aktualisierter AV-Vertrag steht bereit. Was ist das überhaupt?

Ortsausgangsschild AV-Vertrag DS-GVO

Zum Newsletter:

Danke für die Anmeldung! Ich werde hier versuchen der Datenschutz-Grundverordnung den Schrecken zu nehmen, einzelne Themen anschneiden, versuchen Berührungsängste abzubauen, und motivieren die einzelnen Themen anzupacken (falls nicht bereits geschehen).

Die Version 1.3 unseres AV-Vertrages ist jetzt online: AV-Vertrag_blox_BMA01_v1-3. Sie können diesen herunterladen, unterschreiben und einscannen oder per E-Mail abschließen.
Aber was ist denn ein AV-Vertrag überhaupt und warum brauchen wir den?

Keine Rechtsberatung!

Kurz gesagt:

Wer Kundendaten zur Verarbeitung an einen Dienstleister weitergibt bzw. Dienstleister Zugriff auf Kundendaten gewährt muss mit jedem Dienstleister einen sogenannten AV-Vertrag abschließen. Zumindest wenn dieser auf Anweisung (also nicht selbstständig) handelt. Das war auch schon vor der DS-GVO so, wurde jetzt aber nochmal europaweit einheitlich geregelt.

Man spricht hier von einem Vertrag zwischen

  • Auftraggeber(also z.B. Sie als Online-Stop-Betreiber) und
  • Auftragnehmer (z.B. blox.media der Kundenbestellungen ausführt) sowie
  • betroffene, naämlich die Kunden des Aufraggebers (z.B. Ihre Online-Shop-Kunden)

Der Auftrags-Verarbeitungs-Vertrag (AV-Vertrag) regelt, unter welchen Bedingungen der Zugriff erfolgt,  welche Daten verarbeitet werden, wie dies geschieht, und wer „betroffen“ ist.

Andere Bezeichnungen:

  • ADV-Vertrag bzw. Auftragsdatenverarbeitungsvertrag
    (schönes deutsches Wort!) So hieß er vorher.
  • englisch DPA (data processing agreement)

Braucht jeder einen AV-Vertrag?

Nein. Steuerberater  z.B. benötigen wohl keinen AV-Vertrag als Auftragnehmer da sie bereits berufsmäßig der Schweigepflicht unterliegen. Im Zweifelsfalls fragen Sie Ihren Dienstleister.

Viele sind der Meinung, dass für Email ebenfalls kein AV-Vertrag benötigt wird. Selbst falls das zutrifft kann es sein, dass die Benutzung des online-Adressbuches wiederum eine Datenverarbeitung ist – endgültig werden das wohl die Gerichte auslegen.

Wer kümmert sich darum?

Infografik AV-Vertrag
Infografik: AV-Vertrag mit allen Verarbeitern abschließen!

Verantwortlich den Vertrag zu schließen sind beide Parteien: Auftraggeber (der die Kunden hat) und Auftragnehmer (der die Kundendaten des Auftraggebers bearbeitet).
Die meisten Anbieter haben den AV-Vertrag auf der Webseite oder stellen diesen bei Nachfrage bereit.

Sie als Auftraggeber müssen nur noch auf Ihren Auftragnehmer zugehen, den vorliegenden Vertrag prüfen und unterschreiben bzw. digital einwilligen.

Wenn ich einen AV-Vertrag mit allen Dienstleistern abschließe erfülle ich also den Datenschutz?

Nicht unbedingt. Der Vertrag regelt die Grundlage der Datenverarbeitung. Ob der Vertrag konform mit der DS-GVO ist müssen Sie selbst prüfen. Ebenfalls müssen Sie die Datenschutzerklärung des Dienstleisters prüfen.

Es kann zum Beispiel sein, dass ein nicht-EU-Anbieter zwar einen AV-Vertrag und eine Datenschutzerklärung hat, diese aber gar nicht die europäischen Anforderungen erfüllt. Ausländische Firmen interessieren sich mitunter gar nicht für unsere EU-Gesetze.

Wenn man sich hier für einen europäischen oder gar deutschen Anbieter entscheidet ist die Wahrscheinlichkeit viel höher, dass dieser DS-GVO-konform arbeitet. Außerdem ist er im Falle eines Verstoßes „greifbar“ um in Haftung genommen zu werden, sollte also motiviert sein sich an die Regeln zu halten.

Weiterhin gilt der AV-Vertrag, wie bereits eingangs erwähnt, nur für Aufträge die nach Anweisung ausgeführt werden. Wenn der Dienstleister eigenverantwortlich auf die Daten zugreift gelten wieder andere Bestimmungen.

Wo fange ich an?

Zuersteinmal müssen Sie sich einen Überblick über Ihre Dienstleister verschaffen. Listen Sie alle Dienste auf bei denen Daten Ihrer Kunden mit Dienstleistern in Berührung kommen.

Diese Auflistung ist sowieso Pflicht, also schlagen Sie gleich zwei Fliegen mit einer Klappe.

Beispiele:

  • Webseiten-Anbieter. Webseiten-Login oder Online-Shop
  • Nutzen Sie Werkzeuge anderer Firmen auf Ihrer Webseite? Facebook-like-Buttons?
  • Online-Backup, Kalender/Adressbuch Ihres Smartphones/Computers (iCloud, OneCloud,Dropbox,Android, Google)
  • Vielleicht versenden Sie aber auch Grußkarten oder Rechnungen über Drittanbieter an Ihre Kunden.

Wenn Sie unsicher sind fragen sie zuerst beim Anbieter nach – das kostet in der Regel nichts.

Lassen Sie die Liste anschließend durch eine fachkundige Person prüfen. Die angebotenen Verträge können Sie ebenfalls prüfen lassen.

Schließen Sie dann die notwendigen AV-Verträge mit Ihren Dienstleistern ab (oft ist es nur 1 Klick) und dokumentieren Sie diese in der Liste

Neugierig geworden?

Ortsausgangsschild AV-Vertrag DS-GVO
DS-GVO: Augen zu hilft nicht!

Weiterführende Links auf externen Seiten:

  • Text der DS-GVO (konsolidiert, nicht amtlich)
    https://eur-lex.europa.eu/eli/reg/2016/679/oj
  • Text der DS-GVO amtlich:
    https://eur-lex.europa.eu/eli/reg/2016/679
  • ADV-Vertrag in der Datenschutzgrundverordnung (DSGVO) – Rechtsanwältin Sabine Sobola
    https://www.youtube.com/watch?v=TX8EcCO-NJw

Noch Fragen?

Bei technischen Fragen sprechen Sie mich gerne an. Bitte haben Sie Verständnis dass eine rechtverbindliche Beratung nur von einem Anwalt erfolgen kann.

PS: Bitte denken Sie daran dem oben verlinkten AV-Vertrag in der jeweils aktuellen Version zuzustimmen, falls Sie Kundendaten durch mich verarbeiten. Jetzt wissen Sie ja wofür der gut ist.

2 thoughts on “aktualisierter AV-Vertrag steht bereit. Was ist das überhaupt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert