Datenschutz und DSGVO: Der AV-Vertrags-Generator die bessere Alternative zu Mustern und Vorlagen?

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Personenbezogene Daten im Auftrag verarbeiten? Unter Umständen ist zuvor ein AV-Vertrag nach der DSGVO zu schließen!

Ein Auftragsverarbeitungsvertrag (AV-Vertrag oder auch ADV-Vertrag bzw. AVV), ist ein Vertrag zwischen Auftraggeber und Auftragnehmer, der die Verarbeitung personenbezogener Daten regelt. Der AV-Vertrag ist nach der Datenschutz-Grundverordnung (DS-GVO) notwendig, wenn insbesondere ein Unternehmen im Auftrag eines anderen Unternehmens personenbezogene Daten zum Zwecke der jeweiligen Auftragserfüllung verarbeitet. Dem Konstrukt des AV-Vertrages liegt zugrunde, dass der Auftraggeber für den Schutz personenbezogener Daten verantwortlich bleibt und sich dieser Verantwortung nicht durch Einbeziehung eines Auftragnehmers entziehen können soll. Der Auftraggeber muss unverändert die Sicherheit der personenbezogenen Daten garantieren können. Der AV-Vertrag dient dazu, sicherzustellen, dass die Auftragsdatenverarbeitung den datenschutzrechtlichen Anforderungen entspricht und insbesondere DS-GVO konform erfolgt. Der Auftragsverarbeiter ist grundsätzlich weisungsgebunden und darf nur innerhalb des vertraglich festgelegten Zwecks Daten verarbeiten. Fehlt es an einem erforderlichen AV-Vertrag oder ist ein solcher unzureichend, drohen sowohl dem Auftraggeber als auch dem Auftragnehmer Bußgelder sowie ggf. die Geltendmachung von Schadensersatzansprüchen. Die Vertragsparteien haften gemäß Art. 83 DS-GVO gesamtschuldnerisch. Eine Geldbuße kann gemäß Art. 83 Abs. 5 DS-GVO bis zu 4 % des Jahresumsatzes betragen.

Wann liegt eine Auftragsverarbeitung im Sinne der DS-GVO vor?

Die Rechtsgrundlage des AV-Vertrags findet sich in Art.28 DS-GVO. Gemäß Art.28 Abs.3 DS-GVO setzt die Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrages.

Gemäß Art.4 Nr.8 DS-GVO ist „Auftragsverarbeiter“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

„Verantwortlicher“ in diesem Sinne ist gemäß Art. 4 Nr.7 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Gemäß Art. 4 Nr.1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar gilt eine natürliche Person, wenn sie direkt oder indirekt (insbesondere mittels Zuordnung zu einer Kennung wie beispielsweise einem Namen oder auch zu Standortdaten) identifiziert werden kann. Personenbezogene Daten sind daher beispielsweise:

  • Name und Geburtsdatum bzw. Alter
  • Familienstand
  • Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse etc.)
  • Soweit diese einen Personenbezug aufweisen auch dienstliche Kontaktdaten
  • Kraftfahrzeugnummer oder Kfz-Kennzeichen
  • Personalausweis- und Sozialversicherungsdaten (insbesondere Ausweis- und Versicherungsnummer)
  • Bankverbindungsdaten
  • Genetische Daten und Gesundheitsdaten

Schließlich können personenbezogene Daten in Foto- oder Videoaufnahmen enthalten sein, da auch das aufgezeichnete Bild die Identifikation der betroffenen Person ermöglichen kann.

Im Ergebnis ist eine Auftragsverarbeitung beispielsweise in den folgenden Fällen anzunehmen:

  • Outsourcing personenbezogener Datenverarbeitung beim Cloud-Computing; Speicherung personenbezogener Daten in einer Cloud
  • Übertragung der Löschung personenbezogener Daten an einen Dienstleister
  • Call-Center, welches ohne wesentliche eigene Entscheidungsspielräume Kundendaten verarbeitet oder Kontaktdaten erhebt
  • Einscannen von Dokumenten, Datenerfassung oder Datenkonvertierung durch den Auftragsnehmer
  • Finanzbuchhaltung durch Rechenzentren bzw. Lohn- und Gehaltsabrechnungen, soweit dies nicht durch freiberufliche Steuerberater erfolgt)
  • Digitalisierung des schriftlichen Posteingangs
  • „Lettershop“ (Werbeadressenpflege, Werbepostversand)
  • Outsourcing von IT-Wartung, soweit der Dienstleister Zugriff auf die IT-Infrastruktur des Auftragsgebers erhält
  • Outsourcing von Archivierungen und Backup-Sicherungsspeicherungen
  • „Shared Services“ (Zentralisierung von Dienstleistungen wie bspw. Planung von Dienstreisen und Reisekostenabrechnungen innerhalb eines Konzerns
  • Apothekenrechenzentren im Sinne des § 300 SGB V
  • Sicherheitsdienste soweit diese Besucher- oder Anlieferdaten erheben
  • Ablesung, Erfassung oder Verarbeitung von Messwerten in Mietwohnungen durch externe Dienstleister
  • Visabeschaffungsdienstleister
  • Ärztliche Verrechnungsstellen

Was muss ein Auftragsverarbeitungsvertrag mindestens enthalten?

