AV Vertrag nach Art. 28 DSGVO abschließen

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Ein AV Vertrag (AVV) ist oft nach DSGVO zwingend abzuschließen. Schon zu BDSG Zeiten war die Verarbeitung im Auftrag an ein Vertragswerk geknüpft, um eine Datenverarbeitung im Auftrag zu “legalisieren”. Neuerdings sind allerdings die Bußgelder für einen Verstoß gegen die Pflicht einen Auftragsdatenverarbeitungsvertrag zu schließen gestiegen. In diesem Artikel erfahren Sie:

  • Wann Sie einen AV-Vertrag nach Datenschutzgrundverordnung benötigen
  • Was die Inhalte eines Auftragsverarbeitungsvertrags sind
  • Wie Sie eine Anfrage an einen Dienstleister bzgl. AVV stellen
  • Wie Sie AV-Verträge von einigen großen Anbietern bekommen

Der AV-Vertrag im Kontext der DSGVO

Werden personenbezogene Daten (z.B. Anschrift, E-Mail Adresse usw.) von einem Dritten (also z.B. einem Dienstleister, wie Lohnabrechner, Hoster usw.) verarbeitet, dann spricht man von einer Auftragsverarbeitung (AV).

Sie können den Betroffenen (Ihre Kunden, Nutzer usw.) entweder explizit zustimmen lassen, dass Daten übertragen werden oder einen Vertrag mit Ihrem Dienstleister schließen, der ihn an bestimmte Grundsätze bindet. Ein sogenannter AV-Vertrag regelt dann, wie der Dienstleister mit den Daten umzugehen hat und wie die Rechte des Betroffenen berücksichtigt werden. 

AV-Verträge sind ein wichtiges Erfordernis der DSGVO.

Dieser Vertrag sollte vor der eigentlichen Verarbeitung geschlossen werden. Nehmen Sie den Prozess zur Anforderung eines AVV also unbedingt in Ihre zukünftige Lieferantenbewertung mit auf.

Die Inhalte eines AV-Vertrages

Die Datenschutz-Grundverordnung stellt in Art. 28 relativ klar fest, was in einem AV-Vertrag stehen muss:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der internen und externen Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
  • (geplante) Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Für die meisten Unternehmer kommt es nicht in Frage, einen eigenen Vertrag aufzusetzen. Vielmehr sollte ein dreistufiger Prozess gewählt werden, welcher im folgenden Abschnitt erklärt wird. Sollten Sie dennoch einen eigenen aufsetzen wollen, so können Sie die Vorlage des BayLDA benutzen oder eines unserer Vorlagenpakete erwerben.

Muster für eine AVV-Anfrage nach DSGVO

Schritt 1: Dokumentieren Sie alle Verarbeitungstätigkeiten

Damit Sie genau wissen, wo AV-Verträge notwendig werden, müssen Sie im ersten Schritt alle Dienstleister und alle Verarbeitungen erfassen. Gestalten Sie sich dafür am besten eine Liste, z.B. in Excel.

Schritt 2: Fordern Sie Ihre AV-Verträge an

Viele große Dienstleister, wie 1und1, Salesforce, Amazon Web Services usw. bieten über ihre Webportale bereits fertige AV-Verträge an. Geben Sie dazu einfach in die Suchmaschine Ihres Vertrauens die Suchanfrage “av Vertrag [Dienstleister]” ein. Weiter unten finden Sie eine Aufstellung von einigen großen Diensten und ihren Wegen.

Sollten Sie über eine Google Suche nicht fündig geworden sein, müssen Sie Ihre Auftragsverarbeiter direkt anschreiben.

Wir haben Ihnen für diesen Fall eine Mustervorlage verfasst, welche Sie einfach mit Ihren Daten versehen müssen. Schicken Sie die Mail an den Dienstleister und vermerken Sie das Datum des Sendens am besten in einer Liste.

Muster AV-Vertrag Anfrage

“Sehr geehrte Damen und Herren,

da Sie für die Firma [Ihr Firmenname] unter der Kundennummer [Kundennummer] im Auftrag Daten verarbeiten, möchten wir Sie höflich bitten uns eine Auftragsverarbeitungsvereinbarung (AV-Vereinbarung) nach Art. 28 DSGVO zukommen zu lassen.

Es sollten mindestens diese Bestandteile geklärt werden:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der internen und externen Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
  • (geplante) Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Sollten Sie uns dieses Vertragswerk nicht zukommen lassen können, werden wir eine eigene Vorlage senden. Bitte informieren Sie uns frühzeitig.

Mit freundlichen Grüßen”

Prüfen Sie den ggf. erhaltenen Vertrag unbedingt auf die o.g. gesetzlich vorgeschriebenen Punkte.

Web

Sollte der betreffende Dienstleister keinen eigenen AVV schicken können, bleibt Ihnen nur noch übrig, einen eigenen Vertrag zu schicken. Die Mustervertragsanlage vom bitkom bietet sich hier auch an.

Sollte er sich weigern, einen Vertrag zu unterschreiben, müssen Sie sie den Dienstleister wechseln und ihn dazu auffordern alle Ihre Daten löschen lassen.

Schritt 3: Dokumentieren Sie Ihr Vorgehen

Der wichtigste Schritt ist die Dokumentation. Gegenüber Behörden müssen sie ggf. nachweisen können, dass Sie entsprechende Verträge geschlossen haben. Heften Sie also alle Verträge gut auffindbar ab. Eine Dokumentation in Excel können Sie in unserem Excel-Tool vornehmen.

Einige große Anbieter und wie Sie einen AV Vertrag von Ihnen bekommen

Dieser Abschnitt soll für einige große Dienstleister zeigen, wie man an die AV-Verträge auf einfachstem Wege kommt. Jeder Dienst hat eine etwas andere Vorgehensweise, weswegen diese Auflistung nicht vollständig sein kann.

Google Analytics DSGVO-konform einsetzen mit DPA (AVV auf Englisch)

In Google Analytics muss ein sog. DPA abgeschlossen werden. Dies geht direkt in der Google Analytics Admin Area. Eine ausführliche Anleitung gibt es hier. 

Wie Sie Google Analytics rechtssicher verwenden erfahren Sie hier.

IONOS (früher 1und1) AV nach DSGVO

Die 1&1 IONOS SE bietet für Ihre Hosting und sonstigen Lösungen AV Verträge direkt zum Abruf an. Diese müssen nur unterschrieben und zurückgesendet werden.

Amazon Webservices (AWS) Standardvertragsklauseln

Bei AWS gibt es eine Besonderheit, da Daten in ein Drittland (nämlich hauptsächlich die USA) exportiert werden. Sie müssen sich hier einloggen und können dann eine sog. Standardvertragsklausel abschließen, welche noch über einen AV-Vertrag hinaus geht, aber genauso notwendig ist.

Google Apps for Work oder die G Suite

Wenn Sie die Google Services nutzen, exportieren Sie regelmäßig Daten in unsichere Drittstaaten (USA). Dann müssen EU-Modellvertragsklauseln ausgefüllt werden. Hier ist eine Anleitung, wie sie diese für die G Suite erhalten. Dafür müssen Sie sich in den Admin Bereich einloggen.

All-inkl.com AVV

Dieser Hoster bietet einen AV-Vertrag über seine Members Area an. Weitere Informationen erhalten Sie hier.

AVV für DATEV

Die DATEV bietet einen AV-Vertrag hier an.

Hetzner und AV-Verträge

Hetzner bietet eine einfach Maske an, über die ein AVV abgeschlossen werden kann.

Cloud Dienste und AV-Verträge

Cloud Dienste wie Dropbox u.ä. bieten meistens erst ab Business-Tarif Auftragsdatenverarbeitungsverträge an. Bei diesen Diensten müssen Sie sich wohl oder übel an deren Kundensupport wenden.

Auftragsdatenverarbeiter HostEurope

HostEurope bietet seinen Kunden einen fertigen AV-Vertrag als Download an. Dazu müssen Sie diesen unterschreiben und an die Host Europe GmbH zurück schicken.

DPA mit MeisterTask abschließen

Der AV-Vertrag mit Meistertask kann einfach über die Accounteinstellugnen vorgenommen werden, eine ausführliche Anleitung gibt es hier.

Dies waren nur einige exemplarische Auftragsdatenverarbeiter. Wie Sie sehen, sind die großen Unternehmen gut auf Ihre Anfragen vorbereitet.

Fazit

Es bleibt festzustellen, dass Sie nach DSGVO jede Verarbeitung im Auftrag gesetzlich regeln müssen. Bei großen Dienstleistern wird dies ohne große Schwierigkeiten möglich sein. Bei kleineren Anbietern oder Anbietern in den USA, kann sich die Anforderung als schwieriger erweisen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-28-dsgvo/

https://dsgvo-gesetz.de/art-4-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto