• Facebook
  • Xing
  • LinkedIn
  • Youtube
  • Mail
  • Blog
  • Presse
  • Kontakt
SAVISCON GmbH
  • SOFTWARE-LÖSUNGEN
    • GRC-COCKPIT
      • Datenschutz-Management Software
      • Hinweisgebersystem
    • BRIEF-ASSISTENT
  • BERATUNG
    • Customer Communication Management
    • Datenschutz-Management-System aufsetzen
    • Externer Datenschutzbeauftragter
  • UNSERE THEMEN
    • GRC-Management
      • Risiko-Management
      • Compliance-Management
      • Datenschutz-Management
      • IT-Sicherheit
        • Schutzbedarfsanalyse
    • Enterprise Content Management
      • Customer Communication Management
      • Dokumentenmanagement
  • SERVICE
    • Whitepaper
    • Webinare
      • Live: Digitales Hinweisgebersystem
      • IT-Grundschutz (BSI | Recplast GmbH)
      • Digitales Hinweisgebersystem
      • Lieferkettengesetz digital umsetzen
    • Newsletter
  • ÜBER UNS
    • Über SAVISCON
    • SAVISCON-Team
    • Code of Conduct
    • Unsere Partner
    • Referenzen
    • Jobs
  • Kostenfreie Erstberatung
  • Menü Menü
Sinnbild AVV unterschreiben

Der Auftragsverarbeitungs-Vertrag (AVV)

September 3, 2021/in Datenschutz, GRC@SAVISCON/von Karin Selzer

Was ist der AVV und was muss rein?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In diesem Blog-Beitrag sehen wir uns in unserem internen Projekt Datenschutz aus der Reihe GRC@SAVISCON (hier geht’s zum initialen Blog-Beitrag) den AV-Vertrag (Auftragsverarbeitungsvertrag) genauer an. Ein AV-Vertrag ist ein Vertrag über die Auftragsverarbeitung, der immer dann abgeschlossen werden muss, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Ganz neu ist das Thema nicht, denn im Bundesdatenschutzgesetz (BDSG) war das Dokument als ADV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) bekannt.

Was hat sich durch die Einführung der EU-Datenschutz-Grundverordnung geändert?

Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird schärfer ausgestaltet. Insbesondere durch die Rechenschaftspflicht wird man als verantwortliche Stelle deutlich stärker in die Pflicht genommen. Nach Art. 26 DS-GVO gibt es nun auch „Gemeinsame Verantwortliche“. Neu ist auch die gemeinsame Haftung von Auftraggeber und Auftragnehmer bei Datenschutzverstößen mit Schadenersatzansprüchen (Art. 82 DS-GVO).

Was passiert mit bereits bestehenden ADV-Verträgen auf Grundlage des BDSG?

Diese sollten neu verhandelt und neu abgeschlossen werden. Zumindest ist dies die datenschutzkonformere und damit sicherere Lösung. Ansonsten besteht auch die Möglichkeit alte ADV-Verträge durch Ergänzungsverträge an die neue gesetzliche Grundlage anzupassen. Das kann allerdings mit hohem manuellen Aufwand verbunden sein, wenn die ADV-Verträge nicht standardisiert, sondern sehr individuell gestaltet wurden.

Deckblatt eines Vertrags zur Auftragsverarbeitung

Auszug aus SAVISCON Muster AV-Vertrag

Inhalt eines AV-Vertrages

Folgende Bestandteile (Mindestanforderungen) muss ein AV-Vertrag lt. DS-GVO haben, um die einzelnen Rechte und Pflichten von Auftraggeber und Auftragnehmer bei der Auftragsverarbeitung zu regeln (Art. 28 DS-GVO):

  • Angaben zu Auftraggeber, Auftragnehmer und Vertreter innerhalb der EU
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen (z. B. Kontrollrecht)
  • Pflichten des Auftragsverarbeiters (z. B. Rückgabe bzw. Löschung personenbezogener Daten nach Auftragsende, Beschäftigung von Subunternehmer, Unterstützung bei Betroffenenanfragen und bei der Meldepflicht von Datenschutzverletzungen)
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)

Die Auflistung der technischen und organisatorischen Maßnahmen erfolgt üblicherweise in einer separaten Anlage zum AV-Vertrag und ist ebenfalls von beiden Parteien zu unterschreiben.

Screenshot: Auszug aus SAVISCON Muster Anlage 1 TOM

Auszug aus SAVISCON Muster Anlage 1 TOM

Woran erkenne ich einen Auftragsverarbeiter?

Ein „Auftragsverarbeiter“ ist eine natürliche oder eine juristische Person (Unternehmen), eine Behörde, eine Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter bestimmt weder den Zweck noch die Mittel der Datenverarbeitung, dies obliegt ausschließlich dem Auftraggeber (Verantwortlicher). Allerdings darf der Auftragnehmer durchaus geeignete technische und organisatorische Schutzmaßnahmen selbst auswählen. Folgende Kriterien deutet auf eine Auftragsverarbeitung hin:

Der Auftragnehmer

  • hat keine Entscheidungsbefugnis über die Daten
  • verfolgt keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten
  • unterliegt einem Nutzungsverbot der zu verarbeitenden Daten
  • steht in keiner vertraglichen Beziehung zu den Betroffenen
  • ist nach außen hin nicht für die Datenverarbeitung verantwortlich, sondern der Auftraggeber

Klassische Auftragsverarbeiter sind z. B.

  • IT-Dienstleister, Hosting-Anbieter (Webseite)
  • Anbieter für Daten- und Aktenvernichtung (Datenschutztonne)
  • Externer Lettershop (Mailings)

Wann ist kein AV-Vertrag notwendig?

Eine einfach Frage, auf die es aber leider keine einfache pauschale Antwort gibt. Denn hier sind die einzelnen Aufsichtsbehörden und auch die Datenschutzkonferenz (DSK) nicht immer einer Meinung und es gibt immer mal wieder unterschiedliche Auslegungen.

Laut LDA Bayern stellt die Beauftragung mit fachlichen Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. D. h. wenn ein Dienstleister z. B. die Wartung an der Stromzufuhr oder an der Kühlung übernimmt, spricht man nicht von einem Auftragsverarbeiter (keine Verarbeitung personenbezogener Daten) und es ist kein AV-Vertrag notwendig.

Wird aber ein IT-Dienstleister, der sich z. B. per Fernwartung (IT-Support) auf den Rechner aufschalten kann und dabei Zugriff auf personenbezogene Daten haben könnte, als Auftragsverarbeiter gesehen. Sie sehen, es ist eine genaue Betrachtung des Dienstleisters und der Art der Verarbeitung notwendig.

Hier einige Beispiele aus der FAQ-Liste des LDA Bayern wann keine Auftragsverarbeitung vorliegt:

a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen z. B.

  • Berufsgeheimnisträger (Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienste für den Brief- oder Pakettransport
  • Matching-Dienste (z. B. Personalvermittler)

b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit z. B.

  • vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
  • Sachverständige zur Begutachtung eines Kfz-Schadens
  • Personenbeförderung, Krankentransportleistungen
  • Bewachungsdienstleistungen
  • Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen

Muster AV-Verträge

Um einen datenschutzkonformen AV-Vertrag zu erstellen, müssen Sie das Rad aber nicht neu erfinden. Hier gibt es sehr gute Vorlagen, die auf jeden Fall eine gute Basis darstellen und an Ihr Unternehmen und Ihre Auftragsverarbeiter angepasst werden können:

  • Vorlage des LDA Bayern
  • Vorlage der GDD (in deutscher und englischer Sprache verfügbar)

Aktuell aus unserer Praxis

Wir arbeiten mehrmals im Jahr mit einer Telemarketing-Agentur zusammen, die für uns im Anschluss an Mailings Adressen abtelefoniert, um Beratungstermine zu vereinbaren oder Informationsmaterial zu versenden. Hier werden ganz klar personenbezogene Daten nach Weisung von uns als Auftraggeber verarbeitet. Zusätzlich zu den jeweiligen Einzelaufträgen (Hauptverträge) gibt es einen AV-Vertrag zwischen beiden Parteien, der so lange gültig sein wird, wie die Geschäftsbeziehung aktiv ist.
Den Abschluss haben wir natürlich auch in unserem GRC-COCKPIT dokumentiert, in dem wir eine Maßnahme dazu angelegt und mit dem erfassten Partner (Telemarketing-Agentur) verknüpft haben. So können wir auf Knopfdruck überprüfen, ob es sich bei dem Partner um einen Auftragsverarbeiter (Dienstleister) handelt und ob hier ein gültiger AV-Vertrag vorliegt. Denn dieser wird ebenfalls verknüpft bzw. fest als Anhang hinterlegt.
Sollte es neue Vorgaben der Datenschutzbehörden geben, können wir aus dem GRC-COCKPIT heraus eine Liste an Auftragsverarbeitern erstellen und so weitere Maßnahmen (z. B. AV-Vertrag aktualisieren) erzeugen und bis zum Abschluss überwachen. Natürlich handelt es sich bei diesem Prozess um einen Verarbeitungsprozess nach Art. 30 DS-GVO. Wie man ein solches Verzeichnis von Verarbeitungstätigkeiten aufsetzt, haben wir bereits in einem vorherigen Blog-Beitrag erklärt: Zum Beitrag Verzeichnis von Verarbeitungstätigkeiten aufbauen