Gemäß Art. 28 DS-GVO hat ein AV-Vertrag mindestens die folgenden Angaben zu enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Kategorisierung der zu verarbeitenden personenbezogenen Daten
  • Kategorisierung der betroffenen Personen
  • Rechte und Pflichten des Verantwortlichen
  • Pflichten des Auftragsverarbeiters
    • Dokumentierte Weisung als Voraussetzung für Verarbeitungsvorgänge
    • Verpflichtung zur Vertraulichkeit
    • Technische und organisatorische Maßnahmen, die zum Schutz der Verarbeitung zu ergreifen sind
    • Bedingungen für die etwaige Einbindung eines Subunternehmers
    • Rückgabe oder Löschung der Daten bei Beendigung des Auftragsverhältnisses
    • Bereitstellung benötigter Informationen, bspw. zu Überprüfungen

Kann man einen Auftragsverarbeitungsvertrag einfach generieren?

Ja, die Erstellung eines AV-Vertrages ist mittels des Generators von der Datenschutzplattform www.datenbuddy.de möglich. Dieser Generator ist aus einem anwaltlich geprüften Muster entstanden, er ist online abrufbar und leicht im Antwort-Frage-Spiel zu bedienen. Der AV-Vertrag entsteht direkt vor den Augen des Nutzers, während er die Formularfelder im Generator ausfüllt. Am Ende kann der Nutzer seinen fertigen AV-Vertrag (nach Art. 28 DSGVO) herunterladen und nach Unterzeichnung von Auftraggeber und Auftragnehmer mit der Auftragsdatenverarbeitung beginnen. In diesem Beitrag wird weiter über die Verwendung des Generators vor Verarbeitung von personenbezogenen Daten informiert und außerdem die Vorteile gegenüber einem Mustervertrag bzw. gegenüber Vorlagen als Vertragsmuster bei der Erstellung des Auftragsverarbeitungsvertrag hervorgehoben.

Welche Vorteile hat der AV-Vertrag-Generator gegenüber Mustern und Vorlagen bei der Auftragsverarbeitung?

Der AV-Vertrags-Generator bietet eine Reihe von Vorteilen gegenüber Mustern und Vorlagen für Auftragsverarbeiter und Verantwortliche:

Erstens ist der AV-Generator digital nutzbar. Im Gegensatz zum Muster oder Vorlage, die nur bestimmte standardisierte Klauseln enthalten, kann der AV-Vertrag durch den Generator individuell an die Bedürfnisse des Unternehmens angepasst werden.

Zweitens spart der AV-Generator Zeit und Kosten. Mit dem Generator kann ein AV-Vertrag in wenigen Minuten im Frage-Antwort-Spiel erstellt werden, während es bei der Verwendung von Mustern und Vorlagen deutlich länger dauern kann, die richtigen Klauseln zu finden und anzupassen.

Drittens, und vielleicht am wichtigsten, sorgt der Generator dafür, dass der AV-Vertrag der Regelung der DSGVO entspricht, wenn und soweit sich der Dienstleister in Bezug auf die technisch-organisatorischen Maßnahmen und auch im Übrigen an die geltenden Datenschutzgesetze gehalten und die Angaben im Generator richtig eingegeben hat. Der Generator erstellt dann automatisch die erforderlichen Klauseln, welche sich aus den Eingaben, die den Dienstleister und Verantwortlichen betreffen, ergeben.

Abschließend lässt sich sagen, dass der AV-Vertrags-Generator eine schnelle, einfache und sichere Möglichkeit bietet, einen rechtlich einwandfreien AV-Vertrag zu erstellen, der an die Bedürfnisse des Unternehmens angepasst werden kann. Es ist eine gute Wahl für Unternehmen, die einen schnellen, kosteneffizienten und DSGVO-konformen AV-Vertrag benötigen.

Auftragsverarbeitungsverträge mit Generator entsprechend der DSGVO erstellen?

Der AV-Vertrags-Generator ist leicht zu bedienen und erfordert relativ wenige Kenntnisse oder Fähigkeiten. Nachfolgend finden Sie eine Schritt-für-Schritt-Anleitung zur Verwendung des Generators:

  1. Rufen Sie die Website des Generators unter https://datenbuddy.de/av-vertrag-generator auf und klicken Sie auf den Button "Generator starten".
  2. Füllen Sie die Formularfelder aus, die im Generator angezeigt werden. Diese Felder umfassen Informationen über den Auftraggeber, den Auftragnehmer, die Art der verarbeiteten Daten und die Dauer des Vertrags.
  3. Überprüfen Sie die vorab generierte Vorschau des AV-Vertrags, stellen Sie sicher, dass alle Angaben korrekt und datenschutzkonform erfolgt sind und machen nehmen Sie ggf. die erforderlichen Anpassungen vor.
  4. Klicken Sie auf den Button "Download", um die individuelle Version des AV-Vertrages als Word- und/oder PDF-Datei herunterzuladen.
  5. Nach Unterzeichnung des Vertrages durch die Vertragsparteien speichern Sie ihn an einem sicheren Ort.

Es gilt zu beachten, dass der Generator bei Erstellung des AV-Vertrags u.a. nach Art. 28 Abs. 1 DSGVO i.V.m. Art. 32 Abs. 1 DSGVO die erforderlichen Klauseln je nach Ihren Eingaben berücksichtigt.

Einige Formularfelder sind daher zwingend auszufüllen. Hierzu gehören insbesondere:

  • Vertragspartner (Name, Anschrift, Kontaktdaten)
  • Art der verarbeiteten Daten
  • Zweck der Datenverarbeitung
  • Dauer des Vertrags
  • Pflichten des Auftragnehmers
  • Technische und organisatorische Maßnahmen
  • Regelmäßige Überprüfungen und Audits
  • Regelmäßige Berichterstattung und Dokumentation

Es ist wichtig, dass die Angaben im AV-Vertrag korrekt, datenschutzkonform und vollständig sind, um sicherzustellen, dass der AV-Vertrag fehlerfrei ist. Wir empfehlen, den generierten AV-Vertrag anschließend prüfen zu lassen. Dies sollte ein Rechtsanwalt oder Datenschutzbeauftragter durchführen, um eventuelle Fehler (u.a. bei der Bedienung des Generators) auszuschließen. Es wird ausdrücklich darauf hingewiesen, dass der Anbieter (datenbuddy.de) keine Haftung für die Richtigkeit und/oder Vollständigkeit des generierten Vertrages übernimmt.

Fazit zum AV-Vertrag-Generator bei Erstellung von Auftragsverarbeitungsverträgen

In diesem Beitrag haben wir über die Verwendung des AV-Vertrags-Generators informiert und die Vorteile gegenüber Mustern und Vorlagen hervorgehoben. Der Generator bietet eine schnelle, einfache und schnelle Möglichkeit, ADV-Verträge nach der DSGVO zu erstellen, die an die Bedürfnisse von Auftraggebern bzw. Auftragnehmern individuell angepasst werden.

Der Generator hilft im Antwort-Frage-Spiel die Individualisierung des DS-GVO-konformen Auftragsverarbeitungsvertrages vorzunehmen. Dies spart in der Regel Zeit sowie Kosten und sorgt dafür, dass der generierte AV-Vertrag den Anforderungen der DSGVO entspricht. Mit seiner Hilfe kann ein AV-Vertrag in wenigen Minuten erstellt werden.

Es ist wichtig, dass die Angaben im AV-Vertrag korrekt, datenschutzkonform und vollständig sind, um sicherzustellen, dass der AV-Vertrag den Anforderungen der DSGVO entsprechen kann. Wir empfehlen, den Generator auszuprobieren und uns ihr Feedback per E-Mail an kanzlei@aid24.de nach Erstellung mitzuteilen.

Die Nutzung von AV-Verträgen ist ein wichtiger Schritt, um sicherzustellen, dass das Unternehmen die Mindestanforderungen der Datenschutzgrundverordnung der EU und die Regelungen des Bundesdatenschutzgesetzes einhält sowie die Rechte der betroffenen Kunden des Auftraggebers schützt, insbesondere durch die passenden technischen und organisatorischen Maßnahmen (TOMs) des Dienstleisters sowie Beachtung der DSGVO.

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Vorbeugende Unterlassungserklärungen wirksamer Schutz?

Kann die Abgabe einer vorbeugenden Unterlassungserklärung ein wirksamer Schutz vor Folgeabmahnungen sein?... Weiterlesen

Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz.... Weiterlesen

Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme.... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx rar zip.

* Diese Angaben werden benötigt.

Kanzleibriefe
Was ist eine Datenschutzdokumentation nach DSGVO?

Die Bedeutung einer Datenschutz-Dokumentation für Unternehmen? Die Datenschutz Grundverordnung (DSGVO) stellt für bestimmte Vorgänge im Unternehmen umfassende Dokumentationspflichten an den Verantwortlichen. Diese datenschutzrechtliche Dokumentation ist für Unternehmen verpflichtend.... Weiterlesen

Datenschutz und DSGVO: Der AV-Vertrags-Generator die bessere Alternative zu Mustern und Vorlagen?

Personenbezogene Daten im Auftrag verarbeiten? Unter Umständen ist zuvor ein AV-Vertrag nach der DSGVO zu schließen!... Weiterlesen

Verjährungsfristen im Markenrecht

Was bedeutet „Verjährung“? Wo ist die Verjährung im Markenrecht geregelt?... Weiterlesen