AV-Verträge nachfassen im Datenschutz

AV-Verträge sind ein wichtiger Bestandteil vom Datenschutz. Wie der Datenschutz allerdings umgesetzt wird, muss vom Verantwortlichen nachgefasst werden.

Inhaltsverzeichnis

Auftragsverarbeitung von personenbezogenen Daten

Wenn personenbezogene Daten verarbeitet werden, gelten im Datenschutz unterschiedliche Regeln, welche Unternehmen umsetzen müssen. Wenn personenbezogene Daten im Auftrag vom Verantwortlichen durch Externe verarbeitet werden, dann benötigt man in der Regel einen Auftragsverarbeitungsvertrag – kurz: AV-Vertrag.

Wenn ein AV-Vertrag abgeschlossen werden muss, dann muss im nächsten Schritt aber auch sichergestellt werden, dass die Vereinbarungen aus dem Vertrag eingehalten werden. Dies nachzufassen, gehört zu einer wichtigen Aufgabe im Datenschutz und muss durch den Verantwortlichen sichergestellt werden.

Was ist ein AV-Vertrag?

Ein AV-Vertrag ist ein Vertrag zwischen einem Verantwortlichen (z. B. für ein Unternehmen, das Kundendaten erhebt) und einem Auftragsverarbeiter (z. B. ein externer IT-Dienstleister), der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Die rechtliche Grundlage hierfür bildet Art. 28 der Datenschutz-Grundverordnung (DSGVO).

Der AV-Vertrag regelt, wie und unter welchen Bedingungen der Auftragsverarbeiter die Daten verarbeitet. Ziel ist es, den Schutz und die Sicherheit der Daten auch dann zu gewährleisten, wenn ein Dritter diese im Auftrag bearbeitet.

BLOG-TIPP: AUFTRAGSVERARBEITUNG: PFLICHTEN UND VERTRÄGE

Wann ist ein AV-Vertrag erforderlich?

Ein AV-Vertrag ist immer dann notwendig, wenn ein Dienstleister im Auftrag eines Unternehmens personenbezogene Daten verarbeitet – etwa bei Cloud-Services, Newsletter-Versand, Lohnabrechnung oder IT-Support. Ohne einen solchen Vertrag ist die Auftragsverarbeitung nach Datenschutz-Grundverordnung (DS-GVO) unzulässig.

Inhalte eines AV-Vertrags

Ein AV-Vertrag muss klare und verbindliche Regelungen enthalten, darunter:

  • Gegenstand und Dauer der Verarbeitung 
  • Art und Zweck der Datenverarbeitung 
  • Art der personenbezogenen Daten und Kategorien betroffener Personen 
  • Pflichten und Rechte des Verantwortlichen 
  • Technische und organisatorische Maßnahmen zum Datenschutz 
  • Regelungen zu Unterauftragsverhältnissen 
  • Kontroll- und Weisungsrechte des Verantwortlichen 
  • Verpflichtung zur Unterstützung bei Betroffenenrechten und Meldungen von Datenschutzverletzungen 

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE

Wie wird ein AV-Vertrag umgesetzt?

Die Umsetzung eines AV-Vertrags erfolgt in mehreren Schritten:

1. Auswahl eines vertrauenswürdigen Auftragsverarbeiters, der geeignete technische und organisatorische Maßnahmen nachweisen kann. 

2. Abschluss des AV-Vertrags vor Beginn der Datenverarbeitung. 

3. Dokumentation und regelmäßige Überprüfung der Einhaltung der vertraglichen Vereinbarungen. 

4. Sicherstellung, dass auch Unterauftragsverarbeiter denselben Anforderungen genügen. 

5. Transparente Information der Betroffenen über die Datenverarbeitung durch Dritte.

AV-Vertrag nachfassen

Wenn ein Auftragsverarbeiter personenbezogene Daten im Auftrag eines Unternehmens oder einer Organisation verarbeitet, dann muss in einem AV-Vertrag festgehalten werden, wie er u.a. den Datenschutz, also den Schutz von personenbezogenen Daten bei deren Verarbeitung sicherstellen kann.

Es müssen u.a. geeignete technische und organisatorische Maßnahmen festgelegt werden. Dabei ist auch wichtig, dass der Auftraggeber nachfasst, inwieweit die Vereinbarung aus dem AV-Vertrag umgesetzt werden bzw. umgesetzt werden können.

Der Verantwortliche ist verpflichtet nachzufassen, ob der Datenschutz im ausreichenden Maße umgesetzt wird. Er muss prüfen, ob der Auftragsverarbeiter die Vereinbarungen einhält bzw. einhalten kann.

BLOG-TIPP: GERÄTEWECHSEL – NAVIGATIONSGERÄTE, SMARTPHONE UND CO. IM DATENSCHUTZ

AV-Verträge und der Verantwortliche

Der AV-Vertrag ist ein zentrales Instrument, um die Einhaltung der Datenschutzvorgaben bei der Zusammenarbeit mit externen Dienstleistern sicherzustellen. Unternehmen sollten daher großen Wert auf die sorgfältige Auswahl ihrer Auftragsverarbeiter und die gewissenhafte Ausgestaltung der Verträge legen.

Der Verantwortliche trägt dabei die Verantwortung für die Umsetzung des Datenschutzes und eben auch dabei, ob die gemachten Vereinbarungen in einem AV-Vertrag umgesetzt werden. Dies kann zum Beispiel durch Audits passieren.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Markiert in
Teilen auf
Dennis Manz
Dennis Manz

Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.

Ähnliche Beiträge

Anfrage