Auftrags­verarbeitungsvertrag (AV-Vertrag): Muster & Vorlage

Wann benötige ich einen Auftragsverarbeitungsvertrag?

Gibt Ihr Unternehmen personenbezogene Daten zur Verarbeitung an Dritte weiter? Dann sind Sie laut DSGVO verpflichtet, mit dem entsprechenden Dienstleister einen Auftragsverarbeitungsvertrag (AV-Vertrag) abzuschließen. Unser AV-Vertrag-Muster hilft Ihnen beim Aufsetzen eines rechtskonformen AV-Vertrages und unterstützt Sie bei der Umsetzung der Anforderungen der DSGVO.

Mit unserer AVV-Vorlage zum rechtskonformen AV-Vertrag

Das AV-Vertrags-Muster von datenschutzexperte.de unterstützt Sie bei der Erstellung eines Auftragsverarbeitungsvertrags auf Basis der DSGVO. Die AVV-Vorlage dient als Basis für Ihren individuellen Vertrag.

AV-Mustervertrag-Download in wenigen Schritten

Geben Sie Ihre E-Mail-Adresse an, damit wir Ihnen Ihr AV-Vertrags-Muster bequem zuschicken können. Geben Sie an, wie Sie Ihren Datenschutz aktuell managen. Zum Schluss benötigen wir noch eine Angabe zu Ihrer Unternehmensgröße. Mit Klick auf den Button fordern Sie Ihre AVV-Vorlage kostenlos an.

So geht es nach dem Download weiter

Um die AV-Vertrags-Vorlage an den Einzelfall anzupassen und korrekt auszufüllen, empfiehlt es sich, einen Experten zurate zu ziehen – beispielsweise Ihren (externen) Datenschutzbeauftragten. Das sorgfältige Aufsetzen des Dokuments ist essenziell für einen juristisch korrekten AV-Vertrag. Sie haben noch keinen Datenschutzbeauftragten? Erfahren Sie, wie datenschutzexperte.de Sie mit Know-how unterstützt.

Welche Informationen gehören in Ihren AV-Vertrag?

Das AVV-Muster von datenschutzexperte.de berücksichtigt folgende Fragen, die ein AV-Vertrag laut Art. 28 DSGVO enthalten muss:

• Wer ist der Verantwortliche für die Datenverarbeitung?
• Was ist der Gegenstand und die Dauer der Verarbeitung?
• Nach welcher Art erfolgt die Verarbeitung und zu welchem Zweck findet sie statt?
• Welcher Art sind die personenbezogenen Daten und Kategorien betroffener Personen?
• Welchen Umfang haben die Weisungsbefugnisse?
• Inwieweit hat der Auftragsverarbeiter eine Informationspflicht, falls eine Weisung gegen Datenschutzrecht verstößt?
• Welche Pflichten und Rechte hat der Verantwortliche?

Außerdem müssen folgende Informationen enthalten sein, die unser AV-Vertrags-Muster selbstverständlich berücksichtigt:

• Nachweis über die Durchführung technischer und organisatorischer Maßnahmen (TOM) durch den Auftragsverarbeiter
• Regelung bezüglich ausdrücklicher Zustimmung, allgemeiner Genehmigung oder Verbot zu dem Hinzuziehen von Subunternehmern
• Hinweis, dass Subunternehmern dieselben vertraglichen Pflichten auferlegt werden
• Regelung zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Beantwortung von Betroffenenanträgen nach Art. 12-22 DSGVO sowie dessen Pflichten aus Art. 32-36 DSGVO
• Löschung oder Herausgabe der Daten nach Wahl des Verantwortlichen nach Beendigung des Auftrags
• Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO durch den Auftragsverarbeiter sowie Unterstützungspflicht bei Überprüfungen oder Vor-Ort-Kontrollen durch den Verantwortlichen
• Regelung zur Verpflichtung der zur Verarbeitung befugten Personen auf die Vertraulichkeit

Was ist ein AV-Vertrag?

Der Auftragsverarbeitungsvertrag (früher Auftragsdatenverarbeitungsvertrag, ADV-Vertrag) ist ein Vertrag, der geschlossen werden muss, wenn Daten durch einen anderen Anbieter verarbeitet werden.

Wann muss ein Auftragsverarbeitungsvertrag geschlossen werden?

Diese Frage stellen sich Unternehmer immer wieder. Die Antwort ist abhängig davon, wie die Beziehung zwischen Auftraggeber und Auftragnehmer aus datenschutzrechtlicher Sicht zu bewerten ist.

Auftraggeber

Auftraggeber ist, wer externe Dienstleister beauftragt, personenbezogene Daten zu verarbeiten.

Auftragnehmer

Nach Art. 4 Nr. 8 DSGVO ist der Auftragsverarbeiter diejenige Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Bezogen auf die unternehmerische Praxis bedeutet das: Werden personenbezogene Daten im Auftrag eines Unternehmens (Auftraggeber) von einem weisungsabhängigen externen Dienstleister (Auftragnehmer) verarbeitet, muss der Auftraggeber als datenschutzrechtlich Verantwortlicher sicherstellen, dass er mit Dienstleistern zusammenarbeitet, die ein entsprechendes Datenschutzniveau aufweisen. Zu diesem Zweck ist zwischen Auftraggeber und Auftragnehmer ein Auftragsverarbeitungsvertrag (AVV) zu schließen.

Wer ist für den AVV verantwortlich?

Die datenschutzrechtliche Verantwortung für die Datenverarbeitung bleibt beim Auftraggeber. Der externe Dienstleister ist nur unterstützend tätig und somit der „verlängerte Arm“ seines Auftraggebers.

Praxisbeispiele für den AVV-Einsatz

Sie können unser Muster zum Auftragsverarbeitungsvertrags verwenden, wenn Sie mit folgenden Dienstleistern zusammenarbeiten:

• Extern beauftragtes Call-Center
• Marketing-Agentur, die Kundendaten verarbeitet
• Newsletter-Dienstleister
• Marketing-Analyse-Anbieter
• Cloud-Computing-Anbieter
• Web- und E-Mail-Hoster
• Technische Dienstleister für die Wartung von IT-Systemen
• Werbeadressenverarbeitung in einem Lettershop

Keine Auftragsverarbeitung hingegen liegt vor, wenn Sie mit folgenden Personen zusammenarbeiten:

• Rechtsanwälte
• Steuerberater
• Wirtschaftsprüfer

Diese Personengruppen erbringen ihre Fachleistung aufgrund ihres Berufsrechts eigenverantwortlich und somit weisungsunabhängig.

Unsicher, ob eine Auftragsverarbeitung vorliegt? In jedem Fall lohnt sich ein Blick in den ursprünglichen Hauptvertrag, den Sie mit Ihrem Dienstleister geschlossen haben. Dieser kann Aufschluss darüber geben, ob eine Auftragsverarbeitung vorliegt oder nicht. Wenn Sie sich diesbezüglich unsicher sind, hilft Ihnen Ihr Datenschutzbeauftragter weiter. Liegt eine Auftragsverarbeitung vor, sind sie mit unserem AV-Vertrags-Muster auf der sicheren Seite.

Unterschied zwischen ADV-Vertrag und AV-Vertrag

Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungsvertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungsvertrag – kurz AV-Vertrag oder AVV – ersetzt.

Was hat sich gegenüber dem ADV verändert?

Die Anforderungen für Auftraggeber an einen solchen Vertrag sind mit der DSGVO zwar gestiegen. Dafür wird der Auftragsverarbeiter stärker in die Verantwortung genommen als es im BDSG-alt der Fall war: Die DSGVO legt dem Auftragsverarbeiter mehr Pflichten auf, wie jene zur Unterstützung des Auftraggebers und die Verpflichtung zur Verschwiegenheit. AV-Verträge geben Auftraggebern somit eine gewisse Sicherheit. Denn im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes kann nachgewiesen werden, dass die Verantwortung in seinem Aufgabenbereich lag. Unsere AVV-Vorlage hilft Auftraggebern, sich abzusichern.

Vorsicht: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO! Darüber hinaus sieht die DSGVO weitaus höhere Bußgelder bei Verstößen vor.