AVV

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Vertrag

Ein Auftragsverarbeitungsvertrag (AVV) regelt die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeitenden, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Vertrag stellt sicher, dass der Auftragsverarbeitende die Datenschutzvorgaben der DSGVO einhält und die Daten nur gemäß den Anweisungen des Verantwortlichen verarbeitet.

Was ist ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtlich bindender Vertrag zwischen einem Verantwortlichen (der die Daten erhebt) und einem Auftragsverarbeitenden (der die Daten im Auftrag verarbeitet). Er stellt sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) erfolgt. Der AVV legt fest, wie die Daten geschützt werden und welche Pflichten und Rechte beide Parteien haben.

Wann ist ein AVV nötig?

Ein AVV ist erforderlich, wenn ein Unternehmen personenbezogene Daten von einem Dritten verarbeiten lässt, z.B. durch einen IT-Dienstleister, Cloud-Anbieter oder externen Lohnabrechnungsservice. Der Vertrag ist notwendig, um sicherzustellen, dass der Auftragsverarbeitende die Daten nur gemäß den Weisungen des Verantwortlichen und unter Einhaltung der DSGVO verarbeitet.

Eine AVV kann auch erforderlich sein, wenn andere Dienstleistungen in Auftrag gegeben werden, bei denen der Auftragnehmer mit personenbezogenen Daten in Berührung kommt, z.B. bei Supportleistungen (z.B. Client-Support, Software- und Datenbank-Support).

Was beinhaltet ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) muss nach der DSGVO folgende detaillierte Inhalte umfassen:

Gegenstand und Dauer der Verarbeitung

  • Beschreibung der konkreten Datenverarbeitung und deren zeitliche Begrenzung.

Art und Zweck der Verarbeitung

  • Detaillierte Erläuterung der Kategorien personenbezogener Daten und der betroffenen Personen sowie des Zwecks der Verarbeitung.

Pflichten des Auftragsverarbeitenden

  • Weisungsgebundenheit: Verarbeitung der Daten nur nach dokumentierten Weisungen des Verantwortlichen.
  • Vertraulichkeit: Verpflichtung zur Vertraulichkeit für alle Personen, die Zugang zu den Daten haben.
  • Technische und organisatorische Maßnahmen (TOMs): Darstellung der Sicherheitsmaßnahmen zur Gewährleistung eines angemessenen Schutzes der Daten.
  • Unterauftragsverarbeitung: Bedingungen und Genehmigungsverfahren für die Einbindung von Unterauftragsverarbeitenden, inklusive einer Verpflichtung, die gleichen Datenschutzstandards zu gewährleisten.
  • Unterstützungspflichten: Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten (z. B. Auskunft, Berichtigung, Löschung) sowie bei der Einhaltung der Verpflichtungen zur Datensicherheit und Meldung von Datenschutzverletzungen.

Rechte des Verantwortlichen

  • Kontroll- und Überprüfungsrechte: Der Verantwortliche hat das Recht, regelmäßige Audits und Inspektionen durchzuführen oder durchführen zu lassen, um die Einhaltung der im AVV festgelegten Datenschutzvorgaben zu überprüfen.
  • Weisungsrecht: Der Verantwortliche behält das Recht, dem Auftragsverarbeitenden Anweisungen zur Verarbeitung der Daten zu erteilen.

Umgang mit Daten nach Beendigung des Auftrags

  • Rückgabe oder Löschung: Nach Beendigung der Verarbeitung sind alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen.

Meldepflichten bei Datenschutzverletzungen

  • Der Auftragsverarbeitende ist verpflichtet, den Verantwortlichen unverzüglich über jede festgestellte oder vermutete Datenschutzverletzung zu informieren.

Haftung und Schadensersatz

  • Regelungen zur Haftung des Auftragsverarbeitenden im Falle von Datenschutzverstößen.

Sonstige Bestimmungen

  • Vertraulichkeit: Sicherstellung, dass keine Daten an unberechtigte Dritte weitergegeben werden.
  • Rechtswahl und Gerichtsstand: Festlegung des anwendbaren Rechts und des Gerichtsstands für etwaige Streitigkeiten.

Diese Inhalte gewährleisten, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden.