In unserem Artikel: „Der Auftragsverarbeitungsvertrag (AVV) – ist der echt so wichtig?“ haben Sie erfahren, in welchen Fällen ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss. In diesem Beitrag möchten wir Ihnen ein wenig Klarheit darüber verschaffen, was ein AVV beinhalten muss und wer für den Inhalt verantwortlich ist.
Die Rahmenbedingungen sind gesetzlich vorgeschrieben
Der Artikel 28 DSGVO ist die gesetzliche Grundlage für die Auftragsverarbeitung. Darin ist festgelegt, dass der AVV zwingend schriftlich und vor der ersten Verarbeitung geschlossen werden muss. Wir möchten an dieser Stelle betonen, dass es nicht den einen allgemeingültigen AVV gibt. Der konkrete Inhalt ist abhängig von der Branche des Auftraggebers und den Tätigkeiten des Auftragsverarbeiters. Das Gesetz regelt lediglich das Grundgerüst, das durch individuelle Aspekte ergänzt wird. Folgendes ist grundsätzlich in einem AVV zu regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Technische und organisatorische Maßnahmen (TOM)
- die Pflichten und Rechte des Verantwortlichen
Zu den Pflichten und Rechten des Auftragsverarbeiters gehören unter anderem Kontrollpflichten, Vertraulichkeitsvereinbarungen, Rechte zur Beauftragung von Subunternehmern sowie Datenrückübertragungs- und Löschverfahren.
Durch den AVV stellt der Auftraggeber sicher, dass der Auftragsverarbeiter (Auftragnehmer) seinen vertraglichen Verpflichtungen nachkommt und die personenbezogenen Daten nur so verarbeitet werden, wie es von ihm vorgesehen ist – sofern dies im Einklang mit der DSGVO ist. Stellt der Auftragsverarbeiter allerdings einen Verstoß gegen DSGVO-Richtlinien fest, muss er seinen Auftraggeber darüber informieren und die Verarbeitung ggf. unterlassen – der Auftragsverarbeiter ist selbst für sein Handeln verantwortlich.
Der Auftraggeber sollte federführend bei der Vertragserstellung sein
Da der Auftraggeber den Auftragsverarbeiter verpflichtet und dieser weisungsgebunden handelt, ist es grundsätzlich üblich, dass der AVV vom Auftraggeber erstellt wird. Hat allerdings ein Auftragsverarbeiter wie zum Beispiel ein IT-Dienstleister viele verschiedene Auftraggeber, ist es durchaus möglich, dass der Auftragsverarbeiter einen Vorschlag für einen AVV macht. Für ihn ist es nämlich am sinnvollsten mit allen Auftraggebern eine gleiche oder zumindest ähnliche Vereinbarung zu schließen.
Unabhängig davon, wer den AVV erstellt: Es sind sowohl der Auftraggeber als auch der Auftragsverarbeiter für den Inhalt verantwortlich. Beide Parteien unterschreiben diesen Vertrag und sind dadurch verpflichtet, diesen zu erfüllen. Deshalb ist es für beide Vertragsparteien wichtig, den Inhalt der Verträge genau zu kennen und ggf. eine Anpassung zu erbitten – auch wenn Sie der Auftragsverarbeiter sind und Ihr Auftraggeber sagt, dass es sich um einen „Standardvertrag“ handelt.
AVVs sollten von einem Experten geprüft werden
Die Auftragsverarbeitungsverträge sind komplexe Verträge. Wenn der Datenschutz nicht Ihr Kernthema ist, kann es zuweilen recht schwierig sein, zu erkennen, ob der Vertrag alle gesetzlichen Anforderungen erfüllt oder ob für Sie nachteilige Regelungen darin enthalten sind. Außerdem kann eventuell nicht bewertet werden, ob die zur Verfügung gestellten Informationen ausreichen, um die erforderlichen TOMs zu bewerten und umzusetzen. Wir empfehlen Ihnen daher, Ihre AVVs von HUBIT Datenschutz überprüfen zu lassen. Unser Team verfügt über langjährige Erfahrung und ist auf die Erstellung und Überprüfung von AVVs spezialisiert. Vereinbaren Sie am besten gleich heute einen Kennenlerntermin.