Screenshot AVV in GRC-COCKPIT

Auszug aus dem GRC-COCKPIT: Maßnahme AV-Vertrag abschließen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „AV-Vertrag“:

  • Alte ADV-Verträge am besten neu verhandeln und abschließen
  • Prüfen, bei welchen Partnern es sich um Auftragsverarbeiter handelt
  • Wenn möglich Muster AV-Verträge verwenden
  • Übersichtliche Dokumentation der Partner / Auftragsverarbeiter inkl. AV-Verträge

Im nächsten Blog-Beitrag am 16. September, schauen wir wieder gemeinsam in das Projekt Compliance-Management.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

https://saviscon.de/wp-content/uploads/avv-unterschreiben.jpg 1281 1920 Karin Selzer https://saviscon.de/wp-content/uploads/2020/05/saviscon-logo-300x125.jpg Karin Selzer2021-09-03 10:03:092022-07-20 14:03:34Der Auftragsverarbeitungs-Vertrag (AVV)
Das könnte Dich auch interessieren
Sinnbild DSGVO Datenschutz-Folgenabschätzung
Sinnbild Google Analytics datenschutzkonform einsetzenMyriam Jessier by Unsplash Online Marketing und die DSGVO
EU Flagge mit DSGVO AufschriftUnsplash Datenschutz: neues, europäisches Bußgeldmodell der EDSA
Clubhouse im Appstore Clubhouse und die DSGVO
Geschäftsführer Ingo Simon und Team im SAVISCON BüroElfriede Liebenow Practice what you preach 2.0
Sinnbild für das Verzeichnis von Verarbeitungstätigkeiten Verzeichnis von Verarbeitungstätigkeiten aufbauen

Kommentieren:

Termin bei Christoph Müller vereinbaren
SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt

Nach oben scrollen
  • Termin buchen
  • Kontakt aufnehmen
  • Newsletter abonnieren
  • Downloads
Ihre Cookie Einstellungen
Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Mit einem Klick auf „Zustimmen“ akzeptieren Sie alle Cookies und somit die Verarbeitung und auch die Weitergabe Ihrer anonymisierten Daten an Drittanbieter. Wir nutzen Statistik-Daten, um redaktionelle Inhalte an die Vorlieben unserer Webseitenbesucher anzupassen und ihnen interessante Inhalte zu bieten.

Weitere Informationen, auch zur Datenverarbeitung durch Drittanbieter, finden Sie unter Einstellungen. Ihre Entscheidung können Sie jederzeit über den Link in unserer Datenschutzerklärung anpassen. Klicken Sie auf ablehnen, um alle Cookies (bis auf die technisch notwendigen) abzulehnen.
Verwalten Sie Ihre Cookie Einstellungen

Um Ihnen ein optimales Webseiten-Erlebnis zu bieten, setzen wir Cookies ein. Das sind kleine Textdateien, die auf Ihrem Computer gespeichert werden. Dazu zählen sowohl Cookies für den Betrieb und die Optimierung der Seite als auch für Services, wie z.B. die Anzeige von Aktienkursen oder Google Maps sowie an Ihrem Online-Nutzungsverhalten orientierte Inhalte. So kann z.B. erkannt werden, wenn Sie unsere Seite vom selben Gerät aus wiederholt besuchen. Wir möchten Ihnen die Wahl geben, welche Cookies Sie zulassen.

Erforderliche Cookies

Diese Cookies sind notwendig, damit Sie durch die Seiten navigieren und wesentliche Funktionen nutzen können.

Analytische Cookies

Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen. Analysecookies ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Produkte zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich.

Mehr erfahren Weniger erfahren
Zurück
Impressum Datenschutz