CompliantDesk

DSGVO für den Mittelstand

Auftragsverarbeitungsvertrag (AVV)

DSGVOArt. 28 DSGVO

Sobald ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag. Art. 28 DSGVO schreibt feste Pflichtinhalte vor und macht beide Seiten verantwortlich.

Worum geht es?

Ein Auftragsverarbeitungsvertrag ist immer dann nötig, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden für Sie verarbeitet - etwa Cloud-Anbieter, IT-Dienstleister, Newsletter-Tools oder Lohnbüros. Art. 28 DSGVO verlangt einen schriftlichen oder elektronischen Vertrag mit klar definierten Pflichtinhalten. Der Auftragsverarbeiter darf weitere Subdienstleister nur mit Genehmigung einsetzen, und die gesamte Verarbeitungskette bleibt nachweispflichtig. Eine Verarbeitung innerhalb der EU, etwa auf Servern in Frankfurt oder Deutschland, vermeidet zusätzliche Anforderungen für Drittlandtransfers und vereinfacht den AVV deutlich.

Das müssen Sie konkret tun

  • Schriftlicher oder elektronischer Vertrag mit Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
  • Verpflichtung zur Vertraulichkeit und zu geeigneten TOM nach Art. 32 DSGVO
  • Genehmigungspflicht und Weiterreichung der Pflichten an Subdienstleister
  • Unterstützung bei Betroffenenrechten, Datenpannen und Nachweispflichten
  • Löschung oder Rückgabe der Daten nach Ende der Leistung

So setzen Sie es mit CompliantDesk um

  • Alle Auftragsverarbeiter im Lieferanten-Modul erfassen und je Anbieter den AVV als Nachweis hinterlegen
  • Subdienstleister-Ketten und Verarbeitungsorte dokumentieren und auf EU-Verarbeitung prüfen
  • AVV-Status und Verlängerungsfristen über das Kalender-Modul im Blick behalten
  • Auftragsverarbeiter direkt mit den betroffenen Einträgen im VVT-Modul verknüpfen
  • TOM-Anlagen der Dienstleister gesammelt im Dokumente-Modul ablegen

Typische Fehler

Dienstleister einsetzen, ohne überhaupt einen AVV abzuschließen
Subdienstleister im Vertrag und im Verzeichnis übersehen
Daten in Drittländer übertragen lassen, ohne die Transfergrundlage zu prüfen
AVV einmal unterschreiben und auf Aktualität nie wieder kontrollieren

Häufig gestellte Fragen

Wann brauche ich einen Auftragsverarbeitungsvertrag?

Immer dann, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden in Ihrem Auftrag verarbeitet - zum Beispiel Cloud-, Hosting- oder IT-Dienstleister, Newsletter-Tools oder externe Lohnabrechnung.

Was ist der Vorteil einer Verarbeitung in der EU?

Werden die Daten ausschließlich innerhalb der EU verarbeitet, etwa auf Servern in Frankfurt oder Deutschland, entfallen die zusätzlichen Anforderungen an Drittlandtransfers nach Art. 44 ff. DSGVO. Das vereinfacht den AVV und reduziert das Risiko.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen