Verträge zur Auftragsdatenverarbeitung: Muster AV-Vertrag Vorlage und Vertrag-Generator als Alternative im Datenschutz, DSGVO oder CHDSG neu der Schweiz zu bearbeiten

Einführung in den AV-Vertrag

Der Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein zentrales Element der Datenschutz-Grundverordnung (DSGVO) und spielt eine entscheidende Rolle beim Schutz personenbezogener Daten im Auftrag. Immer dann, wenn ein Unternehmen personenbezogene Daten an einen externen Dienstleister weitergibt, um diese im Auftrag zu verarbeiten, ist der Abschluss eines AV-Vertrags gesetzlich vorgeschrieben. Der AV-Vertrag regelt dabei nicht nur die Rechte und Pflichten zwischen Auftraggeber und Auftragnehmer, sondern stellt auch sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit den strengen Anforderungen der DSGVO erfolgt.

Durch den AV-Vertrag werden klare Rahmenbedingungen geschaffen, die sowohl den Schutz der Daten als auch die Einhaltung der datenschutzrechtlichen Vorgaben gewährleisten. Unternehmen profitieren davon, dass die Verantwortlichkeiten eindeutig verteilt sind. Der Auftraggeber bleibt für die Einhaltung des Datenschutzes verantwortlich, während der Auftragnehmer verpflichtet ist, die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten. So wird sichergestellt, dass die Verarbeitung personenbezogener Daten stets unter Kontrolle bleibt und die Rechte der betroffenen Personen gewahrt werden. Der AV-Vertrag ist somit ein unverzichtbares Instrument für Unternehmen, um die gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten im Auftrag zu erfüllen und den Datenschutz in der Zusammenarbeit mit externen Dienstleistern zu gewährleisten.

Personenbezogene Daten im Auftrag verarbeiten? Unter Umständen ist zuvor ein AV-Vertrag nach der DSGVO dem BDSG neu oder nach dem DSG neu Schweiz oder DSG neu Österreich zu schließen!

Ein Auftragsverarbeitungsvertrag (AV-Vertrag oder auch ADV-Vertrag bzw. AVV), ist ein Vertrag zwischen Auftraggeber und Auftragnehmer, der die Verarbeitung personenbezogener Daten regelt. Der AV-Vertrag ist von zentraler Bedeutung für den Datenschutz und die rechtliche Sicherheit, da er die Einhaltung gesetzlicher Vorgaben sicherstellt.

Der AV-Vertrag ist nach der Datenschutz-Grundverordnung (DS-GVO) notwendig, wenn insbesondere ein Unternehmen im Auftrag eines anderen Unternehmens personenbezogene Daten zum Zwecke der jeweiligen Auftragserfüllung verarbeitet. Die rechtliche Grundlage für den Abschluss eines AV-Vertrags findet sich insbesondere in den Artikeln 28 und 29 der DSGVO, die die Anforderungen und Inhalte solcher Verträge detailliert regeln. 

Beachten Sie zudem die länderspezifischen Regelungen, wie etwa das revidierte Datenschutzgesetz in der Schweiz (CHDSG) oder das neue Datenschutzgesetz in Österreich (ATDSG). Der Grundgedanke des Auftragsverarbeitungsvertrags besteht darin, dass der Verantwortliche also der Auftraggeber  weiterhin für den Schutz personenbezogener Daten haftet. Die Einbindung eines externen Dienstleisters entbindet ihn nicht von dieser Pflicht. Die Verantwortung für die Sicherheit der verarbeiteten personenbezogenen Daten bleibt vollständig beim Auftraggeber.

Für Unternehmer besteht die Pflicht, bei der Nutzung externer Dienstleister oder bei der Verarbeitung personenbezogener Daten durch Dritte einen AV-Vertrag abzuschließen, um die gesetzlichen Anforderungen zu erfüllen und die Datenverarbeitung rechtssicher zu gestalten. Der AV-Vertrag dient dazu, sicherzustellen, dass die Auftragsdatenverarbeitung den datenschutzrechtlichen Anforderungen entspricht und insbesondere DS-GVO konform erfolgt. Unternehmer haben hierbei eine besondere Pflicht, die Einhaltung der Datenschutzvorgaben bei der Auswahl und Beauftragung von Dienstleistern zu gewährleisten.

Ein Auftragsverarbeiter ist grundsätzlich an die Weisungen des Verantwortlichen gebunden und darf personenbezogene Daten ausschließlich im Rahmen des vertraglich definierten Zwecks verarbeiten. Liegt kein erforderlicher Vertrag zur Auftragsverarbeitung vor oder ist dieser unvollständig, können sowohl für den Verantwortlichen als auch für den Verarbeiter empfindliche Bußgelder sowie mögliche Schadensersatzforderungen die Folge sein. Verstöße gegen die gesetzlichen Bestimmungen können erhebliche rechtliche Konsequenzen nach sich ziehen, was die Notwendigkeit vorbeugender Maßnahmen  wie den rechtssicheren Abschluss eines AV-Vertrags  deutlich macht. Gemäß Art. 83 DSGVO haften beide Parteien unter Umständen gesamtschuldnerisch. Die Höhe möglicher Geldbußen kann sich laut Art. 83 Abs. 5 DSGVO auf bis zu 4 % des weltweiten Jahresumsatzes belaufen.

ADV-Vertrag: Der Vorgänger des AV-Vertrags

Bevor die Datenschutz-Grundverordnung (DSGVO) in Kraft trat, war der sogenannte ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) das maßgebliche Instrument zur Regelung der Auftragsdatenverarbeitung im Rahmen des Bundesdatenschutzgesetzes (BDSG). Mit der Einführung der DSGVO wurde der ADV-Vertrag durch den AV-Vertrag abgelöst, der nun europaweit einheitliche Anforderungen an die Auftragsverarbeitung personenbezogener Daten stellt.

Der AV-Vertrag baut auf den Grundprinzipien des ADV-Vertrags auf, geht jedoch in seinen Anforderungen und Regelungen deutlich weiter. Während der ADV-Vertrag vor allem im nationalen Kontext des BDSG Anwendung fand, ist der AV-Vertrag heute der Standardvertrag für die Auftragsverarbeitung personenbezogener Daten im gesamten Geltungsbereich der DSGVO. Unternehmen müssen daher sicherstellen, dass ihre bestehenden Verträge an die neuen Vorgaben angepasst wurden und den aktuellen rechtlichen Rahmenbedingungen entsprechen. Der Wechsel vom ADV-Vertrag zum AV-Vertrag markiert einen wichtigen Schritt hin zu mehr Transparenz, Sicherheit und einheitlichen Standards bei der Verarbeitung personenbezogener Daten im Auftrag.

Wann liegt eine Auftragsverarbeitung im Sinne der DS-GVO vor?

Die Rechtsgrundlage des AV-Vertrags findet sich in Art.28 DS-GVO. Gemäß Art.28 Abs.3 DS-GVO setzt die Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrages. Die Auftragsverarbeitung im Sinne der DSGVO regelt dabei die rechtlichen Anforderungen an die Verarbeitung personenbezogener Daten durch Dritte im Auftrag des Verantwortlichen.

Gemäß Art.4 Nr.8 DS-GVO ist „Auftragsverarbeiter“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten auf Weisung eines Verantwortlichen verarbeitet. 

„Verantwortlicher“ in diesem Sinne ist gemäß Art. 4 Nr.7 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In bestimmten Fällen, in denen mehrere Parteien gemeinsam über die Verarbeitung entscheiden, ist eine Vereinbarung über die gemeinsame Verantwortung mit einem Dritten gemäß Artikel 26 DSGVO erforderlich.

