Wenn es im Unternehmensalltag um die Beauftragung neuer Dienstleister oder die Anschaffung neuer Software geht, fällt häufig der Begriff „AV-Vertrag“ oder „AV-Vereinbarung“. Handelt es sich um ausländische Dienstanbieter, ist meist von „Data Processing Addendum (DPA)“ die Rede. In diesem Artikel erfahren Sie, was ein AV-Vertrag ist, wann ein AV-Vertrag abgeschlossen werden muss und was die wichtigsten Inhalte sind.
Was ist ein AV-Vertrag?
Ein AV-Vertrag ist ein rechtliches Konstrukt, bei dem fingiert wird, dass personenbezogene Daten im eigenen Unternehmen verarbeitet werden, obwohl sie tatsächlich durch einen externen Dienstleister verarbeitet werden. Klingt kompliziert, ist aber gar nicht so schwer. Bedienen wir uns eines Beispiels: Ein Unternehmen hat nicht genug eigene Serverkapazitäten und trifft daher die Entscheidung, sämtliche Kundendaten wie Name und Anschrift sowie Telefonnummer und E-Mail-Adresse von Kunden in einer Cloud zu speichern. Nun ist zu bedenken, dass das exportierende Unternehmen nach der DSGVO für die Sicherheit der Datenverarbeitung und den Schutz der Grundrechte der dahinterstehenden Personen verantwortlich bleibt, auch wenn die Daten nun vom Cloudanbieter verarbeitet (hier: gespeichert) werden. Dies kann das Unternehmen jedoch nur garantieren, wenn klare Regelungen darüber bestehen, was der Cloudanbieter mit den Daten tun darf und was nicht. Und hier kommt der AV-Vertrag ins Spiel, der diese Regelungen dezidiert darlegt und somit für beide Seiten Klarheit schafft, wie mit den ausgelagerten Daten umzugehen ist. Kurz gesagt regelt ein AV-Vertrag also den Umgang mit personenbezogenen Daten in der Beziehung zwischen dem eigenen Unternehmen und einem Auftragsverarbeiter, der wie ein „verlängerter Arm“ des eigenen Unternehmens arbeitet.
Wann muss ein AV-Vertrag abgeschlossen werden?
Immer wenn personenbezogene Daten vom eigenen Unternehmen an einen Dienstleister zur Datenverarbeitung weitergegeben werden und dieser Dienstleister strikt an die Anweisungen des exportierenden Unternehmens gebunden ist, ist meist ein AV-Vertrag abzuschließen. Wichtig ist, dass der Dienstleister die Daten nicht zu eigenen Zwecken nutzt, sondern ausschließlich das mit den Daten tut, was der Auftraggeber von ihm will. Um im obigen Beispiel zu bleiben: Der Cloudanbieter erhält vom Auftraggeber die Anweisung: „Speichere meine Daten!“. Hierzu wird ein Rahmenvertrag zwischen Auftraggeber und Dienstleister abgeschlossen. Der Cloudanbieter darf also nichts anderes mit den Daten tun, als diese zu speichern. Er darf sie also bspw. keinesfalls ohne Aufforderung des Auftraggebers löschen oder zu Werbezwecken an ein anderes Unternehmen weiterleiten.
Welche Themen beinhaltet ein AV-Vertrag?
Ein guter AV-Vertrag regelt ausführlich die Verteilung der Rechte und Pflichten zwischen dem Auftraggeber und dem Dienstleister in Bezug auf die zu verarbeitenden Daten. Die Mindestinhalte eines AV-Vertrages sind in Art. 28 DSGVO geregelt und gelten für alle Unternehmen, die in der europäischen Union Ihre Waren und Dienstleistungen anbieten. Demnach muss ein AV-Vertrag u.a. klarstellen, welche personenbezogenen Daten verarbeitet werden und welche Kategorien von Personen hiervon betroffen sind. Es muss auch geregelt werden, zu welchem Zweck der Dienstleister die Daten verarbeitet und was genau er mit den Daten tun soll. Zudem muss eindeutig geregelt werden, dass der Dienstleister die Daten ausschließlich nach den Anweisungen des Auftraggebers verarbeiten darf. Da der Auftraggeber für die Daten verantwortlich bleibt, muss es ihm möglich sein, die Verarbeitung der Daten durch den Dienstleister in regelmäßigen Abständen zu kontrollieren, was ebenso im AV-Vertrag zu regeln ist. Die Datensicherheit garantiert der Dienstleister durch die Vorlage seiner technischen und organisatorischen Maßnahmen (TOM), die als Anlage jedem AV-Vertrag beizufügen sind. Falls der Dienstleister sich seinerseits weiterer Dienstleister bedient, um die Datenverarbeitung des Auftraggebers durchzuführen, sind diese weiteren Dienstleister dem Auftraggeber im AV-Vertrag mitzuteilen. Außerdem müssen die weiteren Dienstleister das gleiche Datenschutzniveau einhalten, das zwischen dem Auftraggeber und dem „ersten Dienstleister“ vereinbart ist. Wichtig ist auch, dass im AV-Vertrag geregelt wird, was nach Ende des Auftrags zur Datenverarbeitung mit den Daten passiert: Also Rückgabe der Daten an den Auftraggeber oder endgültige Löschung durch den Dienstleister.
Fazit
Wenn Sie Dienstleister einsetzen, um z.B. einen Newsletter zu versenden, um die Gehaltsabrechnungen Ihrer Mitarbeiter erstellen zu lassen oder um diverse Tools auf Ihrer Webseite einzusetzen, sollten Sie prüfen, ob ein AV-Vertrag abgeschlossen werden muss. Der AV-Vertrag ist von der „Gemeinsamen Verantwortlichkeit“ gem. Art. 26 DSGVO abzugrenzen. Außerdem sollten Sie bei Datentransfer in ein Drittland beachten, dass zusätzlich zum AV-Vertrag weitere Schutzmechanismen ergriffen werden müssen. Fragen Sie Ihren Datenschutzbeauftragten!
[…] von Ihrem Datenschutzbeauftragten auf Herz und Nieren überprüfen lassen. Hier auch unser Blogbeitrag zu diesem […]