Der AVV / AV-Vertrag / Auftragsverarbeitungsvertrag ist ein zentraler Begriff in der DSGVO und wird in Artikel 28 geregelt. Früher wurde von Auftragsdatenverarbeitung und in dem Zuge dann von einem Auftragsdatenverarbeitungsvertrag gesprochen (ADV-Vertrag).
Sie beschreibt die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Verantwortlichen. Dabei bleibt die Verantwortung für den Datenschutz beim Auftraggeber, während der Dienstleister (Auftragsverarbeiter) lediglich die Weisungen des Verantwortlichen umsetzt.
Ein typisches Beispiel für einen AVV / AV-Vertrag / Auftragsverarbeitungsvertrag ist die Nutzung eines Cloud-Dienstleisters zur Speicherung oder Verarbeitung von Kundendaten. Entscheidend ist, dass der Dienstleister die Daten nicht für eigene Zwecke nutzt, sondern nur im Rahmen des erteilten Auftrags handelt.
Anwendungsbereiche
Der AVV / AV-Vertrag / Auftragsverarbeitungsvertrag findet in zahlreichen Bereichen Anwendung, insbesondere in:
IT-Dienstleistungen
Hosting, Cloud-Speicher, Wartung und Support von Software.
Marketing & Kommunikation
Newsletter-Versand durch externe Anbieter, Callcenter-Dienstleistungen.
Personalverwaltung
Nutzung externer Lohnabrechnungsdienste oder Bewerbermanagement-Systeme.
Kundenservice
Nutzung von externen Chatbots oder Helpdesk-Systemen zur Bearbeitung von Kundenanfragen.
Worauf müssen Unternehmen achten?
Unternehmen, die personenbezogene Daten durch einen Dienstleister verarbeiten lassen, müssen mehrere Aspekte beachten:
- Auswahl eines geeigneten Dienstleisters: Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen zum Schutz der Daten ergreift.
- Abschluss eines AVV / AV-Vertrag / Auftragsverarbeitungsvertrag: Gemäß Art. 28 Abs. 3 DSGVO muss mit dem Dienstleister ein Vertrag abgeschlossen werden, der unter anderem den Umfang, Zweck und die Dauer der Verarbeitung regelt sowie Sicherheitsvorkehrungen vorschreibt.
- Transparenz und Kontrolle: Regelmäßige Überprüfungen der Sicherheitsmaßnahmen des Dienstleisters sind erforderlich, z. B. durch Audits oder Zertifizierungen.
Ein Sonderpunkt ist die Datenverarbeitung außerhalb der EU: Falls Daten in Drittstaaten (außerhalb des EWR) verarbeitet werden, sind zusätzliche Schutzmechanismen erforderlich, wie z. B. Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission.
Praxisbeispiel
Ein mittelständisches Unternehmen nutzt einen externen Cloud-Anbieter zur Speicherung von Kundendaten. Der Anbieter hostet die Daten auf Servern innerhalb der EU. Um die DSGVO-Vorgaben einzuhalten, prüft das Unternehmen den Anbieter im Vorfeld und schließt einen AVV / AV-Vertrag / Auftragsverarbeitungsvertrag ab. Dieser regelt unter anderem:
- Welche Daten verarbeitet werden (z. B. Name, E-Mail-Adresse, Rechnungsdaten).
- Welche Sicherheitsmaßnahmen ergriffen werden (z. B. Verschlüsselung, Zugriffskontrollen).
- Die Verpflichtung des Dienstleisters, die Daten nach Beendigung des Vertrags zu löschen oder zurückzugeben.
Regelmäßig führt das Unternehmen Audits durch, um sicherzustellen, dass der Dienstleister die vereinbarten Sicherheitsmaßnahmen einhält. Dadurch stellt es sicher, dass die personenbezogenen Daten der Kunden auch bei einem externen Anbieter DSGVO-konform verarbeitet werden.
AVV / AV-Vertrag / Auftragsverarbeitungsvertrag: Ein wichtiger Bestandteil der DSGVO
Der AVV / AV-Vertrag / Auftragsverarbeitungsvertrag ist ein wichtiger Bestandteil der DSGVO und betrifft zahlreiche Unternehmen, die externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen. Entscheidend ist, dass Unternehmen sorgfältig prüfen, wen sie mit der Datenverarbeitung betrauen, und entsprechende Verträge sowie Sicherheitsmaßnahmen umsetzen. So kann das Risiko von Datenschutzverletzungen minimiert und die Einhaltung der DSGVO sichergestellt werden.
