Der Auftragsverarbeitungsvertrag

Mehr Sicherheit für deine Kunden!

Datenschutz / Data Protection Katrin Bock & Matthias Dörflein GbR Copyright Pixabay

Du betreibst eine Webseite? Dann brauchst du einen Auftragsverarbeitungsvertrag (AVV) mit deinem Hoster. Hast du einen?

Auftragsverarbeitungsverträge (AVV) müssen gemäß Art. 28 DSGVO immer dann geschlossen werden, wenn ein Unternehmen einen Dienstleister (der dann Auftragsverarbeiter wird) beauftragt, in seinem Auftrag Daten zu verarbeiten.

Das ist z. B. auch der Fall, wenn du ein E-Mail-Marketing-Tool nutzt, wo du Daten deiner Kunden oder Interessenten speicherst oder bei einer Buchhaltungssoftware, wo regelmäßig personenbezogene Daten eingegeben und verarbeitet werden.

Warum brauchst du den?

Ein Beispiel:
Angenommen, du bist Kunde bei einem Fitnessstudio. Dort sind dein Name, E-Mail-Adresse, Telefonnummer und sämtliche Trainingspläne gespeichert. Das Fitnessstudio speichert alle Daten auf einer Cloud, um jederzeit darauf zugreifen zu können. Soweit so gut, alles eigentlich normal.
Nach kurzer Zeit stellst du fest, dass du Werbe-E-Mails bekommst, die sich auf deinen ganz persönlichen Trainingsplan beziehen, den nur dein Fitnessstudio kennt.

Was könnte passiert sein?

Der Cloudanbieter deines Fitnessstudios könnte deine Daten an Dritte verkauft haben, die nun die Daten für Werbemaßnahmen nutzt. Es könnte noch zu weiteren Spam-Mails kommen, zu Phishing-Angriffen oder sogar Identitätsdiebstahl oder Hackerangriffen.

Was hat jetzt dein Fitnessstudio damit zu tun?

Das Fitnessstudio müsste mit dem Cloudanbieter einen Auftragsverarbeitungsvertrag abgeschlossen haben, denn es ist verantwortlich für den Schutz deiner personenbezogenen Daten. Dort ist u. a. geregelt, an wen die Daten weitergegeben werden dürfen, wo sie gespeichert sind, zu welchem Zweck usw. Hätte das Fitnessstudio einen solchen Vertrag, hätte es die Kontrolle darüber, wo deine Daten landen. Ein unbemerkter Verkauf deiner Daten an Dritte, die sie ohne deine Zustimmung verwenden oder missbrauchen, wäre damit nicht möglich.

Passiert es doch, kann das Fitnessstudio auch entsprechend dagegen vorgehen, den Cloudanbieter dafür haftbar machen.

Besteht kein Auftragsverarbeitungsvertrag könntest du das Fitnessstudio haftbar machen, da es den Schutz deiner Daten nicht ernstgenommen hat und Verantwortlicher in diesem Fall ist.

Dieses Beispiel zeigt, wie kritisch es für deine Kunden sein kann, wenn du keinen Auftragsverarbeitungsvertrag mit den entsprechenden Anbietern hast. Weil das Risiko so groß ist, ist dies auch eine sehr wichtige Anforderung, die die DSGVO an die Unternehmen stellt. Bei einer Datenschutzprüfung kann es zu empfindlichen rechtlichen Konsequenzen kommen, wenn der AV-Vertrag fehlt.

Was alles drinstehen muss und wie du ihn erstellst, erklären wir dir gern persönlich und helfen dir auch dabei, den AV-Vertrag zu erstellen.

Ein Anruf genügt.