Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.

Auftragsverarbeitungsvertrag & AV-Vertrag

Was ist die DSGVO Auftragsverarbeitung und was geht mich das an?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(138 Bewertungen, 4.27 von 5)

Das Wichtigste in Kürze

  • Eine Auftragsverarbeitung liegt vor, wenn andere Unternehmen – zum Beispiel externe Dienstleister – personenbezogene Daten im Auftrag verarbeiten.
  • Um einen DSGVO-konformen Umgang mit den Daten zu garantieren, müssen Sie einen AV-Vertrag mit diesen Dienstleistern abschließen.
  • Gleiches gilt, wenn Sie selbst Zugriff auf fremde Kundendaten haben: Dann benötigen Sie einen AV-Vertrag mit dem Auftraggeber und ggf. zusätzlich mit externen Dienstleistern.

Worum geht's?

Den Begriff „Auftragsverarbeitung“ (vor der DSGVO: Auftragsdatenverarbeitung) hat fast jeder schon einmal gehört. Doch viele Unternehmer und Webseitenbetreiber wissen nicht, was dieser Begriff praktisch bedeutet. Dabei ist ein AV-Vertrag (alt: ADV-Vertrag) für die meisten von ihnen ein Muss: Wer Tools wie Google Analytics nutzt, seine Website bei einem Provider hosten lässt oder Newsletter mit einer Software erstellt, muss mit den jeweiligen Anbietern einen AV-Vertrag abschließen. Aber auch Agenturen und Webdesigner benötigen häufig eine vertragliche Vereinbarung zur Auftragsverarbeitung. Wir zeigen Ihnen, was Sie wirklich zu AV-Verträgen wissen müssen und was sich durch die Datenschutz-Grundverordnung geändert hat.

1. Auftragsverarbeitung: Was ist das überhaupt?

(Fast) immer, wenn andere Unternehmen Zugriff auf Kundendaten haben, bewegen Sie sich im Bereich der Auftragsverarbeitung. Diese liegt vor, wenn personenbezogene Daten im Auftrag und weisungsgebunden durch externe Dienstleister erhoben, verarbeitet oder übermittelt werden. Der externe Dienstleister, der die Datenverarbeitung verwaltet, wird auch Auftragsverarbeiter genannt. Die Verantwortung für die ordnungsgemäße Datenverarbeitung und den Schutz der Daten verbleibt jedoch beim Auftraggeber. Der externe Dienstleister wird bei der Auftragsverarbeitung nur unterstützend tätig, er ist sozusagen der „verlängerte Arm“ des Auftraggebers. Was er in keinem Fall darf, ist, die Daten für eigene Zwecke zu verwenden.

Personenbezogene Daten sind Daten, mit denen sich eine Person eindeutig identifizieren lässt, also z.B. ihr Name, ihre Anschrift, Kontodaten oder die private Telefonnummer. Müssen sich z.B. Kunden mit ihrer E-Mail-Adresse für einen Newsletter anmelden, handelt es sich bei den E-Mail-Adressen um personenbezogene Daten. Auch ein Login-Name ist personenbezogen, wenn er mit einem echten Namen oder der E-Mail-Adresse verknüpft ist.

Sören Siebert
Sören SiebertRechtsanwalt

Gesetzlich geregelt war die Auftragsdatenverarbeitung vor der Datenschutzgrundverordnung (DSGVO) im Bundesdatenschutzgesetz. Seit 2018 finden sich die entsprechenden Regelungen in Art. 28 DSGVO. Und diese nimmt Webseitenbetreiber, Onlineshop-Inhaber, Anbieter von Tools und Diensten sowie Dienstleister wie Agenturen und Webdesigner verstärkt in die Pflicht: Denn laut DSGVO haben Verbraucher umfassende Rechte, was den Umgang und die Verarbeitung ihrer personenbezogenen Daten angeht.

Datensicherheit und Datenschutz stehen an oberster Stelle – und das nicht nur, wenn ein Unternehmen oder eine Behörde selbst diese Daten erhebt, sondern auch, wenn Dritte in die Datenverarbeitung und -weitergabe involviert sind. Damit ein solches Outsourcing die Anforderungen der DSGVO erfüllt, müssen Auftraggeber und Auftragsverarbeiter die Auftragsverarbeitung vertraglich regeln – und zwar in einem sogenannten AV-Vertrag.

Ob und wann ein solcher erforderlich ist, hängt davon ab, ob tatsächlich eine Auftragsverarbeitung vorliegt.

Wann liegt eine Auftragsverarbeitung vor?

In fast jeder Firma werden Daten im Auftrag erhoben und verarbeitet. Häufig wissen die betroffenen Firmen davon nicht einmal etwas. Bringen wir mit einigen Beispielen einmal etwas Licht ins Dunkle.

Checkliste
Eine Auftragsverarbeitung besteht unter anderem, wenn Sie:
  • ein Lohnbüro mit der Lohn- und Gehaltsabrechnung Ihres Unternehmens beauftragen.

  • ein Callcenter Zufriedenheitsbefragungen Ihrer Kunden durchführen lassen.

  • eine Marketing-Agentur beauftragen, Statistiken oder Newsletter für Ihre Kunden zu erstellen.

  • einen Programmierer mit der Installation, Pflege, Überprüfung und Korrektur von Software beauftragen.

  • selbst in Ihrem Unternehmen Tools wie Google Analytics, SaaS-Lösungen oder eine externe Newslettersoftware verwenden.

  • Ihre Website durch einen Hosting-Anbieter hosten lassen.

  • einen IT-Dienstleister mit der Überprüfung, Reparatur oder dem Austausch von Hardware beauftragen.

  • Ihre Aktenvernichtung an einen externen Dienstleister auslagern.

 

Damit eine Auftragsverarbeitung vorliegt, muss der beauftragte Dienstleister – also z.B. das Callcenter, die Agentur oder das Lohnbüro – aber gar nicht tatsächlich auf die personenbezogenen Daten von Mitarbeitern, Kunden und Nutzern zugreifen. Es reicht bereits aus, dass ein Zugriff theoretisch möglich ist.

Wann liegt keine Auftragsverarbeitung vor?

Keine Auftragsverarbeitung liegt hingegen bei einer sogenannten Funktionsübertragung vor. Während der Dienstleister bei der Auftragsverarbeitung im Auftrag als „verlängerter Arm“ des Auftraggebers tätig wird, ist er im Rahmen einer Funktionsübertragung nicht weisungsgebunden. Stattdessen kann er frei entscheiden, was mit den Daten des Unternehmens geschieht und hat somit ein eigenes Interesse an den Daten.

In folgenden Fällen würde keine Auftragsverarbeitung, sondern eine Funktionsübertragung vorliegen:

  • Eine Firma mietet für einen Auftraggeber Dienstfahrzeuge an.
  • Ein Inkassounternehmen treibt in Ihrem Auftrag offene Forderungen ein.
  • Sie beauftragen ein Reisebüro, eine Dienstreise zu organisieren.

Die Abgrenzung zwischen Auftragsverarbeitung und Funktionsübertragung ist nicht immer eindeutig. So fällt etwa die Auslagerung der reinen Gehalts- und Lohnabrechnung unter die Auftragsverarbeitung. Lagert das betreffende Unternehmen jedoch zusätzlich noch die Lohnberechnung, die Finanzbuchhaltung oder die gesamte Personalverwaltung aus, kann es sich dabei auch um eine Funktionsübertragung handeln.

