Auftragsdatenverarbeitung (ADV) – DSGVO-konforme Verträge vom Profi

Jul 30, 2019 | Allgemein

Auftragsdatenverarbeitung ist ein Begriff, den jeder Unternehmer kennen sollte. Bis zum 25. Mai 2018 war in § 11 des Bundesdatenschutzgesetzes (BDSG) geregelt, wie mit dieser Verarbeitung vorzugehen ist. Seit der Einführung der EU-Datenschutz-Grundverordnung nennt sich diese stattdessen Auftragsverarbeitung und findet sich in Art. 28 DSGVO.

Aber was genau bedeutet Auftragsdatenverarbeitung und was müssen Sie für Ihr Unternehmen beachten?

 

Grundsätze der Auftragsdatenverarbeitung

Sobald eine Firma personenbezogene Daten seiner Patienten oder Kunden durch einen Dienstleister erhebt, nutzt oder verarbeitet, muss ein AVV geschlossen werden – ein sogenannter Auftragsverarbeitungsvertrag (früher nach Bundesdatenschutzgesetz „Auftragsdatenverarbeitungsvertrag“). Dieser muss vom Unternehmen selbst aufgesetzt werden.

Besteht kein solcher Vertrag, können Sie Bußgelder von bis zu 20 Millionen Euro erwarten. Dementsprechend pflichtbewusst sollten Sie mit personenbezogenen Daten und deren Weitergabe umgehen.

Personenbezogene Daten können sein:

  • Name
  • Anschrift
  • Geburtsdatum
  • Telefonnummer
  • E-Mail-Adresse
  • etc.

Beispiele für Szenarien, bei denen ein AVV notwendig wird:

  • Ihr Unternehmen nutzt Tracking-Dienste wie beispielsweise Google Analytics.
  • Ein externes Unternehmen wird mit der Buchhaltung beauftragt.

Hier ist die Lage eindeutig – Daten werden an eine dritte Partei weitergegeben. Dementsprechend muss ein Vertrag geschlossen werden. Aber auch indirektere Szenarien bedürfen eines AVVs. Das betrifft besonders solche Situationen, in denen Dritte die Möglichkeit haben, Zugriff auf Daten zu erlangen. Es ist dabei unwichtig, ob sie diesen wahrnehmen. Beispiele hierfür sind:

  • Sie beauftragen einen Dienstleister, neue Software auf Ihren Firmen-PCs zu installieren.
  • Sie beauftragen einen Dienstleister, bestehende Firmen-Software zu warten.

Es ist also wichtig, zu prüfen, ob das Potential besteht, dass Daten von dritten Parteien eingesehen werden könnten. Sobald dies der Fall ist, muss ein AVV aufgesetzt werden.

 

Was beinhaltet ein Auftragsverarbeitungsvertrag?

Ebenfalls in Art. 28 DSGVO wird geregelt, was in einem AVV enthalten sein muss. Unter anderem müssen Sie folgende Dinge festhalten:

  • die Dauer des Vertrags
  • den Gegenstand des Vertrags
  • welche Form von Daten verarbeitet wird
  • wer betroffen ist
  • in welchem Umfang Daten erhoben, genutzt oder verarbeitet werden
  • zu welchem Zweck Daten erhoben, genutzt oder verarbeitet werden
  • dass Daten gelöscht, berichtigt oder gesperrt werden können
  • etc.

Hinweis: Im Internet finden sich einige Muster, die Sie für Ihre eigenen AVV verwenden können. Auf der vollkommen sicheren Seite sind Sie jedoch nur, wenn Sie sich professionell beraten lassen.

 

PRIOLAN als Ihr externer Datenschutzbeauftragter

Das Aufsetzen eines Auftragsverarbeitungsvertrags sollte juristisch korrekt geschehen. Wir von PRIOLAN helfen Ihnen dabei, einen rechtssicheren AVV aufzusetzen, um Sie vor Bußgeldern zu schützen

PRIOLAN agiert deutschlandweit und besucht Sie vor Ort in Ihrem Unternehmen. Wenn Sie an einer Zusammenarbeit interessiert sind, erreichen Sie uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Senden Sie uns noch heute eine Anfrage!

Referenzen:

Wissenswertes