Sobald ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, müssen Sie einen Auftragsverarbeitungsvertrag (AVV) schließen, denn überall dort, wo externe Dienstleister Zugriff auf personenbezogene Daten haben, schreibt Art. 28 DSGVO einen solchen Vertrag vor. Auch wenn dies seit langem zum Unternehmensalltag gehören sollte, gibt es in der Praxis noch viele Unsicherheiten. Deshalb greifen wir das Thema an dieser Stelle noch einmal auf.

Darum ist ein AVV notwendig

Verarbeitet ein externer Dienstleister personenbezogene Daten weisungsgebunden für Ihr Unternehmen, gilt er als Auftragsverarbeiter. Sie selbst bleiben allerdings als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung zuständig, deshalb ist es wichtig, die Einhaltung der Vorschriften der DSGVO mit dem Dienstleister zu regeln. Genau dafür gibt es den AVV. Fehlt er oder ist er unvollständig, drohen empfindliche Bußgelder und zwar unabhängig davon, ob es tatsächlich zu einem Datenvorfall gekommen ist.

Das muss der Vertrag enthalten

In Art. 28 Abs. 3 DSGVO ist festgelegt, welche Aspekte ein AVV mindestens enthalten muss. Dabei handelt es sich um:

  • Gegenstand und Dauer der Verarbeitung.
  • Art und Zweck der Verarbeitung.
  • Art der personenbezogenen Daten.
  • Kategorien betroffener Personen.
  • Technische und organisatorische Maßnahmen (TOM).
  • die Pflichten und Rechte des Verantwortlichen.

Ein AVV, der diese Punkte nicht oder nur oberflächlich abdeckt, erfüllt die gesetzlichen Vorgaben nicht. Wichtig ist zudem, dass die Einhaltung der Regelungen vom Verantwortlichen überprüft wird.

Darauf sollten Sie insbesondere achten

Viele Auftragsverarbeiter haben vorformulierte AVV-Vorlagen, die sie ihren Auftraggebern zur Verfügung stellen. Diese sind zwar häufig ein guter Ausgangspunkt, doch sollten in jedem Fall individuell geprüft werden. Achten Sie vor allem auf folgende Punkte:

  • Werden eingesetzte Subunternehmer namentlich benannt oder zumindest transparent gemacht?
  • Ist geregelt, wie mit einem Drittlandtransfer umgegangen wird, falls Daten außerhalb der EU verarbeitet werden?
  • Sind die TOM konkret beschrieben?

Gerade bei internationalen Anbietern lohnt sich ein genauer Blick, da Standardverträge deutsche beziehungsweise europäische Anforderungen nicht immer vollständig abdecken.

Fazit

Ein sorgfältig geprüfter Auftragsverarbeitungsvertrag ist die Basis der Zusammenarbeit mit Auftragsverarbeitern. Da sich die Anforderungen je nach eingesetztem Dienstleister unterscheiden, empfehlen wir, jeden AVV individuell zu prüfen, um Bußgelder zu vermeiden und im Sinne Ihrer Kundinnen und Kunden für eine DSGVO-konforme Datenverarbeitung zu sorgen. Unser interdisziplinäres Team aus Datenschutzexperten, IT-Fachleuten und Juristen unterstützt Sie gerne dabei, bestehende Verträge zu prüfen oder neue AVVs rechtssicher zu gestalten. Vereinbaren Sie gerne einen unverbindlichen Termin mit HUBIT Datenschutz.