Zur Übersicht Pflichten

Auftragsverarbeitungsvertrag (AVV): Wann und was muss rein?

Art. 28 DSGVO

Wenn ein Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich (Art. 28 Abs. 3 DSGVO).

Wann brauchen Sie einen AVV?

Immer wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Typische Fälle: Cloud-Hosting, E-Mail-Provider, Newsletter-Dienst, externe Lohnabrechnung, IT-Wartung mit Datenzugriff, Callcenter, Aktenvernichtung.

KEIN AVV bei: Berufsgeheimnisägern (Steuerberater, Anwälte), Inkassounternehmen mit Forderungsübertragung, Banken, Post. Rein technische Wartung (Strom, Kühlung) ohne Datenzugriff ist ebenfalls keine Auftragsverarbeitung.

Acht Mindestinhalte (Art. 28 Abs. 3 lit. a-h)

Der AVV muss schriftlich oder elektronisch vorliegen und mindestens regeln:

  1. Weisungsgebundenheit (lit. a): Verarbeitung nur auf dokumentierte Weisung
  2. Vertraulichkeit (lit. b): Verpflichtung der zugangsberechtigten Personen zur Vertraulichkeit
  3. Sicherheitsmassnahmen (lit. c): Geeignete TOM nach Art. 32 DSGVO
  4. Unterauftragsverarbeiter (lit. d): Vorherige Genehmigung; gleiche Pflichten weitergeben
  5. Unterstützung bei Betroffenenrechten (lit. e): Hilfe bei der Erfüllung von Auskunfts-, Berichtigungs- und Löschungsansprüchen
  6. Unterstützung bei Sicherheitspflichten (lit. f): Hilfe bei Datenpannenmeldung, DSFA, vorheriger Konsultation
  7. Löschung/Rückgabe (lit. g): Nach Ende der Auftragsverarbeitung alle Daten löschen oder zurückgeben
  8. Nachweise und Inspektionen (lit. h): Dem Verantwortlichen Audits und Inspektionen ermöglichen

Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern erfordert die vorherige schriftliche Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO). Bei allgemeiner Genehmigung: Information über Änderungen mit Einspruchsmöglichkeit. Der Erstauftragsverarbeiter haftet für seine Unterauftragsverarbeiter (Art. 28 Abs. 4 DSGVO).

Vorabprüfung

Der Verantwortliche muss vor Beauftragung prüfen, ob der Auftragsverarbeiter hinreichende Garantien für geeignete TOM bietet (Art. 28 Abs. 1 DSGVO). Zertifizierungen und Verhaltensregeln können als Indikatoren dienen.

Bußgelder

Verstöße gegen Art. 28: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO).

Quellen

Art. 28, Art. 29, Art. 83 Abs. 4 DSGVOEG 81DSK-Kurzpapier Nr. 13

Verwandte Fragen

Rechtsgrundlagen

Wann liegt eine Auftragsverarbeitung vor und wann eine eigene Verantwortlichkeit?

 Pflichten

Was ist bei der Nutzung von Cloud-Diensten datenschutzrechtlich zu beachten?

 Spezialthemen

Datenschutz bei Cloud-Diensten