Download: AV-Vertrag
Ihr Muster-Auftragsverarbeitungsvertrag
Erstellen Sie mit unserem Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Wer als Unternehmen personenbezogene Daten zur Verarbeitung an Dritte weitergibt, ist laut DSGVO verpflichtet, mit dem entsprechenden Dienstleister einen Auftragsverarbeitungsvertrag, kurz AV-Vertrag, zu erstellen. Vor Geltung der DSGVO war die offizielle Bezeichnung nach der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) Auftragsdatenverarbeitungsvertrag (ADV-Vertrag).
Unser AV-Vertrag-Muster hilft Ihnen beim Aufsetzen eines rechtskonformen AV-Vertrages und unterstützt Sie damit bei der Umsetzung der Anforderungen der DSGVO.
Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungsvertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungsvertrag – kurz AV-Vertrag oder AVV – ersetzt. Die Anforderungen an einen solchen Vertrag sind mit der DSGVO zwar gestiegen, dafür wird der Auftragsverarbeiter mehr mit in die Verantwortung genommen als es im BDSG-alt der Fall war. Die DSGVO legt dem Auftragsverarbeiter mehr Pflichten auf, wie jene zur Unterstützung des Auftraggebers und die Verpflichtung zur Verschwiegenheit. AV-Verträge geben Unternehmen somit eine gewisse Sicherheit, da im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes nachgewiesen werden kann, dass die Verantwortung in seinem Aufgabenbereich lag. Allerdings ist hier Vorsicht geboten: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO! Darüber hinaus sieht die DSGVO weitaus höhere Bußgelder bei Verstößen vor.
Diese Frage stellen sich Unternehmer immer wieder. Die Antwort ist abhängig davon, wie die Beziehung zwischen Auftraggeber und Auftragnehmer aus datenschutzrechtlicher Sicht zu bewerten ist.
Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter diejenige Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Werden somit personenbezogene Daten im Auftrag eines Unternehmens (Auftraggeber) von einem weisungsabhängigen externen Dienstleister (Auftragnehmer) verarbeitet, muss der Auftraggeber als datenschutzrechtlich Verantwortlicher sicherstellen, dass er mit Dienstleistern zusammenarbeitet, die ein entsprechendes Datenschutzniveau aufweisen. Die datenschutzrechtliche Verantwortung für die Datenverarbeitung verbleibt nämlich beim Auftraggeber. Der externe Dienstleister ist nur unterstützend tätig und somit der „verlängerte Arm“ seines Auftraggebers.
Zu diesem Zweck ist zwischen Auftraggeber und Auftragnehmer ein Auftragsverarbeitungsvertrag (AVV) zu schließen.
Sie können unser Muster zum Auftragsverarbeitungsvertrags beispielsweise in folgenden Fällen verwenden:
Extern beauftragtes Call-Center
Marketing-Agentur die Kundendaten verarbeitet
Newsletter-Dienstleister
Marketing-Analyse-Anbieter
Cloud-Computing-Anbieter
Web- und E-Mail-Hoster
Wartungen von IT-Systemen durch technische Dienstleister
Werbeadressenverarbeitung in einem Lettershop
Keine Auftragsverarbeitung hingegen liegt vor bei:
Rechtsanwälte
Steuerberater
Wirtschaftsprüfer
Diesen erbringen aufgrund ihres Berufsrechts eigenverantwortlich und somit weisungsunabhängig ihre Fachleistung.
In jedem Fall lohnt sich auch ein Blick in den ursprünglichen Hauptvertrag, den Sie mit Ihrem Dienstleister geschlossen haben. Dieser kann Aufschluss darüber geben, ob eine Auftragsverarbeitung vorliegt oder nicht. Wenn Sie sich diesbezüglich unsicher sind, kann Ihnen Ihr Datenschutzbeauftragter weiterhelfen.
Die Antworten auf folgende Fragen, die selbstverständlich auch in unserem Mustervertrag berücksichtigt sind, müssen laut Art. 28 DSGVO in den AV-Vertrag aufgenommen werden:
Wer ist der Verantwortliche für die Datenverarbeitung?
Was ist der Gegenstand und die Dauer der Verarbeitung?
Nach welcher Art erfolgt die Verarbeitung und zu welchem Zweck findet sie statt?
Welcher Art sind die personenbezogenen Daten und Kategorien betroffener Personen?
Welchen Umfang haben die Weisungsbefugnisse?
Inwieweit hat der Auftragsverarbeiter eine Informationspflicht, falls eine Weisung gegen Datenschutzrecht verstößt?
Welche Pflichten und Rechte hat der Verantwortliche?
Außerdem müssen folgende Informationen enthalten sein:
ein Nachweis über die Durchführung technischer und organisatorischer Maßnahmen (TOM) durch den Auftragsverarbeiter
eine Regelung bezüglich ausdrücklicher Zustimmung, allgemeiner Genehmigung oder Verbot zu dem Hinzuziehen von Subunternehmern
ein Hinweis, dass Subunternehmern dieselben vertraglichen Pflichten auferlegt werden
eine Regelung zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Beantwortung von Betroffenenanträgen nach Art. 12-22 DSGVO sowie dessen Pflichten aus Art. 32-36 DSGVO
Löschung oder Herausgabe der Daten nach Wahl des Verantwortlichen nach Beendigung des Auftrags
Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO durch den Auftragsverarbeiter sowie Unterstützungspflicht bei Überprüfungen oder Vor-Ort-Kontrollen durch den Verantwortlichen
Unser AV-Vertrag-Muster unterstützt Sie bei der Erstellung eines Auftragsverarbeitungsvertrags auf Basis der DSGVO. Selbstverständlich müssen Sie dabei die Vorlage an den Einzelfall anpassen und korrekt ausfüllen. Es empfiehlt sich, hier einen Experten – wie beispielsweise Ihren (externen) Datenschutzbeauftragten – zu Rate zu ziehen, denn für einen juristisch korrekten AV-Vertrag ist es essentiell, diesen sorgfältig aufzusetzen.
Sobald Sie sich für einen (internen oder externen) Datenschutzbeauftragten entschieden haben, gilt es, diesen bei der zuständigen Aufsichtsbehörde zu…
Wenn personenbezogene Daten erhoben werden, bedarf es nach der DSGVO dazu die schriftliche Einwilligung der betroffenen Person. Im Folgenden finden…
Die Datenschutzgrundverordnung (DSGVO) hat die Betroffenenrechte umfassend gestärkt. So sieht die DSGVO nun umfangreiche Informationspflichten für…
Um zu dokumentieren, dass Mitarbeiter hinsichtlich den Umgang mit personenbezogenen Daten geschult worden sind, sieht die DSVO eine…
In einem Verarbeitungsverzeichnis (VVT) müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Im Folgenden finden Sie…
Ein Auftragsverarbeitungsvertrag (kurz AV-Vertrag) ist laut DSGVO dann nötig, wenn ein Unternehmen personenbezogene Daten an Dritte zur Verarbeitung…
Der rechtliche Rahmen bei Home-Office Regelungen muss auch im Arbeitsvertrag oder als Zusatzvereinbarung festgelegt werden. Holen Sie sich unser…
Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.
Dominik Fünkner
(zertifizierter Datenschutzbeauftragter & Geschäftsführer)
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr