Pre-Alpha

Wann wird ein Auftragsverarbeitungsvertrag benötigt?

Ein Auftragsverarbeitungsvertrag (AVV) ist erforderlich, wenn personenbezogene Daten durch einen externen Dienstleister im Auftrag eines Unternehmens verarbeitet werden. Dies ist insbesondere in folgenden Fällen relevant:

  • Externes Hosting der Website oder von Unternehmensdaten
  • Nutzung von Newsletter-Diensten für Marketingzwecke
  • Einsatz von Google Analytics oder anderen Tracking-Tools
  • Wartung von IT-Systemen durch externe Dienstleister
  • Verwendung von Fernwartungssoftware
  • Lohn- und Gehaltsabrechnungen durch externe Anbieter

Da in diesen Szenarien personenbezogene Daten wie Namen, Adressen oder E-Mail-Adressen verarbeitet werden, ist ein AVV gemäß Artikel 28 der DSGVO erforderlich. Der Vertrag regelt den Umfang, Zweck und die Pflichten der beteiligten Parteien und kann auch in elektronischer Form abgeschlossen werden.

Was ist eine Auftragsverarbeitung?

Die Auftragsverarbeitung (AV) – früher als Auftragsdatenverarbeitung (ADV) bekannt – bezeichnet die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen externen Dienstleister im Auftrag einer verantwortlichen Stelle. Die rechtlichen Vorgaben hierzu sind in Artikel 28 DSGVO geregelt und bestimmen unter anderem:

  • Die Rechte und Pflichten von Auftraggeber und Auftragnehmer
  • Die technischen und organisatorischen Maßnahmen zum Datenschutz
  • Die Kontroll- und Mitwirkungspflichten der beteiligten Parteien

Ein AVV sorgt dafür, dass der Datenschutz bei der Verarbeitung personenbezogener Daten durch externe Dienstleister gewährleistet bleibt.

Was sind personenbezogene Daten?

Personenbezogene Daten sind gemäß Artikel 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören unter anderem:

  • Name
  • Anschrift
  • E-Mail-Adresse
  • Telefonnummer
  • IP-Adressen
  • Kontodaten

Beispiel aus der Praxis

Wenn ein Unternehmen Google Analytics zur Webanalyse nutzt oder Newsletter über einen externen Anbieter versendet, werden personenbezogene Daten an einen Dienstleister übermittelt. In diesen Fällen ist ein Auftragsverarbeitungsvertrag mit dem jeweiligen Anbieter erforderlich.

Inhalte eines Auftragsverarbeitungsvertrags

Ein AVV muss bestimmte Mindestanforderungen erfüllen. Laut Artikel 28 DSGVO müssen unter anderem folgende Punkte geregelt sein:

  • Gegenstand und Dauer der Verarbeitung
  • Umfang, Art und Zweck der Datenverarbeitung
  • Art der verarbeiteten Daten und Kreis der betroffenen Personen
  • Technische und organisatorische Maßnahmen zum Schutz der Daten
  • Regelungen zur Berichtigung, Löschung und Sperrung von Daten
  • Pflichten des Auftragnehmers sowie Kontrollrechte des Auftraggebers
  • Regelungen zur Weitergabe von Daten an Unterauftragnehmer
  • Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
  • Löschung der Daten nach Vertragsende

Ein solcher Vertrag stellt sicher, dass personenbezogene Daten rechtskonform und sicher verarbeitet werden und schützt Unternehmen vor Datenschutzverstößen.

Ein Auftragsverarbeitungsvertrag ist somit in vielen Fällen zwingend erforderlich, um die Einhaltung der DSGVO zu gewährleisten und eine transparente sowie sichere Verarbeitung personenbezogener Daten sicherzustellen.