Person mit Tablet

Verträge zur Auftragsverarbeitung (AV-Verträge)

Wir bieten professionelle Unterstützung beim Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen.

  • Über 1000 Kunden in Deutschland und Europa
  • Team von 55+ Datenschutzexperten
  • DEKRA- und TÜV-zertifizierte Experten

Muster AV-Vertrag

Wenn Daten im Auftrag und unter Wieisung eines Unternehmen von externen Dienstleistern verarbeitet werden, müssen Auftraggeber und Auftragnehmer einen gesonderten Vertrag schließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungs-Vertrag – kurz AV-Vertrag – ersetzt. Hierbei handelt es sich um einen Vertrag, den jedes Unternehmen abschließen muss, das personenbezogene Daten von einem anderen Anbieter oder Dienstleister verarbeiten lässt.


Was ist eine Auftragsverarbeitung (AV), ehemals Auftragsdatenverarbeitung?

Die Definition einer Auftragsverarbeitung ist nach Art. 28 Abs. 1 DSGVO das Verarbeiten personenbezogener Daten durch einen Dienstleister, den Auftragsverarbeiter, im Auftrag eines Verantwortlichen. Unter Verarbeiten versteht man dabei gem. Art. 4 Nr. 2 DSGVO unter anderem das Erheben, Erfassen, Ändern oder Speichern von personenbezogenen Daten. Der Auftragsverarbeiter handelt dabei gemäß den Weisungen des Verantwortlichen. Typische Anwendungen sind beispielsweise die Abwicklung der Lohnabrechnung über einen externen Dienstleister sowie Callcenter.

Welche Bedeutung hat der AV-Vertrag für mein Unternehmen?

Die inhaltlichen Anforderungen an einen AV-Vertrag ergeben sich aus Art. 28 Abs. 3 DSGVO. Durch einen AV-Vertrag wird sowohl auf Auftraggeber als auch auf Aufragnehmerseite Klarheit geschaffen, indem entsprechende Befugnisse und Weisungen, sowie Gegenstand und Zweck der Verarbeitung, geregelt werden. Rechte sowie Pflichten der jeweiligen Auftragsverarbeitung werden eindeutig festgelegt. Außerdem können AV-Verträge Unternehmen eine gewisse Sicherheit geben, da im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes nachgewiesen werden kann, dass die Verantwortung in seinem Aufgabenbereich lag. Allerdings ist hier Vorsicht geboten: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO!


Abgrenzung zu anderen Fallgestaltungen

Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Verantwortlichkeit („Joint Controllership“) nach Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen Verantwortlichen.

Erfolgt eine bloße Übermittlung von personenbezogenen Daten von einem Verantwortlichen zum anderen ist hierfür keine gesonderte Vereinbarung erforderlich. Es bedarf aber eines Erlaubnistatbestandes für die Übermittlung sowie für die Verarbeitung der Daten bei dem anderen Verantwortlichem.

Legen hingegen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten fest, so sind sie gemeinsame Verantwortliche und müssen untereinander vereinbaren, wer welcher Pflicht aus der Datenschutz-Grundverordnung nachkommt. Bei Vorliegen einer gemeinsamen Verantwortlichkeit ist eine entsprechende „Vereinbarung zur gemeinsamen Verantwortlichkeit“ nach Art. 26 DSGVO zu schließen.  Als Hilfe bei der Abgrenzung zur Auftragsverarbeitung kann man sich beispielsweise folgende Frage stellen: Lässt sich der angestrebte Zweck der Datenverarbeitung auch ohne den Dritten verfolgen? Wenn Sie die Frage mit einem Ja beantworten und somit der Dritte problemlos austauschbar ist, ist das ein Indiz für eine Auftragsverarbeitung. Beantworten Sie die Frage mit einem Nein, spricht dies für eine gemeinsame Verantwortlichkeit. Auch hier bedarf es eines Erlaubnistatbestandes für die Verarbeitung der Daten beim anderen Verantwortlichen.


In der Praxis: Wer braucht einen AV-Vertrag?

Leider ist hier eine allgemeingültige Antwort schwierig. Der Auftragnehmer im Rahmen einer Auftragsverarbeitung gilt im Sinner der DSGVO nicht als Dritter, sondern sozusagen als verlängerter Arm des Auftraggebers. Darum ist keine weitere Rechtsgrundlage für die Verarbeitung des Auftragsverarbeiter notwendig außer diejenige, auf die Sie Ihre Verarbeitung der personenbezogenen Daten stützen. Anders verhält es sich, wenn Sie Daten an Dritte im Sinne der DSGVO weitergeben wollen.

