Auftragsverarbeitungs-Vertrag (AVV)

Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, gilt das als Auftragsverarbeitung. Dann ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich.

Der Auftraggeber ist rechtlich weiterhin für die personenbezogenen Daten und den Umgang mit diesen verantwortlich. Er muss die Auftragnehmer mit der gebotenen Sorgfalt aussuchen und deren Tätigkeit regelmäßig überprüfen.

Definition

• Eine Auftragsverarbeitung liegt vor, wenn Daten weisungsgebunden im Auftrag von einem Auftragnehmer verarbeitet werden.
• Beispiele für eine Auftragsverarbeitung sind Dienstleister wie Lohnbüros und Aktenvernichter sowie Outsourcing-Lösungen wie SaaS und Hosting-Anbieter.
• Liegt ein Auftragsverarbeitungsverhältnis vor, muss gem. Art. 28 Abs. 3 DSGVO bzw. Art. 9 nDSG ein Auftragsverarbeitungsvertrag abgeschlossen werden.
• Der AVV definiert u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer.
• Nach der DSGVO gilt die Pflicht einen Auftragsverarbeiter sorgfältig auszuwählen.
• Werden Daten bei der Auftragsverarbeitung in Drittländer übermittelt, ist die rechtliche Grundlage für eine solche Übermittlung zu prüfen.

Nach dieser Definition unterliegt fccDataPrivacy den Regelungen der Auftragsverarbeitung.