Datenschutz: AV-Vertrag bzw. Auftragsdatenverarbeitung nach DSGVO, was ist das?

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Was ist ein AV-Vertrag bzw. Auftragsdatenverarbeitung nach der DSGVO bzw. BDSG und wann besteht eine Pflicht für einen AV-Vertrag und wann nicht? Mit dieser Frage beschäftigen sich nahezu alle Vereine und Unternehmen spätestens seit dem die DSGVO in Kraft trat, wir versuchen Ihnen das Thema in nachfolgendem Artikel zu erläutern und verweisen auf Muster sowie weitere Hilfen zur Bearbeitung insbesondere auf die Datenbank zu AV-Verträgen unter https://av-vertrag.org

Beachten Sie unsere Bußgeldtabelle zur DSGVO bzw. BDSG zu mehr als 90 spannenden Datenschutzfällen in Deutschland unter unseren kostenfreien Downloads.
Weiter unsere Bußgeldtabelle zur DSGVO zu mehr als 150 spannenden Datenschutzfällen im internationalen Raum ebenfalls als kostenfreier Download.

Schließlich finden wir die Datenbank https://av-vertrag.org mit über 1000 Diensten und AV-Verträgen sehr spannend. 

 

I. Grundlagen der Auftragsverarbeitung nach DSGVO bzw. BDSG

Die Auftragsverarbeitung ist ein Vertragsverhältnis zwischen einem datenschutzrechtlich Verantwortlichen und einem weisungsabhängigen, in der Regel externen Dienstleister, in dem sich der Dienstleister zur Verarbeitung personenbezogener Daten verpflichtet.

Die Auftragsverarbeitung ermöglicht eine Auslagerung von Datenverarbeitungsprozessen an externe Dienstleister. Diese üben eine Hilfstätigkeit aus und verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen. Aufgrund dessen ist die Auftragsverarbeitung von hoher praktischer Relevanz und sowohl in weiten Teilen der Privatwirtschaft als auch in der öffentlichen Verwaltung verbreitet.

1. Praktische Relevanz des AV-Vertrags bzw. der Auftragsverarbeitung

Die Anwendungsfelder der Auftragsverarbeitung sind vielfältig. Als typische Beispiele kommen in Betracht die Erledigung von Massenarbeiten (z.B. Versand von Informationsbroschüren, Beitragsrechnungen und generell Drucksachen) und die grundsätzliche Datenerfassung und Datenumsetzung. Damit ermöglicht die Auftragsverarbeitung das Outsourcen von Datenverarbeitungsprozessen, die innerhalb des eigenen Unternehmens aufgrund mangelnder Expertise oder Kapazitäten nur unter erheblichem Aufwand möglich wären, etwa die Verarbeitung über Kundendaten, die an ein Callcenter ausgelagert werden. Als weiteres klassisches Feld der Auftragsverarbeitung kommt zudem der Aufbau von Backup-Kapazitäten in Betracht, gleich ob mittels Cloud-Computing oder Serverkapazitäten. Im Bereich der Datenarchivierung und der Vernichtung von Datenträgern spielt die Auftragsverarbeitung ebenfalls eine Rolle. Auch beim Einsatz von „Google Analytics“ liegt ein Fall der Auftragsverarbeitung vor, bei dem die das Tool nutzende Website als Auftragsverarbeiter von Google fungiert.

Vorteile der Auftragsverarbeitung sind unter anderem Kosteneinsparungen, eine hohe Flexibilität durch die Unabhängigkeit von Personalengpässen und internen IT-Fragen und eine höhere Qualität durch den Einsatz von Unternehmen, die sich auf Datenverarbeitungsprozesse spezialisiert haben. Nachteile sind der damit verbundene Kontrollverlust des Verantwortlichen, der die Herrschaft über die Daten verliert und sich Haftungs- und Schadensrisiken aussetzt, wenn sich der Auftragsverarbeiter nicht an die gesetzlichen und vertraglichen Vorgaben hält.

Nichtsdestotrotz ermöglicht die Auftragsverarbeitung – nicht zuletzt wegen ihrer Privilegierung gegenüber der Datenweitergabe an einen anderen Verantwortlichen – ein attraktives Instrument zur Auslagerung von Datenverarbeitungsprozessen, dessen Risiken durch Vertrag und Gesetz auf ein angemessenes Niveau gesenkt werden können.

