Why do you need data processing agreement for your business

Auftragsverarbeitungsvertrag (AVV)

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindliches Dokument, das zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter in schriftlicher oder elektronischer Form geschlossen wird. Sie regelt den Umfang und den Zweck der Verarbeitung sowie die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter. Der Vertrag ist wichtig, damit beide Parteien ihre Verantwortung und Haftung verstehen.

Warum brauchen Unternehmen einen Auftragsverarbeitungsvertrag?

Es ist praktisch nicht möglich, ein Unternehmen zu führen, ohne personenbezogene Daten zu verarbeiten und mit anderen Unternehmen auszutauschen. Dabei kann es sich um Website-Analysesoftware, Cloud-Speicher, CRM- oder Marketingplattformen handeln. Unabhängig davon, ob Sie der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter, der Unterauftragsverarbeiter oder gemeinsam für die Verarbeitung Verantwortlicher sind, müssen Sie mit der Partei, mit der Sie personenbezogene Daten austauschen, einen rechtmäßigen Auftragsverarbeitungsvertrag abschließen.

Die DSGVO enthält keine rechtlichen Beschränkungen für die Form der Datenverarbeitungsvereinbarung. Wenn der Auftragsverarbeiter jedoch außerhalb der EU ansässig ist und ein internationaler Datentransfer stattfindet, gibt es einige spezifische Anforderungen an das Format der Dokumentation, z. B. Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften usw.

In Anbetracht der Komplexität der Aufgabe ist es ratsam, einen Auftragsverarbeitungsvertrag als separates Dokument zu erstellen.

Benötige ich einen Auftragsverarbeitungsvertrag?

Wenn Sie personenbezogene Daten mit anderen Parteien austauschen, sollten Sie über einen Auftragsverarbeitungsvertrag verfügen. Die Artikel 28 bis 36 der DSGVO regeln die Anforderungen an die Datenverarbeitung und Auftragsverarbeitungsverträge. Schauen wir uns die Aufgaben der verschiedenen Rollen etwas genauer an.

Für die Verarbeitung Verantwortlicher

 Der für die Verarbeitung Verantwortliche ist für die Einrichtung einer rechtmäßigen Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen verantwortlich. Der für die Verarbeitung Verantwortliche legt fest, wie und unter welchen Bedingungen die Datenverarbeitung erfolgt. Der für die Verarbeitung Verantwortliche muss einen Auftragsverarbeitungsvertrag mit seinen Auftragsverarbeitern abschließen.

Auftragsverarbeiter

Der Auftragsverarbeiter sollte die Daten ausschließlich in der von dem für die Verarbeitung Verantwortlichen geforderten Weise verarbeiten. Der Auftragsverarbeiter muss über eine angemessene Informationssicherheit verfügen, sollte keine Unterauftragsverarbeiter ohne das Wissen und die Einwilligung des für die Verarbeitung Verantwortlichen einsetzen, muss im Falle einer Anfrage mit den Behörden zusammenarbeiten, muss dem für die Verarbeitung Verantwortlichen Verletzungen des Schutzes personenbezogener Daten melden, sobald er davon Kenntnis erlangt, muss dem für die Verarbeitung Verantwortlichen die Möglichkeit geben, Audits durchzuführen, um die Einhaltung der DSGVO zu überprüfen, muss den für die Verarbeitung Verantwortlichen bei der Einhaltung der Rechte der betroffenen Personen unterstützen, muss den für die Verarbeitung Verantwortlichen bei der Bewältigung der Folgen von Verletzungen des Schutzes personenbezogener Daten unterstützen, muss nach Beendigung des Vertrags nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten löschen oder zurückgeben und muss den für die Verarbeitung Verantwortlichen informieren, wenn die Verarbeitungsanweisungen gegen die DSGVO verstoßen.

Unterauftragsverarbeiter

  Der Unterauftragsverarbeiter führt die Datenverarbeitung im Auftrag des Auftragsverarbeiters durch. Auftragsverarbeiter sollten mit allen Unterauftragsverarbeitern, die sie einsetzen, einen Auftragsverarbeitungsvertrag abschließen. Der Auftragsverarbeiter sollte ohne die vorherige Einwilligung des für die Verarbeitung Verantwortlichen keine Unterauftragsverarbeiter einsetzen.