Gemäß Art. 4 Nr.1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar gilt eine natürliche Person, wenn sie direkt oder indirekt (insbesondere mittels Zuordnung zu einer Kennung wie beispielsweise einem Namen oder auch zu Standortdaten) identifiziert werden kann. Personenbezogene Daten sind daher beispielsweise:

• Name und Geburtsdatum bzw. Alter
• Familienstand
• Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse etc.)
• Soweit diese einen Personenbezug aufweisen auch dienstliche Kontaktdaten
• Kraftfahrzeugnummer oder Kfz-Kennzeichen
• Personalausweis- und Sozialversicherungsdaten (insbesondere Ausweis- und Versicherungsnummer)
• Bankverbindungsdaten
• Genetische Daten und Gesundheitsdaten

Schließlich können personenbezogene Daten in Foto- oder Videoaufnahmen enthalten sein, da auch das aufgezeichnete Bild die Identifikation der betroffenen Person ermöglichen kann. Im Fall der Verarbeitung durch externe Parteien ist besonders zu beachten, dass häufig auch Daten Dritter betroffen sind, für deren Schutz besondere vertragliche Regelungen erforderlich sind.

Im Ergebnis ist eine Auftragsverarbeitung beispielsweise in den folgenden Fällen anzunehmen: Als Beispiel dienen verschiedene Szenarien, in denen personenbezogene Daten im Auftrag verarbeitet werden. Die nachfolgenden Tätigkeiten werden häufig als Dienste im Sinne der DSGVO erbracht, wobei externe Dienstleister oder spezialisierte Anbieter beauftragt werden:

• Outsourcing personenbezogener Datenverarbeitung beim Cloud-Computing; Speicherung personenbezogener Daten in einer Cloud
• Übertragung der Löschung personenbezogener Daten an einen Dienstleister
• Call-Center, welches ohne wesentliche eigene Entscheidungsspielräume Kundendaten verarbeitet oder Kontaktdaten erhebt
• Einscannen von Dokumenten, Datenerfassung oder Datenkonvertierung durch den Auftragsnehmer
• Finanzbuchhaltung durch Rechenzentren bzw. Lohn- und Gehaltsabrechnungen, soweit dies nicht durch freiberufliche Steuerberater erfolgt)
• Digitalisierung des schriftlichen Posteingangs
• „Lettershop“ (Werbeadressenpflege, Werbepostversand)
• Outsourcing von IT-Wartung, soweit der Dienstleister Zugriff auf die IT-Infrastruktur des Auftragsgebers erhält
• Outsourcing von Archivierungen und Backup-Sicherungsspeicherungen
• „Shared Services“ (Zentralisierung von Dienstleistungen wie bspw. Planung von Dienstreisen und Reisekostenabrechnungen innerhalb eines Konzerns
• Apothekenrechenzentren im Sinne des § 300 SGB V
• Sicherheitsdienste soweit diese Besucher- oder Anlieferdaten erheben
• Ablesung, Erfassung oder Verarbeitung von Messwerten in Mietwohnungen durch externe Dienstleister
• Visabeschaffungsdienstleister
• Ärztliche Verrechnungsstellen

In jedem Fall ist die Verantwortlichkeit für die Einhaltung der Datenschutzvorgaben klar zu regeln, insbesondere wenn mehrere Parteien oder Dritte an der Verarbeitung beteiligt sind.

Was muss ein Auftragsverarbeitungsvertrag mindestens enthalten?

