Vertragsabschluss

Muster: AV-Vertrag

Erstellen Sie mit unserem Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.

  • Über 1000 Kunden in Deutschland und Europa
  • Team von 55+ Datenschutzexperten
  • DEKRA- und TÜV-zertifizierte Experten

Weitere Datenschutz-MusterDatenschutz-Whitepaper

Wer als Unternehmen personenbezogene Daten zur Verarbeitung an Dritte weitergibt, ist laut DSGVO verpflichtet, mit dem entsprechenden Dienstleister einen Auftragsverarbeitungsvertrag, kurz AV-Vertrag, zu erstellen. Vor Geltung der DSGVO war die offizielle Bezeichnung nach der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) Auftragsdatenverarbeitungsvertrag (ADV-Vertrag).

Unser AV-Vertrag-Muster hilft Ihnen beim Aufsetzen eines rechtskonformen AV-Vertrages und unterstützt Sie damit bei der Umsetzung der Anforderungen der DSGVO.

Unterschied ADV-Vertrag und AV-Vertrag

Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungsvertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungsvertrag – kurz AV-Vertrag oder AVV – ersetzt. Die Anforderungen an einen solchen Vertrag sind mit der DSGVO zwar gestiegen, dafür wird der Auftragsverarbeiter mehr mit in die Verantwortung genommen als es im BDSG-alt der Fall war. Die DSGVO legt dem Auftragsverarbeiter mehr Pflichten auf, wie jene zur Unterstützung des Auftraggebers und die Verpflichtung zur Verschwiegenheit. AV-Verträge geben Unternehmen somit eine gewisse Sicherheit, da im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes nachgewiesen werden kann, dass die Verantwortung in seinem Aufgabenbereich lag. Allerdings ist hier Vorsicht geboten: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO! Darüber hinaus sieht die DSGVO weitaus höhere Bußgelder bei Verstößen vor.

Vorlage AV-Vertrag

Download: AV-Vertrag

Ihr Muster-Auftragsverarbeitungsvertrag

Wann muss ein Auftragsverarbeitungsvertrag geschlossen werden?

Diese Frage stellen sich Unternehmer immer wieder. Die Antwort ist abhängig davon, wie die Beziehung zwischen Auftraggeber und Auftragnehmer aus datenschutzrechtlicher Sicht zu bewerten ist. 

Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter diejenige Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Werden somit personenbezogene Daten im Auftrag eines Unternehmens (Auftraggeber) von einem weisungsabhängigen externen Dienstleister (Auftragnehmer) verarbeitet, muss der Auftraggeber als datenschutzrechtlich Verantwortlicher sicherstellen, dass er mit Dienstleistern zusammenarbeitet, die ein entsprechendes Datenschutzniveau aufweisen. Die datenschutzrechtliche Verantwortung für die Datenverarbeitung verbleibt nämlich beim Auftraggeber. Der externe Dienstleister ist nur unterstützend tätig und somit der „verlängerte Arm“ seines Auftraggebers.

Zu diesem Zweck ist zwischen Auftraggeber und Auftragnehmer ein Auftragsverarbeitungsvertrag (AVV) zu schließen.

Sie können unser Muster zum Auftragsverarbeitungsvertrags beispielsweise in folgenden Fällen verwenden:

  • Extern beauftragtes Call-Center

  • Marketing-Agentur die Kundendaten verarbeitet

  • Newsletter-Dienstleister

  • Marketing-Analyse-Anbieter

  • Cloud-Computing-Anbieter

  • Web- und E-Mail-Hoster

  • Wartungen von IT-Systemen durch technische Dienstleister

  • Werbeadressenverarbeitung in einem Lettershop

Keine Auftragsverarbeitung hingegen liegt vor bei:

  • Rechtsanwälte

  • Steuerberater

  • Wirtschaftsprüfer

Diesen erbringen aufgrund ihres Berufsrechts eigenverantwortlich und somit weisungsunabhängig ihre Fachleistung.

In jedem Fall lohnt sich auch ein Blick in den ursprünglichen Hauptvertrag, den Sie mit Ihrem Dienstleister geschlossen haben. Dieser kann Aufschluss darüber geben, ob eine Auftragsverarbeitung vorliegt oder nicht. Wenn Sie sich diesbezüglich unsicher sind, kann Ihnen Ihr Datenschutzbeauftragter weiterhelfen.


AV-Vertrag – das muss er beinhalten

Die Antworten auf folgende Fragen, die selbstverständlich auch in unserem Mustervertrag berücksichtigt sind, müssen laut Art. 28 DSGVO in den AV-Vertrag aufgenommen werden:

  • Wer ist der Verantwortliche für die Datenverarbeitung?

  • Was ist der Gegenstand und die Dauer der Verarbeitung?

  • Nach welcher Art erfolgt die Verarbeitung und zu welchem Zweck findet sie statt?

  • Welcher Art sind die personenbezogenen Daten und Kategorien betroffener Personen?

  • Welchen Umfang haben die Weisungsbefugnisse?

  • Inwieweit hat der Auftragsverarbeiter eine Informationspflicht, falls eine Weisung gegen Datenschutzrecht verstößt?

  • Welche Pflichten und Rechte hat der Verantwortliche?

Außerdem müssen folgende Informationen enthalten sein:

  • ein Nachweis über die Durchführung technischer und organisatorischer Maßnahmen (TOM) durch den Auftragsverarbeiter

  • eine Regelung bezüglich ausdrücklicher Zustimmung, allgemeiner Genehmigung oder Verbot zu dem Hinzuziehen von Subunternehmern

  • ein Hinweis, dass Subunternehmern dieselben vertraglichen Pflichten auferlegt werden

  • eine Regelung zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Beantwortung von Betroffenenanträgen nach Art. 12-22 DSGVO sowie dessen Pflichten aus Art. 32-36 DSGVO

  • Löschung oder Herausgabe der Daten nach Wahl des Verantwortlichen nach Beendigung des Auftrags

  • Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO durch den Auftragsverarbeiter sowie Unterstützungspflicht bei Überprüfungen oder Vor-Ort-Kontrollen durch den Verantwortlichen

  • Eine Regelung zur Verpflichtung der zur Verarbeitung befugten Personen auf die Vertraulichkeit

Mit unserer Vorlage zum rechtskonformen AV-Vertrag

Unser AV-Vertrag-Muster unterstützt Sie bei der Erstellung eines Auftragsverarbeitungsvertrags auf Basis der DSGVO. Selbstverständlich müssen Sie dabei die Vorlage an den Einzelfall anpassen und korrekt ausfüllen. Es empfiehlt sich, hier einen Experten – wie beispielsweise Ihren (externen) Datenschutzbeauftragten – zu Rate zu ziehen, denn für einen juristisch korrekten AV-Vertrag ist es essentiell, diesen sorgfältig aufzusetzen.

Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Weitere Muster & Vorlagen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr