Zum Hauptinhalt springen
Datenschutz / DSGVO

Auftragsverarbeitung (AVV)

Vertragliche Regelung gem. Art. 28 DSGVO, wenn ein Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen verarbeitet und keine eigene Entscheidungshoheit über Zweck und Mittel der Verarbeitung hat. Typische Beispiele sind Cloud-Hosting-Anbieter, externe Lohnbuchhaltungsdienstleister, E-Mail-Marketing-Plattformen oder IT-Support-Unternehmen, die Zugang zu Systemen mit personenbezogenen Daten haben. Gemäß Art. 28 DSGVO muss die Auftragsverarbeitung durch einen Vertrag oder ein anderes Rechtsinstrument geregelt werden – den sogenannten Auftragsverarbeitungsvertrag (AVV).

Der AVV muss zwingend bestimmte Mindestinhalte aufweisen: Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen. Darüber hinaus muss der Auftragsverarbeiter garantieren, nur auf dokumentierte Weisung des Verantwortlichen zu handeln, geeignete technische und organisatorische Maßnahmen zu implementieren und Unterauftragnehmer nur mit ausdrücklicher Genehmigung einzusetzen.

Für Compliance Officer ist die AVV-Verwaltung eine kontinuierliche Aufgabe: Bei der Einführung jedes neuen Software-as-a-Service-Dienstleisters oder externen Dienstleisters mit Datenzugang muss geprüft werden, ob eine Auftragsverarbeitung vorliegt. Fehlt ein gültiger AVV, drohen erhebliche Bußgelder. Gleichzeitig müssen bestehende AVVs regelmäßig auf Aktualität und Vollständigkeit überprüft werden, insbesondere bei Änderungen in der Dienstleisterstruktur oder bei Einsatz neuer Unterauftragnehmer.

Rechtliche Grundlage

Art. 28 DSGVO

Praxisbeispiel

Ihr Unternehmen führt eine neue HR-Software ein, die als SaaS-Lösung in der Cloud betrieben wird und Mitarbeiterdaten wie Gehaltsabrechnungen, Urlaubskonten und Krankmeldungen speichert. Als Compliance Officer prüfen Sie, ob der Anbieter ein gültiges AVV-Muster bereitstellt. Sie analysieren den vorgelegten Vertragsentwurf, stellen fest, dass die Liste der Unterauftragnehmer fehlt, und fordern diese nach Art. 28 Abs. 4 DSGVO nach. Erst nach Unterzeichnung des vollständigen AVV geben Sie die Einführung der Software für den Produktivbetrieb frei und nehmen die Verarbeitungstätigkeit ins Verarbeitungsverzeichnis auf.

Häufige Fragen

Einen AVV benötigen Sie immer dann, wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet und dabei keine eigene Entscheidungsfreiheit über Zweck und Mittel der Verarbeitung hat. Dies gilt für Cloud-Dienste, externe IT-Dienstleister, Marketingagenturen und viele weitere Dienstleister.
Das Fehlen eines AVVs stellt einen Verstoß gegen Art. 28 DSGVO dar und kann zu Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes führen. Zudem haftet der Verantwortliche für Datenschutzverstöße des Auftragsverarbeiters, wenn kein gültiger Vertrag besteht.
Ja, aber nur mit ausdrücklicher schriftlicher Genehmigung des Verantwortlichen. Der Auftragsverarbeiter muss dem Unterauftragnehmer die gleichen Datenschutzpflichten auferlegen und bleibt dem Verantwortlichen gegenüber für die Erfüllung der Pflichten des Unterauftragnehmers haftbar.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Verarbeitungsverzeichnis (VVT) Technische und organisatorische Maßnahmen (TOMs) Datenschutzbeauftragter (DSB) Drittlandübermittlung Gemeinsame Verantwortlichkeit (Joint Controller)
Zurück zum Glossar