Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag, der nach Art. 28 DSGVO zwischen einem Verantwortlichen und einem Auftragsverarbeiter geschlossen wird, wenn personenbezogene Daten im Auftrag verarbeitet werden. Er ist ein zentrales Element für rechtssicheren Datenschutz und unverzichtbar für alle Unternehmen, die externe Dienstleister in ihre Datenverarbeitungsprozesse einbinden.
Der AVV regelt die Rechte und Pflichten des Auftragsverarbeiters (z. B. Hosting-Dienstleister, Newsletter-Tools, Agenturen) und stellt sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt.
Typische Szenarien, die einen AVV erfordern:
✔ Rechtssicherheit: Die DSGVO schreibt einen AVV zwingend vor, wenn personenbezogene Daten im Auftrag verarbeitet werden.
✔ Schutz der Betroffenenrechte: Der AVV regelt, wie der Dienstleister mit Daten umgeht.
✔ Vermeidung von Bußgeldern: Verstöße gegen die Pflicht zur AVV können hohe Strafen nach sich ziehen.
✔ Transparenz: Klarheit über die Datenflüsse im Unternehmen und mit Dienstleistern.
✔ Rechtskonforme Zusammenarbeit mit Dienstleistern.
Ein vollständiger AVV sollte folgende Punkte enthalten:
✅ Gegenstand und Dauer der Verarbeitung
✅ Art und Zweck der Verarbeitung
✅ Art der personenbezogenen Daten und Kategorien betroffener Personen
✅ Rechte und Pflichten des Verantwortlichen
✅ Pflichten des Auftragsverarbeiters
✅ Vertraulichkeitsverpflichtung der Mitarbeiter des Auftragsverarbeiters
✅ Unterauftragsverhältnisse und deren Genehmigung
✅ Technische und organisatorische Maßnahmen (TOMs)
✅ Regelungen zur Unterstützung bei Betroffenenrechten
✅ Meldung von Datenschutzverletzungen
✅ Regelungen zur Löschung und Rückgabe von Daten
Alle Unternehmen und Selbstständigen, die externe Dienstleister zur Verarbeitung personenbezogener Daten einsetzen, sind verpflichtet, einen AVV abzuschließen. Beispiele:
1️⃣ Prüfen, welche Dienstleister AVVs benötigen: Alle datenverarbeitenden Tools und Anbieter identifizieren.
2️⃣ AVVs rechtzeitig abschließen: Vor Beginn der Verarbeitung muss der Vertrag vorliegen.
3️⃣ Technische und organisatorische Maßnahmen prüfen: Werden Datenschutzstandards eingehalten?
4️⃣ Unterauftragsverhältnisse prüfen: Sind Subdienstleister DSGVO-konform eingebunden?
5️⃣ AVVs dokumentieren und revisionssicher speichern.
6️⃣ Bei Änderungen aktualisieren: Z. B. bei Wechsel des Dienstleisters oder Änderungen am Umfang der Verarbeitung.
❌ Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes.
❌ Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände.
❌ Reputationsverlust durch Datenschutzverstöße.
Der Auftragsverarbeitungsvertrag (AVV) ist ein Pflichtbestandteil einer DSGVO-konformen Datenverarbeitung und schützt sowohl Nutzer als auch Unternehmen. Er schafft klare Regeln im Umgang mit personenbezogenen Daten, stellt die rechtliche Grundlage für die Zusammenarbeit mit Dienstleistern dar und schützt vor Bußgeldern und Abmahnungen.
