Wenn Sie sich mit dem Thema Datenschutz im Unternehmen beschäftigen, dann fällt zwangsläufig der Begriff Datenschutz AV Vertrag. Sobald Sie eine Firmenwebsite nutzen, benötigen Sie mindesten einen AV-Vertrag. Worum es genau geht, was dieser beinhalten muss und was genau sie benötigen – darauf gehen wir hier ein.
In unserem Artikel Datenschutz für Website gehen wir auf speziellen Themen bei der Nutzung von Webseiten ein.
Hier spiele Aspekte wie Kontaktformular Datenschutz sowie Cookies und Datenschutz eine sehr wichtige Rolle.
Dieser Artikel stellt keine Rechtsberatung dar und ersetzt diese nicht. Unsere Website dient lediglich dem Informationszweck. Alle Informationen haben wir nach bestem Wissen und Gewissen zusammengetragen, dennoch verstehen sich alle Angaben ohne Gewähr auf Vollständigkeit und Richtigkeit.
Was ist ein Datenschutz AV-Vertrag?
Einen Datenschutz AV-Vertrag (Auftragsverarbeitungs-Vertrag) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen abschließen, welches personenbezogene Daten im Auftrag – also von einem Dienstleister verarbeiten lässt. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt.
Der zu schließende Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer.
Mögliche AV-Dienstleister
- Buchhaltungs-Software / externe Buchhaltung
- Externe Lohnabrechnung oder Gehaltsabrechnung (keine Steuerberater)
- Webhoster
- Newsletter-Dienste
- Online-Kurs Plattformen
- Content Delivery Network (CDN) Anbieter
- Cloud Speicher
- CRM-Systeme
- Werbe- bzw. Marketingagenturen
- Software zur Zeiterfassung
- Software zur Mitarbeiterplanung
- Wartungsverträge mit Zugriff personenbezogene Daten
- Verarbeitung von Kundendaten durch ein Callcenter
Wenn Sie mit einem Dienstleister aus dieser Branchen zusammenarbeiten, dann benötigen Sie möglicherweise einen Datenschutz AV-Vertrag. Pauschal kann man dies allerdings nicht sagen. Es kommt im Einzelfall auf die Art der Zusammenarbeit an. Mitunter ist es nicht ganz einfach festzustellen, ob ein solcher Vertrag benötigt wird.
Wann braucht man einen AV-Vertrag?
Sobald Sie personenbezogene Daten zur Verarbeitung an Dritte weitergeben, muss mit dem Verarbeiter ein Auftragsverarbeitungs-Vertrag geschlossen werden. Dieser soll den DSGVO-konformen Umgang mit personenbezogenen Daten sichern.
Der Verarbeiter (externe Dienstleister) darf die Daten, die er auf der Grundlage eines Datenschutz AV Vertrages erhält, niemals zu eigenen Zwecken verwenden. Die rechtlichen Vorschriften zur Weitergabe der Daten sind in der EU-Datenschutz-Grundverordnung (DSGVO) festgelegt.
Wann ist kein AV-Vertrag notwendig?
Oftmals ist gar nicht ganz klar, wann ein solcher Datenschutz AV Vertrag mit einem externen Dienstleister geschlossen werden muss. Ein sehr wichtiger Faktor für eine solche Entscheidung ist die Weisungsgebundenheit. Je weisungsgebundener ein externer Dienstleister ist, desto größer ist die Wahrscheinlichkeit, dass Sie mit diesem einen Datenschutz AV Vertrag abschließen müssen.
Sehr hilfreich ist hier die Auslegungshilfe vom Bayrischen Landesamt für Datenschutzaufsicht.
Was muss ein AV-Vertrag beinhalten?
Nach Artikel 28 der DSGVO (Auftragsverarbeiter) regelt ein AV-Vertrag die Rechte und Pflichten bei der Auftragsverarbeitung. Sehen Sie bitte die folgenden Punkte als Orientierung. Wenn Sie sich selbst einen solchen Vertrag erstellen, dann sollten Sie diese von einem Anwalt oder Datenschutzbeauftragten prüfen lassen.
- Der Auftraggeber und der Auftragnehmer müssen benannt werden
- Gegenstand und Dauer der Verarbeitung
- Art, Zweck und Betroffene der Verarbeitung
- Unterauftragsverhältnisse
- Regelungen zur Löschung und Sperrung von Daten
- Rechte und Pflichten des Auftraggebers
- Pflichten des Auftragnehmers
- Sicherheit der Datenverarbeitung
- Vertraulichkeitsverpflichtung
- Wahrung von Betroffenenrechten
- Mitteilungspflichten
- Weisungen
- Technische und organisatorische Maßnahmen
- Beendigung des Auftrages
- Vergütung und Haftung
Bei der Fülle an Angaben kann es sinnvoll sein, die vertragliche Ausgestaltung in professionelle Hände zu legen.
Muster und Vorlagen für AV Verträge (DSGVO)
Auf den folgenden Seiten finden Sie Muster AV-Verträge und Vorlagen.
- Formulierungshilfe des Bayrischen Landesamtes für Datenschutzaufsicht
- Mustervertrag Auftragsverarbeitung der Landeszahnärztekammer Baden-Würtetemberg
- Hinweise und Muster des hessischen Beauftragten für Datenschutz und Sicherheit
- Bitkom Mustervertragsanlage
- AV-Vertrag Muster der EU-Kommission
Konsequenzen bei fehlendem Datenschutz AV Vertrag
Abgesehen von Sonderfällen ist ein Auftragsverarbeitungsvertrag zwingend erforderlich, wenn personenbezogene Daten durch Dritte verarbeitet werden. Dies gibt die DSGVO klar vor. Sowohl für den Auftraggeber als auch für den Auftragnehmer gilt diese Pflicht. Deshalb müssen Sie sich im Bedarfsfall kümmern. Neben hohen Bußgeldern drohen Ihnen hier auch ein möglicher Imageschaden und im schlimmsten Fall daraus resultierende Umsatzverluste.
Hierzu gibt es auch mindestens einen konkreten Fall. Das kleine Versandunternehmen Kolibri muss ein Bußgeld in Höhe von 5.000 EUR zuzüglich 250 EUR Gebühren zahlen. Der Bescheid wurde mit dem Fehlen eines Auftragsverarbeitungsvertrags begründet. In einem Artikel auf Heise wurde bereits im Jahr 2019 darüber berichtet.
Unser Fazit
Falls Sie sich nicht sicher sind, sollten Sie auf jeden Fall einen Datenschutzbeauftragten oder Anwalt konsultieren. Die möglichen Strafen bei einem Datenschutzvergehen sind um ein Vielfaches höher. Als Betreiber einer Website müssen Sie mindestens mit Ihrem Hoster einen Datenschutz AV-Vertrag abschließen. Sollte Ihr Dienstleister auch das Marketing übernehmen und personenbezogene Daten Ihrer Kunden verarbeiten, dann benötigen Sie mit diesem ebenso einen Vertrag.
Wenn Sie sich eine Website erstellen oder erstellen lassen, dann sollten Sie dennoch ein Auge auf den Datenschutz haben oder jemanden mit Erfahrung dazu holen. Nicht jeder Webdesigner hat Ahnung vom Datenschutz. Als Webdesign Agentur achten wir im Sinne unserer Kunden auf die richtige Umsetzung der aktuellen Datenschutz-Vorgaben.
