Diese Punkte gehören ­­­
in einen Auftragsverarbeitungs­vertrag!

Haben Sie schon alle benötigten Auftragsverarbeitungsverträge abgeschlossen?

Bei Auftragsverarbeitungen lt. DSGVO muss zwischen Auftraggeber und Auftragsverarbeiter ein spezieller Vertrag abgeschlossen werden – Der Auftragsverarbeitungsvertrag. Wenn er fehlt, kann das schwere Folgen für die Beteiligten haben! Und natürlich gibt es auch dafür einige gesetzliche Vorgaben, was den Inhalt betrifft.

Sie wissen nicht, was Auftragsverarbeitungen sind oder wollen erfahren, ob auch Sie selbst Auftragsverarbeiter sind? Dann lesen Sie zuerst unseren Beitrag „Auftragsverarbeiter – Gehören Sie dazu?“ 

Wozu dient ein Auftragsverarbeitungvertrag?

Ein Auftragsverarbeitungsvertrag regelt, welche Daten zu welchem Zweck verarbeitet werden sollen und welche rechtlichen Rahmenbedingungen dabei eingehalten werden müssen.

Er verschafft also Klarheit darüber, welche Rechte und Pflichten beide Vertragspartner haben.

Außerdem soll er dem Auftraggeber, im Falle eines Datenschutzverstoßes durch den Auftragsverarbeiter, eine gewisse Sicherheit geben. Er kann so nämlich nachweisen, dass die Verantwortung für die jeweilige Aufgabe im Bereich des Auftragsverarbeiters gelegen hat. 

Was genau wird in einem Auftragsverarbeitungsvertrag geregelt?

Wenn Sie einen Auftragsverarbeitungsvertrag erstellen, müssen Sie einige Inhalte inkludieren:

Aufragsverarbeitungsvertrag

1. Die Vertragsparteien

Zuerst werden der Auftraggeber und der Auftragnehmer (=Auftragsverarbeiter) namentlich genannt. 

2. Der Gegenstand der Vereinbarung

Dann werden der Auftragsgegenstand, die Art und der Zweck der Verarbeitung, sowie die Kategorien der personenbezogenen Daten und der betroffenen Personen möglichst detailliert beschrieben.

3. Die Rechte und Pflichten des Auftraggebers

In diesem Punkt werden die Verantwortlichkeit des Auftraggebers für die Verarbeitung der Daten, die Erfüllung der Betroffenenrechte, die Ernennung weisungsberechtigter Personen oder die Information bei Fehlern und Problemen im Bezug auf die Verarbeitung beschrieben.

4. Die Pflichten des Auftragnehmers

Nun werden die Pflichten des Auftragsverarbeiters gemäß DSGVO oder evtl. anderer gültiger Gesetze definiert. Beispielsweise gehört hierzu der Punkt, dass der Auftragsverarbeiter die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarung oder einer dokumentierten Weisung des Auftraggebers verarbeitet. Außerdem wird erwähnt, dass er im Falle eines Verstoßes gegen die gesetzlichen Regelungen den Auftraggeber unverzüglich benachrichtigen muss. 

5. Der Datenschutzbauftragte des Auftragnehmers

Wenn der Auftragsverarbeiter einen Datenschutzbeauftragten hat, wird dieser hier erwähnt. 

6. Die Meldepflicht des Auftragnehmers

Verstößt der Auftragnehmer gegen datenschutzrechtliche Regelungen, gegen die vertraglichen Vereinbarungen oder die erteilten Weisungen des Auftraggebers, ist er verpflichtet, dies dem Auftraggeber unverzüglich zu melden. 

7. Die Mitwirkungspflichten des Auftragnehmers

Hier wird geregelt, dass der Auftragnehmer den Auftraggeber bei verschiedenen Aufgaben, wie z.B. bei der Beantwortung von Betroffenenanfragen oder der Erstellung eines Verarbeitungsverzeichnisses, unterstützen muss.

8. Die Kontrollbefugnisse

Dieser Punkt besagt, dass der Auftraggeber jederzeit das Recht hat, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz zu kontrollieren. Dazu gehören gegebenenfalls auch Vor-Ort-Kontrollen. 

