Recht und Normen

Auftragsverarbeitung (AVV)

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AVV) ist der von Artikel 28 DSGVO vorgeschriebene Vertrag mit einem Dienstleister, der personenbezogene Daten im Auftrag und nach Weisung eines Unternehmens verarbeitet. Typische Fälle sind ein Cloud-Anbieter oder ein externer IT-Betreuer mit Fernwartungszugang.

Auftragsverarbeiter ist, wer personenbezogene Daten weisungsgebunden für ein anderes Unternehmen verarbeitet. Typische Beispiele sind der Cloud-Speicher mit Kundendaten, der externe IT-Betreuer mit Fernwartungszugang, der Webhoster, das Rechenzentrum mit den Sicherungen, der Versanddienst für Newsletter und die Personalverrechnung in einer Cloud-Anwendung. Die Verantwortung gegenüber den betroffenen Personen bleibt beim beauftragenden Unternehmen.

Artikel 28 DSGVO nennt die Mindestinhalte des Vertrags. Dazu gehören Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Arten der Daten und die Kategorien betroffener Personen, die Bindung an dokumentierte Weisungen, die Vertraulichkeit der eingesetzten Personen, die Sicherheitsmaßnahmen nach Artikel 32, die Bedingungen für den Einsatz weiterer Unterauftragsverarbeiter, also von Dienstleistern des Dienstleisters, die Unterstützung bei Betroffenenrechten und bei Meldepflichten, die Löschung oder Rückgabe der Daten nach Ende der Leistung sowie Nachweise und Überprüfungen.

Die Auswahl des Dienstleisters ist selbst eine Pflicht. Artikel 28 Absatz 1 verlangt hinreichende Garantien dafür, dass die Verarbeitung den Anforderungen der DSGVO entspricht. In der Praxis heißt das, sich die Beschreibung der technischen und organisatorischen Maßnahmen aushändigen zu lassen, nach Zertifikaten oder Prüfberichten zu fragen und zu klären, welche Unterauftragsverarbeiter beteiligt sind und wo die Daten liegen. Bei Servern außerhalb der EU und des EWR braucht es zusätzlich eine Grundlage nach Kapitel V der DSGVO, in der Regel die Standardvertragsklauseln, also von der Europäischen Kommission vorgegebene Vertragstexte.

Erkennbar wird der Handlungsbedarf daran, dass eine vollständige Liste der eingesetzten Dienste fehlt. Ein sinnvoller erster Schritt ist eine Aufstellung aller Dienste und aller Personen mit Zugriff auf Daten des Betriebs, einschließlich Fernwartungssoftware, Buchhaltungs-Cloud, Terminbuchung, Backup-Anbieter und Website-Agentur. Zu jedem Eintrag gehört die Frage, ob ein Auftragsverarbeitungsvertrag vorliegt und ob er die Punkte aus Artikel 28 abdeckt.

In einer solchen Aufstellung fehlen leicht jene Dienste, die niemand bewusst eingeführt hat, etwa ein Fernwartungswerkzeug auf einem Rechner in der Werkstatt oder ein privat angelegtes Cloud-Konto für den Datenaustausch mit einem Lieferanten. Der IT-Check macht solche Zugänge und Datenwege sichtbar und liefert damit die Grundlage für ein vollständiges Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30.

Alle Begriffe der Wissensdatenbank

Vom Begriff zur Praxis

Wie steht Ihr Betrieb wirklich da?

Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.

Erstgespräch vereinbaren