2. Wer muss sich bei der Auftragsverarbeitung um den Datenschutz kümmern?

Liegt eine Auftragsverarbeitung vor, stellt sich die Frage, wer sich um den Schutz der erhobenen und verarbeiteten personenbezogenen Daten kümmern muss. Nicht selten herrscht der Irrglaube vor, dass der Datenschutz allein Aufgabe des Dienstleisters ist. Dies ist jedoch nicht der Fall. Beauftragen Sie einen externen Dienstleister wie z.B. eine Agentur oder einen Freelancer, dürfen Sie sich nicht darauf verlassen, dass diese sämtliche Datenschutzanforderungen einhalten. Sie müssen als Auftraggeber selbst für die Sicherheit der personenbezogenen Daten sorgen – denn Sie sind und bleiben auch beim Outsourcing der Verantwortliche für den Datenschutz.

Dazu gehört nicht nur der Abschluss eines AV-Vertrags mit dem Dienstleister, sondern auch die regelmäßige Kontrolle, ob Ihr Auftragnehmer die Vorgaben der DSGVO einhält. Möglich ist dies durch:

  • Vor-Ort-Kontrollen
  • Testat eines Sachverständigen
  • Bericht des eigenen Datenschutzbeauftragten
  • Schriftliche Auskunft des Auftragnehmers

Wichtig vor allem: Umfang der Datenverarbeitung

Welche konkreten Maßnahmen zum Datenschutz Sie ergreifen müssen und in welchen zeitlichen Abständen die Kontrollen durchzuführen sind, lässt das Datenschutzgesetz jedoch offen. Maßgeblich sind hier insbesondere der Umfang der Datenverarbeitung, das Gefährdungspotenzial für die Betroffenen und die Sensibilität der verarbeiteten Daten.

Ein Beispiel: Erlaubt eine Firma einer PR-Agentur, auf Millionen von Kundendaten zuzugreifen, um eine neue Marketing-Strategie zu entwickeln, werden regelmäßige Vor-Ort-Kontrollen notwendig sein. Wird die PR-Agentur hingegen von einer kleineren Firma beauftragt, die lediglich 100 Kundendaten gespeichert hat, dürfte eine schriftliche Auskunft des Auftragnehmers genügen.

Wie auch immer die Kontrolle gewährleistet wird – sie ist in jedem Fall zu protokollieren. Abgesehen von der ohnehin gesetzlich vorgeschriebenen Dokumentationspflicht lässt sich so bei einem vermuteten Datenschutzverstoß gegenüber der Aufsichtsbehörde nachweisen, dass eine Kontrolle des Unternehmens stattgefunden hat.

PRAXIS-TIPP

Sind Sie Auftraggeber, stellen Sie sicher, dass Ihre Kontrollrechte gegenüber dem auftragsverarbeitenden Unternehmen nicht zu sehr aufgeweicht werden. Als Auftragsverarbeiter sollten Sie hingegen darauf achten, dass Ihnen der Auftraggeber keine unverhältnismäßigen Einsichtsrechte in die interne Dokumentation vorschreibt.

Liegt tatsächlich ein DSGVO-Verstoß vor, haften Auftraggeber und Auftragnehmer gemeinsam gegenüber dem Betroffenen. Die Haftung des Auftragnehmers ist dabei auf die Verstöße beschränkt, die sich aus der Pflichtverletzung aus dem konkreten AV-Vertrag ergeben. Der Auftraggeber ist und bleibt bei Datenschutzverstößen der erste Ansprechpartner für den oder die Betroffenen.

3. Was ist ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) gemäß der DSGVO?

Ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) ist ein rechtliches Dokument, das Unternehmen benötigen, wenn sie externe Dienstleister beauftragen, Kundendaten im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) zu verarbeiten. Der Vertrag regelt die Bedingungen, unter denen der Auftragsverarbeiter die Daten im Auftrag des Unternehmens verarbeiten darf.

4. Wann brauche ich einen AV-Vertrag?

Sobald ein externer Dienstleister im Rahmen eines Auftrags Zugriff auf personenbezogene Daten von Dritten hat, sollten Sie eingehend prüfen, ob eine Auftragsverarbeitung gegeben ist. Dann benötigen Sie einen entsprechenden Vertrag über die Auftragsverarbeitung (AV-Vertrag), in welchem Rechte und Pflichten beiden Parteien geregelt sind. Wichtiger Bestandteil sind im Auftragsverarbeitungsvertrag die technischen und organisatorischen Maßnahmen, mit denen Auftragsnehmer die Datensicherheit, der ihnen überlassenen personenbezogenen Daten gewährleisten.

