Skip to main content
Metasoul Docs
Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Zurück zur Startseite
  1. Metasoul Docs
  2. /
  3. Datenschutz Tips und Tricks
  4. /
  5. Auftragsverarbeitungs-Vereinbarung

Auftragsverarbeitungs-Vereinbarung

Was muss eine Auftragsverarbeitungsvereinbarung (AVV) beinhalten?

Was muss eine Auftragsverarbeitungsvereinbarung (AVV) beinhalten? Der Umfang einer AVV kann individuell gewählt werden, muss jedoch zumindest die Mindestanforderungen des Artikels 28 der DSGVO erfüllen. Mit Tools wie Metasoul bzw. dem Metasoul AVV-Generator lassen sich bereits DSGVO-konforme Auftragsverarbeitungsvereinbarungen erstellen und übersichtlich verwalten. Will man selber eine AVV aufsetzen, muss diese zumindest die folgenden Punkte enthalten:

  • Gegenstand und Dauer der Verarbeitung: Was wird verarbeitet, und mit welchen zeitlichen Einschränkungen darf die Verarbeitung durchgeführt werden?
  • Art und Zweck der Verarbeitung: Welche Verarbeitungstätigkeiten werden durchgeführt und zu welchem Zweck?
  • Art der Daten und Kategorien betroffener Personen: Welche personenbezogenen Daten von welcher Personengruppe dürfen im Zuge der Auftragsverarbeitung verarbeitet werden?
  • Pflichten und Rechte des Verantwortlichen (Auftragnehmers) und des Auftragsverarbeiters (Auftraggebers): Welche Weisungsrechte und Kontrollmöglichkeiten bestehen?
  • Verarbeitung nur auf dokumentierte Weisung: Ein Passus, der regelt, dass der Auftragsverarbeiter nur nach dokumentierter Weisung handeln darf.
  • Regeln zur Vertraulichkeit: Enthält die Verpflichtung zur Vertraulichkeit für alle mit der Verarbeitung betrauten Personen.
  • Technische und organisatorische Maßnahmen (TOM): Führt die Maßnahmen zur Datensicherheit gemäß Art. 32 DSGVO an.
  • Regelungen zu Sub-Auftragsverarbeiter: Enthält Regeln zum Umgang mit Auftragsverarbeitern, welche vom Auftragsverarbeiter weiter beauftragt werden (Sub-Auftragsverarbeiter)
  • Regeln zur Unterstützung bei Betroffenenrechten: Regeln, die die Unterstützung des Auftragsverarbeiters bei Anfragen betroffener Personen zur Ausübung ihrer DSGVO-Rechte vorsehen.
  • Regeln zur Unterstützung bei Pflichten nach Art. 32–36 DSGVO: Regeln, die die Unterstützung des Auftragsverarbeiters bei der Erfüllung spezifischer DSGVO-Rechte durch den Verantwortlichen vorsehen.
  • Rückgabe/Löschung der Daten nach Vertragsende: Regelt den Umgang mit personenbezogenen Daten nach Vertragsende.
  • Regeln zu Kontroll- und Auditrechte durch den Verantwortlichen: Beinhaltet das Recht des Verantwortlichen, den Auftragsverarbeiter bzgl. der Einhaltung des AVV zu überprüfen.
  • Informationspflicht bei unrechtmäßigen Weisungen: Regelt die Pflicht des Auftragsarbeiters, den Verantwortlichen zu informieren, wenn eine Weisung gegen die DSGVO verstößt.

Wer muss sich um eine Auftragsverarbeitungsvereinbarung (AVV) kümmern?

Der Verantwortliche trägt die Hauptverantwortung für den Abschluss, die inhaltliche Ausgestaltung sowie die laufende Überwachung der AVV. Er muss geeignete Auftragsverarbeiter auswählen und sicherstellen, dass vor Beginn der Datenverarbeitung ein gültiger AVV vorliegt. Insbesondere bei Clouddiensten oder bei Dienstleistungen, die für alle Kunden gleich erbracht werden, hat sich inzwischen jedoch etabliert, dass der Dienstleister einen fertigen AVV anbietet, der vom Auftragnehmer akzeptiert wird. Dieses Vorgehen ist generell in Ordnung, entbindet den Verantwortlichen jedoch nicht von seiner Verantwortung für eine ordnungsgemäße AVV. Mit Metasoul können DSGVO-konforme Auftragsverarbeitungsvereinbarungen sowohl aus Sicht des Verantwortlichen als auch aus Sicht des Dienstleisters (Auftragsverarbeiters) erstellt werden.

Muss eine Auftragsverarbeitungsvereinbarung (AVV) unterschrieben werden?

Eine Unterschrift ist nicht zwingend erforderlich. Es muss nur nachweisbar sein, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter die Auftragsverarbeitungsvereinbarung akzeptiert haben und dass diese verbindlich ist. Häufig wird in den Allgemeinen Geschäftsbedingungen (AGB) auf die AVV verwiesen, sodass mit der Nutzung eines Services die AGB und damit die AVV akzeptiert werden.

Muss ich mich an die Vorgaben in einer Auftragsverarbeitungsvereinbarung (AVV) halten?

Ja, unbedingt! Die Einhaltung der im AVV festgelegten Pflichten ist für beide Parteien verbindlich. Verstöße können zu Bußgeldern und Schadensersatzansprüchen führen. Der Verantwortliche muss die Einhaltung regelmäßig kontrollieren; der Auftragsverarbeiter muss die Vorgaben strikt umsetzen.

Was muss ich tun, wenn sich an der Auftragsverarbeitungsvereinbarung (AVV) etwas ändert?

Ändern sich die Umstände der Datenverarbeitung (z.B. neue Subunternehmer, andere Datenarten, geänderte Prozesse) oder die gesetzlichen Vorgaben, muss die Auftragsverarbeitungsvereinbarung entsprechend angepasst werden. Die Änderung muss schriftlich dokumentiert und von beiden Seiten (Verantwortlicher und Auftragsverarbeiter) bestätigt werden. Hier reicht es meist, wenn die andere Partei über die Änderung informiert wird und diese nach einer gewissen Zeit (zum Beispiel zwei Wochen) ohne Einwände als akzeptiert gilt. Idealerweise ist die Art und Weise, wie mit Änderungen umgegangen wird, direkt in der AVV geregelt. Die AVV sollten regelmäßig überprüft werden, ob sie noch aktuell sind. Die Verwendung von Tools wie Metasoul bietet dabei folgende Vorteile:

  • Auftragsverarbeitungsvereinbarungen können DSGVO-konform erstellt und verwaltet werden.
  • Man wird regelmäßig zur Überprüfung der AVV erinnert und Änderungen an dokumentierte Prozesse werden automatisch in die AVV übernommen.
  • Änderungen können einfach mit dem Verantwortlichen oder dem Auftraggeber (zum Beispiel über dynamisches Einbinden in die Webseite) geteilt werden.