AV-Verträge: gesetzlich vorgeschrieben aber viel zu oft vernachlässigt…

Viele Unternehmen sind sich über ihre datenschutzrechtlichen und vertraglichen Verpflichtungen beim Einsatz von externen Dienstleistern immer noch nicht bewusst. Oft werden die gesetzlich vorgeschriebenen AV-Verträge nicht abgeschlossen. Häufig kommt es vor, dass Dienstleister sich selbst nicht darüber im Klaren sind, dass ihr eigenes Kerngeschäft eine Auftragsverarbeitung darstellt.

Doch was ist Auftragsverarbeitung und worauf ist bei der Beauftragung von Dienstleistern zu achten?

Auftragsverarbeitung kann in verschiedenen Formen stattfinden. Als Auftragsverarbeiter übernehmen Dienstleister eine wichtige Rolle bei der Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen. Um dieser Aufgabe gerecht zu werden, müssen sie bestimmte Charakteristiken aufweisen uns es besteht die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) zwischen Unternehmen und Dienstleister.

Typische Auftragsverarbeitungen sind z.B.:

  • IT-Dienstleistungen, Systemwartung, IT-Service und Support.
  • Computing-Dienste
  • Zahlungsabwicklungen
  • Call-Center-Services
  • Buchhaltungsdienstleistungen
  • Video-Dienstleister
  • Medienagenturen / Webhoster
  • uvm.

Pflicht zum AV-Vertrag:
Eine zentrale Charakteristik von Dienstleistern als Auftragsverarbeiter ist ihre Verpflichtung, die personenbezogenen Daten ausschließlich gemäß den Anweisungen des Verantwortlichen zu verarbeiten. Sie dürfen die Daten nicht für eigene Zwecke nutzen oder an Dritte weitergeben, es sei denn, dies ist im AV-Vertrag oder aufgrund rechtlicher Bestimmungen ausdrücklich gestattet.

Im Hinblick auf die Pflichten zum Abschluss eines AV-Vertrags müssen Dienstleister nach Art. 28 DSGVO einen schriftlichen Vertrag mit dem Verantwortlichen abschließen. Dieser Vertrag sollte bestimmte Elemente enthalten, wie den Zweck und die Dauer der Datenverarbeitung, die Art der verarbeiteten Daten, die Rechte und Pflichten der Parteien sowie die Sicherheitsmaßnahmen. Der AV-Vertrag sollte unbedingt von einem Datenschutzbeauftragten vor Abschluss geprüft werden.

Schutzmaßnahmen:
Des Weiteren sind Dienstleister verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten. Dazu gehören beispielsweise die Implementierung von Zugangskontrollen, die Verschlüsselung sensibler Informationen und regelmäßige Sicherheitsüberprüfungen. Diese Maßnahmen sollten vom Auftraggeber vor Beauftragung geprüft werden.

Fazit:
Unternehmen sind also in der Pflicht mit Dienstleistern, welche personenbezogene Daten in ihrem Auftrag verarbeiten, einen entsprechenden AV-Vertrag abzuschließen. Dieser AV-Vertrag sollte stets auf Inhalte und aktuelle Anforderungen und auf die vom Dienstleister zugesicherten technischen und organisatorischen Maßnahmen zum Schutz der Daten von einem Datenschutzbeauftragten geprüft werden.

Sie haben Fragen zum Thema Auftragsverarbeitung oder sind sich nicht sicher, ob das Thema auch Sie betrifft? Wenden Sie sich gerne an uns!