Vertrag zur Auftragsverarbeitung (AVV): DSGVO-konform mit Expertenunterstützung

Ein Vertrag zur Auftragsverarbeitung (AVV) ist das Rückgrat für DSGVO-konforme Datenverarbeitung in Unternehmen. Gemäß Artikel 28 DSGVO regelt er die Zusammenarbeit zwischen Verantwortlichen und Auftragsverarbeitern, schützt personenbezogene Daten und minimiert Haftungsrisiken. Ob Sie Ihre Daten an Dienstleister wie Webhoster, Cloud-Anbieter oder Marketing-Agenturen weitergeben – ein rechtssicherer AVV ist Pflicht.  

Bei ITMR Rechtsanwälte erstellen, prüfen und verhandeln unsere Fachanwälte für IT-Recht mit Tätigkeitsschwerpunkt im Datenschutzrecht Ihren Auftragsverarbeitungsvertrag individuell. Mit unserer Expertise sorgen wir für maximale Sicherheit und Transparenz, damit Sie sich auf Ihr Kerngeschäft konzentrieren können. Erfahren Sie, wie wir Ihren AVV DSGVO-konform gestalten, welche Inhalte essenziell sind und warum professionelle Beratung den Unterschied macht. 

Ein AVV ist ein rechtlich bindender Vertrag zwischen einem Verantwortlichen (z. B. Ihrem Unternehmen) und einem Auftragsverarbeiter (z. B. einem IT-Dienstleister), der personenbezogene Daten im Auftrag verarbeitet. Er legt u.a. fest:  

• Art und Zweck der Datenverarbeitung.  
• Dauer der Verarbeitung.  
• Kategorien betroffener Personen und Daten.  
• Sicherheitsmaßnahmen zum Schutz der Daten.  
• Pflichten bei Vertragsende, z. B. Datenlöschung.

Ohne AVV drohen Bußgelder und Haftungsrisiken. Unsere Fachanwälte stellen sicher, dass Ihr Vertrag alle Anforderungen der DSGVO erfüllt.

Ein Auftragsverarbeitungsvertrag ist immer erforderlich, wenn Sie personenbezogene Daten an andere Unternehmen geben, die diese in Ihrem Auftrag verarbeiten. Beispiele:  

• Webhosting: Ihr Provider speichert Kundendaten.  
• Newsletter-Tools: Anbieter wie Mailchimp verarbeiten E-Mail-Adressen.  
• Cloud-Dienste: Lösungen wie Google Drive oder Dropbox.  

 Tipp: Auch Subdienstleister (z. B. Cloud-Partner Ihres Webhosters) müssen im AVV berücksichtigt werden. Unsere Kanzlei prüft Ihre Verträge auf Lücken und sorgt für DSGVO-Konformität.

Ein rechtssicherer Vertrag zur Auftragsverarbeitung umfasst gemäß Art. 28 DSGVO insbesondere:  

• Weisungsgebundenheit: Der Auftragsverarbeiter handelt nur nach Ihren Vorgaben.  
• Datensicherheit: Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten.  
• Subunternehmer: Genehmigungspflicht für weitere Dienstleister.  
• Betroffenenrechte: Unterstützung bei Auskunftsanfragen oder Löschung.  
• Datenlöschung: Rückgabe oder Löschung nach Vertragsende.

• Fachkompetenz: Unsere Anwälte sind spezialisiert auf IT- und Datenschutzrecht.  
• Individualität: Wir erstellen maßgeschneiderte Verträge für Ihr Unternehmen.  
• Full-Service: Von der Prüfung bis zur Verhandlung – wir übernehmen alles.  
• Transparenz: Selbstverständlich klare Kosten und persönliche Beratung.

Jetzt unverbindlich anfragen und Ihren AVV rechtssicher gestalten lassen!

Wann ist ein AVV nicht erforderlich?

Ein AVV ist nicht nötig, wenn der Dienstleister die Daten eigenverantwortlich verarbeitet (z. B. Handelsvertreter). Unsere Experten klären Ihre Einzelfälle. 

Was kostet ein AVV?

Die Kosten variieren je nach Komplexität. Kontaktieren Sie uns für ein individuelles Angebot!  

Kann ich ein AVV-Muster verwenden?

Muster bieten Orientierung, sind aber oft nicht rechtssicher. Wir passen Ihren Vertrag an Ihre Bedürfnisse an.  

Geht das alles auch ausführlicher?

Ein Vertrag zur Auftragsverarbeitung (auch: Auftragsverarbeitungsvertrag bzw. Auftragsverarbeitungsvereinbarung, engl. "Data Processing Agreement" oder DPA) ist ein Vertrag zwischen einem Verantwortlichen für die Verarbeitung personenbezogener Daten und einem Auftragsverarbeiter, der im Namen des Verantwortlichen Daten verarbeitet. Der Vertrag legt die Bedingungen für die Verarbeitung personenbezogener Daten fest und stellt sicher, dass der Auftragsverarbeiter die Datenschutzbestimmungen einhält und angemessene Maßnahmen zum Schutz der Daten ergreift.

Entsprechend enthält ein Vertrag zur Auftragsverarbeitung eine Beschreibung der Art, des Umfangs und der Zwecke der Verarbeitung, die Dauer der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien von betroffenen Personen, die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters, die Sicherheitsmaßnahmen, die der Auftragsverarbeiter ergreift, um die personenbezogenen Daten zu schützen, die Bedingungen für die Zusammenarbeit zwischen dem Verantwortlichen und dem Auftragsverarbeiter sowie die Bedingungen für die Beendigung des Vertrags.

Ein Vertrag zur Auftragsverarbeitung ist insbesondere in der Europäischen Union (EU) gesetzlich vorgeschrieben. Gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) muss ein Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossen werden, wenn der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ein Vertrag zur Auftragsverarbeitung ist ein wichtiges Instrument, um sicherzustellen, dass personenbezogene Daten im Einklang mit den Datenschutzbestimmungen verarbeitet werden. Der Vertrag stellt sicher, dass der Auftragsverarbeiter die Datenschutzbestimmungen einhält und angemessene Maßnahmen zum Schutz der Daten ergreift und enthält deshalb unter anderem Regelungen zu:

• Art und Zweck der Verarbeitung: Der Vertrag muss eine klare Beschreibung der Art und des Zwecks der Verarbeitung personenbezogener Daten enthalten. Der Auftragsverarbeiter darf die personenbezogenen Daten nur im Rahmen des Vertrags und gemäß den Anweisungen des Verantwortlichen verarbeiten.
• Art der personenbezogenen Daten: Der Vertrag muss die Art der personenbezogenen Daten angeben, die verarbeitet werden. Der Auftragsverarbeiter darf nur die personenbezogenen Daten verarbeiten, die zur Erfüllung des Vertrags erforderlich sind.
• Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters: Der Vertrag muss die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters festlegen. Dazu gehören beispielsweise die Pflicht des Auftragsverarbeiters, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen, und die Pflicht des Verantwortlichen, den Auftragsverarbeiter bei der Einhaltung der Datenschutzbestimmungen zu unterstützen.
• Sicherheitsmaßnahmen: Der Vertrag muss die Sicherheitsmaßnahmen angeben, die der Auftragsverarbeiter ergreift, um die personenbezogenen Daten zu schützen. Der Auftragsverarbeiter muss angemessene technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Diebstahl zu schützen.
• Überprüfung und Kontrolle: Der Vertrag muss Bedingungen für die Überprüfung und Kontrolle der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter enthalten. Der Verantwortliche hat das Recht, die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zu überwachen und zu kontrollieren, um sicherzustellen, dass die Datenschutzbestimmungen eingehalten werden.
• Beendigung des Vertrags: Der Vertrag muss Bedingungen für die Beendigung des Vertrags enthalten. Dazu gehören beispielsweise die Pflicht des Auftragsverarbeiters, die personenbezogenen Daten nach Beendigung des Vertrags zu löschen oder zurückzugeben, und die Pflicht des Verantwortlichen, den Auftragsverarbeiter von der Verarbeitung personenbezogener Daten abzuziehen.

Der Vertrag zur Auftragsverarbeitung ist ein wichtiger Bestandteil einer umfassenden Datenschutzstrategie.

Als Rechtsanwälte im Datenschutzrecht prüfen und verhandeln wir für Sie Auftragsverarbeitungsverträge Ihrer Dienstleister oder wir erstellen Ihnen Vereinbarungen über die Auftragsverarbeitung. Und selbstverständlich beraten wir anwaltlich und klären Ihre Fragen als Experten im Datenschutzrecht.