AV-Verträge - Deshalb musst du dich drum kümmern

Lass uns zuerst den Begriff klären: Auftragsverarbeitungstätigkeiten sind Dienstleistungen, bei denen du für deinen Kunden personenbezogene Daten verarbeitest. Dazu zählen Tätigkeiten wie: 

• Betreuung von Websites 
• Verwaltung von Social Media Accounts 
• Übernahme von Hosting-Diensten oder IT-Support 
• Versand von Newslettern 

Die wichtigste Frage für dich lautet also: Verarbeitest du im Auftrag deines Kunden personenbezogene Daten? 

Es ist gesetzlich vorgeschrieben. Die DSGVO (Artikel 28, Absatz 3) verlangt, dass die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter auf Basis eines Vertrages erfolgt. Kurz gesagt: Ja, du brauchst einen AV-Vertrag. 

Ohne AV-Vertrag drohen Strafen. Ein kleines Versandunternehmen erhielt ein Bußgeld von 5.000 €, weil ein Dienstleister personenbezogene Daten ohne AV-Vertrag verarbeitete. In einem anderen Fall musste ein Automobilhersteller sogar 1.000.000 € zahlen, da Testfahrten mit Kameras aufgezeichnet wurden, ohne dass ein AV-Vertrag bestand. Für Agenturen jeder Größe ist ein AV-Vertrag also unerlässlich! 

Ein AV-Vertrag regelt Rechte und Pflichten zwischen dir und deinem Kunden. Wichtige Punkte sind: 

• Beschreibung der Verarbeitungstätigkeit 
• Kategorien der verarbeiteten personenbezogenen Daten 
• Umgang mit Subunternehmen (Unterauftragsverarbeiter) 
• Rechte des Auftraggebers zur Kontrolle 
• Umgang mit Datenpannen und Betroffenenanfragen 

Den AV-Vertrag schließt du sowohl mit deinen Kunden als auch mit deinen externen Dienstleistern ab. Externe Dienstleister könnten zum Beispiel Newsletter-Dienstleister wie CleverReach oder Webhosting-Unternehmen wie mittwald sein. 

Technische und organisatorische Maßnahmen (TOM) dokumentieren, wie du personenbezogene Daten in deinem Unternehmen schützt. Diese Maßnahmen müssen im AV-Vertrag aufgeführt sein. Das kann von abschließbaren Büroräumen bis hin zu Firewalls und Endpoint-Sicherheitslösungen reichen. Ein Datenschutzbeauftragter oder Tools wie der AV-Manager helfen dir dabei, die richtigen Maßnahmen zu identifizieren und zu dokumentieren. 

Das Verzeichnis für Verarbeitungstätigkeiten führt alle Prozesse auf, bei denen personenbezogene Daten verarbeitet werden. Du führst es entweder als Verantwortlicher für eigene Tätigkeiten (z. B. Mitarbeiterdatenverwaltung) oder als Auftragsverarbeiter im Auftrag deiner Kunden (z. B. Hosting von Websites). 

Die Erstellung und Pflege von AV-Verträgen und Verarbeitungsverzeichnis kann kompliziert sein. Tools wie der AV-Manager helfen dir, rechtskonforme Verträge und Verzeichnisse zu erstellen. Du kannst Dokumente mit wenigen Klicks exportieren und bei Bedarf der Aufsichtsbehörde vorlegen.