Prüfung der Auftragsverarbeitungsverträge (AVV)

Eine Auftragsdatenverarbeitung war nach § 11 des Bundesdatenschutz-Gesetzes bis Mai 2018 die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag des verantwortlichen Unternehmens oder der verantwortlichen Person. Der neue AV-Vertrag, gemäß Art. 28 der DSGVO löste diesen, mit der Zielsetzung die Datensicherheit der Verbraucher zu stärken, ab. Das Schließen von Auftragsverarbeitungsverträgen ist eine zentrale Anforderung der DSGVO wenn personenbezogene Daten von einem Dienstleister (z.B. für die Unternehmensbewerbung) weisungsgebunden im Auftrag verarbeitet werden. Die Neuregelung lässt viele der schon bisher geltenden Anforderungen an den Verantwortlichen im Wesentlichen unverändert. Für den Auftragsverarbeiter ergeben sich vor allem Änderungen seiner datenschutzrechtlichen Verantwortlichkeit und Haftung. Für Unternehmen und Verantwortlich gilt es generell zu prüfen, ob bei der Beauftragung eines externen Dienstleisters eine Möglichkeit zum Zugriff auf personenbezogene Daten geschaffen wird. Art. 28 Abs. 3 der DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. So muss der Vertrag unter anderem unbedingt enthalten, welche Art von personenbezogenen Daten verarbeitet werden sowie was Gegenstand und was Zweck der Verarbeitung sind. Dem Verantwortlichen obliegt zudem die Pflicht, bei der Auswahl des Auftragsverarbeiters sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert hat, so dass die Vorschriften der Verordnung bei der Verarbeitung eingehalten werden.