Bei der Beantwortung der Frage, ob es sich um eine Auftragsverarbeitung handelt und somit ein AV-Vertrag geschlossen werden muss, spielt v.a. die Weisungsgebundenheit eine Rolle. Je weisungsgebundener ein Dienstleister ist, desto größer ist die Wahrscheinlichkeit, dass Sie Verantwortlicher im Sinne der DSGVO bleiben und einen AV-Vertrag schließen müssen. Auch für die Verwendung von Programmen wie Google Analytics ist ein AV-Vertrag notwendig, da auch hier eine Weitergabe von Daten stattfindet.

Die Dienste von Steuerberatern, Rechtsanwälten, externen Betriebsärzten, Wirtschaftsprüfern, Inkassobüros mit Forderungsübertragung, Bankinstituten und Postdiensten gelten übrigens nicht als Auftragsverarbeitung, sondern als fremde Fachleistung. Somit liegt die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten in diesen Fällen beim Dienstleister.


Was sind wichtige Bestandteile eines AV-Vertrages?

Um AV-Verträge DSGVO-konform abzuschließen, sind folgende Aspekte gemäß Art. 28 Abs. 3 DSGVO vertraglich zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person
  • Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter
  • Anforderungen an die Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Regelung wie der Nachweis der Einhaltung der genannten Pflichten erfolgt


Was ändert sich durch die DSGVO?

Auftraggeber waren bis zum Inkrafttreten der DSGVO vollständig verantwortlich und haftbar für die Verarbeitung personenbezogener Daten – auch wenn die Daten durch einen externen Dienstleister verarbeitet wurden. Jetzt wird die Verantwortung durch AV-Verträge, die den Vorgaben der DSGVO entsprechen, auf Verantwortliche und Auftragsverarbeiter aufgeteilt. Nach außen haftet jedoch immer der Verantwortliche. Neu ist darüber hinaus, dass der AV-Vertrag auch in rein elektronischer Form gültig ist.

Mehr zum Auftragsverarbeitungsvertrag nach alter und neuer Rechtslage erfahren Sie außerdem in unserem Blogartikel.


Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.


Wie unterstützt datenschutzexperte.de in Hinblick auf AV-Verträge?

Mit unserer Datenschutzsoftware Proliance 360 wird das Datenschutzmanagement und die Erstellung sowie Verwaltung von AV-Verträgen einfach und verständlich. Sie finden hier zahlreiche Mustervorlagen und Checklisten sowie einen Leitfaden für die Erstellung von AV-Verträgen. Fertige AV-Verträge können anschließend in der Software übersichtlich und jederzeit griffbereit abgelegt werden.

Zudem besteht die Möglichkeit, dass Sie sich auch von einem unserer Datenschutzexperten beraten lassen. Damit Auftragsverarbeitungen nach geltendem Datenschutzrecht vertraglich korrekt dokumentiert werden, unterstützt datenschutzexperte.de Ihr Unternehmen bei der Schließung von Verträgen mit Dienstleistern. Unsere Datenschutz-Beratung erfolgt grundsätzlich im Rahmen einzelner, telefonischer Beratungsgespräche. Gerne überprüfen wir Ihre individuellen Verträge, bevor Sie diese mit Ihren Auftragsnehmern abschließen. Somit sind Sie datenschutzrechtlich immer auf der sicheren Seite.

Je nach gebuchtem Leistungspaket ist eine unterschiedliche Anzahl von Beratungsstunden pro Jahr bereits inklusive (beispielsweise 5 Beratungsstunden im Medium-Paket). Sollten Sie darüber hinaus zusätzliche Beratungsstunden benötigen, können diese zu einem Stundensatz von 160 Euro (Abrechnung per 15 Minuten) beauftragt oder durch hinzubuchbare Stundenpakete abgerufen werden. Unabhängig von Ihrem gebuchten Leistungspaket können Sie eines der folgenden Stundenpakete buchen:

  •  5 Beratungsstunden: 700 Euro (140 Euro pro Stunde statt 160 Euro pro Stunde)
  • 10 Beratungsstunden: 1300 Euro (130 Euro pro Stunde statt 160 Euro pro Stunde)

Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:

Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Aktuelle Beiträge zum Thema "Verträge zur Auftragsverarbeitung (AV-Verträge)"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr