AV Vertrag nach Art. 28 DSGVO abschließen

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Ein AV Vertrag (AVV) ist oft nach DSGVO zwingend abzuschließen. Schon zu BDSG Zeiten war die Verarbeitung im Auftrag an ein Vertragswerk geknüpft, um eine Datenverarbeitung im Auftrag zu “legalisieren”. Neuerdings sind allerdings die Bußgelder für einen Verstoß gegen die Pflicht einen Auftragsdatenverarbeitungsvertrag zu schließen gestiegen. In diesem Artikel erfahren Sie:

  • Wann Sie einen AV-Vertrag nach Datenschutzgrundverordnung benötigen
  • Was die Inhalte eines Auftragsverarbeitungsvertrags sind
  • Wie Sie eine Anfrage an einen Dienstleister bzgl. AVV stellen
  • Wie Sie AV-Verträge von einigen großen Anbietern bekommen

Der AV-Vertrag im Kontext der DSGVO

Werden personenbezogene Daten (z.B. Anschrift, E-Mail Adresse usw.) von einem Dritten (also z.B. einem Dienstleister, wie Lohnabrechner, Hoster usw.) verarbeitet, dann spricht man von einer Auftragsverarbeitung (AV).

Sie können den Betroffenen (Ihre Kunden, Nutzer usw.) entweder explizit zustimmen lassen, dass Daten übertragen werden oder einen Vertrag mit Ihrem Dienstleister schließen, der ihn an bestimmte Grundsätze bindet. Ein sogenannter AV-Vertrag regelt dann, wie der Dienstleister mit den Daten umzugehen hat und wie die Rechte des Betroffenen berücksichtigt werden. 

AV-Verträge sind ein wichtiges Erfordernis der DSGVO.

Dieser Vertrag sollte vor der eigentlichen Verarbeitung geschlossen werden. Nehmen Sie den Prozess zur Anforderung eines AVV also unbedingt in Ihre zukünftige Lieferantenbewertung mit auf.

Die Inhalte eines AV-Vertrages

Die Datenschutz-Grundverordnung stellt in Art. 28 relativ klar fest, was in einem AV-Vertrag stehen muss:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der internen und externen Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
  • (geplante) Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Für die meisten Unternehmer kommt es nicht in Frage, einen eigenen Vertrag aufzusetzen. Vielmehr sollte ein dreistufiger Prozess gewählt werden, welcher im folgenden Abschnitt erklärt wird. Sollten Sie dennoch einen eigenen aufsetzen wollen, so können Sie die Vorlage des BayLDA benutzen oder eines unserer Vorlagenpakete erwerben.

Muster für eine AVV-Anfrage nach DSGVO

Schritt 1: Dokumentieren Sie alle Verarbeitungstätigkeiten

Damit Sie genau wissen, wo AV-Verträge notwendig werden, müssen Sie im ersten Schritt alle Dienstleister und alle Verarbeitungen erfassen. Gestalten Sie sich dafür am besten eine Liste, z.B. in Excel.

Schritt 2: Fordern Sie Ihre AV-Verträge an

Viele große Dienstleister, wie 1und1, Salesforce, Amazon Web Services usw. bieten über ihre Webportale bereits fertige AV-Verträge an. Geben Sie dazu einfach in die Suchmaschine Ihres Vertrauens die Suchanfrage “adv Vertrag [Dienstleister]” ein. Weiter unten finden Sie eine Aufstellung von einigen großen Diensten und ihren Wegen.

Sollten Sie über eine Google Suche nicht fündig geworden sein, müssen Sie Ihre Auftragsverarbeiter direkt anschreiben.

Wir haben Ihnen für diesen Fall eine Mustervorlage verfasst, welche Sie einfach mit Ihren Daten versehen müssen. Schicken Sie die Mail an den Dienstleister und vermerken Sie das Datum des Sendens am besten in einer Liste.

Muster AV-Vertrag Anfrage

“Sehr geehrte Damen und Herren,

da Sie für die Firma [Ihr Firmenname] unter der Kundennummer [Kundennummer] im Auftrag Daten verarbeiten, möchten wir Sie höflich bitten uns eine Auftragsverarbeitungsvereinbarung (AV-Vereinbarung) nach Art. 28 DSGVO zukommen zu lassen.

Es sollten mindestens diese Bestandteile geklärt werden:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der internen und externen Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
  • (geplante) Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Sollten Sie uns dieses Vertragswerk nicht zukommen lassen können, werden wir eine eigene Vorlage senden. Bitte informieren Sie uns frühzeitig.

Mit freundlichen Grüßen”

Prüfen Sie den ggf. erhaltenen Vertrag unbedingt auf die o.g. gesetzlich vorgeschriebenen Punkte.

Web

Sollte der betreffende Dienstleister keinen eigenen AVV schicken können, bleibt Ihnen nur noch übrig, einen eigenen Vertrag zu schicken. Die Mustervertragsanlage vom bitkom bietet sich hier auch an.

Sollte er sich weigern, einen Vertrag zu unterschreiben, müssen Sie sie den Dienstleister wechseln und ihn dazu auffordern alle Ihre Daten löschen lassen.

Schritt 3: Dokumentieren Sie Ihr Vorgehen

Der wichtigste Schritt ist die Dokumentation. Gegenüber Behörden müssen sie ggf. nachweisen können, dass Sie entsprechende Verträge geschlossen haben. Heften Sie also alle Verträge gut auffindbar ab. Eine Dokumentation in Excel können Sie in unserem Excel-Tool vornehmen.

Einige große Anbieter und wie Sie einen AV Vertrag von Ihnen bekommen

Dieser Abschnitt soll für einige große Dienstleister zeigen, wie man an die AV-Verträge auf einfachstem Wege kommt. Jeder Dienst hat eine etwas andere Vorgehensweise, weswegen diese Auflistung nicht vollständig sein kann.

Google Analytics DSGVO-konform einsetzen mit DPA (AVV auf Englisch)

In Google Analytics muss ein sog. DPA abgeschlossen werden. Dies geht direkt in der Google Analytics Admin Area. Eine ausführliche Anleitung gibt es hier. 

Wie Sie Google Analytics rechtssicher verwenden erfahren Sie hier.

IONOS (früher 1und1) AV nach DSGVO

Die 1&1 IONOS SE bietet für Ihre Hosting und sonstigen Lösungen AV Verträge direkt zum Abruf an. Diese müssen nur unterschrieben und zurückgesendet werden.

Amazon Webservices (AWS) Standardvertragsklauseln

Bei AWS gibt es eine Besonderheit, da Daten in ein Drittland (nämlich hauptsächlich die USA) exportiert werden. Sie müssen sich hier einloggen und können dann eine sog. Standardvertragsklausel abschließen, welche noch über einen AV-Vertrag hinaus geht, aber genauso notwendig ist.

Google Apps for Work oder die G Suite

Wenn Sie die Google Services nutzen, exportieren Sie regelmäßig Daten in unsichere Drittstaaten (USA). Dann müssen EU-Modellvertragsklauseln ausgefüllt werden. Hier ist eine Anleitung, wie sie diese für die G Suite erhalten. Dafür müssen Sie sich in den Admin Bereich einloggen.

All-inkl.com AVV

Dieser Hoster bietet einen AV-Vertrag über seine Members Area an. Weitere Informationen erhalten Sie hier.

AVV für DATEV

Die DATEV bietet einen AV-Vertrag hier an.

Hetzner und AV-Verträge

Hetzner bietet eine einfach Maske an, über die ein AVV abgeschlossen werden kann.

Cloud Dienste und AV-Verträge

Cloud Dienste wie Dropbox u.ä. bieten meistens erst ab Business-Tarif Auftragsdatenverarbeitungsverträge an. Bei diesen Diensten müssen Sie sich wohl oder übel an deren Kundensupport wenden.

Auftragsdatenverarbeiter HostEurope

HostEurope bietet seinen Kunden einen fertigen AV-Vertrag als Download an. Dazu müssen Sie diesen unterschreiben und an die Host Europe GmbH zurück schicken.

DPA mit MeisterTask abschließen

Der AV-Vertrag mit Meistertask kann einfach über die Accounteinstellugnen vorgenommen werden, eine ausführliche Anleitung gibt es hier.

Dies waren nur einige exemplarische Auftragsdatenverarbeiter. Wie Sie sehen, sind die großen Unternehmen gut auf Ihre Anfragen vorbereitet.

Fazit

Es bleibt festzustellen, dass Sie nach DSGVO jede Verarbeitung im Auftrag gesetzlich regeln müssen. Bei großen Dienstleistern wird dies ohne große Schwierigkeiten möglich sein. Bei kleineren Anbietern oder Anbietern in den USA, kann sich die Anforderung als schwieriger erweisen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-28-dsgvo/

https://dsgvo-gesetz.de/art-4-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/