Gemäß Art. 28 DS-GVO hat ein AV-Vertrag mindestens die folgenden Angaben zu enthalten:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung; dabei ist die Zweckbindung zu beachten, sodass personenbezogene Daten nur zu den vereinbarten Zwecken verarbeitet werden dürfen
• Kategorisierung der zu verarbeitenden personenbezogenen Daten
• Kategorisierung der betroffenen Personen
• Rechte und Pflichten des Verantwortlichen; die Verantwortlichkeit der jeweiligen Seiten (Auftraggeber und Auftragsverarbeiter) muss klar geregelt sein, insbesondere bei mehreren beteiligten Organisationen
• Pflichten des Auftragsverarbeiters; hierzu zählt auch die Unterstützung des Auftraggebers bei der Einhaltung der Datenschutzanforderungen sowie die Überwachung der Einhaltung durch eigene Datenschutzbeauftragte bei Auftragsverarbeitern
• Dokumentierte Weisung als Voraussetzung für Verarbeitungsvorgänge
• Verpflichtung zur Vertraulichkeit
• Technische und organisatorische Maßnahmen, die zum Schutz der Verarbeitung zu ergreifen sind; die Datensicherheit ist hierbei ein zentraler Bestandteil und muss durch geeignete Maßnahmen gewährleistet werden. Änderungen an diesen Maßnahmen sind regelmäßig zu prüfen und mit dem Auftraggeber abzustimmen.
• Bedingungen für die etwaige Einbindung eines Subunternehmers
• Rückgabe oder Löschung der Daten bei Beendigung des Auftragsverhältnisses
• Bereitstellung benötigter Informationen, bspw. zu Überprüfungen

Die rechtssichere Gestaltung des Auftragsverarbeitungsvertrags ist im Rahmen der DSGVO unerlässlich, um die gesetzlichen Anforderungen zu erfüllen. In der Praxis sind verschiedene AV Verträge für unterschiedliche Organisationen und Organisationen relevant, insbesondere wenn externe Dienstleister oder SaaS-Lösungen genutzt werden. Standardverträge werden regelmäßig zur Verfügung gestellt, um den Abschluss und die Einhaltung der gesetzlichen Vorgaben zu erleichtern.

Der Auftragsverarbeitungs-Vertrag regelt die Zusammenarbeit zwischen den beteiligten Seiten, wie z.B. bei der Erstellung oder dem Hosting einer Seite (Webseite), und stellt sicher, dass die Verantwortlichkeiten und Interessen aller Seiten klar definiert sind. Die Erstellung und Anpassung eines solchen Vertrags erfordert entsprechendes Know-how, um die Anforderungen der DSGVO zu erfüllen.

Die Rolle des Auftragnehmers im AV-Vertrag

Der Auftragnehmer übernimmt als externer Dienstleister eine zentrale Rolle im Rahmen des AV-Vertrags. Er verarbeitet personenbezogene Daten im Auftrag des Auftraggebers und ist dabei strikt an dessen Weisungen gebunden. Zu den wichtigsten Pflichten des Auftragnehmers gehört es, die personenbezogenen Daten ausschließlich im Rahmen des vereinbarten Auftrags und nach den Vorgaben des Auftraggebers zu verarbeiten. Darüber hinaus ist der Auftragnehmer verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um die Sicherheit der Daten zu gewährleisten.

Ein weiterer wesentlicher Aspekt ist die Wahrung der Vertraulichkeit: Der Auftragnehmer muss sicherstellen, dass alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind und die personenbezogenen Daten nicht unbefugt an Dritte weitergegeben werden. Die Einhaltung dieser Maßnahmen ist entscheidend, um die Integrität und Vertraulichkeit der Daten im Auftrag zu schützen. Der Auftragnehmer trägt somit eine große Verantwortung für die sichere und datenschutzkonforme Verarbeitung der ihm anvertrauten Daten.

Die Rolle des Auftraggebers im AV-Vertrag

Der Auftraggeber ist das Unternehmen, das die Verarbeitung personenbezogener Daten an einen externen Dienstleister überträgt. Im Rahmen des AV-Vertrags bleibt der Auftraggeber jedoch weiterhin für die Einhaltung der DSGVO verantwortlich. Er muss sicherstellen, dass der Auftragnehmer die personenbezogenen Daten ausschließlich im Einklang mit den gesetzlichen Anforderungen und den vertraglich festgelegten Weisungen verarbeitet.

