Angebot erhalten
Anfragen
Checkliste für Auftragsverarbeitungsverträge - SCALELINE Datenschutz

Checkliste für Auftragsverarbeitungsverträge: Worauf Sie unbedingt achten müssen

Checkliste für Auftragsverarbeitungsverträge: Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) ist ein entscheidendes Instrument, um den Schutz personenbezogener Daten bei der Zusammenarbeit mit Auftragsverarbeitern sicherzustellen. In diesem Zusammenhang ist zwingend ein Vertrag mit dem Dienstleister abzuschließen. In dem AV-Vertrag muss die Verarbeitung personenbezogener Daten näher geregelt werden. Wir beleuchten in diesem Beitrag die wichtigsten Aspekte eines AV-Vertrags und bieten Ihnen eine praxisrelevante Checkliste für Auftragsverarbeitungsverträge, die Ihnen hilft, die Anforderungen zu erfüllen.

Was ist ein Vertrag zur Auftragsverarbeitung?

Ein AV-Vertrag ist unverzichtbar, wenn eine Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter erfolgt. Dieser Vertrag muss alle gesetzlich vorgeschriebenen Angaben enthalten und präzise, vollständig und konkret sein. Schwammige Formulierungen sind nicht ausreichend. Sowohl elektronische als auch schriftliche Formen sind akzeptabel, solange die Vertragspflichten klar festgelegt sind.

Was sind typische Fälle der Auftragsverarbeitung?

  • Cloud-Dienste: Wenn ein Unternehmen Cloud-Dienste nutzt, um Daten zu speichern oder zu verarbeiten, ist ein AV-Vertrag notwendig. Der Cloud-Anbieter agiert in diesem Fall als Auftragsverarbeiter. Die Verwendung von Cloud-Diensten wie Microsoft Office 365 ist in vielen Unternehmen alltäglich. Hier werden Dokumente, E-Mails und andere Informationen gespeichert und verarbeitet.
  • Marketing und Werbung: Wenn ein Unternehmen eine Marketingagentur engagiert, um Marketingaktivitäten durchzuführen, kann dies die Verarbeitung personenbezogener Daten beinhalten. Dies ist jedoch im Einzelfall zu prüfen, denn es könnte unter Umständen auch der Fall einer gemeinsamen Verantwortung
  • IT-Support: Wenn IT-Dienstleister technischen Support für Unternehmen bereitstellen, erfordert dies regelmäßig den Zugriff auf personenbezogene Daten.
  • Datenanalyse: Unternehmen können Datenanalysefirmen beauftragen, um aus den erhobenen Daten Erkenntnisse zu gewinnen.
  • Bewerbertools: Viele Unternehmen nutzen spezialisierte Software und Plattformen für das Bewerbermanagement. Hierbei werden personenbezogene Daten von Bewerbern verarbeitet, angefangen von Lebensläufen bis hin zu Bewerbungsunterlagen.
  • CRM-Systeme (Customer Relationship Management): CRM-Systeme sind unverzichtbar für die Verwaltung von Kundenbeziehungen und -informationen. Unternehmen nutzen diese Systeme, um Kundenkontakte, Kommunikation, Einkaufsverhalten und vieles mehr zu organisieren.
  • Projektmanagement-Software: Die Verarbeitung personenbezogener Daten ist auch in Projektmanagement-Prozessen üblich. Dies kann von der Zuweisung von Aufgaben an Teammitglieder bis hin zur Verfolgung des Projektfortschritts reichen.
  • Buchhaltungssoftware: Buchhaltungssoftware enthält oft sensible Finanzdaten, die personenbezogene Informationen enthalten können. Ein Auftragsverarbeiter, der mit Buchhaltungssoftware arbeitet, kann sicherstellen, dass die Daten gemäß den Datenschutzgesetzen verarbeitet werden und die finanziellen Informationen der Kunden geschützt bleiben.
  • Zeiterfassung: Viele Unternehmen setzen Zeiterfassungstools ein, um die Arbeitszeiten ihrer Mitarbeiter zu verfolgen. Hierbei werden personenbezogene Daten wie Name, Arbeitszeiten und Abwesenheiten verarbeitet.

