Wir bieten professionelle Unterstützung beim Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen.
Wenn Daten im Auftrag und unter Weisung eines Unternehmens von externen Dienstleistern verarbeitet werden, müssen Auftraggeber und Auftragnehmer einen gesonderten Vertrag schließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungs-Vertrag – kurz AV-Vertrag – ersetzt. Hierbei handelt es sich um einen Vertrag, den jedes Unternehmen abschließen muss, das personenbezogene Daten von einem anderen Anbieter oder Dienstleister verarbeiten lässt.
1.Was ist eine Auftragsverarbeitung (AV), ehemals Auftragsdatenverarbeitung?
2. Welche Bedeutung hat der AV-Vertrag für mein Unternehmen?
3. Abgrenzungen zu anderen Fallgestaltungen
4. In der Praxis: Wer braucht den AV-Vertrag?
5. Was sind die wichtigsten Bestandteile eines AV-Vertrags?
6. Was ändert sich durch die DSGVO?
7. Wie unterstützt datenschutzexperte.de in Hinblick auf AV-Verträge?
Die Definition einer Auftragsverarbeitung ist nach Art. 28 Abs. 1 DSGVO das Verarbeiten personenbezogener Daten durch einen Dienstleister, den Auftragsverarbeiter, im Auftrag eines Verantwortlichen. Unter Verarbeiten versteht man dabei gem. Art. 4 Nr. 2 DSGVO unter anderem das Erheben, Erfassen, Ändern oder Speichern von personenbezogenen Daten. Der Auftragsverarbeiter handelt dabei gemäß den Weisungen des Verantwortlichen. Typische Anwendungen sind beispielsweise die Abwicklung der Lohnabrechnung über einen externen Dienstleister sowie Callcenter.
Die inhaltlichen Anforderungen an einen AV-Vertrag ergeben sich aus Art. 28 Abs. 3 DSGVO. Durch einen AV-Vertrag wird sowohl auf Auftraggeber, als auch auf Auftragnehmerseite Klarheit geschaffen, indem entsprechende Befugnisse und Weisungen, sowie Gegenstand und Zweck der Verarbeitung, geregelt werden. Rechte sowie Pflichten der jeweiligen Auftragsverarbeitung werden eindeutig festgelegt. Außerdem können AV-Verträge Unternehmen eine gewisse Sicherheit geben, da im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes nachgewiesen werden kann, dass die Verantwortung in seinem Aufgabenbereich lag. Allerdings ist hier Vorsicht geboten: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO!
Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Verantwortlichkeit („Joint Controllership“) nach Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen Verantwortlichen.
Erfolgt eine bloße Übermittlung von personenbezogenen Daten von einem Verantwortlichen zum anderen ist hierfür keine gesonderte Vereinbarung erforderlich. Es bedarf aber eines Erlaubnistatbestandes für die Übermittlung sowie für die Verarbeitung der Daten bei dem anderen Verantwortlichem.
Legen hingegen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten fest, so sind sie gemeinsame Verantwortliche und müssen untereinander vereinbaren, wer welcher Pflicht aus der Datenschutz-Grundverordnung nachkommt. Bei Vorliegen einer gemeinsamen Verantwortlichkeit ist eine entsprechende „Vereinbarung zur gemeinsamen Verantwortlichkeit“ nach Art. 26 DSGVO zu schließen. Als Hilfe bei der Abgrenzung zur Auftragsverarbeitung kann man sich beispielsweise folgende Frage stellen: Lässt sich der angestrebte Zweck der Datenverarbeitung auch ohne den Dritten verfolgen? Wenn Sie die Frage mit einem Ja beantworten und somit der Dritte problemlos austauschbar ist, ist das ein Indiz für eine Auftragsverarbeitung. Beantworten Sie die Frage mit einem Nein, spricht dies für eine gemeinsame Verantwortlichkeit. Auch hier bedarf es eines Erlaubnistatbestandes für die Verarbeitung der Daten beim anderen Verantwortlichen.
Leider ist hier eine allgemeingültige Antwort schwierig. Der Auftragnehmer im Rahmen einer Auftragsverarbeitung gilt im Sinne der DSGVO nicht als Dritter, sondern sozusagen als verlängerter Arm des Auftraggebers. Darum ist keine weitere Rechtsgrundlage für die Verarbeitung des Auftragsverarbeiter notwendig außer diejenige, auf die Sie Ihre Verarbeitung der personenbezogenen Daten stützen. Anders verhält es sich, wenn Sie Daten an Dritte im Sinne der DSGVO weitergeben wollen.