Zu den zentralen Aufgaben des Auftraggebers gehört es, die Auswahl des Dienstleisters sorgfältig zu treffen und regelmäßig zu überprüfen, ob die vereinbarten technischen und organisatorischen Maßnahmen eingehalten werden. Der Auftraggeber ist zudem verpflichtet, die Rechte und Pflichten des Auftragnehmers im AV-Vertrag klar zu regeln. Nur so kann gewährleistet werden, dass die Verarbeitung personenbezogener Daten im Auftrag stets datenschutzkonform erfolgt und die Rechte der von denjenigen bei denen die Daten erhoben wurden Personen umfassend geschützt sind. Der AV-Vertrag bildet somit die Grundlage für eine vertrauensvolle und rechtssichere Zusammenarbeit zwischen Auftraggeber und Auftragnehmer.

Wie verläuft die Erstellung  des Auftragsverarbeitungsvertrag?

Ein AV-Vertrag kann mit Hilfe des Generators auf der Datenschutzplattform www.datenbuddy.de erstellt werden. Dieser Generator basiert auf einer rechtlich geprüften Vorlage, ist online verfügbar und lässt sich intuitiv über ein Frage-Antwort-System nutzen. Während der Nutzer die Formularfelder im Generator ausfüllt, wird der AV-Vertrag in Echtzeit sichtbar erstellt. Nach Abschluss kann der Nutzer den fertigen Vertrag gemäß Art. 28 DSGVO herunterladen und nach der Unterzeichnung durch Auftraggeber und Auftragnehmer mit der Auftragsdatenverarbeitung beginnen. Der Prozess der Auftragsdatenverarbeitung beginnt zwischen Auftraggeber und Auftragnehmer. In diesem Beitrag wird erläutert, wie der Generator vor der Verarbeitung personenbezogener Daten eingesetzt wird und welche Vorteile er gegenüber herkömmlichen Musterverträgen oder Vorlagen bei der Erstellung eines Auftragsverarbeitungsvertrags bietet

Warum ein Generator für AV-Verträge mehr bietet als herkömmliche Muster

Im Vergleich zu herkömmlichen Mustern und Vorlagen bietet der AV-Vertrags-Generator zahlreiche Vorteile sowohl für Verantwortliche als auch für Auftragsverarbeiter:

Erstens ist der AV-Vertragsgenerator digital zugänglich. Anders als starre Muster oder Vorlagen, die nur vorgefertigte Standardklauseln enthalten, ermöglicht der Generator eine individuelle Anpassung des Vertrags an die spezifischen Anforderungen des jeweiligen Unternehmens.

Zweitens trägt der Generator erheblich zur Zeit- und Kostenersparnis bei. Innerhalb weniger Minuten kann über ein einfaches Frage-Antwort-Verfahren ein vollständiger AV-Vertrag erstellt werden. Im Vergleich dazu erfordert die Nutzung von Mustern oder Vorlagen oft mehr Aufwand, um die passenden Klauseln zu finden und entsprechend anzupassen.

Drittens gewährleistet der Generator, dass der erstellte Vertrag den Vorgaben der DSGVO entspricht vorausgesetzt, die Angaben zum Dienstleister und Verantwortlichen sind korrekt eingegeben und der Dienstleister hält sich an die technisch-organisatorischen Maßnahmen sowie an die geltenden Datenschutzbestimmungen. Auf dieser Basis werden automatisch die notwendigen Klauseln generiert, die auf die individuellen Eingaben zugeschnitten sind.

Zusammenfassend bietet der AV-Vertragsgenerator eine schnelle, einfache und soweit möglich rechtssichere Möglichkeit, einen auf das Unternehmen zugeschnittenen Auftragsverarbeitungsvertrag zu erstellen. Für Unternehmen, die Wert auf eine effiziente, kostengünstige und DSGVO-konforme Lösung legen, stellt der Generator eine ausgezeichnete Wahl dar.
 

