Suche
Close this search box.

Was ist ein Auftragsverarbeitungsvertrag (AVV oder AV-Vertrag)

Ein AVV ist ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter, der die Rechte und Pflichten beider Seiten festlegt, sowie die eventuell erforderlichen Subdienstleister. Der Auftragsverarbeiter ist nicht öffentlich sichtbar und darf die von Ihnen bereitgestellten personenbezogenen Daten weder für eigene Zwecke noch im eigenen Interesse verwenden (gemäß Art. 28 DSGVO). Das bedeutet, dass Ihr Unternehmen weisungsbefugt ist, aber trotzdem für den Schutz der Daten und deren Verarbeitung verantwortlich bleibt (gemäß Art. 29 DSGVO).

Im AVV werden dem Auftraggeber umfassende Kontrollrechte für die vereinbarten Vertragsinhalte (beziehungsweise: die von dem Dienstleister getroffenen Maßnahmen und Vorkehrungen) eingeräumt. Der Auftraggeber bleibt auch weiterhin für die personenbezogenen Daten, mit denen er in Kontakt kommt, verantwortlich, wenn er einen AVV abschließt.

Typische AVV, die für einen Webseitenbetreiber verpflichtend sind:

  • Hosting Provider (hat Zugriff auf Logfiles deines Servers)
  • CDN – Content Delivery Networks
  • Endpunkt-Firewall / Malware-Scanner (benötigen Zusatzinformationen zum effektiven Arbeiten)
  • Externe Analyse Tools
  • uvam.

Was sind die häufigsten Irrtümer im Zusammenhang mit Auftragsverarbeitungsverträgen?

Hier ist eine Liste von Irrtümern / Mythen in Bezug auf AV-Verträge:

  1. Keine Notwendigkeit eines AVV: Manche Unternehmen glauben, dass sie keinen AVV brauchen, wenn sie Daten an Dritte weitergeben. In Wirklichkeit ist ein AVV jedoch Pflicht gemäß der EU-Datenschutz-Grundverordnung (DS-GVO).
  2. Keine Überprüfung des Dienstleisters: Einige Unternehmen unterschreiben AVV, ohne die Dienstleister vorab gründlich zu überprüfen und ihre Fähigkeit zum Schutz von Daten sicherzustellen.
  3. Keine Klarstellung von Verantwortlichkeiten: Ein fehlendes Verständnis darüber, wer für den Schutz von Daten verantwortlich ist, kann zu Unklarheiten und Missverständnissen führen.
  4. Keine regelmäßigen Überprüfungen: Unternehmen sollten regelmäßig überprüfen, ob ihre AVV noch aktuell und angemessen sind und ob sie den aktuellen Anforderungen an den Datenschutz entsprechen.
  5. Keine Beachtung von Landesgesetzen: Es ist wichtig, die lokalen Gesetze und Vorschriften zum Datenschutz zu kennen und in AVV zu berücksichtigen, da diese von Land zu Land unterschiedlich sein können.
  6. Keine explizite Genehmigung von Datenübertragungen: Einige Unternehmen unterzeichnen AVV, ohne sicherzustellen, dass sie explizit die Genehmigung für die Übertragung von Daten an Dritte haben.
  7. Keine Regelung für die Beendigung des Vertragsverhältnisses: Es ist wichtig, Klarheit darüber zu schaffen, wie das Vertragsverhältnis beendet wird und wie Daten zurückgegeben werden, wenn es beendet wird.
  8. Keine ausreichenden technischen und organisatorischen Maßnahmen: Ein AVV sollte ausreichende technische und organisatorische Maßnahmen zum Schutz von Daten vorsehen. Unternehmen sollten sicherstellen, dass diese Maßnahmen angemessen und ausreichend sind.
  9. Keine regelmäßigen Überprüfungen von Sicherheitsvorfällen: Es ist wichtig, regelmäßig Sicherheitsvorfälle zu überprüfen und Maßnahmen zu ergreifen, um sicherzustellen, dass Daten geschützt sind.
  10. Keine Verpflichtung zur Meldung von Datenverletzungen: Es ist wichtig, dass ein AVV eine Verpflichtung zur Meldung von Datenverletzungen enthält, um sicherzustellen, dass Unternehmen schnell handeln können, wenn es zu einer Datenverletzung kommt.

Es gibt noch weitere Irrtümer denen man unterliegen kann. Am besten Du liest auch unseren Artikel über Auftragsverarbeitungsverträge.

Diesen Artikel teilen:

Diesen Artikel teilen