2. Rechtliche Regelung der Auftragsverarbeitung bzw. des AV-Vertrages nach DSGVO bzw. BDSG

Zentrale Vorschrift der Auftragsverarbeitung ist Art. 28 DSGVO. Das BDSG und die LDSG enthalten größtenteils keine Regelungen zur Auftragsverarbeitung mehr.

Die Datenverarbeitung ist gegenüber anderen Datenverarbeitungen privilegiert, als die Weitergabe der Daten an einen Auftragsverarbeiter ohne das Vorliegen eines Zulässigkeitstatbestands nach Art. 6 ff. DSGVO möglich ist. Ohne diese Privilegierung wäre die Auslagerung von Datenschutzprozessen erheblichen Rechtsunsicherheiten ausgeliefert. So käme als Erlaubnistatbestand die Einwilligung (Art. 6 I 1 lit. a DSGVO) in Betracht, jedoch mit der für den Verantwortlichen negativen Konsequenz, dass die Einwilligung jederzeit widerrufbar ist. Der Erlaubnistatbestand der Interessenabwägung (Art. 6 I 1 lit. f DSGVO) würde dagegen bedeuten, dass der Verantwortliche offenlegen und beweisen muss, warum er die Datenverarbeitungen nicht selbst vornimmt, sondern an einen Dritten auslagert. Demgegenüber ermöglicht die Auftragsverarbeitung die Auslagerung der Datenverarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Art. 28 I DSGVO definiert die Auftragsverarbeitung als die Verarbeitung personenbezogener Daten durch einen Dienstleister (sog. Auftragsverarbeiter) im Auftrag eines Verantwortlichen. Zentrale Konsequenz dieser Regelung ist, dass der Verantwortliche weiterhin für die Datenverarbeitung verantwortlich bleibt, d.h. er bestimmt über die Zwecke und Mittel der Datenverarbeitung und muss die Einhaltung der datenschutzrechtlichen Vorschriften sicherstellen (Art. 4 Nr. 7 DSGVO). Daran ändert sich durch die Einschaltung eines Auftragsverarbeiters nichts.

Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Zentrales Merkmal ist die Weisungsgebundenheit, die in Art. 29 DSGVO geregelt ist. Eine Auftragsverarbeitung liegt danach nur dann vor, wenn der Auftragsverarbeiter die Daten auf nach Anweisungen des Verantwortlichen verarbeitet. Fehlt es daran, ist der eingeschaltete Dienstleister selbst Verantwortliche iSd. Art. 4 Nr. 7 DSGVO und muss sich auf einen Erlaubnistatbestand nach Art. 6 ff. DSGVO berufen können, um die Datenverarbeitung zu legitimieren.

3. Wann liegt eine Auftragsverarbeitung nach der DSGVO vor?

Wann eine Auftragsverarbeitung vorliegt, kann aufgrund der Vielfältigkeit der möglichen Erscheinungsformen nicht pauschal beantwortet werden. Abzugrenzen ist die Auftragsverarbeitung insbesondere von der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen anderen Verantwortlichen. In beiden Fällen ist der jeweilige andere als Verantwortlicher der Datenverarbeitung anzusehen, sodass die Privilegierung der Auftragsverarbeitung fortfällt. Auch bedarf es dann einer separaten Rechtsgrundlage für die Verarbeitung, ein Vertrag, der wie der AV-Vertrag die Verarbeitung legitimiert, genügt nicht.

Ob eine Auftragsverarbeitung vorliegt, erfordert eine Gesamtbetrachtung aller Umstände des Einzelfalls, die insbesondere die Weisungsgebundenheit des Verarbeitenden in den Blick zu nehmen hat. Je stärker diese ausgeprägt ist, desto eher ist von einer Auftragsverarbeitung auszugehen. Je freier und ungebundener der Verarbeitende in der Gestaltung der Verarbeitung ist, also die Hoheit über die Daten übernimmt, desto eher ist er als eigener Verantwortlicher anzusehen.