So erstellen Sie einen DSGVO-konformen Auftragsverarbeitungsvertrag mit dem 

Der AV-Vertrag-Generator ist einfach zu bedienen und erfordert keine besonderen Vorkenntnisse. Hier finden Sie eine klare Anleitung zur Nutzung:

1. Besuchen Sie die Webseite https://datenbuddy.de/av-vertrag-generator und starten Sie den Generator.
2. Geben Sie alle erforderlichen Informationen in die Formularfelder ein. Dazu gehören Details zum Auftraggeber, zum Dienstleister, zur Art der verarbeiteten Daten und zur Laufzeit des Vertrags.
3. Sehen Sie sich die automatisch erstellte Vertragsvorschau an. Prüfen Sie sorgfältig, ob alle Angaben vollständig und korrekt sind. 
4. Laden Sie den fertigen Vertrag als Word- oder PDF-Datei herunter.
5. Nach der Unterschrift beider Parteien sollte der Vertrag sicher archiviert werden.

Der Generator sorgt dafür, dass der Vertrag den Anforderungen der DSGVO entspricht, insbesondere gemäß Artikel 28 Absatz 1 in Verbindung mit Artikel 32 Absatz 1. Manche Angaben sind deshalb zwingend notwendig, zum Beispiel:

• Name, Adresse und Kontaktinformationen der Vertragspartner
• Gruppierungen der verarbeiteten personenbezogenen Informationen
• Ziel der Datenverarbeitung
• Die Vertragsdauer
• Pflichten des Auftragnehmers
• Systematische Schutzvorkehrungen für personenbezogene Daten
• Kontinuierliche Inspektionen und Auswertungen
• Reporting und Dokumentationspflichten

Damit der Vertrag rechtlich einwandfrei ist, ist eine genaue und vollständige Eingabe essenziell. Es wird empfohlen, den fertigen Vertrag von einem Fachanwalt oder Datenschutzbeauftragten überprüfen zu lassen, um Fehler zu vermeiden. Hinweis: Der Betreiber der Plattform (datenbuddy.de) übernimmt keine Haftung für die Vollständigkeit oder Richtigkeit der vom Kunden eigenständig generierten Vertragsinhalte.

Fazit zum AV-Vertrag-Generator bei Erstellung von Auftragsverarbeitungsverträgen für Deutschland, Östrreich oder die Schweiz

In diesem Artikel wurde die Anwendung des AV-Vertrags-Generators erläutert und dessen Vorteile im Vergleich zu klassischen Mustern und Vorlagen herausgestellt. Der Generator ermöglicht eine schnelle und unkomplizierte Erstellung von Auftragsverarbeitungsverträgen, die den Vorgaben der DSGVO, dem Bundesdatenschutzgesetz (BDSG) sowie den neuen Datenschutzgesetzen in der Schweiz und Österreich entsprechen. Dabei lassen sich die Verträge individuell an die Anforderungen von Auftraggebern und Auftragnehmern anpassen.

Der Generator führt die Nutzer in einem Frage-Antwort-Verfahren durch die Erstellung eines maßgeschneiderten, DSGVO-konformen Vertrags. Dadurch werden Zeit- und Kostenaufwand erheblich reduziert, während gleichzeitig die Einhaltung der rechtlichen Vorgaben gewährleistet wird. Mit dem Tool lässt sich ein vollständiger AV-Vertrag innerhalb kürzester Zeit erstellen und anschließend unterzeichnen.

Es ist entscheidend, dass alle Angaben im Vertrag korrekt, vollständig und datenschutzkonform erfasst werden, um die rechtlichen Anforderungen erfüllen zu können. Wir empfehlen, den Generator selbst auszuprobieren und uns Ihre Rückmeldungen per E-Mail an kanzlei@aid24.de zukommen zu lassen.

Der Einsatz von AV-Verträgen stellt einen wesentlichen Schritt dar, um sicherzustellen, dass Unternehmen die Mindestanforderungen der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes erfüllen. Dabei wird insbesondere der Schutz der Rechte betroffener Personen gewährleistet, unter anderem durch angemessene technische und organisatorische Maßnahmen (TOMs) des Dienstleisters und die Beachtung aller DSGVO-Vorgaben.