Auftragsverarbeitungsvertraege unter der DSGVO: Was Sie wissen muessen
Auftragsverarbeitungsvertraege unter der DSGVO: Was Sie wissen muessen
TL;DR — Kurzantwort
1 Min. LesezeitJedes Drittanbieter-Tool, das personenbezogene Daten beruehrt, erfordert einen DSGVO-konformen Auftragsverarbeitungsvertrag. Die meisten Unternehmen unterschaetzen ihre AVV-Pflichten ueber ihren gesamten Anbieter-Stack hinweg.
Wenn Organisationen personenbezogene Daten mit Drittanbieter-Dienstleistern teilen, verlangt die DSGVO einen formellen Auftragsverarbeitungsvertrag (AVV), der regelt, wie diese Daten behandelt werden. Das Verstaendnis der AVV-Anforderungen ist fuer jedes Unternehmen unerlässlich, das externe Tools oder Dienste nutzt, die personenbezogene Daten beruehren.
Was ist ein Auftragsverarbeitungsvertrag?
Ein AVV ist ein rechtlich bindender Vertrag zwischen einem Verantwortlichen (der Organisation, die bestimmt, warum und wie Daten verarbeitet werden) und einem Auftragsverarbeiter (dem Dritten, der Daten im Auftrag des Verantwortlichen verarbeitet). Gaengige Auftragsverarbeiter-Beziehungen umfassen Cloud-Hosting-Anbieter, E-Mail-Dienste, Analytics-Tools und Zahlungsdienstleister.
Wesentliche Anforderungen
AVVs muessen den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Arten der betroffenen personenbezogenen Daten und die Kategorien der betroffenen Personen festlegen. Sie muessen auch bindende Pflichten fuer den Auftragsverarbeiter enthalten: Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, Vertraulichkeit des Personals sicherzustellen, angemessene Sicherheitsmassnahmen umzusetzen, bei Betroffenenanfragen zu unterstuetzen, Daten bei Vertragsbeendigung zu loeschen oder zurueckzugeben und Audits zu ermoeglichen.
Unterauftragsverarbeiter
Wenn ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) beauftragt, muss der urspruengliche Auftragsverarbeiter die Genehmigung des Verantwortlichen einholen. Der AVV sollte das Management von Unterauftragsverarbeitern regeln, einschliesslich Benachrichtigungspflichten und Haftung.
Praktische Auswirkungen
Viele Unternehmen unterschaetzen ihre AVV-Pflichten. Jedes SaaS-Tool, jeder Cloud-Service oder jede Drittanbieter-Integration, die auf personenbezogene Daten zugreift, erfordert einen AVV. Organisationen sollten ihre Anbieterbeziehungen ueberpruefen, sicherstellen, dass AVVs fuer alle Auftragsverarbeiter vorhanden sind, und diese Vereinbarungen regelmaessig ueberpruefen, um sicherzustellen, dass sie die tatsaechlichen Datenverarbeitungspraktiken widerspiegeln.
Das Versaeumnis, ordnungsgemaesse AVVs zu fuehren, kann zu DSGVO-Bussgeldern fuehren und setzt Organisationen einem Risiko aus, wenn ein Auftragsverarbeiter einen Datenverstoss verursacht.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Verwandte Artikel
DSGVO-Compliance-Checkliste: Wesentliche Schritte fuer Organisationen
Eine praktische DSGVO-Compliance-Checkliste zu Datenerfassung, Rechtsgrundlagen-Dokumentation, Datenschutzhinweisen, Betroffenenrechten, Sicherheit, Lieferantenmanagement und internationalen Uebertragungen.
Die DSGVO erklaert: Ein umfassender Leitfaden zur EU-Datenschutzverordnung
Alles, was Sie ueber die DSGVO wissen muessen: Grundprinzipien, Definition personenbezogener Daten, Rechtsgrundlagen, Betroffenenrechte, Durchsetzungsstrafen und internationale Datenuebertragungen.
DSGVO-Rechtsgrundlagen erklaert: Die sechs Grundlagen fuer die Verarbeitung personenbezogener Daten
Eine klare Erklaerung der sechs DSGVO-Rechtsgrundlagen fuer die Verarbeitung personenbezogener Daten, von der Einwilligung und Vertragserfuellung bis zum berechtigten Interesse, mit Orientierung zur richtigen Wahl.