Ausschlaggebend kann auch sein, ob der Verarbeitende die Daten selbst erhebt oder nur zur Verfügung gestellt bekommt, ob er im Außenverhältnis gegenüber den betroffenen Personen Entscheidungsbefugnisse hat oder ob er mit der Verarbeitung eigene Zwecke verfolgt. Wenn der Verantwortliche und der Verarbeitende gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, liegt eher eine gemeinsame Verantwortlichkeit als eine Auftragsverarbeitung vor.

In folgenden Bereichen liegt eine Auftragsverarbeitung in der Regel nicht vor. Stattdessen besteht eine eigene Verantwortlichkeit des eingesetzten Dienstleisters oder gemeinsame Verantwortlichkeit:

  • Berufsgeheimnisträger (z.B. Rechtsanwälte, Steuerberater, Ärzte)
  • Inkassobüros mit Forderungsübergang
  • Bankinstitute für den Geldtransfer
  • Postdienste für den Brieftransport
  • Gemeinsame Verwaltung von Daten für gleichlaufende Geschäftszwecke mehrerer verbundener Unternehmen

Ebenfalls nicht als Auftragsverarbeiter anzusehen sind Dienstleistungen, die zwar die Möglichkeit haben, in Datenbestände des Verantwortlichen einzusehen, dies jedoch nicht zur ihren Hauptleistungspflichten gehört. Es stellt sich um Nebenleistungen, bei denen kein AV-Vertrag erforderlich ist. Beispiele sind Sicherheitsdienste und Reinigungsunternehmen.

II. Der AV-Vertrag nach der DSGVO

Zentrale Voraussetzung für die Auftragsverarbeitung ist das Vorliegen eines Vertrages zur Auftragsverarbeitung (sog. AV-Vertrag). Dieser stellt die rechtliche Grundlage des Verhältnisses von Verantwortlichem zu Auftragsverarbeiter dar und konstituiert insbesondere die Weisungsrechte des Verantwortlichen. Die Vertragspartner können sowohl individuelle Regelungen treffen als auch auf Standardvertragsklauseln zurückgreifen, die von der Europäischen Kommission oder von den Aufsichtsbehörden zur Verfügung gestellt werden (vgl. Art. 28 VII, VIII DSGVO).

1. Zulässigkeit nach der DSGVO

Art. 28 DSGVO gilt grundsätzlich für alle Formen der Auftragsverarbeitung in allen Rechtsgebieten. Allerdings ist es den nationalen Gesetzgebern aufgrund von Öffnungsklauseln möglich, in bestimmten, besonders sensiblen Bereichen spezifischere Regelungen zu treffen, die Zulässigkeit des AV-Vertrags einschränken können. Relevant ist beispielsweise die Verarbeitung von Daten, die Verschwiegenheitspflichten unterliegen (vgl. § 203 StGB), so die Verarbeitung von Steuerdaten (§ 30 AO), Sozialdaten (§ 80 SGB X) oder Patientendaten. In allen anderen Bereichen ist der Abschluss eines AV-Vertrags grundsätzlich zulässig, wobei die auferlegten Pflichten je nach Art und Umfang der Daten und der Verarbeitungen in ihrer Schärfe variieren können.

2. Auswahl des Auftragsverarbeiters nach der DSGVO

Aus Art. 28 I DSGVO folgt, dass der Verantwortliche den Auftragsverarbeiter sorgfältig auswählen muss. Dieser muss Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Regelungen erfolgt. Maßgebende Kriterien sind somit insbesondere das Fachwissen und die Zuverlässigkeit des Auftragsverarbeiters.

Für den Verantwortlichen besteht darin ein gewisser Nachteil, denn in der Regel wird er sich einen externen Dienstleister als Auftragsverarbeiter suchen, wenn er nicht die Kapazitäten oder das Fachwissen hat, die Datenverarbeitungen durchzuführen. Es besteht somit ein Informationsgefällt zwischen dem Verantwortlichen und seinen potenziellen Vertragspartner.

Aufgrund dessen sieht Art. 28 V DSGVO eine gewisse Erleichterung für den Verantwortlichen vor, der sich bei der Auswahl des Auftragsverarbeiters auf genehmigte Verhaltensregeln (Art. 40 DSGVO) oder eines genehmigten Zertifizierungsverfahrens (Art. 42 DSGVO) durch einen Auftragsverarbeiter als entscheidenden Faktor der Auswahl verlassen kann.

