Ob Dienstleistungen von Callcentern, Lettershops oder Hosting-Anbietern: Werden personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, kann das auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen, siehe Art. 28 Abs. 3 Satz 1 DSGVO (Datenschutz-Grundverordnung). Ein Vertrag über eine Auftragsverarbeitung muss den Auftragsverarbeiter binden und mindestens die Gegenstände regeln, die Art. 28 Abs. 3 DSGVO im Einzelnen auflistet (siehe Kasten unten).
AVV auftraggeber- oder auftragnehmerfreundlich gestalten
DP+
Bild: Bild: iStock.com/Suphachai Panyacharoen
Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitung ist in der Praxis fest verankert. Für den Vertrag über eine Auftragsverarbeitung (AVV) gelten gesetzliche Vorgaben. In welchen Grenzen der AVV sich trotzdem auftraggeber- oder auftragnehmerfreundlich gestalten lässt, erfahren Sie in diesem Beitrag.
Vertrag über eine Auftragsverarbeitung – Mindestinhalt
Gesetzliche Vorgaben zum AVV
Der Mindestinhalt eines AVV ist in Art. 28 Abs. 3 Satz 1 und 2 DSGVO festgelegt. Diese Vorgaben lassen sich wie folgt strukturieren und zusammenfassen:
- Gegenstand und Dauer der Verarbeitung
- Umfang, Art und Zweck der Verarbeitung, Art der Daten und Kategorien der betroffenen Personen
- Pflichten und Rechte des Verantwortlichen und des Auftragsverarbeiters
- Weisungsgebundenheit des Auftragsverarbeiters, Dokumentation der Weisungen, Informationspflicht bei etwaig rechtswidrigen Weisungen
- Gewährleistung der Vertraulichkeit der Beschäftigten des Auftragsverarbeiters
- technische und organisatorische Maßnahmen nach Art. 32 DSGVO
- Möglichkeit von Unterauftragsverhältnissen (nur mit vorheriger Zustimmung)
- Unterstützung durch den Auftragsverarbeiter bei der Geltendmachung von Rechten der betroffenen Personen
- Mitteilungspflicht des Auftragsverarbeiters bei Datenschu…
Verfasst von
Dr. Markus Lang
Dr. Markus Lang ist Rechtsanwalt in Düsseldorf (Datenschutzrecht-Praxis) und berät Unternehmen zum Datenschutz- und IT-Recht.