Gemeinsam für die Verarbeitung Verantwortliche

Article 26 defines joint controllers as two or more controllers jointly determining the purposes and means of processing. Regardless of those arrangements, each controller remains responsible for complying with all the obligations of controllers under the GDPR. Joint controllers are not required to have a contract but must have a transparent arrangement that sets out your agreed roles and responsibilities.
 
Auch wenn die DSGVO keinen Vertrag oder eine andere rechtliche Verpflichtung vorschreibt, empfiehlt der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien, dass eine solche Vereinbarung in Form eines verbindlichen Dokuments wie einer Vereinbarung zwischen den gemeinsam für die Verarbeitung Verantwortlichen oder eines anderen verbindlichen Rechtsakts nach dem Recht der EU oder eines Mitgliedstaats, dem die für die Verarbeitung Verantwortlichen unterliegen, getroffen wird. Die Vereinbarung über die gemeinsame Verantwortlichkeit für die Verarbeitung würde für Sicherheit sorgen und könnte als Beweis für Transparenz und Rechenschaftspflicht genutzt werden. Im Falle der Nichteinhaltung der in der Vereinbarung vorgesehenen Aufteilung kann ein für die Verarbeitung Verantwortlicher den anderen für das haftbar machen, was in der Vereinbarung mit dem gemeinsamen für die Verarbeitung Verantwortlichen als unter seine Verantwortung fallend festgelegt wurde.  
 
Das Wesentliche dieser Vereinbarungen sollte den betroffenen Personen zugänglich gemacht werden. Ihre Datenschutzerklärung wäre der richtige Ort, um diese Informationen aufzunehmen.

Was sollte in einem Auftragsverarbeitungsvertrag enthalten sein?

Die Artikel 28 bis 36 der DSGVO legen die Bedingungen für den Datenaustausch und die Bedingungen für den Umgang mit personenbezogenen Daten zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter fest. Hier sind die wichtigsten Themen, die Sie in Ihrem Auftragsverarbeitungsvertrag abdecken müssen.

Details über die Verarbeitung

  • Gegenstand und Dauer der Verarbeitung;
  • Art und Zweck der Verarbeitung;
  • die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen;
  • Zweck und Rechtsgrundlage der Verarbeitung der personenbezogenen Daten;
  • Rechte und Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters.

Nützlicher Tipp, der Ihnen Zeit spart

Die gleichen Details sind in den Verzeichnisse von Verarbeitungstätigkeiten beschrieben. Wir empfehlen Ihnen, zunächst Ihre Verzeichnisse von Verarbeitungstätigkeiten zu erstellen und dann die Tätigkeiten herauszufiltern, die sich auf den Auftragsverarbeiter oder den für die Verarbeitung Verantwortlichen beziehen, mit dem Sie den Auftragsverarbeitungsvertrag abschließen.
 
Im GDPR Register sind Verzeichnisse von Verarbeitungstätigkeiten und Auftragsverarbeitungsverträge miteinander verbunden. So finden Sie solche Informationen leicht und können sie in Ihren Vertrag integrieren.
 

Mindestbedingungen für Vereinbarungen zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter

Der Auftragsverarbeiter muss gemäß den schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen handeln

Die Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter muss besagen, dass der Auftragsverarbeiter personenbezogene Daten nur gemäß den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten darf (auch bei der internationalen Übermittlung personenbezogener Daten), es sei denn, er ist aufgrund von EU- oder mitgliedstaatlichem Recht zu etwas anderem verpflichtet.

Eine Anweisung kann in jeder schriftlichen Form dokumentiert werden, auch per E-Mail. Die Anweisung muss in reproduzierbarer Form erfolgen, so dass ein Nachweis der Belehrung vorliegt.

Diese Vertragsklausel sollte klarstellen, dass der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter die Gesamtkontrolle darüber hat, was mit den personenbezogenen Daten geschieht.