3. Inhaltliche Anforderungen an den AV-Vertrag nach der DSGVO

Da der AV-Vertrag in gewissem Sinn die Rechtsgrundlage der Datenverarbeitung darstellt und damit quasi einen Erlaubnistatbestand iSd. Art. 6 ff. DSGVO bildet und diese ersetzt, ist sein Inhalt nicht der Vertragsfreiheit von Verantwortlichem und Auftragsverarbeiter ausgesetzt. Der AV-Vertrag soll die Rechtmäßigkeit der Datenverarbeitung durch den Auftragsverarbeiter sicherstellen, der dann keines weiteren Erlaubnistatbestands braucht.

Es bestehen strenge Anforderungen an die Wirksamkeit eines AV-Vertrages und damit an die Auftragsverarbeitung selbst. Konkretisiert sind diese Anforderungen insbesondere in Art. 28 III DSGVO. In einer Übersicht stellen sie sich wie folgt dar, der AV-Vertrag muss Regelungen bezüglich folgender Punkte machen:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Festlegung der Rechte und Pflichten des Auftragsverarbeiters, d.h. insbesondere Umfang des Weisungsrechts

Diese Punkte werden im Folgenden in Pflichten des Auftragsverarbeiters konkretisiert, wobei die Auflistung keinen abschließenden Charakter hat, wie aus dem Wort „insbesondere“ folgt:

  • Die Daten dürfen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden, sofern nicht anderweitige rechtliche Anforderungen bestehen.
  • Die zur Verarbeitung befugten Personen müssen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Der Auftragsverarbeiter muss die gem. Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung ergreifen (z.B. Pseudonymisierung und Verschlüsselung der Daten, die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung).
  • Bei Einschaltung eines Subunternehmers als weiteren Auftragsverarbeiters muss er die Anforderungen der Art. 28 II, IV DSGVO wahren.
  • Er muss den Verantwortlichen dabei unterstützen, seinen Verpflichtungen zur Wahrnehmung der Rechte betroffener Personen nachzukommen.
  • Er muss den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO unterstützen (insb. Meldung von Datenschutzverstößen an die Aufsichtsbehörde und die betroffene Person und Erstellen der Datenschutz-Folgenabschätzung).
  • Nach Abschluss der Auftragsverarbeitung muss er alle personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben.
  • Er muss dem Verantwortlichen alle Informationen zur Verfügung stellen, die ihm einen Nachweis der Einhaltung der Anforderungen des Art. 28 DSGVO ermöglichen, insbesondere müssen Inspektionen möglich sein.
  • Er muss den Verantwortlichen unverzüglich informieren, wenn er der Meinung ist, dass eine Weisung gegen datenschutzrechtliche Vorgaben verstößt.

Von Bedeutung ist also, dass der Verantwortliche als derjenige, der den Anforderungen der DSGVO genügen muss, die Datenverarbeitung durch den Auftragsverarbeiter in regelmäßigen Abständen kontrolliert. Durch die Einschaltung des externen Dienstleisters entledigt er sich gerade nicht aller Verpflichtungen, sondern trägt für deren Einhaltung im Außenverhältnis die Verantwortung. Als Kontrollmöglichkeiten kommen in Betracht Kontrollen vor Ort, die Einholung eines Sachverständigengutachtens oder eines Berichts des eigenen Datenschutzbeauftragten. Art und Umfang der Kontrollen lässt die DSGVO offen. Maßgebend sind der Umfang der Verarbeitung, das Gefährdungspotenzial der betroffenen Personen und sie Sensibilität der Daten.

