Ein Auftragsverarbeitungsvertrag, kurz AVV, ist ein wichtiges Dokument im Datenschutzrecht, das in vielen Ländern, einschließlich der Europäischen Union, erforderlich ist. In der Praxis ist ein AVV gefordert, wenn ein Unternehmen (z. B. deins) ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten in seinem Namen beauftragt. In diesem Vertrag werden die Verantwortlichkeiten und Anforderungen an die Datenverarbeitung und den Datenschutz festgelegt. Der AVV gewährleistet, dass beide Parteien die datenschutzrechtliche Regelungen einhalten und dass personenbezogene Daten sicher und korrekt verarbeitet werden.
Auftragsverarbeitungsverträge (AVV) sind sehr wichtig, weil sie eine zentrale Rolle im Datenschutz spielen. Stell dir vor, wie sorgfältig du mit Hausschlüsseln umgehen würdest, die dir jemand anvertraut. Ähnlich verhält es sich mit den personenbezogenen Daten von Menschen – sie müssen sicher und vertraulich behandelt werden.
Hier sind die Hauptgründe, warum Auftragsverarbeitungsverträge unerlässlich sind:
Zusammengefasst, der AVV ist wie ein umfassender Plan, der sicherstellt, dass alles in Bezug auf die Datenverarbeitung korrekt abläuft. Er trägt dazu bei, dass die Gesetze eingehalten werden, die Menschen geschützt sind, und die Geschäfte auf eine ethische und verantwortungsbewusste Weise geführt werden. Es ist ein entscheidendes Instrument, um das Vertrauen in die digitale Welt zu stärken.
Ein AVV muss gemäß Art. 28 Abs. 3 DSGVO zwischen dem Verantwortlichen (dem eigenen Unternehmen) und dem Auftragsverarbeiter (dem Dienstleister) geschlossen werden. Ein Auftragsverarbeitungsvertrag (AVV) umfasst verschiedene Elemente, darunter:
Wenn dein Unternehmen externe Dienstleister für die Verarbeitung personenbezogener Daten nutzt, ist es erforderlich, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Dies betrifft z. B. Bereiche wie Lohnbuchhaltung, Vertrieb und Marketing.
Bei der Verarbeitung von personenbezogenen Daten ist zu unterscheiden, ob ein Dienstleister weisungsgebunden ist oder eigentständig verantwortlich agiert und fachfremde Leistungen erbringen. Beispiele für solche Berufsgruppen wären Steuerberater, Banken, Betriebsärzte, und Rechtsanwälte. Durch die fehlende Weisungsgebundenheit besteht hier kein Bedarf einen Auftragsverarbeitungsvertrag abzuschließen.
"heyData hat uns mit ihrer digitalen Software-Lösung und Fachkompetenz überzeugt. Wie auch wir ist heyData digitaler Vorreiter in einer eher traditionellen und wenig digitalen Industrie. heyData ist ein starker Partner für die BRZ-Gruppe."
Leiter Kundenservice bei BRZ Gruppe
"heyData ist eine große Hilfe für uns und macht das Thema Datenschutz wirklich einfach. Mit dem digitalen Audit, den Online-Trainings und dem Kundensupport sind wir sehr zufrieden."
CTO und Co-Founder bei Hive Technologies GmbH
"Ich schätze diese Funktion für ihre Fähigkeit, die Bewertung von Lieferantenrisiken zu vereinfachen. Es ist ein unverzichtbares Werkzeug für jeden, der sich mit Datenkonformität in der Europäischen Union und der Schweiz befasst."
Head of Legal Affairs bei Learnship
“Als Kunde haben wir nur gute Erfahrungen mit dem Support und der Kommunikation von heyData gemacht. Fragen wurden ausführlich beantwortet, die Antworten kamen immer prompt und auch der persönliche 1-1-Support ist kein Problem.“
Director Of Customer Support bei AMBOSS
“Es ist eine flexible Lösung, welche ideal auf unsere Bedürfnisse zugeschnitten werden konnte. Nun ist immer alles auf dem aktuellen Stand des Datenschutzes.”
Vertrieb bei Frank GmbH
“Wir werden von heyData immer kompetent und zeitnah beraten und konnten bisher zu jeder Fragestellung in Bezug auf die DSGVO bzw. Datenschutz allgemein eine zufriedenstellende Lösung finden.”
CTO bei Instaffo GmbH
Der Verantwortliche ist die Person oder Organisation, die die Zwecke und Mittel der Datenverarbeitung festlegt. Der Auftragsverarbeiter ist die Person oder Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Ein AVV ist immer dann erforderlich, wenn ein Verantwortlicher personenbezogene Daten an einen Auftragsverarbeiter übermittelt, um diese verarbeiten zu lassen. Das gilt für Dienstleistungen wie Cloud-Speicher, IT-Support, Zahlungsabwicklung und andere Verarbeitungstätigkeiten für personenbezogene Daten.
Ja, gemäß Artikel 28 Absatz 9 der Datenschutz-Grundverordnung können AVVs schriftlich oder in elektronischer Form abgeschlossen werden.
Das Fehlen eines rechtmäßigen AVV zwischen Verantwortlichem und Auftragsverarbeiter kann eine Verletzung der DSGVO darstellen und zu rechtlichen Konsequenzen führen, einschließlich Bußgelder.
Der AVV sollte so lange aufbewahrt werden, wie die Datenverarbeitung zwischen Verantwortlichem und Auftragsverarbeiter andauert und darüber hinaus für einen angemessenen Zeitraum, um die Einhaltung der DSGVO nachzuweisen.
Ja, aber dies erfordert die ausdrückliche Genehmigung des Verantwortlichen und klare Regelungen über die Verantwortlichkeiten und Datenschutzpflichten des Sub-Auftragsverarbeiters.