Wir haben Ihnen bereits einige Beispiele gezeigt, wann eine Auftragsverarbeitung vorliegt: Zum einen, wenn Sie einen externen Dienstleister beauftragen (z.B. Lohnbüro, Marketing-Agentur, Callcenter) oder Tools oder Dienste externer Anbieter nutzen (z.B. Newslettersoftware, Google Analytics, Websitehosting).

Sören Siebert
Sören SiebertRechtsanwalt

Zum anderen wird ein Auftragsverarbeitungsvertrag erforderlich, wenn Sie selbst durch Ihre Tätigkeit auf fremde Nutzer- oder Kundendaten zugreifen können – etwa, weil Sie als Agentur oder Webdesigner die Marketingstrategie eines Kunden umsetzen, eine Website erstellen oder einen Onlineshop relaunchen. Nutzen Sie dann zusätzlich Drittanbietertools – weil Sie z.B. Google Analytics für die Kundenwebsite verwenden – benötigen Sie mehrere AV-Verträge: Zum einen für Ihr Auftragsverarbeitungsverhältnis mit Ihrem Auftraggeber und zum anderen mit Google.

Erstellt Ihre Agentur im Auftrag von Kunden Webseiten, beauftragen Sie in der Regel
externe Dienstleister, um die Seite hosten zu lassen. Da der Hoster – tatsächlich oder theoretisch – Zugriff auf Drittdaten (etwa denen des Agenturkunden) hat, muss Ihre Agentur mit diesem einen AV-Vertrag abschließen – aber auch mit dem auftraggebenden Kunden.

Sie benötigen also zwei Verträge zur Auftragsverarbeitung. Erstellen Sie auch die Datenschutzerklärung für die Kundenwebsite, gehört in diese unter dem Punkt „Hosting“ aber nur Ihre Agentur und nicht der Hosting-Anbieter. Ihr Kunde schließt den Vertrag über das Webhosting ja eben nicht mit dem Hosting-Anbieter, sondern mit Ihrer Agentur ab. Sie müssen ihm im AV-Vertrag aber mitteilen, welchen Hoster Sie als Unterauftragsverarbeiter einsetzen.

Für welche Tools und Anbieter brauche ich einen AV-Vertrag?

DSGVO-konformes Outsourcing verlangt von Ihnen, dass Sie die Datenweitergabe von persönlichen Kundendaten in speziellen Auftragsverarbeitungsverträgen regeln. Hier liegt die Notwendigkeit eines Auftragsverarbeitungsvertrags vor, wenn Sie:

  • Google Analytics oder andere Tracking Software nutzen.
  • Ihre Website durch einen Webhosting-Anbieter hosten lassen.
  • Softwarelösungen wie Mailchimp für Ihre Newsletter verwenden.
  • Tools wie Calendly zur Terminverarbeitung nutzen.
  • Ihr Rechenzentrum ganz oder teilweise outsourcen.
  • Eine externe Buchhaltungssoftware verwenden.
  • Clouddienste wie Google Drive oder Dropbox nutzen.
  • Fernwartungssysteme wie z.B. TeamViewer einsetzen.

Was ist mit Dienstleistern im Ausland?

Dienstleister aus dem Ausland lassen sich problemlos einschalten, wenn es sich bei den Ländern um Mitgliedsstaaten der EU oder des europäischen Wirtschaftsraumes (EWR) handelt. Diese sind nämlich keine Drittstaaten im Sinne der DSGVO, sondern erfüllen – dadurch, dass die DSGVO in der gesamten EU und im EWR gilt – das gleiche Schutzniveau wie Deutschland.

Eine Datenerhebung, -verarbeitung oder -übermittlung in Nicht-EU-Länder oder die USA ist laut Datenschutzgrundverordnung hingegen nur unter bestimmten Voraussetzungen möglich – und zwar, wenn das Drittland ein mit der DSGVO vergleichbares Schutzniveau aufweist. Wer Tools und Dienste von US-Anbietern wie Zoom oder Google Analytics nutzen will, benötigt u. a. die ausdrückliche Einwilligung sämtlicher Personen, denen die Daten gehören und muss prüfen, ob der US-Anbieter unter dem neuen Datenschutzabkommen "Data Privacy Framework" zwischen EU und USA zertifiziert ist.

Jetzt Business absichern

eRecht24 Premium für Webseitenbetreiber, Dienstleister und kleine Unternehmen

Als eRecht24-Premium-Mitglied haben Sie Zugriff auf unsere Checkliste, Webinaraufzeichnungen und weitere Inhalte zum Thema Datenübermittlung in die USA.

Jetzt Business absichern

Wie es weitergeht mit dem „Privacy Shield 2.0“ haben wir Ihnen in unserem aktuellen Artikel „EU-US Data Privacy Framework“ zusammengefasst.

5. Was passiert, wenn ich keinen Vertrag zur Auftragsverarbeitung abschließe?

Ohne AV-Vertrag besteht keine Rechtsgrundlage für die Datenverarbeitung durch den Auftragsverarbeiter. Haben Sie keinen AV-Vertrag abgeschlossen, obwohl die DSGVO einen vorsieht, kann es daher schnell richtig teuer werden: Die Datenschutzgrundverordnung sieht bei Verstößen DSGVO-Bußgelder von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Vorjahresumsatzes vor – je nachdem, welcher Wert höher ist. Unternehmen, die die DSGVO nicht ernst nehmen, müssen außerdem mit Abmahnungen von Wettbewerbern und einem Gerichtsverfahren rechnen.

Daneben können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragsverarbeiter Schadensersatz verlangen. Beide Parteien haben die Möglichkeit, ihre Unschuld zu beweisen und so eine Ersatzpflicht zu verhindern. Dafür müssen sie nachweisen, dass sie nicht für den Datenschutzverstoß verantwortlich sind. Ein solcher Nachweis wird ohne vorliegenden AV-Vertrag jedoch kaum für eine der beiden Parteien möglich sein.

6. Was muss im AV-Vertrag geregelt werden?

Was genau in den Verträgen zur Auftragsverarbeitung geregelt werden muss, beschreibt Art. 28 DSGVO. Demnach müssen Regelungen zu den folgenden Inhalten enthalten sein:

  • Inhalt der Verarbeitungstätigkeit, Gegenstand des Auftrags
  • Dauer der Datenverarbeitung
  • Art und Weise der Verarbeitungstätigkeit; Umfang, Art und Zweck der vorgesehenen Datenerhebung, -verarbeitung oder -nutzung
  • Art und Kategorie der betroffenen Daten
  • Kreis der Betroffenen
  • Umfang der Weisungsbefugnisse
  • Existenz einer Verschwiegenheitsverpflichtung
  • Vorliegen geeigneter technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
  • Regelungen für externe Dienstleister und Subunternehmer, z.B. hinsichtlich Berichtigung, Löschung und Sperrung von Daten
  • Pflichten des Auftragnehmers, insbesondere bezüglich Kontrollen
  • Entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • Ggf. Berechtigung zu Unterauftragsverhältnissen
  • Klauseln zur Mitwirkung bei Auskunftsrechten der Betroffenen und der damit verbundenen Meldepflicht bei Verstößen gegen die DSGVO
  • Informationspflicht des Auftragnehmers zur Einhaltung der Regelungen
  • Abwicklung von Rückgabe und/oder Löschung der personenbezogenen Daten nach Beendigung der Verarbeitungstätigkeit

Kann ich einfach einen Muster-Vertrag für die Auftragsverarbeitung nutzen?

Grundsätzlich können Sie einen Mustervertrag oder eine Vorlage nutzen, wenn Sie die DSGVO-Auftragsverarbeitung vertraglich regeln wollen. Bei kostenlosen Mustern aus dem Internet stellt sich jedoch immer die Frage nach der Rechtssicherheit. Achten Sie in jedem Fall darauf, von welcher Quelle der Vertrag stammt. Er sollte entweder von den Datenschutzbehörden bereitgestellt oder durch einen Anwalt geprüft worden sein. Zudem müssen Sie das Muster auf Ihren Fall anpassen.

Sollten Sie als Dienstleister, Webdesigner oder Agentur selbst einen AV-Vertrag für die Datenverarbeitung zwischen Ihnen und Ihre EU-Kunden benötigen, empfehlen wir Ihnen eRecht24 Premium. Dort finden Sie ein anwaltlich erstelltes rechtssicheres Muster für einen AV-Vertrag.

Website absichern

eRecht24 Premium für Webseitenbetreiber, Dienstleister und kleine Unternehmen

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool & Premium Scanner
  • Live-Webinare und Know-How
Website absichern

Reicht es nicht, wenn ich einen Datenschutzbeauftragten bestelle?

Die Bestellung eines Datenschutzbeauftragten ist Pflicht, wenn in einem Unternehmen mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Für Sie als Verantwortlichen ist es allein mit der Bestellung eines Datenschutzbeauftragten jedoch leider nicht getan.

Besteht eine Pflicht zum Datenschutzbeauftragten, muss diese durch den Verantwortlichen ebenfalls im Vertrag zur Auftragsverarbeitung geregelt werden. Außerdem muss die beauftragende Firma kontrollieren, dass der externe Dienstleister seinen Pflichten auch tatsächlich nachkommt und einen Datenschutzbeauftragten bestellt. Dies kann sie beispielsweise durch ihren eigenen Datenschutzbeauftragten sicherstellen, der die Sicherheit der Datenverarbeitungen von Auftragsverarbeitern prüft.

7. Woher bekomme ich einen AV-Vertrag?

Die DSGVO enthält eine wichtige Erleichterung für Unternehmen: AV-Verträge müssen nicht mehr ausgedruckt, unterschrieben und per Post verschickt werden, sondern lassen sich auch auf elektronischem Wege abschließen. Wichtig ist, dass der Abschluss der Verträge und die Zuordnung zu einem konkreten Kunden rechtssicher dokumentiert wird. Woher bekommen Sie nun aber einen Auftragsverarbeitungsvertrag?

AV-Verträge mit Drittanbieterdiensten und Toolanbietern

Wenn Sie als Onlineshop- oder Webseitenbetreiber für Ihr Business externe Dienstleister, Tools und Drittanbieterdienste nutzen, stellen diese Ihnen in der Regel einen AV-Vertrag bereit. Sie finden den entsprechenden Vertrag bei SaaS-Lösungen und Plattformen häufig in Ihrem Kundenkonto. Alternativ haben wir Ihnen die AV-Verträge für einige gängige Toolanbieter und Provider in der folgenden Liste verlinkt:

AV-Verträge für Webdesigner, Agenturen und Co.

Sind Sie als Agentur, Hoster, Webdesigner oder anderer Dienstleister selbst mit der Datenverarbeitung fremder Kundendaten befasst, benötigen Sie für den entsprechenden Auftraggeber ebenfalls einen vollständigen, korrekten und DSGVO-konformen AV-Vertrag. Als eRecht24 Premium-Mitglied können Sie unser oben verlinkte Muster zum Auftragsverarbeitungsvertrag nutzen. Alternativ gibt es aber eine bessere Möglichkeit, mit dem Sie das Thema AV-Vertrag und Auftragsverarbeitung ein für alle Mal abhaken können: Und zwar, indem Sie den AV-Vertrag DSGVO-sicher in Ihre AGB integrieren.