Zentrales Merkmal des AV-Vertrags und damit auch der Auftragsverarbeitung selbst, ist die Weisungsgebundenheit des Auftragsverarbeiters gegenüber dem Verantwortlichen. Sie ist die Grundlage für die Pflichten, die der Auftragsverarbeiter zu erfüllen hat, und der Grund, weswegen der Verantwortliche trotz Weitergabe der Daten an einen Dritten weiterhin Verantwortlicher bleibt. Es besteht aufgrund des AV-Vertrags somit ein Innenverhältnis zwischen Auftragsverarbeiter und Verantwortlichem, das das Außenverhältnis nicht berührt. Dieses Innenverhältnis muss dafür sorgen, dass der Auftragsverarbeiter keinen Spielraum bezüglich des Zwecks der Datenverarbeitung hat. Wenn in einem konkreten Fall keine Weisung vorliegt, muss der Auftragsverarbeiter auf eine solche bestehen, da er sich sonst zum eigenen Verantwortlichen aufschwingt.

Über diese Mindestinhalte hinaus, kann der AV-Vertrag weitere Regelungen treffen, die im Verhältnis von Verantwortlichem und Auftragsverarbeiter von Bedeutung sind. Möglich sind Vereinbarungen über Vertragsstrafen, Möglichkeiten der Kündigung und den Gerichtsstand. Zurückbehaltungsrechte hinsichtlich der Daten sind auszuschließen, da sie dem Weisungsrecht entgegenlaufen.

4. Einsatz von Subunternehmern nach der DSGVO

Der Auftragsverarbeiter ist zwar grundsätzlich berechtigt, zur Vertragserfüllung im Verhältnis zum Verantwortlichen Subunternehmer als eigene Auftragsverarbeiter einzusetzen. Dies steht jedoch unter dem Vorbehalt der vorherigen schriftlichen Genehmigung des Verantwortlichen (Art. 28 II DSGVO). Liegt eine solche Genehmigung vor, muss der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung des Subunternehmers informieren. Der Verantwortliche hat dann die Möglichkeit, Einspruch gegen derartige Maßnahmen zu erheben. Damit der Auftragsverarbeiter seine eigenen Vertragspflichten nicht verletzt, muss sein Vertrag mit dem Subunternehmer den gleichen Inhalt haben wie sein Vertrag mit dem Verantwortlichen.

5. Auftragsverarbeitung mit Dienstleistern im Ausland nach der DSGVO

Besonderes Augenmerk bedarf die Auftragsverarbeitung mit Dienstleistern im Ausland.

Ohne Probleme möglich ist die Einschaltung von Auftragsverarbeitern aus anderen Mitgliedstaaten der EU oder des Europäischen Wirtschaftsraums (EWR). Bei diesen Staaten handelt es sich nicht um Drittländer, sodass die Einhaltung der allgemeinen Anforderungen an die Auftragsverarbeitung genügt.

Sollen die Daten hingegen an einen Auftragsverarbeiter in ein Drittland übermittelt werden, ist dies gem. Art. 44 DSGVO nur unter den zusätzlichen Voraussetzungen der Art. 44 ff. DSGVO möglich. Dabei kommt es insbesondere darauf an , dass das Drittland ein der DSGVO vergleichbares Schutzniveau für die betroffene Person aufweist.

6. Vertragsverstöße nach der DSGVO

Verstößt der Auftragsverarbeiter gegen den AV-Vertrag, indem er Weisungen des Verantwortlichen in rechtswidriger Weise überschreitet, gilt er gem. Art. 28 X DSGVO in Bezug auf diese Verarbeitung selbst als Verantwortlicher. Die Folge ist, dass diese Verarbeitung nicht mehr dem eigentlich Verantwortlichen zugerechnet werden kann und dass der Verarbeitende nun selbst als Haftungssubjekt im Außenverhältnis in Betracht kommt.

Liegt schon gar kein AV-Vertrag vor oder genügt dieser nicht den Anforderungen des Art. 28 DSGVO, liegt ein Verstoß gegen die DSGVO vor, der gem. Art. 83, 84 DSGVO bußgeldbewehrt ist und mit weiteren Sanktionen geahndet werden kann. Die Höhe beträgt dabei gem. Art. 83 Abs. 6 DSGVO bis zu 20. Mio. Euro oder bis zu 4 % des jährlichen Gesamtumsatzes, falls es sich bei dem Verantwortlichen um ein Unternehmen handelt. Daneben kommen Schadensersatz- und Unterlassungsansprüche der betroffenen Person gegen den Verantwortlichen in Betracht (Art. 82 DSGVO).

