Die Datenschutz-Grundverordnung (DSGVO) hat zu einigen Änderungen im Umgang mit personenbezogenen Daten geführt. Ein wichtiger Bestandteil dieser Verordnung ist der Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Artikel 28 DSGVO. In diesem Artikel beantworten wir einige häufig gestellte Fragen zum AV-Vertrag.
Was ist ein AV-Vertrag?
Der AV-Vertrag ersetzt den bisherigen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) nach dem deutschen Bundesdatenschutzgesetz (BDSG). Durch die DSGVO sollen die Datenschutzstandards für Verbraucher erhöht werden. Ein AV-Vertrag wird zwischen einem Unternehmen (Auftraggeber) und einem externen Dienstleister (Auftragnehmer) abgeschlossen, um die Verarbeitung personenbezogener Daten zu regeln. Der Auftragnehmer agiert als verlängerter Arm des Auftraggebers und darf die Daten nur für den vereinbarten Zweck verwenden.
In welchen Situationen wird ein AV-Vertrag benötigt?
Ein AV-Vertrag wird abgeschlossen, wenn ein externer Dienstleister Zugriff auf personenbezogene Daten eines Unternehmens erhält. Dies kann zum Beispiel der Fall sein, wenn ein Unternehmen ein E-Mail-Marketing-Unternehmen beauftragt oder Cloud-Computing-Dienste in Anspruch nimmt. Der AV-Vertrag regelt die Rechte und Pflichten beider Parteien in Bezug auf die Datenverarbeitung.
Was beinhaltet ein Auftragsverarbeitungsvertrag?
Ein AV-Vertrag definiert verschiedene Elemente der Datenverarbeitung, darunter den Vertragsgegenstand, die Art der personenbezogenen Daten, den Zweck der Verarbeitung, die Dauer der Datenspeicherung, die Weisungsbefugnisse des Auftraggebers, die Rechte und Pflichten beider Parteien, die Löschung der Daten und die technischen und organisatorischen Maßnahmen zur Datensicherheit.
Welche Pflichten haben Auftragsverarbeiter?
Die Auftragsverarbeiter haben verschiedene Pflichten gemäß der DSGVO. Dazu gehören die Verarbeitung der Daten gemäß den vertraglichen Weisungen, die Wahrung der Vertraulichkeit, die Unterstützung des Auftraggebers bei der Einhaltung der Datenschutzvorgaben, die Ergreifung von Maßnahmen zur Datensicherheit, die Meldung von Datenschutzverletzungen und die Durchführung einer Datenschutz-Folgenabschätzung.
Welche Strafen drohen bei fehlendem Auftragsverarbeitungsvertrag?
Ein Verstoß gegen die Bestimmungen zum AV-Vertrag kann zu Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes führen. Bei schweren Verstößen können die Strafen sogar bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes betragen. Zudem können betroffene Personen Schadensersatzansprüche geltend machen.
Wie funktioniert die Auftragsdatenverarbeitung nach DSGVO?
Der AV-Vertrag muss vor Beginn der Datenverarbeitung abgeschlossen werden. Der Auftraggeber ist verpflichtet, regelmäßige Kontrollen durchzuführen, um sicherzustellen, dass der Auftragnehmer die datenschutzrechtlichen Vorgaben einhält. Diese Kontrollen können vor Ort, schriftlich oder durch einen Sachverständigenbericht erfolgen. Alle Kontrollen müssen dokumentiert werden.
Fazit
Ein AV-Vertrag regelt die Verarbeitung personenbezogener Daten durch externe Dienstleister. Er ist notwendig, um den Datenschutz gemäß der DSGVO zu gewährleisten. Sowohl Auftraggeber als auch Auftragnehmer haben verschiedene Pflichten im Rahmen der Datenverarbeitung. Bei Verstößen drohen hohe Geldstrafen und Schadensersatzansprüche. Es ist wichtig, die Datenschutzvorgaben einzuhalten und einen AV-Vertrag abzuschließen, wenn dies erforderlich ist.
