungsvertrag. Die Folge: Verstöße gegen den Datenschutz, Bußgelder und Image-Schäden. Immer im aktuellen Zustand gehalten, bietet die Konzept 17 GmbH seinen Mandanten viele unterschiedliche Mustern und Vorlagen. Vom Auftragsverarbeitungsvertrag über die Verschwiegenheitserklärung bis zur Datenschutzinformation wissen wir unsere Mandanten im Sinne der DSGVO immer gut gerüstet.

 


 

Wir beraten Sie mit Kompetenz und Fachwissen, denn wir sind Ihr zuverlässiger Partner in Sachen Digitalisierung, Datenschutz, IT-Sicherheit und IT-Compliance.