Muster: AV-Vertrag auf Basis DSGVO
Kostenloser Download:Muster für einen AV-Vertrag auf Basis der DSGVO
| Datei-Typ | Microsoft Word |
|---|---|
| Version | 2.4 (Changelog) |
| Aktualisiert | 19. Mai 2022 |
| Sprachen | Deutsch | English |
Bewertungen
Nutzungsrechte
 |
Sie dürfen die Vorlagen und Generatoren auf dieser Website zum Zwecke der Erfüllung eigener Datenschutzanforderungen auch im gewerblichen Bereich kostenfrei einsetzen und veröffentlichen, sofern Sie uns als Quelle benennen. |
Einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag – also von einem Dienstleister verarbeiten lässt. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt.
Die Anforderungen an einen solchen Vertrag über die Auftragsverarbeitung personenbezogener Daten sind mit der DSGVO gestiegen. Zwar sind im Vergleich zum bisherigen § 11 BDSG a.F. weichere Regelungen aufgestellt, was den Vertrag an sich angeht. Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird jedoch insgesamt deutlich schärfer ausgestaltet, als es nach dem BDSG a.F. der Fall war.
Das kostenlose Muster für einen Auftragsverarbeitungs-Vertrag der activeMind AG hilft beiden Seiten (Auftraggeber und Auftragnehmer) bei der Auftragsverarbeitung (AV) für die notwendige Klarheit zu sorgen. Rechte und Pflichten bei der AV werden explizit geregelt. Die Vorgaben der DSGVO zur Rechenschaftspflicht und gemeinsamen Haftung lassen sich so besser erfüllen.
Was ist ein Auftragsverarbeitungs-Vertrag?
Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Bei AV-Dienstleistern kann es sich zum Beispiel um Gehaltsabrechnungsbüros, Datenträgerentsorger, Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Web- bzw. E-Mailhoster oder auch freie Mitarbeiter handeln.
Der zu schließende AV-Vertrag regelt die Rechte und Pflichten von Aufraggeber und Auftragnehmer sowie ggfs. einzusetzenden Subdienstleistern. So soll u. a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag diesbezüglich umfassende Kontrollrechte eingeräumt.
Was muss ein AV-Vertrag beinhalten?
Die einzelnen Rechte und Pflichten beider Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet bzw. auf den jeweiligen Dienstleister und seine Tätigkeiten angepasst werden:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten, Kreis betroffener Personen
- Umfang der Weisungsbefugnisse
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters:
- Verarbeitung nach dokumentierter Weisung,
- Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
- Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
- Rechtmäßige Hinzuziehung von Subunternehmen,
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
- Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,
- Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DS-GVO i.V.m. Art. 32 DSGVO),
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 33 DS-GVO),
- Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 34 DS-GVO),
- Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 35 DS-GVO),
- Konsultierung der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 36 DS-GVO).
- Löschung oder Rückgabe nach Beendigung des Auftrags,
- Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen
Wichtiger Bestandteil des Vertrages ist eine Anlage zu den technischen und organisatorischen Maßnahmen, mit denen der Auftragnehmer Datenschutzund Datensicherheit der ihm überlassenen Daten gewährleistet.
Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU-Datenschutz-Grundverordnung
Die ab Mai 2018 anzuwendende europäische Datenschutz-Grundverordnung regelt das Verhältnis zwischen Auftraggeber und Auftragnehmer grundlegend neu. Insbesondere die mit der DSGVO eingeführte Rechenschaftspflicht nimmt verantwortliche Stellen, also den Auftraggeber, sehr viel stärker in die Pflicht. Es muss jederzeit belegt werden können, dass die Umsetzung datenschutzrechtlicher Anforderungen nicht nur konzipiert wurde; es muss künftig auch bewiesen werden, dass diese Umsetzung funktioniert! Hierfür müssen Auftraggeber auch im Rahmen der AV Sorge tragen. Neu ist auch die gesetzlich vorgesehene gemeinsame Haftung bei Datenschutzverstößen.
Bestehende, auf Basis des BDSG und der acht Datenschutzgebote ausgehandelte ADV-Verträge müssen voraussichtlich in großen Teilen neu verhandelt werden. Es ist anzunehmen, dass diese Verhandlungen teilweise nicht einfach werden. Es liegt aber im beiderseitigen Interesse von Auftraggeber und Auftragnehmer, diesen Prozess zügig anzugehen. Dabei gilt die Devise, je klarer die Vereinbarungen geschlossen und je präziser die Pflichten im ADV-Vertrag definiert werden, desto mehr Rechtssicherheit kann erwartet werden.
Der kostenlose Muster-Vertrag für die Auftragsverarbeitung personenbezogener Daten nach DSGVO hilft Ihnen dabei. Natürlich sollte die Vorlage stets auf den Einzelfall angepasst werden.
Andere Muster und Vorlagen für AV-Verträge
- Vorlage des Bayerischen Landesamtes für Datenaufsicht
- Vorlage der GDD (deutsch und englisch)
- Vorlage des Bitkom (deutsch und englisch)
- Vorlage des hessischen Datenschutzbeauftragten
Changelog
Version 2.3 enthält lediglich die Korrektur eines Tippfehlers auf S. 13 bei den dort vorgeschlagenen Werten.
Es gibt keine Notwendigkeit, auf der vorherigen Version basierende AV-Verträge zu aktualisieren.
In Version 2.2 haben wir die Hinweise zum Ausfüllen und einige Alternativen für Textbausteine überarbeitet, insbesondere zur Datenverarbeitung in Drittländern . Zudem wurden die Anhänge grundlegend aktualisiert.
Wenn Sie eine ältere Version unserer Vorlage für einen AV-Vertrag nutzen, sollten Sie die Anhänge mit der aktuellen Version 2.2 vergleichen.
In Version 2.1 wurde lediglich ein Absatz angepasst:
Version 2.0
§ 4 Abs. (11):
Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.
Version 2.1
§ 4 Abs. (11):
Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er, soweit verpflichtet, einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.
Die aktuelleVersion 2.0 des AV-Vertrages unterscheidet sich von der vorherigen Version (1.7) an folgenden Stellen:
- § 1 Abs. 2
- § 3 (Titel)
- § 4 Abs. 3 und 6
- § 5 (Titel)
- § 5 Abs. 8
- § 7 Abs. 8 und 9
- § 8 Abs. 4
- § 9 Abs. 1
- § 11 Abs. 1, 2 und 4
- § 14 Abs. 1
- § 16 Abs. 3
- Anlage 1 (Infobox und letzte Liste)
- Anlage 3 (Titel + letzter Satz)