Handelt ein Auftragsverarbeiter außerhalb der Weisungen des für die Verarbeitung Verantwortlichen in der Weise, dass er über den Zweck und die Mittel der Verarbeitung entscheidet, so wird er in Bezug auf diese Verarbeitung als für die Verarbeitung Verantwortlicher betrachtet und unterliegt derselben Haftung wie ein für die Verarbeitung Verantwortlicher.

Vertraulichkeit der verarbeiteten personenbezogenen Daten

In der Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter muss festgelegt werden, dass der Auftragsverarbeiter von jeder Person, der er die Verarbeitung personenbezogener Daten gestattet, eine Vertraulichkeitsverpflichtung einholen muss, es sei denn, diese Person ist bereits per Gesetz dazu verpflichtet.

Diese Vertragsklausel sollte sich auf die Mitarbeiter des Auftragsverarbeiters sowie auf alle Zeitarbeitskräfte und Drittparteien beziehen, die Zugang zu den personenbezogenen Daten haben.

Verpflichtung zu angemessener Informationssicherheit, technische und organisatorische Maßnahmen müssen eingehalten werden

Der Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter verpflichtet den Auftragsverarbeiter, alle erforderlichen Sicherheitsmaßnahmen zu ergreifen, um die Anforderungen an die Sicherheit der Verarbeitung zu erfüllen (siehe Artikel 32).

Sowohl die für die Verarbeitung Verantwortlichen als auch die Auftragsverarbeiter sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der von ihnen verarbeiteten personenbezogenen Daten zu gewährleisten, wozu gegebenenfalls auch Folgendes gehört:

  • Verschlüsselung und Pseudonymisierung;
  • die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste zu gewährleisten;
  • die Fähigkeit, den Zugang zu personenbezogenen Daten im Falle eines Vorfalls wiederherzustellen; und
  • Verfahren zur regelmäßigen Prüfung und Bewertung der Wirksamkeit der Maßnahmen.

Verhaltenskodizes und Zertifizierungen können Auftragsverarbeitern helfen, ausreichende Garantien dafür zu geben, dass ihre Verarbeitung mit der DSGVO übereinstimmt.

Die Anforderung, Unterauftragsverarbeiter nur mit Wissen und Einwilligung des für die Verarbeitung Verantwortlichen einzusetzen

In der Vereinbarung muss stehen, dass:

  • der Auftragsverarbeiter keinen Unterauftragsverarbeiter beauftragen darf, ohne dass der für die Verarbeitung Verantwortliche zuvor eine spezielle oder allgemeine schriftliche Genehmigung erteilt hat;
  • wenn ein Unterauftragsverarbeiter mit der allgemeinen schriftlichen Genehmigung des für die Verarbeitung Verantwortlichen eingesetzt wird, sollte der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über alle beabsichtigten Änderungen informieren und ihm die Möglichkeit geben, diese abzulehnen;
  • wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter einsetzt, muss er einen Vertrag abschließen, der diesem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt;
  • tder Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen dafür haftet, dass der Unterauftragsverarbeiter seinen Datenschutzpflichten nachkommt.

Zusammenarbeit des Auftragsverarbeiters bei der Bearbeitung von Anträgen auf Zugang zu personenbezogenen Daten

Die Vereinbarung muss vorsehen, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift, um den für die Verarbeitung Verantwortlichen dabei zu unterstützen, auf Anfragen von Personen zur Ausübung ihrer Rechte zu reagieren.

Zusammenarbeit des Auftragsverarbeiters zum Schutz der Rechte und der Privatsphäre der betroffenen Personen

In der Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter muss festgelegt werden, dass der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen unterstützen muss:

  • personenbezogene Daten sicher aufbewahren;
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde;
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die betroffenen Personen;
  • bei Bedarf Datenschutz-Folgenabschätzungen (DSFAs) durchzuführen; und
  • die Aufsichtsbehörde zu konsultieren, wenn eine DSFA auf ein hohes Risiko hinweist, das nicht gemindert werden kann.

In der Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter sollte so klar wie möglich festgelegt werden, wie der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen helfen wird.

