Ein Auftragsverarbeitungsvertrag (AV-Vertrag) wird nötig, wenn personenbezogene Daten im Auftrag an Dritte zur Verarbeitung weitergegeben oder genutzt werden. Zu einer Auftragsverarbeitung gehört aber auch das Erheben von Daten im Auftrag. Dieses kommt zum Beispiel zum Tragen bei das Hosten einer Website.
Die rechtlichen Vorschriften zur Datenweitergabe sind in der Datenschutz-Grundverordnung (DS-GVO) Artikel 28 festgelegt.
Der AV-Vertrag löste 2018 den Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) nach § 11 Abs. 2 des deutschen Bundesdatenschutzgesetzes (BDSG) ab.
Wann muss ein AV-Vertrag vereinbart werden?
Sobald der Verantwortlicher eines Unternehmens (Auftraggeber) ein externes Unternehmen (Auftragnehmer) beauftragt, personengezogene Daten von Interessenten, Kunden Lieferanten oder Mitarbeiter zu verarbeiten ist ein AV-Vertrag erforderlich. Bei einem AV-Vertrag handelt der Auftragnehmer immer nur weisungsbefugt im Auftrag des Auftraggebers. Dabei bleibt der Auftraggeber hauptverantwortlich für den Schutz der personenbezogenen Daten. Infolgedessen muss er auch Sicherstellen das der Auftragnehmer gleichwertige Datenschutzmaßnahmen anwendet.
Die Verantwortung für das Abschließen eines AV-Vertrags liegt immer beim Auftraggeber.
Was regelt ein Auftragsverarbeitungsvertrag?
In einem Auftragsverarbeitungsvertrag wird festgelegt, welche Rechte und Pflichten die beiden Rollen „Auftraggeber“ und „Auftragnehmer“ bezüglich der Verarbeitung personenbezogener Daten des Auftraggebers haben. Dieser Vertrag ist damit eine Zusatzvereinbarung zum eigentlichen Leistungsvertrag.
Mindestanforderungen an einem Auftragsverarbeitungsvertrag
In der DS-GVO Artikel 28 werden die Mindestanforderungen an einem AV-Vertrag definiert.
1) und 2) Informationen zu Auftragsverarbeiter und Unter-Auftragverarbeiter
3) Allgemeines zum Vertrag
Die Mindestanforderungen in dem Vertrag aus Sicht des Auftraggebers;
- Auftragnehmer und deren Sub-Unternehmer dürfen Verarbeitungen nur nach dokumentierter Weisung übernehmen:
- Auftragnehmer und deren Sub-Unternehmer müssen die Vertraulichkeit und Verschwiegenheitspflicht sicherstellen;
- Auftragnehmer und deren Sub-Unternehmer die Sicherheit der Verarbeitung nach der DS-GVO Artikel 32 sicherstellen;
- Regelt die Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters;
- Auftragnehmer und deren Sub-Unternehmer müssen die Mitwirkung bei Betroffenenanfragen nach der DS-GVO, Kapitel 3 sicherstellen;
- Auftragnehmer und deren Sub-Unternehmer müssen den Auftraggeber Unterstützen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten;
- Regelt die Pflichten nach Abschluss der Erbringung der Verarbeitungsleistungen;
- Auftragnehmer und deren Sub-Unternehmer müssen Überprüfungen und Audits ermöglichen
Angaben zur Sicherheit der Verarbeitung und Unter-Auftragverarbeiter
Die Auflistung:
- zu der Gewährleistung der Sicherheit der Verarbeitung nach der DS-GVO Artikel 32;
- zu den Unter-Auftragverarbeiter;
erfolgen üblicherweise in einer separaten Anlage zum AV-Vertrag oder einem Verweis auf die Website.
Angaben zu den Datenschutzbeauftragte
Angaben zu einen von dem Auftragsverarbeiter bestellten Datenschutzbeauftragte werden oftmals direkt in dem AV-Vertrag aufgenommen, möglich ist auch die Aufnahmen einer separaten Anlage oder einem Verweis auf die Website.
Der AV-vertrag muss Rechtskonform und eindeutig sein und die Verantwortlichkeiten aller Parteien klar definieren, falls es zu Konflikten kommt.
Wer als Verantwortlicher eines Unternehmens personenbezogene Daten zur Verarbeitung an Dritte weitergibt, ist laut DS-GVO verpflichtet, mit dem entsprechenden Dienstleister einen AV-Vertrag, zu vereinbaren.
Weitere Informationen:
Personenbezogenen Daten | Datenschutzmaßnahmen | Datenschutzbeauftragte | Sicherheit der Verarbeitung |