Definition und rechtliche Grundlage
Ein AV-Vertrag – auch Auftragsverarbeitungsvertrag genannt – ist ein Vertrag zwischen einem Verantwortlichen und einem Dienstleister, der personenbezogene Daten im Auftrag verarbeitet. Rechtsgrundlage ist Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Ohne einen solchen Vertrag dürfen personenbezogene Daten nicht rechtmäßig ausgelagert oder durch externe Dienstleister verarbeitet werden. Unternehmen, die beispielsweise Cloud-Dienste, IT-Dienstleister, Newsletter-Tools oder externe Callcenter einsetzen, benötigen zwingend einen AV-Vertrag.
Warum ist der AV-Vertrag wichtig?
Der AV-Vertrag stellt sicher, dass auch externe Partner die Vorgaben der DSGVO einhalten. Für Unternehmen bedeutet das:
- Rechtssicherheit: Die Verantwortlichkeit für die Datenverarbeitung bleibt nachvollziehbar.
- Haftungsbegrenzung: Klare Regelungen schützen vor Bußgeldern und Schadensersatzforderungen.
- Transparenz: Die Bedingungen der Datenverarbeitung sind dokumentiert und können bei Prüfungen vorgelegt werden.
Inhalt eines DSGVO-konformen AV-Vertrags
Ein vollständiger AV-Vertrag muss bestimmte Mindestinhalte enthalten. Dazu gehören:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Datenverarbeitung
- Kategorien betroffener Personen und Daten
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOM) des Dienstleisters
- Regelungen zu Unterauftragsverhältnissen
- Kontrollrechte des Auftraggebers
- Vorgehen bei Datenschutzverletzungen
Diese Punkte sorgen dafür, dass die Verarbeitung personenbezogener Daten auch durch Dritte jederzeit den Vorgaben der DSGVO entspricht.
Typische Anwendungsfälle in Unternehmen
Ein AV-Vertrag wird in vielen Unternehmensbereichen benötigt. Beispiele sind:
- Nutzung von Cloud-Speicherdiensten
- Versand von Newslettern über externe Tools
- Betrieb von Webseiten mit Hosting-Dienstleistern
- Outsourcing von Lohn- und Gehaltsabrechnungen
- IT-Support mit Zugriff auf Kundendaten
Sobald ein Dienstleister im Auftrag mit personenbezogenen Daten arbeitet, greift die Pflicht zur Erstellung eines AV-Vertrags.
Risiken bei fehlendem AV-Vertrag
Wird ein AV-Vertrag nicht abgeschlossen, obwohl er erforderlich ist, liegt ein Verstoß gegen die DSGVO vor. Dies kann zu empfindlichen Bußgeldern und erheblichen Reputationsschäden führen. Unternehmen sind deshalb gut beraten, ihre bestehenden Dienstleister regelmäßig zu überprüfen und sicherzustellen, dass alle relevanten Verträge vorliegen.
Unterstützung durch externe Experten
Gerade für kleine und mittelständische Unternehmen ist es oft herausfordernd, die rechtlichen Details korrekt umzusetzen. Ein externer Datenschutz-Dienstleister kann bei der Erstellung, Prüfung und Verwaltung von AV-Verträgen unterstützen und sicherstellen, dass die Anforderungen der DSGVO eingehalten werden.
