Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Jedes Unternehmen, das personenbezogene Daten von einem externen Dienstleister im Auftrag verarbeiten lässt, muss ein AV-Vertrag nach Art. 28 DSGVO schließen. Nur so kann eine „Datenübermittlung“ datenschutzkonform erfolgen.

Der AV-Vertrag regelt die Rechte und Pflichten von Aufraggeber (z.B. einer Arztpraxis) und von Auftragnehmer (weisungsgebundener Dienstleister) sowie ggfs. einzusetzenden Subdienstleistern.

Hierbei ist zu beachten: Hat der Auftraggeber keinen AV-Vertrag aufgesetzt, steht der Auftragnehmer in der Pflicht einen von seiner Seite aus aufzusetzen.

Mit wem muss ich einen AV-Vertrag schließen?

Weisungsabhängige Dienstleister wie z.B.
- externe Buchhaltung / Gehaltsabrechnungsbüros
- externe Aktenvernichter / Datenträgerentsorger
- Hosting-Firmen für die Internetseite
- Tracking-Anbieter (Google-Analytics)
- Nutzung von externen Backup-Sicherheitsspeicherungen / Cloud-Anbieter
- externe Abrechnungsfirmen (Zahnarztpraxen ausgenommen = Besondere Regelung)
- Freie Mitarbeiter
- Prüfung und Wartung (Fernwartung, externer Support) der IT-Systeme, auf denen Patienten- und Kundendaten gespeichert sind.
- Druckereien und Lettershops, wenn Adressdaten für Mailings übergeben werden

Sobald ein externer Dienstleister die Möglichkeit erhält, auf Kundendaten / Besucherdaten / sonstige personenbezogene Daten eines Unternehmens zuzugreifen, muss dieses Unternehmen davon ausgehen, dass ein AV-Vertrag notwendig wird.

Kein AV-Vertrag bei Weisungsfreier und eigenständiger Verantwortlichkeit, wie z.B.
- die Beauftragung von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
- Postdienste für den Brief- oder Pakettransport
- Bankinstitute für den Geldtransfer
- Andere Ärzte, Krankenhäuser
- Apotheken und Labore
- Inkassounternehmen

Wenn ein Auftragsverarbeitungsvertrag fehlt, ist dies (möglicherweise) abmahnfähig.

Zudem kann die zuständige Datenschutzbehörde ein Bußgeld verhängen.
So wurde z.B. ein Hamburger Unternehmen wegen eines fehlendes Auftragsverarbeitungsvertrags zu einem Bußgeld von 5.000 € verurteilt. Artikel zum Bußgeld finden Sie hier:
https://eduodo.de/news/5000-euro-bussgeldbescheid-fur-fehlenden-av-vertrag

Was genau ein Auftragsverarbeitungsvertrag beinhalten muss finden Sie in Art. 28 DSGVO oder unter den folgenden Links:

Kurzpapier: https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf
Orientierungshilfe: https://www.datenschutz-bayern.de/technik/orient/oh_auftragsverarbeitung.pdf

‹ Zurück

Kostenlose Beratung
Kostenlose Beratung

Lassen Sie sich unverbindlich und kostenlos von uns beraten.

+49 173 5354738