AV-Vertrag – diese Abkürzung hat sich manifestiert und steht grunsätzlich für „Vereinbarung zur Auftragsverarbeitung nach Artikel 28 der EU-DSGVO“.
Doch was ist AV-Vertrag gemeint?
Der europäische Gesetzgeber fordert in der Datenschutzgrundverordnung eine klare Regelung zum Umgang mit Daten, wenn sie ein Auftragsverarbeiter im Rahmen der Bearbeitung als „Kerntätigkeit“ für Sie als Dienstleistung verarbeitet bzw. erbringt. Kerntätigkeit bedeutet, dass die eigentliche Dienstleistung darin besteht, diese Daten zu verarbeiten. Hier rücken beispielsweise IT-Dienstleister, Softwareportale, Clouddienste etc. in den Fokus. Ist die eigentliche Kerntätigkeit eine andere und Daten werden nur benötigt, um diese andere Kerntätigkeit zu erbringen, ist in der Regel kein AV-Vertrag notwendig. Das betrifft z.B. Speditionen, Postdienste etc.. Mit Banken, Rechtsanwälten, Notaren und Steuerberatern ist von Haus aus kein AV-Vertrag notwendig, da diese Berufsgruppen grundsätzlich zu den Berufsgeheimnisträgern gehören.
Was soll dieser AV-Vertrag denn nun eigentlich bewirken?
Stellen Sie sich Ihren Datenschutz doch mal als Schneekugel vor. Innen in der Schneekugel ist ihr Unternehmen. Die „Schneeflocken“ symbolisieren die vielen Daten, die sie in Ihrem Unternehmen verarbeiten. Die Hülle der Schneekugel symbolisiert Ihren Datenschutz. Dieser ist „Wasserdicht“. Nichts dringt nach außen. Sie haben den Datenschutz mit viel Einsatz, Engagement und letztendlich auch finanziellen Aufwänden umgesetzt. Perfekt.
Nun möchten Sie gewisse „Verarbeitungen“ aus Ihrem Unternehmen heraus an einen Dienstleister geben. Nehmen wir als Beispiel mal an, dass es ein HR-Portal (Human Ressort) zur Organisation des Personals ist. Sie geben also vielfältige, teils hochsensible Daten Ihres Personals an ein Webportal. Hier ist ein AV-Vertrag dringend erforderlich!
Wir haben Ihnen im Folgenden eine Checkliste erstellt, die es Ihnen ermöglicht, die wesentlichen Elemente eines AV-Vertrages zu beurteilen und die wesentlichen Elemente, die enthalten sein müssen, zu kontrollieren:
Die hier dargestellten Fragen sollen Ihnen ein Mindestmaß an Inhalten eines AV-Vertrages vorgeben. Bei Bedarf empfehlen wir Ihnen, sich extern beraten zu lassen, denn wir als Datenschutzbeauftragte können mit kurzem Blick sehen, ob diese wesentlichen Inhalte existent sind.
Die Vereinbarung zur Auftragsverarbeitung nach Artikel 28 stellt eine wesentliche Komponente im Rahmen der Rechenschafts- und Dokumentationspflicht, die Sie als Verantwortlicher haben, dar. Ein Nichterfüllen dieser Pflicht schlägt insbesondere bei Datenpannen und bei schlecht oder gar nicht erteilten Auskünften betroffener Personen im Rahmen einer Beschwerde bei den Aufsichtsbehörden sehr zu Buche.
Muss das ganze schriftlich sein? Braucht es die Unterschriften der Vertragspartner?
Der hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch (HBDI – Hessischer Beauftragter für den Datenschutz und IT-Sicherheit) hat hierzu in seinem 48. Tätigkeitsbericht zur Schriftform Stellung bezogen. Das Ganze finden Sie unter Der Hessische Beauftragte für Datenschutz und Informationsfreiheit legte seinen 48. Tätigkeitsbericht zum Datenschutz und seinen 2. Tätigkeitsbericht zur Informationsfreiheit vor | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (hessen.de)
Demnach genügt die „digitale“ Anerkennung der Vereinbarung zur Auftragsverarbeitung in folgenden zwei Varianten:
Beide Varianten genügen der Schriftformerfordernis des Art. 28 Abs. 9 DSGVO.
„Die DSGVO überlässt es … den Parteien, zu entscheiden, wie beweissicher sie Abschluss und Inhalt des Auftragsverarbeitungsvertrages dokumentieren möchten.“