Auftragsverarbeitungsvertrag (AVV)

Dein Unternehmen nutzt einen Cloud-E-Mail-Dienst, eine externe Lohnbuchhaltung oder einen Newsletterversand-Dienstleister. In allen diesen Fällen gibt dein Unternehmen personenbezogene Daten an einen Dritten weiter – der diese Daten im Auftrag verarbeitet. Die DSGVO verlangt dafür einen Auftragsverarbeitungsvertrag (AVV). Ohne AVV ist die gesamte Zusammenarbeit datenschutzrechtlich illegal – egal wie gut der Dienstleister sonst ist.

1) Was ist eine Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn ein Dienstleister (der Auftragsverarbeiter) personenbezogene Daten im Auftrag eines Unternehmens (des Verantwortlichen) verarbeitet – und dabei keine eigenen Entscheidungen über Zweck und Mittel der Verarbeitung trifft. Der Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen.

Wer ist wer? – Die AVV-Konstellation

Verantwortlicher

Dein Unternehmen
Bestimmt Zweck & Mittel

⟵ AVV ⟶

schriftlicher Vertrag

Auftragsverarbeiter

Dienstleister
Verarbeitet nach Weisung

Beispiele: Cloud-Hosting, Lohnbuchhaltung, E-Mail-Versand, IT-Support mit Datenzugriff, CRM-SaaS

Der AVV muss nach Art. 28 DSGVO mindestens regeln:

1Gegenstand und Dauer der Verarbeitung (was wird wie lange verarbeitet?)

22Art und Zweck der Verarbeitung sowie Art der personenbezogenen Daten

3Pflicht zur Verarbeitung ausschließlich nach Weisung des Verantwortlichen

4Verpflichtung zur Vertraulichkeit der Mitarbeitenden des Auftragsverarbeiters

5Nachweis geeigneter TOMs zum Datenschutz

6Regelung zur Einbindung von Unterauftragsverarbeitern (Sub-AVV)

7Unterstützung bei Betroffenenanfragen, Datenpannen und DSFA

8Löschung oder Rückgabe aller Daten nach Vertragsende

9Audit-Rechte des Verantwortlichen – Recht zur Überprüfung der Compliance

Viele Anbieter (Google, Microsoft, AWS) stellen Standardvertrags-AVV online bereit – diese können akzeptiert werden, ohne jeden Punkt einzeln zu verhandeln. Bei sensiblen Daten oder maßgeschneiderten Dienstleistungen empfiehlt sich dennoch eine individuelle Prüfung.

2) Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Nicht jede Weitergabe von Daten an einen Dritten ist Auftragsverarbeitung. Manchmal verarbeiten zwei Unternehmen Daten gemeinsam für eigene Zwecke – dann spricht man von gemeinsamer Verantwortlichkeit (Art. 26 DSGVO), die andere rechtliche Anforderungen hat. Das klassische Beispiel ist der Facebook-Like-Button auf einer Website: Sowohl die Website als auch Facebook sind Verantwortliche – nicht im Auftragsverarbeitungsverhältnis.

	Auftragsverarbeitung (Art. 28)	Gemeinsame Verantwortlichkeit (Art. 26)
Wer entscheidet über Zweck?	Nur der Verantwortliche	Beide Parteien gemeinsam
Vertragsform	AVV	Vereinbarung nach Art. 26
Beispiel	Cloud-Hosting, Lohnbuchhaltung	Facebook-Pixel, Joint Ventures

Zusammenfassung

Ein Auftragsverarbeitungsvertrag (AVV) ist immer dann erforderlich, wenn ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet. Er regelt nach Art. 28 DSGVO Gegenstand, Dauer, Art, Zweck, Datenkategorien, TOMs, Unterauftragnehmer, Betroffenenrechte-Unterstützung, Audit-Rechte und Datenlöschung. Fehlt ein AVV, ist die gesamte Auftragsverarbeitung rechtswidrig. Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Verantwortlichkeit nach Art. 26. Details zu Datenschutzverstößen und Konsequenzen in Bußgelder, Aufsichtsbehörden und Praxisfälle.

Auftragsverarbeitungsvertrag (AVV)

1) Was ist eine Auftragsverarbeitung?

2) Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title