ADV-VerträgeLesezeit: 3 Min

Was Unternehmen bei der Beauftragung von Dienstleistern beachten müssen

Die Verarbeitung von personenbezogenen Daten erfordert einen gut funktionierenden Datenschutz. Dazu gehört auch, dass Verantwortliche im Datenschutz die Verarbeitung von personenbezogenen Daten im Auftrag im Blick behalten.

Unternehmen, die Dienstleister für die Verarbeitung personenbezogener Daten beauftragen, müssen sicherstellen, dass diese Auftragsverarbeitung im Einklang mit den Vorgaben der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) erfolgt.

In diesem Artikel klären wir, welche Pflichten Unternehmen bei der Beauftragung von Dienstleistern haben und welche Bedeutung Auftragsverarbeitungsverträge innehaben.

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?

Was ist Auftragsverarbeitung im Datenschutz?

Die Auftragsverarbeitung bezeichnet die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag eines Verantwortlichen. Dies ist besonders relevant, wenn Unternehmen externe Dienstleister hinzuziehen, um bestimmte Geschäftsprozesse effizienter zu gestalten. Beispiele hierfür sind Cloud-Dienste, IT-Support oder Marketing-Agenturen.

Wichtig ist dabei: Auch bei der Auftragsverarbeitung bleibt die Verantwortung für den Schutz der Daten beim Auftraggeber, also beim Verantwortlichen des Unternehmens. Der Dienstleister handelt lediglich nach den Weisungen des Verantwortlichen und erhebt, verarbeitet oder nutzt die Daten ausschließlich im Rahmen des erteilten Auftrags.

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE

Was Unternehmen bei der Beauftragung von Dienstleistern beachten müssen

Bevor ein Unternehmen einen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, sind folgende Schritte wesentlich:

  • Auswahl des Dienstleisters: Unternehmen müssen sicherstellen, dass der Dienstleister geeignete technische und organisatorische Maßnahmen (TOM) implementiert hat, um den Schutz der verarbeiteten Daten zu gewährleisten. Neben der Sicherheitsüberprüfung sollte auch die Fachkompetenz des Dienstleisters geprüft werden.
  • Auftragsverarbeitungsvertrag (AV-Vertrag): Vor Beginn der Datenverarbeitung muss ein rechtskonformer AV-Vertrag geschlossen werden, der die Pflichten und Verantwortung beider Parteien regelt.
  • Kontrolle und Auditierung: Regelmäßige Überprüfungen: Unternehmen sind verpflichtet, regelmäßig zu prüfen, ob der Dienstleister die im AV-Vertrag festgelegten Maßnahmen einhält.
  • Dokumentation: Alle Maßnahmen sollten sorgfältig dokumentiert werden, um im Falle einer Überprüfung durch die Aufsichtsbehörde alle Vorkehrungen nachweisen zu können.

Was ist ein AV-Vertrag im Datenschutz?

Ein Auftragsverarbeitungsvertrag ist ein verbindliches Dokument, das die Rechte und Pflichten sowohl des Auftraggebers als auch des Auftragnehmers regelt. Der Abschluss eines AV-Vertrags ist gemäß Art. 28 der Datenschutz-Grundverordnung (DS-GVO) zwingend erforderlich, wenn personenbezogene Daten durch einen Dienstleister verarbeitet werden.

Inhalt und Bedeutung von Auftragsverarbeitungsverträgen

Ein Auftragsverarbeitungsvertrag hat einen zentralen Stellenwert in der Zusammenarbeit zwischen Unternehmen und Dienstleistern. Er stellt sicher, dass beide Parteien ihre Pflichten verstanden haben und einhalten. Ein umfassender AV-Vertrag sollte mindestens folgende Bestandteile umfassen:

  • Gegenstand und Dauer der Verarbeitung
  • Beschreibung der Verarbeitungstätigkeiten und Zwecke der Verarbeitung
  • Rechte und Pflichten des Auftraggebers (u.a. Weisungsrecht des Auftraggebers und Pflicht auf Informationen des Auftragnehmers)
  • Verpflichtungen des Auftragnehmers (z.B. Vertraulichkeit, technische und organisatorische Maßnahmen)
  • Genehmigungspflicht bei Unterauftragsverhältnissen
  • Löschung und Rückgabe der Daten

BLOG-TIPP: DATENSCHUTZ: WAS BEDEUTET DIE ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN IN EIN DRITTLAND?

Warum sind AV-Verträge wichtig?

AV-Verträge sind nicht nur ein rechtliches Erfordernis, sondern essenziell für den Schutz personenbezogener Daten. Sie gewährleisten, dass der Dienstleister ebenso hohe Datenschutzstandards einhält wie das beauftragende Unternehmen selbst.

Ein fehlender AV-Vertrag kann schwerwiegende rechtliche Konsequenzen nach sich ziehen, einschließlich hoher Bußgelder gemäß der DS-GVO.

Durch die Einhaltung dieser Anforderungen und die sorgfältige Gestaltung des Auftragsverarbeitungsvertrags schaffen Unternehmen eine solide Basis für datenrechtliche Sicherheit und Transparenz.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Bewerten Sie diesen Beitrag
2 Bewertungen
Auftragsverarbeitung: Pflichten und Verträge
Anfrage