Bei der Beantwortung der Frage, ob es sich um eine Auftragsverarbeitung handelt und somit ein AV-Vertrag geschlossen werden muss, spielt v.a. die Weisungsgebundenheit eine Rolle. Je weisungsgebundener ein Dienstleister ist, desto größer ist die Wahrscheinlichkeit, dass Sie Verantwortlicher im Sinne der DSGVO bleiben und einen AV-Vertrag schließen müssen. Auch für die Verwendung von Programmen wie Google Analytics ist ein AV-Vertrag notwendig, da auch hier eine Weitergabe von Daten stattfindet.
Die Dienste von Steuerberatern, Rechtsanwälten, externen Betriebsärzten, Wirtschaftsprüfern, Inkassobüros mit Forderungsübertragung, Bankinstituten und Postdiensten gelten übrigens nicht als Auftragsverarbeitung, sondern als fremde Fachleistung. Somit liegt die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten in diesen Fällen beim Dienstleister.
Um AV-Verträge DSGVO-konform abzuschließen, sind folgende Aspekte gemäß Art. 28 Abs. 3 DSGVO vertraglich zu regeln:
Auftraggeber waren bis zum Inkrafttreten der DSGVO vollständig verantwortlich und haftbar für die Verarbeitung personenbezogener Daten – auch wenn die Daten durch einen externen Dienstleister verarbeitet wurden. Jetzt wird die Verantwortung durch AV-Verträge, die den Vorgaben der DSGVO entsprechen, auf Verantwortliche und Auftragsverarbeiter aufgeteilt. Nach außen haftet jedoch immer der Verantwortliche. Neu ist darüber hinaus, dass der AV-Vertrag auch in rein elektronischer Form gültig ist.
Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.
Die DSGVO sieht bei Fremdverarbeitungen personenbezogener Daten vor, dass der Datenschutz, der vom Auftraggeber vorgegeben wird, von der Drittpartei eingehalten werden muss. Dazu bedarf es in den meisten Fällen eines AV-Vertrages. Mit unserer Datenschutzsoftware Proliance 360 wird das Datenschutzmanagement und die Erstellung sowie Verwaltung von AV-Verträgen einfach und verständlich: Sie finden hier Hilfestellungen und einen Leitfaden zum Thema sowie eine Muster-Vorlage eines AV-Vertrages. Fertige AV-Verträge können anschließend in der Software übersichtlich und jederzeit griffbereit abgelegt werden.
Die Software führt Anwender durch die angegebenen Fremdverarbeitungen, welche Sie von Dritten für Sie erledigen lassen. Oftmals bedarf es dabei eines AV-Vertrages. Um dies herauszufinden, werden Sie durch die verschiedenen Unternehmensbereiche geführt, bei denen Sie mit Drittparteien arbeiten. Für jeden Dritten, den Sie im Unternehmensalltag hinzuziehen (vom E-Mail-Verarbeiter bis zur Werbeagentur), wird ein Assessment durchgeführt, um festzustellen, wie diese Drittpartei datenschutzkonform in den Unternehmensalltag eingebunden werden soll. Die Software stellt Ihnen dabei neben den automatisierten Prozessen folgende Hilfestellungen zur Verfügung:
Schaubild AV-Vertrag
Leitfaden AV-Vertrag
AV-Vertrag Muster
Zudem besteht die Möglichkeit, dass Sie sich auch von einem unserer Datenschutzexperten beraten lassen. Damit Auftragsverarbeitungen nach geltendem Datenschutzrecht vertraglich korrekt dokumentiert werden, unterstützt datenschutzexperte.de Ihr Unternehmen bei der Schließung von Verträgen mit Dienstleistern. Unsere Datenschutz-Beratung erfolgt grundsätzlich im Rahmen einzelner, telefonischer Beratungsgespräche. Gerne überprüfen wir Ihre individuellen Verträge, bevor Sie diese mit Ihren Auftragsnehmern abschließen. Somit sind Sie datenschutzrechtlich immer auf der sicheren Seite.
Je nach gebuchtem Leistungspaket ist eine unterschiedliche Anzahl von Beratungsstunden pro Jahr bereits inklusive (beispielsweise 5 Beratungsstunden im Medium-Paket). Sollten Sie darüber hinaus zusätzliche Beratungsstunden benötigen, können diese zu einem Stundensatz von 160 Euro (Abrechnung per 15 Minuten) beauftragt oder durch hinzubuchbare Stundenpakete abgerufen werden. Unabhängig von Ihrem gebuchten Leistungspaket können Sie eines der folgenden Stundenpakete buchen:
Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!
Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr
