Auftragsverarbeitung nach DSGVO: Was ist ein AVV und warum ist das wichtig für mich?

Fast jeder hat den Begriff „Auftragsverarbeitung“ schon einmal gehört. Aber wissen Sie auch, was dieser Begriff praktisch bedeutet?

Dabei sind Auftragsverarbeitungsverträge (AVV) für die meisten Unternehmen ein Muss: Denn, wenn Daten im Auftrag und unter Weisung eines Unternehmens von externen Dienstleistern verarbeitet werden, müssen Auftraggeber und Auftragnehmer einen gesonderten Vertrag abschließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. AVVs sollen also den Schutz der eigenen Daten in fremden Unternehmen garantieren. Damit stellen sie ein wichtiges Element Ihres Datenschutzes dar.

Deshalb verraten wir Ihnen hier alles, was Sie über Auftragsverarbeitungsverträge wissen müssen und auf was Sie als Unternehmer konkret achten sollten!

Was bedeutet Auftragsverarbeitung eigentlich?

Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen externe Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Die Verantwortung für die DSGVO-konforme Datenverarbeitung verbleibt dabei beim Auftraggeber. Dieser ist somit der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister wird bei der Auftragsverarbeitung nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ des Auftraggebers.

Beispiele von Auftragsverarbeitungen

  • Marketing-Aktionen, Kundenumfragen, Newsletter-Versand durch eine externe Agentur
  • Beauftragung eines Callcenters für den Kundensupport oder zur Kundengewinnung
  • Outsourcing des Rechenzentrums
  • Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern
  • Externe Lohn- und Gehaltsabrechnung oder Buchhaltung

Was ist ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO?

Ein Auftragsverarbeitungsvertrag (ehemals: Auftragsdatenverarbeitungsvertrag) ist immer dann abzuschließen, wenn personenbezogene Daten Ihrer Kunden oder Mitarbeiter durch einen externen (weisungsabhängigen) Dienstleister verarbeitet werden.

Der abzuschließende AVV regelt dabei die Rechte und Pflichten von Auftraggeber und Auftragnehmer. So soll unter anderem gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten personenbezogenen Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag diesbezüglich umfassende Kontrollrechte eingeräumt.

Ein AVV sollte grundsätzlich folgendes enthalten:

  • Gegenstand und Dauer des Auftrags
  • Art, Zweck und Umfang der Datenverarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Rechte und Pflichten des Auftraggebers
  • Pflichten des Auftragsverarbeiters
  • Meldepflichten des Auftragsverarbeiters
  • Umgang mit eventuellen Subunternehmern

Die genauen Mindestanforderungen an den Inhalt eines AVV sind in Art. 28 Abs. 3 DSGVO definiert.

Was passiert, wenn ich keinen Vertrag zur Auftragsverarbeitung mit externen Dienstleistern abschließe?

Haben Auftraggeber und Auftragnehmer keinen AVV abgeschlossen, obwohl Sie gemäß DSGVO dazu verpflichtet sind oder entspricht dieser nicht den Anforderungen des Art. 28 DSGVO, kann das schnell richtig teuer werden! In der Regel kostet JEDER fehlende Auftragsverarbeitungsvertrag € 5.000! Darüber hinaus können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen.

Unser Tipp!

Auf der DSGVO Schutzteam Plattform können Sie Ihr Auftragsverarbeiter­verzeichnis ganz einfach selbst erstellen. Und zudem erhalten Sie auch Zugang zu geprüften Dokumenten für Ihren Arbeitsalltag, wie zum Beispiel Muster für

  • Auftragsverarbeitungsverträge
  • IT-Richtlinien
  • Geheimhaltungsvereinbarungen usw.

So sind Sie für alle Fälle gerüstet!

Das könnte Sie auch interessieren:

Menü