Darüber hinaus kann die betroffene Person den Auftragsverarbeiter nach Art. 82 I DSGVO auch den Auftragsverarbeiter in Anspruch nehmen.

7. Änderungen bei der Auftragsverarbeitung durch die DSGVO

Die DSGVO hat die unter der alten Rechtslage bestehende alleinige Verantwortlichkeit des Verantwortlichen im Fall der Auftragsverarbeitung auf die Schultern von Verantwortlichem und Auftragsverarbeiter aufgeteilt. So muss der Auftragsverarbeiter mittels hinreichender Garantien Gewähr dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Vorgaben der DSGO eingehalten werden (Art. 28 I DSGVO). Nach außen haftbar bleibt jedoch weiterhin nur der Verantwortlichen, wobei auch der Auftragsverarbeiter gem. Art. 28 X, 82 I DSGVO gegenüber der betroffenen Person als Anspruchsgegner in Betracht kommt.

Neu ist zudem, dass der Auftragsverarbeiter Subunternehmer nicht ohne schriftliche vorherige Genehmigung des Verantwortlichen einsetzen darf und der Verantwortliche bei vorliegender Genehmigung gegen Änderungen Einspruch einlegen kann (Art. 28 II DSGVO).

Zudem besteht keine Pflicht mehr, AV-Verträge schriftlich abzuschließen. Nach Art. 28 IX DSGVO genügt nunmehr die elektronische Form. Dafür genügt jedes dauerhaft der Wiedergabe fähige, elektronische Dokument.

8. Anpassung alter AV-Verträge an die Vorgaben der DSGVO

AV-Verträge, die vor Inkrafttreten der DSGVO geschlossen worden sind, genießen keinen Bestandsschutz. Insofern ist eine Anpassung an die Vorgaben der DSGVO erforderlich. Der Anpassungsbedarf ist jedoch gering und erschöpft sich hauptsächlich in der Änderung von Begrifflichkeiten („Auftragsverarbeitung“ statt „Auftragsdatenverarbeitung“) und Verweisen auf das alte Recht soweit keine Änderungen der Dienste bzw. Dienstleister in dem jeweiligen Unternehmen oder Verein erfolgt ist, in Bezug auf den Datenschutz gilt der PDCA-Zyklus (plan, do, check, act) nach dem regelmäßig der Datenschutz eines Unternehmens oder Vereins insbesondere die technisch organisatorischen Maßnahmen (TOMs) weche Teil eines AV-Vertrages sind auf deren Aktualität hin zu überprüfen und anzupassen sind.

9. Muster zum AV-Vertrag bzw. Auftragsverarbeitung nach DSGVO bzw. BDSG

Im Folgenden finden sich Verlinkungen zu einigen Mustern zu AV-Verträgen:

https://www.lda.bayern.de/media/formulierungshilfe_av.pdf

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Muster_Auftragsverarbeitung.html

https://datenschutz.hessen.de/infothek/hinweise-und-muster-zur-ds-gvo

III. Alternativen zum AV-Vertrag beispielsweise Auftragsverarbeitung durch Rechtsverordnung

Nach Art. 28 III 1 DSGVO kann eine Auftragsverarbeitung auch dann wirksam vereinbart werden, wenn zwar kein Vertrag vorliegt, dafür aber ein „anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“. In Betracht kommen beispielsweise Rechtsverordnungen.

IV. Bußgeldtabelle zu Rechtsverstößen zur DSGVO

Beachte unsere Bußgeldtabelle zur DSGVO bzw. BDSG zu mehr als 90 spannenden Datenschutzfällen in Deutschland unter unseren kostenfreien Downloads. 

Weiter unsere Bußgeldtabelle zur DSGVO zu mehr als 150 spannenden Datenschutzfällen im internationalen Raum ebenfalls als kostenfreier Download.

Schließlich finden wir die Datenbank https://av-vertrag.org mit über 1000 Diensten und AV-Verträgen sehr spannend.

 

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Vorbeugende Unterlassungserklärungen wirksamer Schutz?

Kann die Abgabe einer vorbeugenden Unterlassungserklärung ein wirksamer Schutz vor Folgeabmahnungen sein?... Weiterlesen

Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz.... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay... Weiterlesen

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung ... Weiterlesen

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator... Weiterlesen