Die DSGVO verpflichtet Sie nämlich nicht, einen Auftragsverarbeitungsvertrag separat abzuschließen. Sie können ihn stattdessen auch in Ihre AGB aufnehmen. Das hat den Vorteil, dass der AV-Vertrag zukünftig automatisch mit jedem angenommenen Angebot abgeschlossen wird und Sie somit vor einer Haftung bei der Verarbeitung personenbezogener Daten geschützt sind.

Jetzt Business mit AV-Vertrag als AGB absichern

KANZLEI SIEBERT LEXOW LANG

Die spezialisierten Datenschutz-Experten der Kanzlei Siebert Lexow Lang unterstützen Sie bei der Umsetzung Ihres AV-Vertrages als AGB gern. Kontaktieren Sie uns dazu noch heute.

Jetzt Business mit AV-Vertrag als AGB absichern

8. FAQ: Häufige Fragen zur Auftragsverarbeitung

Wann braucht man einen AV-Vertrag?

Sobald personenbezogene Daten im Auftrag eines Unternehmens weisungsgebunden durch eine andere Firma verarbeitet werden, bedarf es eines AV-Vertrags. In diesem sind die Einzelheiten der Auftragsverarbeitung zwischen Auftragsverarbeiter und Auftraggeber geregelt.

Was ist Auftragsverarbeitung und was nicht?

Bei der Auftragsverarbeitung wird der externe Dienstleister im Auftrag als „verlängerter Arm“ des Auftraggebers tätig und verarbeitet weisungsgebunden personenbezogene Daten von Dritten. Im Gegensatz dazu gibt es die Funktionsübertragung: Hier handelt der Auftragsverarbeiter nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht.

Was macht ein Auftragsverarbeiter?

Auftragsverarbeiter können verschiedene Tätigkeiten übernehmen, z.B. Buchhaltung, Callcenter-Services, virtuelle Assistenz oder Personalverwaltung. Sie können aber auch Anbieter von Marketing-Tools oder Software sein. In seiner Rolle als Auftragsverarbeiter handelt dieser stets weisungsgebunden: Er erhebt und verarbeitet im Auftrag fremde personenbezogene Daten, darf diese aber in keinem Fall für eigene Zwecke verwenden.

Was muss in den AV-Vertrag?

In jedem Fall gehören in einen AV-Vertrag die zuständigen Ansprechpartner, die Subdienstleister sowie konkrete technische und organisatorische Maßnahmen (TOMs), durch die der Schutz der Daten sichergestellt wird. Auch der Zweck der Datenverarbeitung und die verarbeiteten Datenkategorien müssen enthalten sein. 

Mehr lesen zu:

Thema Datenschutz"

Thema Tracking und Cookies"

Sophie Suske
Sophie Suske

Sophie Suske ist freie Texterin und unterstützt seit 2022 das eRecht24 Redaktionsteam. Komplexe Sachverhalte verständlich und für jeden zugänglich aufzubereiten, ist ihre Leidenschaft. Denn nicht erst seit ihrem Masterstudium der Kommunikationswissenschaften weiß Sophie Suske um die Bedeutung von klarer und zielführender Kommunikation.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Lisa
Benötigt eine Hausverwaltung eine AVV, wenn sie kleine Handwerksfirmen beauftragt für jedes unternehmen. Die Handwerksfirma erhält lediglich Name, Adresse und Telefonnummer um einen Termin abzusprechen.
1
Frank S.
Benötige ich einen AVV, wenn der AN (Eigenhosting) als pb Daten lediglich die E-Mail-Adresse für den Zugang zu einem Portal (demnach keine für jedermann zugängliche Webseite) verwendet?
Ich tendiere wg. der Einverantwortun g eher zu nein.

1
Michael K
Folgendes liefert ChatGPT als Antwort (wonach man auch nicht schlauer ist):

Wenn der Auftragsverarbe iter (AN), der in diesem Fall das Eigenhosting übernimmt, lediglich die E-Mail-Adresse für den Zugang zu einem Portal verwendet und keine weiteren personenbezogen en Daten verarbeitet, könnte es sein, dass kein Auftragsverarbe itungsvertrag (AVV) erforderlich ist. Dies hängt jedoch von den spezifischen Datenschutzgese tzen in Ihrem Land ab.

Ein AVV wird normalerweise dann benötigt, wenn der Auftragsverarbe iter im Auftrag des Verantwortliche n personenbezogen e Daten verarbeitet. Wenn der AN jedoch nur die E-Mail-Adresse verwendet, um den Zugang zu einem Portal zu ermöglichen, und keine weiteren personenbezogen en Daten verarbeitet, könnte argumentiert werden, dass keine Auftragsverarbe itung im Sinne der Datenschutzgese tze vorliegt.

1
Michael K
Wer erhebt denn die E-Mail-Adresse im Rahmen einer Einwilligung?
M. E. bleibt die Verantwortung wie auch für die Webseite selbst beim AG und der Fall ist im Grunde nicht anders gelagert, als bei der Zurverfügungstellu ng für einen Newsletter.

1
Mandy
Müssen wir als eingetragener Verein so einen Vertrag abschließen? Wir haben unsere Webseite bei Alfahosting gehostet und möchten nur für unseren Kleingartenvere in Öffentlichk eitsarbeit leisten, z.B. Termine für Feste und freie Gärten bekanntgeben, unser Vereinsheim vorstellen und dass es gemietet werden kann. Außerdem haben wir ein Wächterhaus (2existieren in ganz Deutschland), welches renovierungsbed ürftig ist und dafür auf Spendensuche sind (Spenden werden nicht über diese Webseite eingeholt). Beim Aufrufen der Seite muss niemand eine Mail oder einen Namen eingeben.
0
Kevin
Wie sieht es bei Online-Lernplattformen wie z.B. Udemy, die u.A. Werbung durch Affiliates betreiben.

Braucht man dort einen AV-Vertrag als deutscher Dozent, wenn man lediglich die Kurse verkauft?

0
Ina
Angeblich ist die letzte Bearbeitung heute am 02. November 2020 gewesen.Mich wundert es auch, dass dieser Artikel immer noch den Stand von vor 25. Mai 2018 hat. Wann wird dieser Artikel denn aktualisiert?
0
It´s us
Aufgrund der niedrigen Bewertung wurde der Kommentar ausgeblendet Anzeigen Es ist ja alles schön und gut und nach dem ich mir gefühlt 100 Seiten zu dem Thema Auftragsverarbe itungsvertrag durchgelesen habe, bleibt eine Frage auf allen Seiten ungeklärt!!Was mache ich mit den Veträgen? Muss ich diese auf der Webseite für die Besucher einsichtig machen oder sogar als PDF Download zur Verfügung stellen? Oder reicht es diese zu haben und auf das Vorhandensein in der Datenschutzerkl ärung hinzuweisen? Oder reicht es sogar nur auf die Auftragsverarbe itung hinzuweisen, sodass dem Besucher der Webseite unbekannt bleibt, ob ich den nötigen Vertrag abgeschlossen habe??
5
Tobias
Die hier genannten Informationen sind seit Inkrafttreten der DSGVO veraltet und es überrascht mich doch sehr, dass sich hier keiner um eine (korrekte) Aktualisierung bemüht.Kurzum: Einen ADV-Vertrag (ADV = Auftragsdatenve rarbeitung) gibt es nicht mehr. Seit der DSGVO wurde dieser gänzlich durch den sogenannten AVV (Auftragsverarb eitungsvertrag) ersetzt.
0
Matthias Muth
Hallo,ich habe Ihre Darstellungen mit großem Interesse gelesen. -die Abgrenzung Verantwortliche r - Auftragsdatenve rarbeiter ist immer wieder ein Thema. Kann ich auch heute noch den Aspekt der Funktionsübertragung anwenden?
3

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details