Auftragsverarbeitungsvereinbarung
Auftragsverarbeitungsvereinbarung
Nach Art.28 DSGVO ist eine Person, die für einen Verantwortlichen eine Verarbeitung von personenbezogenen Daten vornimmt, ein Auftragsverarbeiter. Der Verantwortliche und der Auftragsverarbeiter müssen eine sogenannte Auftragsverarbeitungsvereinbarung schließen, welche unter anderem regelt, wie der Auftragsverarbeiter seine Tätigkeit ausübt, welche Sicherheitsvorkehrungen er für die betroffenen personenbezogenen Daten zu treffen hat und welche Kontrollrechte der Verantwortliche gegenüber dem Auftragsverarbeiter ausüben darf. Eine Auftragsverarbeitungsvereinbarung (AVV) ist ein rechtliches Dokument, das im Kontext des Datenschutzrechts verwendet wird, um die Beziehung zwischen einem Verantwortlichen für die Datenverarbeitung und einem Auftragsverarbeiter zu regeln. Die AVV ist insbesondere in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union festgelegt, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen in Übereinstimmung mit den Datenschutzvorschriften erfolgt.
Die wichtigsten Elemente einer Auftragsverarbeitungsvereinbarung umfassen:
1. **Parteien**: Die AVV identifiziert die beteiligten Parteien, nämlich den Verantwortlichen für die Datenverarbeitung und den Auftragsverarbeiter.
2. **Zweck und Dauer der Verarbeitung**: Die AVV klärt den Zweck, die Art und den Umfang der Datenverarbeitung, die der Auftragsverarbeiter im Auftrag des Verantwortlichen durchführen wird. Die Dauer der Verarbeitung wird ebenfalls festgelegt.
3. **Verantwortlichkeiten des Auftragsverarbeiters**: Die AVV legt die spezifischen Verpflichtungen des Auftragsverarbeiters fest, einschließlich Maßnahmen zur Sicherheit der Daten und zur Unterstützung des Verantwortlichen bei der Einhaltung seiner Datenschutzpflichten.
4. **Rechte und Pflichten des Verantwortlichen**: Die AVV beschreibt die Rechte und Pflichten des Verantwortlichen, einschließlich der Pflicht zur Überwachung und Kontrolle der Datenverarbeitung durch den Auftragsverarbeiter.
5. **Unterauftragsverarbeiter**: Falls der Auftragsverarbeiter Subunternehmen (Unterauftragsverarbeiter) zur Unterstützung der Datenverarbeitung einsetzt, müssen diese in der AVV aufgeführt sein. Der Hauptauftragsverarbeiter bleibt jedoch für die Einhaltung der Datenschutzvorschriften verantwortlich.
6. **Datensicherheit**: Die AVV enthält Bestimmungen zur Datensicherheit und Datenschutzmaßnahmen, die vom Auftragsverarbeiter ergriffen werden müssen.
7. **Vertraulichkeit**: Die AVV legt fest, dass der Auftragsverarbeiter und seine Mitarbeiter Verpflichtungen zur Vertraulichkeit der verarbeiteten Daten haben.
8. **Rückgabe oder Löschung von Daten**: Nach Abschluss der Dienstleistungen muss der Auftragsverarbeiter die Daten gemäß den Anweisungen des Verantwortlichen zurückgeben oder löschen.
9. **Zusammenarbeit und Meldung von Datenschutzverletzungen**: Die AVV regelt die Zusammenarbeit zwischen den Parteien im Falle von Datenschutzverletzungen und verlangt, dass der Auftragsverarbeiter den Verantwortlichen umgehend über Datenschutzverletzungen informiert.