Auftragsverarbeitungsvertrag (AVV) mit Anwalt

Ein Vertrag zur Auftragsverarbeitung (auch: Auftragsverarbeitungsvertrag bzw. Auftragsverarbeitungsvereinbarung, engl. "Data Processing Agreement" oder DPA) ist ein Vertrag zwischen einem Verantwortlichen für die Verarbeitung personenbezogener Daten und einem Auftragsverarbeiter, der im Namen des Verantwortlichen Daten verarbeitet. Der Vertrag legt die Bedingungen für die Verarbeitung personenbezogener Daten fest und stellt sicher, dass der Auftragsverarbeiter die Datenschutzbestimmungen einhält und angemessene Maßnahmen zum Schutz der Daten ergreift.

Entsprechend enthält ein Vertrag zur Auftragsverarbeitung eine Beschreibung der Art, des Umfangs und der Zwecke der Verarbeitung, die Dauer der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien von betroffenen Personen, die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters, die Sicherheitsmaßnahmen, die der Auftragsverarbeiter ergreift, um die personenbezogenen Daten zu schützen, die Bedingungen für die Zusammenarbeit zwischen dem Verantwortlichen und dem Auftragsverarbeiter sowie die Bedingungen für die Beendigung des Vertrags.

Ein Vertrag zur Auftragsverarbeitung ist insbesondere in der Europäischen Union (EU) gesetzlich vorgeschrieben. Gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) muss ein Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossen werden, wenn der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ein Vertrag zur Auftragsverarbeitung ist ein wichtiges Instrument, um sicherzustellen, dass personenbezogene Daten im Einklang mit den Datenschutzbestimmungen verarbeitet werden. Der Vertrag stellt sicher, dass der Auftragsverarbeiter die Datenschutzbestimmungen einhält und angemessene Maßnahmen zum Schutz der Daten ergreift und enthält deshalb unter anderem Regelungen zu:

• Art und Zweck der Verarbeitung: Der Vertrag muss eine klare Beschreibung der Art und des Zwecks der Verarbeitung personenbezogener Daten enthalten. Der Auftragsverarbeiter darf die personenbezogenen Daten nur im Rahmen des Vertrags und gemäß den Anweisungen des Verantwortlichen verarbeiten.
• Art der personenbezogenen Daten: Der Vertrag muss die Art der personenbezogenen Daten angeben, die verarbeitet werden. Der Auftragsverarbeiter darf nur die personenbezogenen Daten verarbeiten, die zur Erfüllung des Vertrags erforderlich sind.
• Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters: Der Vertrag muss die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters festlegen. Dazu gehören beispielsweise die Pflicht des Auftragsverarbeiters, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen, und die Pflicht des Verantwortlichen, den Auftragsverarbeiter bei der Einhaltung der Datenschutzbestimmungen zu unterstützen.
• Sicherheitsmaßnahmen: Der Vertrag muss die Sicherheitsmaßnahmen angeben, die der Auftragsverarbeiter ergreift, um die personenbezogenen Daten zu schützen. Der Auftragsverarbeiter muss angemessene technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Diebstahl zu schützen.
• Überprüfung und Kontrolle: Der Vertrag muss Bedingungen für die Überprüfung und Kontrolle der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter enthalten. Der Verantwortliche hat das Recht, die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zu überwachen und zu kontrollieren, um sicherzustellen, dass die Datenschutzbestimmungen eingehalten werden.
• Beendigung des Vertrags: Der Vertrag muss Bedingungen für die Beendigung des Vertrags enthalten. Dazu gehören beispielsweise die Pflicht des Auftragsverarbeiters, die personenbezogenen Daten nach Beendigung des Vertrags zu löschen oder zurückzugeben, und die Pflicht des Verantwortlichen, den Auftragsverarbeiter von der Verarbeitung personenbezogener Daten abzuziehen.

Der Vertrag zur Auftragsverarbeitung ist ein wichtiger Bestandteil einer umfassenden Datenschutzstrategie.

Als Rechtsanwälte im Datenschutzrecht prüfen und verhandeln wir für Sie Auftragsverarbeitungsverträge Ihrer Dienstleister oder wir erstellen Ihnen Vereinbarungen über die Auftragsverarbeitung. Und selbstverständlich beraten wir anwaltlich und klären Ihre Fragen als Experten im Datenschutzrecht.