Aktenvernichter, Datenträgerentsorger, Cloud-Dienstleister, Externe Rechenzentren, Webhoster, Dienstleister zur Wartung oder Fernwartung, IT-Dienstleister, Einsatz von Webtrackern und viele mehr, zählen zu den Auftragsverarbeitern.

 

Sobald ein Dritter an der Datenverarbeitung beteiligt ist, muss ein sogenannter AVV geschlossen werden. Ein Vertrag kann schnell unterschrieben werden, aber wer sich mit dem Datenschutzrecht kaum auskennt, kann nicht beurteilen, ob der Vertrag auch die eigenen Interessen berücksichtigt. 

 

AVV oder VAV

Der AVV (Auftragsverarbeitungsvertrag) und der VAV (Vertrag zur Auftragsverarbeitung) sind gleichbedeutend. Zu verstehen ist darunter ein Vertrag, der zunächst zwischen zwei oder mehreren Partnern geschlossen wird. Der Vertrag soll den Datenschutz regeln in Bezug darauf, wie personenbezogene Daten im Auftrag verarbeitet werden dürfen und sollen. 

Es gibt immer einen Auftraggeber bzw. einen Verantwortlichen, der die Daten sammelt und auf bestimmte Weise verwendet. Daneben gibt es einen Auftragnehmer, welcher der Auftragsverarbeiter ist. Dieser kann durch eine natürliche Person (Mensch), eine juristische Person (Unternehmen), eine Behörde (Ämter, Ministerien etc.), eine Einrichtung (Vereine) oder eine Stiftung repräsentiert werden. 

Auftragsverarbeitungsvertrag nach DSGVO 

Der AVV kommt dann infrage, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben werden und von diesen auch verarbeitet werden. In der Unternehmenswelt gehört das zum Alltag dazu. Man spezialisiert sich, verkauft seine Produkte und/oder Dienstleistungen und bei Bedarf greift man auf andere spezialisierte Unternehmen zurück. So kann man Kosten einsparen und Know-how bei Bedarf extern einkaufen. In diesem Fall muss dringend ein Vertrag über die Datenverarbeitung abgeschlossen werden. 

Um sicherzustellen, ob es sich um eine Auftragsverarbeitung handelt, sollte man sich die konkreten Leistungselemente ansehen, welche im zugrunde liegenden Service- bzw. Dienstleistungsvertrag definiert sind.

 

Der Website-Hoster stellt dem Nutzer eine Webseite zur Verfügung, die vor allem IP-Adressen der User erfasst. Diese gelten aus Datenschutz-Sicht als personenbezogene Daten.

 

IT-Dienstleister sollen zwar nicht unmittelbar personenbezogene Daten verarbeiten, aber durch ihre breiten Zugriffsrechte im Kunden-System besteht für sie die Möglichkeit, es zu tun. Bereits das “Sehen” fällt unter den Begriff “Verarbeiten”. Aus diesem Grund gilt auch der IT-Dienstleister als Auftragsverarbeiter. 

 

Ein Lohnbuchhalter verarbeitet zahlreiche Daten der Mitarbeiten. Beauftragt man einen freien Lohnbuchhalter, gilt dieser als Auftragsverarbeiter. Wenn die Lohnbuchhaltung durch das eigene Steuerberaterbüro erledigt wird, so unterliegt dieses dem Steuerberatergesetz und ein Auftragsverarbeitungsvertrag ist nicht notwendig. 

Es ist der gleiche Prozess, aber ein anderes Ergebnis. Man darf also nicht zu leichtfertig an die Sache drangehen. 

 

 

 

Die Wichtigkeit des Datenschutzes

Datenschutz ist heutzutage besonders wichtig, denn mit seiner Hilfe wird man vor Datenmissbrauch geschützt. Im Zusammenhang mit der Digitalisierung wird das immer wichtiger. Allgemein gesagt bezeichnet Datenschutz den “Schutz von personenbezogenen Daten“. Er soll die Rechte des Individuums in Bezug auf seine persönlichen Informationen schützen. Wenn diese nicht geschützt werden, kann das schwerwiegende Folgen für die Betroffenen haben. Die private E-Mail-Adresse könnte bekannt werden und intime Details wie eine persönliche Krankengeschichte könnten öffentlich gemacht werden. Auch private Gespräche in Form von Chatverläufen könnten plötzlich für jeden zugänglich werden oder sensible Bankdaten könnten öffentlich bekannt gemacht werden. Aus diesem Grund hat jede Person ein Interesse am Schutz der persönlichen Daten. Gerade im Zeitalter der fortschreitenden Digitalisierung nimmt die Bedeutung des Schutzes an Bedeutung zu. Durch das Surfverhalten des Nutzers kann man Informationen über seine Interessen sammeln und die Erstellung eines umfassenden Nutzerprofils durch Dritte wird möglich. 

 

Personenbezogene Daten: Wichtige Rechte der Betroffenen

Laut dem Bundesdatenschutzgesetz darf man personenbezogene Daten nur unter strengen Voraussetzungen speichern. User, deren Daten gesammelt, gespeichert und verarbeitet werden, haben eine Vielzahl an Rechten. Die drei Wichtigsten betreffen die Selbstbestimmung, den Auskunftsanspruch und die Löschung der Daten.

 

Als wichtigste Regelung in Bezug auf personenbezogene Daten ist zu nennen, dass jeder User in die Speicherung und Verarbeitung seiner Daten zu einem bestimmten Zweck zustimmen muss. 

 

Ein stillschweigendes Einverständnis durch das Akzeptieren der Datenschutzerklärung genügt mit Inkrafttreten der DSGVO 2018 nicht mehr. Die personenbezogenen Daten dürfen nur dann erhoben werden, wenn der User seine aktive Zustimmung zum Vorgang gibt. 

Das heißt, dass man selbst Einfluss hat und bedachter mit der Freigabe persönlicher Informationen umgehen sollte. Es ist möglich, selbst Vorkehrungen zu treffen, um den Missbrauch der personenbezogenen Daten zu verhindern. 

 

Fehlender AV-Vertrag – Das sind die Konsequenzen

Die DSGVO gibt vor, dass ein AV-Vertrag oft notwendig wird. Gerade auch dann, wenn personenbezogene Daten durch Dritte verarbeitet werden. Man sollte sich immer um einen 

AV-Vertrag kümmern, denn die Verpflichtung dafür trifft sowohl den Auftragnehmer wie auch den Auftraggeber. 

Wenn man die AV-Verträge nicht ernst genug nimmt, können Konsequenzen folgen. Neben hohen Bußgeldern können auch Imageschäden entstehen. Im schlimmsten Fall drohen damit einhergehende Umsatzverluste. Tatsächlich kann es schnell teuer werden, sodass die Priorität für den AV-Vertrag hoch gesetzt werden sollte. Durch einen AVV-Check kann man den Dienstleister sogar prüfen lassen. So lässt sich sicherstellen, dass man auf einen zuverlässigen und belastbaren Datenschutzvertrag zurückgreifen kann.

 

Auf der deDATA | Projektseite https://avv-check.de können Sie Ihre Verträge kostengünstig prüfen lassen. Weitere Informationen finden Sie auch unter https://dedata.de.