Datenschutz ohne Kopfzerbrechen
Alles aus einer Hand

Was ist ein Auftragsverarbeitungsvertrag?

Mit der Einführung der DSGVO im Mai 2018 wurde die vormals im BDSG bekannte Richtlinie der Auftragsdatenverarbeitung erneuert. Hierbei geht es um den Abschluss eines Vertrags (eines AVV) mit Dienstleistern oder Partnern, welche personenbezogene Daten im Auftrag verarbeiten. Dementsprechend müssen Unternehmen bei der Auswahl möglicher Dienstleister sehr sorgsam vorgehen und deren Tätigkeiten in regelmäßigen Abständen überprüfen. In der allgemeinen Unternehmenspraxis sind diese Vorgänge beispielsweise die Verarbeitung von Lohnbuchhaltung, Vertriebsaktivitäten oder der Einsatz von Marketing und Analyse-Tools. Somit sind wesentliche Bereiche der Zusammenarbeit mit anderen Unternehmen von dieser Regelung betroffen

Wie sieht ein solche Auftragsverarbeitungsvertrag (AVV) aus?

Ein solcher Vertrag muss gem. Art. 28 Abs. 3 DSGVO zwischen dem Verantwortlichen (dem eigenen Unternehmen) und dem Auftragsverarbeiter (dem Dienstleister) geschlossen werden. Hier liegt eine besondere Regelung der DSGVO vor, da die Datenschutzgrundverordnung eigentlich die Einwilligung der Betroffenen bei der Verarbeitung ihrer Daten erfordert. Durch die Etablierung der Auftragsverarbeitungsverträge bedarf es jedoch keiner weiteren Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Die betroffenen Personen müssen allerdings darauf hingewiesen werden, dass solche Dienstleister genutzt werden und die notwendigen Verträge abgeschlossen wurden Diese Verträge unterliegen selbstverständlich gewissen Anforderungen. Hierdurch soll vermieden werden, dass Dienstleister, die nicht die notwendige Sorgfalt in der Verarbeitung personenbezogener Daten walten lassen, nicht genutzt werden dürfen. Inhalte eines AVVs sind beispielsweise der Gegenstand, die Art und der Zweck der Verarbeitung sowie die Einhaltung der Rechte der Betroffenen und die Pflichten der beiden Parteien. Ein solcher Vertrag muss schriftlich abgeschlossen werden, wobei auch die elektronische Form genügt. Sollten Datenschutzverletzungen entstehen, hat stets der Auftraggeber für die Erfüllung der Pflichten, die sich aus der DSGVO ergeben, Sorge zu leisten. Der Dienstleister (Auftragsverarbeiter) muss ihn dabei jedoch unterstützen. Der Auftragsverarbeiter muss außerdem technische und organisatorische Maßnahmen ergreifen um die Datenverarbeitung sicher zu gestalten.

Wann kann auf einen Austragsverarbeitungsvertrag verzichtet werden?

Bei der Verarbeitung von personenbezogenen Daten ist zu unterscheiden, ob ein Dienstleister weisungsgebunden ist oder eigenständige verantwortlich agieren und fachfremde Leistungen erbringen. Beispiele für solche Berufsgruppen wären Steuerberater, Banken, Betriebsärzte, und Rechtsanwälte. Durch die fehlende Weisungsgebundenheit besteht hier kein Bedarf einen Auftragsverarbeitungsvertrag abzuschließen.
Menü schließen