Auftragsverarbeitungsvertrag (AV-Vertrag)

Die Auftragsverarbeitung (auch bekannt als Data Processing Agreement DPA), wie sie in Art. 28 Abs. 1 der DSGVO definiert ist, bezieht sich auf die Verarbeitung personenbezogener Daten durch einen beauftragten Dienstleister, auch bekannt als Auftragsverarbeiter, der im Namen und Auftrag eines Verantwortlichen handelt. Das Verarbeiten umfasst gemäß der Definition in Art. 4 Nr. 2 der DSGVO Tätigkeiten wie das Sammeln, Erfassen, Verändern oder Speichern von personenbezogenen Daten. Der Auftragsverarbeiter handelt dabei gemäß den Anweisungen des Verantwortlichen. Die Auslagerung der Lohnabrechnung an einen externen Dienstleister ist ein typisches Beispiel für Auftragsverarbeitung. Wenn so ein Auftragsverarbeitungsverhältnis vorliegt, muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen werden. Der AV-Vertrag muss viele Informationen beinhalten. Zuerst müssen die Auftraggeber und Auftragnehmer bzw. Auftragsverarbeiter genannt werden. Der Auftragsgegenstand, Art und Zweck der Verarbeitung, betroffenen Personen und Kategorien der Daten müssen auch beschrieben werden. Die Verantwortlichkeit des Auftraggebers soll zunächst erläutert werden. Hierzu gehören die Erfüllung der Betroffenenrechte, die Benennung weisungsberechtigter Personen und die Handhabung von Fehlern oder Problemen im Zusammenhang mit der Verarbeitung. Zudem werden die Pflichten des Auftragnehmers gem. DSGVO definiert. Dazu gehört beispielsweise, dass der Auftragsverarbeiter personenbezogene Daten ausschließlich gemäß den getroffenen Vereinbarungen oder den dokumentierten Anweisungen des Auftraggebers verarbeitet. Zudem wird festgelegt, dass der Auftragsverarbeiter den Auftraggeber umgehend benachrichtigen muss, wenn gegen Datenschutzbestimmungen oder vertragliche Vereinbarungen verstoßen wird. Auch vertraglich zu regeln sind die Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter, Unterstützung des Verantwortlichen bei der Meldung von Datenschutzverletzungen und der Durchführung von Datenschutz-Folgenabschätzungen, Verpflichtung zur Wahrung der Vertraulichkeit durch die autorisierte Person für die Verarbeitung usw.