Was ist ein Auftragsverarbeitungsvertrag?
Der Auftragsverarbeitungsvertrag, kurz AV-Vertrag oder AVV, ist die nach Artikel 28 der DSGVO vorgeschriebene vertragliche Grundlage für jede Auftragsverarbeitung. Er regelt die Pflichten zwischen dem Verantwortlichen und dem Dienstleister.
Ohne einen solchen Vertrag ist der Einsatz eines Auftragsverarbeiters nicht rechtmäßig. Der AV-Vertrag schafft Klarheit darüber, wie der Dienstleister mit den Daten umgehen darf und welche Schutzmaßnahmen er gewährleistet.
Welche Inhalte muss der AV-Vertrag haben?
Artikel 28 gibt einen festen Mindestinhalt vor. Ein vollständiger AV-Vertrag regelt unter anderem:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Kategorien betroffener Personen und der personenbezogenen Daten
- Weisungsbindung des Auftragsverarbeiters
- die zu treffenden technischen und organisatorischen Maßnahmen
- Regelungen zu Unterauftragnehmern und zur Löschung nach Auftragsende
Viele Anbieter stellen einen Standard-AVV bereit. Diesen sollten Sie dennoch prüfen, statt ihn ungeprüft zu übernehmen.
Worauf sollten Sie in der Praxis achten?
Ein häufiger Fehler ist, den AV-Vertrag erst nachträglich abzuschließen oder ganz zu vergessen. Er muss vor Beginn der Verarbeitung vorliegen. Achten Sie außerdem darauf, dass die Liste der Unterauftragnehmer aktuell ist und dass bei einem Drittlandtransfer geeignete Garantien vereinbart sind.
Jeder AV-Vertrag sollte sich im Verarbeitungsverzeichnis wiederfinden. Hintergründe und eine Schritt-für-Schritt-Anleitung finden Sie im Ratgeber zur Auftragsverarbeitung.