9. Der Einsatz von Sub-Auftragsverarbeitern

Dieser Teil definiert, ob und inwieweit Auftragsverarbeiter berechtigt sind, Sub-Auftragsverarbeiter bei der Datenverarbeitung hinzuzuziehen. Es kann ein generelles Verbot festgelegt werden, oder die Zulässigkeit einer Hinzuziehung bestimmter Sub-Auftragsverarbeiter.

10. Die Vertraulichkeitsverpflichtung

Der Auftragsverarbeiter und seine Mitarbeiter sind bei der Verarbeitung personenbezogener Daten zur Vertraulichkeit verpflichtet. Der Auftragsverarbeiter muss dabei die gleichen Geheimhaltungsregeln beachten, wie der Auftraggeber.

11. Die Wahrung der Betroffenenrechte

Dieser Punkt definiert, dass der Auftragnehmer verpflichtet ist, den Auftraggeber bei seiner Pflicht der Beantwortung von Betroffenenanfragen innerhalb der gesetzlichen Fristen zu unterstützen.

12. Die technischen und organisatorischen Maßnahmen

In diesem Abschnitt werden die technischen und organisatorischen Maßnahmen, die der Auftragnehmer zum Schutz der verarbeiteten Daten ergriffen hat, konkret erfasst. 

13. Der Ort der Durchführung und der Datenverarbeitung

Beschreiben Sie hier, ob die Auftragsverarbeitung ausschließlich innerhalb der EU (bzw. Des EWR) stattfindet oder auch außerhalb. Werden die Verarbeitungen auch außerhalb durchgeführt, sollte definiert werden, aus welchen rechtlichen Bedingungen sich dann das angemessene Datenschutzniveau ergibt. 

14. Die Dauer der Auftragsverarbeitungsvereinbarung

Hier werden der Beginn, die Beendigung und die Kündigungsbedingungen des Vertrages festgehalten.

15. Die Beendigung

Wird der Vertrag beendigt, muss der Auftragnehmer alle Unterlagen, Daten und sonstige Ergebnisse, die sich in seinem Besitz befinden, an den Auftraggeber zurückgeben oder löschen. 

16. Die Schlussbestimmungen

Schlussendlich können noch andere Punkte, wie z.B. das Vorgehen im Falle eines Insolvenzverfahrens, festgelegt werden.

Unsere Tipps zum Auftragsverarbeitungsvertrag:

Schließen Sie unbedingt einen Auftragsverarbeitungsvertrag ab!

Stellen sie sicher, dass alle benötigten Auftragsverarbeitungsverträge vorhanden sind und den Vorgaben der DSGVO entsprechen. Sonst kann es zu hohen Strafen kommen und Betroffene können sogar Schadensersatz fordern!

Überprüfen Sie Ihren Auftragsverarbeitungsvertrag regelmäßig!

Versichern Sie sich, dass diese auch noch zu den erbrachten Leistungen passen. Denn manchmal verändert sich die Leistungsbeziehung zwischen Auftraggeber und Auftragnehmer und der Vertrag muss angepasst werden.

Nutzen Sie als Auftraggeber Ihre Kontrollrechte!

Überprüfen Sie regelmäßig, ob Ihr Auftragsverarbeiter die datenschutzrechtlichen Vorgaben einhält. Das können Sie z.B. mit Kontrollen vor Ort, durch schriftliche Auskünfte und Berichte oder durch Ihren Datenschutzbeauftragten machen. Dokumentieren Sie diese Überprüfungen außerdem!

Jetzt wissen Sie also, welche Informationen ein Auftragsverarbeitungsvertrag enthalten muss und worauf Sie besonders achten sollten. Wenn Sie all diese Punkte umsetzen, sind Sie auf einem guten Weg!

Sie hätten dennoch gerne Hilfe bei der Erstellung Ihres Auftragsverarbeitungsvertrages?

Kein Problem, das DSVO Schutzteam unterstützt Sie gerne dabei! In unserem Auftragsverarbeiter-Paket sind Leistungen, wie die Erstellung eines Auftragsverarbeitungsvertrages oder die laufende Aktualisierung Ihres Auftragsverarbeitungs-Verzeichnisses inkludiert. Und das schon ab € 29 pro Monat!

Überzeugen Sie sich jetzt vom DSGVO Schutzteam!

Menü