In all diesen Fällen ist es von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass die Auftragsverarbeiter den Datenschutzvorschriften entsprechen und die Verarbeitung personenbezogener Daten ordnungsgemäß durchführen. Um das prüfen zu können, haben wir eine Checkliste für Auftragsverarbeitungsverträge erstellt:

  • Bezug zum Hauptvertrag: Zusammenhang verstehen

Es ist möglich, auf einen bestehenden Hauptvertrag zu verweisen. Dieser Hauptvertrag muss jedoch für eine umfassende Prüfung vorliegen und die erforderlichen Informationen für die Auftragsverarbeitung enthalten. Sowohl der AV-Vertrag als auch der Hauptvertrag sollten einander ergänzen, um alle relevanten Punkte abzudecken.

  • Weisungsgebundenheit: Klarheit bei der Verarbeitung

Der Auftragsverarbeiter ist an die Weisungen des Verantwortlichen gebunden. Jegliche Verarbeitung ohne entsprechende Weisung muss gemeldet werden. Hierbei ist es wichtig, dass der Vertrag keine Verarbeitungen zu eigenen Zwecken gestattet, es sei denn, dies ist ausdrücklich vereinbart.

  • Pflichten des Auftragsverarbeiters: Transparenz und Löschpflicht

Der AV-Vertrag muss klare Unterstützungspflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen festlegen. Ebenso müssen die Löschpflichten nach Abschluss des Auftrags definiert sein. Die Einhaltung der Datenschutzmaßnahmen ist zentral, und es sollten nur über die Vertragspflichten hinausgehende Leistungen berechnet werden.

  • Technische und organisatorische Maßnahmen: Schutz der Daten gewährleisten

Besonders wichtig sind die technischen und organisatorischen Maßnahmen. Diese sollten konkret beschrieben sein und im Einzelfall ausreichenden Schutz bieten. Der Verantwortliche sollte das Recht haben, die Einhaltung dieser Maßnahmen zu überprüfen, ohne sich auf Dritte verlassen zu müssen.

Tipp: Niemals einen AV-Vertrag abschließen, ohne die technisch-organisatorischen Maßnahmen des Dienstleisters zu prüfen. Ist die TOMs-Dokumentation nicht Vertragsbestandteil fordern Sie diese unbedingt an.

  •  Unterauftragnehmer: Kontrolle bewahren

Unterauftragnehmer dürfen nur mit Zustimmung des Verantwortlichen eingesetzt werden. Die Nennung von Subdienstleistern im Vertrag erfordert Konkretheit und Genauigkeit. Änderungen bei den Subdienstleistern sollten aktiv kommuniziert werden. Die Übertragung von Pflichten auf Subdienstleister sollte im Einklang mit dem konkreten Auftragsverarbeitungsvertrag stehen.

  • Drittlandtransfer: Datenschutz auch außerhalb der EU gewährleisten

Die Regelungen für Datenübertragungen in Drittstaaten müssen angemessen sein und auch Behördenzugriffe berücksichtigen. Die bloße Verwendung von Standardvertragsklauseln reicht hierbei nicht aus.

Fazit: Die Bedeutung der Auftragsverarbeitung und Ihre Checkliste für Auftragsverarbeitungsverträge

Die Vielzahl von typischen Anwendungsfällen für Auftragsverarbeitung in der Unternehmensorganisation verdeutlicht, wie weitreichend diese Praxis in der modernen Geschäftswelt verankert ist. Von der Bewerberverwaltung über das Kundenbeziehungsmanagement bis hin zur Buchhaltung und Cloud-Nutzung – die richtige Handhabung der Daten ist unerlässlich, um rechtliche Anforderungen zu erfüllen und das Vertrauen der Kunden und Mitarbeiter zu wahren.

Die genannten Aspekte in der Checkliste für Auftragsverarbeitungsverträge verdeutlichen die Notwendigkeit einer klaren und präzisen vertraglichen Regelung zwischen Verantwortlichen und Auftragsverarbeitern. Von der Vertragsform über die Weisungsgebundenheit bis hin zu technischen und organisatorischen Maßnahmen – jeder Punkt trägt dazu bei, den Datenschutz zu gewährleisten und das Vertrauen der Betroffenen zu stärken. Dabei ist es umso wichtiger, die praxisrelevanten Hinweise aus der Checkliste für Auftragsverarbeitungsverträge umzusetzen. So entsteht ein gut strukturierter und rechtssicherer Prozess zur Prüfung und Dokumentation von Auftragsverarbeitungsverträgen.

Kostenloses Erstgespräch vereinbaren

Online-Meeting buchen
Online-Meeting buchen

10 % RABATT

IM MÄRZ