Dauer der Verarbeitung und Rückgabe und/oder Löschung der personenbezogenen Daten

Die Vereinbarung muss besagen, dass der Auftragsverarbeiter bei Vertragsende verpflichtet ist:

  • nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten, die er für ihn verarbeitet hat, zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben; und
  • • die vorhandenen Kopien der personenbezogenen Daten zu löschen, es sei denn, das Recht der EU oder eines Mitgliedstaates schreibt die Aufbewahrung der Daten vor.

Es ist zu beachten, dass die Löschung personenbezogener Daten auf sichere Weise und in Übereinstimmung mit den Sicherheitsanforderungen von Artikel 32 erfolgen sollte.

Der Vertrag muss diese Bedingungen enthalten, um den Schutz der personenbezogenen Daten auch nach Vertragsende zu gewährleisten. Dies spiegelt die Tatsache wider, dass es letztlich dem für die Verarbeitung Verantwortlichen obliegt zu entscheiden, was mit den verarbeiteten personenbezogenen Daten geschehen soll, sobald die Verarbeitung abgeschlossen ist.

Der Auftragsverarbeiter sollte dem für die Verarbeitung Verantwortlichen die Durchführung von Audits zur Überprüfung der Einhaltung der Vorschriften gestatten

Gemäß Artikel 28 Absatz 3 Buchstabe h) muss die Vereinbarung Folgendes vorsehen:

  • den Auftragsverarbeiter, dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um nachzuweisen, dass die Verpflichtungen gemäß Artikel 28 erfüllt wurden; und
  • den Auftragsverarbeiter, Audits und Inspektionen durch den für die Verarbeitung Verantwortlichen oder einen von ihm beauftragten Prüfer zuzulassen und daran mitzuwirken.

Diese Bestimmung verpflichtet den Auftragsverarbeiter, dem für die Verarbeitung Verantwortlichen die Einhaltung aller Bestimmungen von Artikel 28 nachzuweisen. Der Auftragsverarbeiter könnte dies zum Beispiel tun, indem er dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung stellt oder ihn einer Prüfung oder Inspektion unterzieht.

Das Führen von Verzeichnisse von Verarbeitungstätigkeiten wäre für den Auftragsverarbeiter nützlich, um die Einhaltung von Artikel 28 nachzuweisen. Die Anforderungen an die Auftragsverarbeiter, Verzeichnisse von Verarbeitungstätigkeiten zu führen, sind in Artikel 30(2) festgelegt.

Andere Anforderungen

Wenn es die DSGVO fordert, muss der Auftragsverarbeiter einen Datenschutzbeauftragten ernennen und beide Parteien müssen sich auf eine regelmäßige Überprüfung der Vertragsbedingungen einigen.

Organisieren Sie Ihre Auftragsverarbeitungsverträge.

Fordern Sie eine Demo an und testen Sie es 14 Tage lang kostenlos.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Organisieren Sie Ihre Compliance mit geeigneten DSGVO-Tools.
Kontaktieren Sie uns für eine Demo und erhalten Sie Zugang zur 14-tägigen Testversion.

Sparen Sie Zeit und seien Sie zuversichtlich

Latest Posts
Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

Was ist ein Auftragsverarbeitungsvertrag (AVV)? Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindliches Dokument, das zwischen dem für die Verarbeitung Verantwortlichen und...
Verzeichnisse von Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO

Verzeichnisse von Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO

Was sind die Verzeichnisse von Verarbeitungstätigkeiten (VVT)? Artikel 30 der Datenschutz-Grundverordnung (DSGVO) der EU verpflichtet Organisationen, interne Aufzeichnungen zu führen,...
10 großartige Software-Tools zur Einhaltung der DSGVO im Jahr 2022 (Übersicht + Preise)

10 großartige Software-Tools zur Einhaltung der DSGVO im Jahr 2022 (Übersicht + Preise)

In diesem Artikel stellen wir Ihnen einige nützliche DSGVO-Tools vor, die Ihnen helfen können, die Einhaltung der DSGVO zu erreichen...