AV-Vertrag ist Pflicht!

Überall, wo extern personenbezogenen Daten Deiner Kunden oder Mitarbeiter verarbeitet werden, besteht ab dem 25. Mai die Pflicht für einen “Auftragsverarbeitungs-Vertrag” (AV-Vertrag) nach Art. 28 DSGVO.

Dieser Vertrag regelt den Umgang mit den personenbezogenen Daten Sinne der Datenschutzgesetze bei den extern beauftragten Dienstleistern.

Die Datenschutz-Grundverordnung (DSGVO) stellt bestimmte Mindestanforderungen an den Inhalt dieses Vertrages:

  • Dauer und Gegenstand der Verarbeitung
  • Verarbeitungszweck
  • Welche personenbezogenen Daten werden verarbeitet?
  • Definierung der Weisungsbefugnisse
  • Rechte und Pflichten des Verantwortlichen
  • Pflichten des Auftragsverarbeiters:
    • dokumentierter Verarbeitung nach Weisung,
    • Wahrung der Vertraulichkeit
    • Wie wird die eigene Sicherheit der Datenverarbeitung gewährleistet?
    • Regelungen bei weiteren Subunternehmen,
    • Hilfestellung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen
    • Hilfe des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO:
      • Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DSGVO und Art. 32 DSGVO),
      • Meldung an die Aufsichtsbehörde bei Verletzungen des Schutzes personenbezogener Daten (Art. 28 III 2 lit. f DSGVO und  Art. 33 DSGVO),
      • Benachrichtigung der betroffenen Person bei einer Verletzung des Schutzes personenbezogener Daten (Art. 28 III 2 lit. f DSGVO und Art. 34 DSGVO),
      • Falls erforderlich: Eine Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DSGVO und Art. 35 DSGVO),
      • Bei Verarbeitung mit hohen Risiken: Einbeziehung der Aufsichtsbehörde (Art. 28 III 2 lit. f DSGVO und Art. 36 DSGVO).
    • Löschung oder Rückgabe der Daten nach Beendigung des Auftrags,
    • Ermöglichung von Überprüfungen und Informationspflicht

Diese Verträge müssen zu Dokumentationszwecken vorgelegt werden. Auch die Umsetzung und Einhaltung der dokumentierten Einzelheiten muss zukünftig nachgewiesen werden!

Gemeinsame Haftung

Hierfür ist der Auftraggeber verantwortlich (also Du) und es gibt eine gemeinsame Haftung bei Verstößen gegen den Datenschutz.

Konkret heißt das, dass man die Verantwortung nicht an eine externe Stelle abgeben kann. Ein mögliches Bußgeld betrifft also den Auftraggeber und der externen Verarbeiter.

Hohes Bußgeld

Dieses beträgt max. 10.000.000 Euro oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist

Bestehende Verträge

Bereits bestehende ADV-Verträge nach dem alten BDSG werden in der regel überarbeitet und neu verhandelt werden müssen, um den neuen Anforderungen gerecht zu werden und eine Rechtssicherheit zu schaffen.

#!trpst#trp-gettext data-trpgettextoriginal=92#!trpen#Categories:#!trpst#/trp-gettext#!trpen# DSGVO

en_USEnglish
de_DEGerman en_USEnglish