V-Hub by Vodafone Business Security SicherheitAuftragsverarbeitungsvertrag (AVV) – Für mehr Datenschutz

Zwei Personen schütteln sich die Hand. Im Hintergrund ist die Skyline einer Stadt zu sehen. Im Vordergrund Icons.

Security

Auftragsverarbeitungsvertrag (AVV) – Für mehr Datenschutz

11.06.2024

9 Min.

Jedes Unternehmen sammelt Daten – egal ob von Kund:innen-, Lieferanten oder Personal. Ihre Handhabung kann tückisch sein. Das Fundament für einen DSGVO-konformen Umgang mit Daten ist der sogenannte Auftragsverarbeitungsvertrag (AVV).

Das Unternehmen, das seine Website bei einem Webhosting-Provider speichert; die Marketing-Agenturen, die im Auftrag ihrer Kund:innen personenbezogene Daten verarbeiten; Personaldienstleister, die im Auftrag ihrer Kund:innen Personal suchen und einstellen – sie alle benötigen einen Auftragsverarbeitungsvertrag (AVV), um diese Daten DSGVO-konform verarbeiten zu können. Das gilt sowohl für das Unternehmen, das in Ihrem Auftrag Daten verarbeitet, als auch für Ihre eigene Firma, wenn Sie Zugriff auf externe Daten von Kund:innen haben. Hier erfahren Sie das Wichtigste zu diesem komplexen Thema in der Übersicht.

Inhaltsverzeichnis

Was ist ein Auftragsverarbeitungsvertrag?Was steht im Auftragsverarbeitungsvertrag?Wann ist ein Auftragsverarbeitungsvertrag notwendig? In folgenden Fällen wird kein AVV benötigt

Was ist ein Auftragsverarbeitungsvertrag?

Werden personenbezogene Daten durch externe Dienstleister erhoben, verarbeitet oder übermittelt, handelt es sich um eine sogenannte Auftragsverarbeitung. Als auftragsverarbeitende Stelle gilt, wer die Dienstleistung erbringt. Daten, mit denen sich eine Person eindeutig identifizieren lässt, sind im Internet Alltag. Beim Newsletter etwa, für den sich Ihre Kund:innen mit der E-Mail-Adresse anmelden müssen. Oder der Log-in mit echtem Namen auf Ihrer Homepage. Selbst die Nutzung von Google Analytics fällt darunter.

Kommt es zu einer solchen Auftragsverarbeitung, benötigen Sie einen Auftragsverarbeitungsvertrag – abgekürzt AVV. Dabei handelt es sich um ein rechtliches Dokument, das regelt, unter welchen Bedingungen der Auftragsverarbeiter die Daten verarbeiten darf, also welche Rechte und Pflichten sowohl Auftraggeber als auch Auftragnehmer haben.

Bei einem Auftragsverarbeitungsvertrag gilt als Auftraggeber die Stelle, die die Kontrolle über die personenbezogenen Daten hat. Sie entscheidet, wie diese Daten verarbeitet werden sollen. Die Daten werden vom Auftragnehmer verarbeitet und ausschließlich für die Zwecke im Vertrag genutzt. Wichtig ist, dass Ihr Unternehmen als Auftraggeber zwar weisungsbefugt ist, aber auch für den Schutz der Daten verantwortlich ist, die verarbeitet werden.

Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

Mehr zu Lookout

Was steht im Auftragsverarbeitungsvertrag?

Den Inhalt des Auftragsverarbeitungsvertrags regelt die Datenschutz-Grundverordnung (DSGVO). Entscheidend ist, dass Auftraggeber und Auftragsverarbeiter den AVV abschließen, bevor der erste Datentransfer erfolgt. Sie müssen den AVV schriftlich abschließen, wobei die elektronische Form ausreicht. Ebenfalls wichtig ist, dass im Auftragsverarbeitungsvertrag folgende Punkte geregelt sind:

Gegenstand und Dauer der Verarbeitung: Welche personenbezogenen Daten werden zu welchem Zweck und über welchen Zeitraum verarbeitet?
Art und Weise der Verarbeitung: Wie und wo werden die Daten verarbeitet und wer hat Zugriff darauf?
Technische und organisatorische Maßnahmen: Welche technischen und organisatorischen Maßnahmen werden zum Schutz der Daten getroffen? Wie werden die Daten gesichert und wie wird der Zugriff darauf geregelt?
Rechte und Pflichten von Auftraggeber und Auftragnehmer: Welche Rechte und Pflichtenentstehen bei der Auftragsverarbeitung für beide Seiten?
Unterauftragsvergabe: Dürfen Auftragnehmer auch Subunternehmer mit der Verarbeitung der Daten beauftragen? Wenn ja, welche Voraussetzungen müssen die Subunternehmer erfüllen?
Kontrolle und Überwachung der Verarbeitung: Wie können die Auftraggeber die Verarbeitung der Daten durch die Auftragnehmer kontrollieren und überwachen?
Rückgabe oder Löschung der Daten: Wann und wie werden die Daten gelöscht?
Geltendes Recht und Gerichtsstand: Welches Recht gilt für den Auftragsverarbeitungsvertrag? Und welches Gericht ist für mögliche Streitigkeiten zuständig ist?

Wann ist ein Auftragsverarbeitungsvertrag notwendig?

Grundsätzlich ist ein AVV immer dann erforderlich, wenn personenbezogene Daten von Dritten im Auftrag verarbeitet werden. Dies gilt auch dann, wenn die Dritten nur auf einen Teil der personenbezogenen Daten zugreifen können. Im Zweifelsfall sollten Sie sich an eine Anwaltskanzlei oder eine Datenschutzberatung wenden. Ob im Einzelfall ein AVV erforderlich ist, kann von verschiedenen Faktoren abhängen. Unbedingt notwendig ist ein Auftragsverarbeitungsvertrag bei der Verarbeitung personenbezogener Daten:

mit sensiblem Inhalt, zum Beispiel Gesundheits- oder Bankdaten
in großem Umfang
Innerhalb der EU
durch eine öffentliche Stelle
bei einer standardisierten Dienstleistung, beispielsweise Webhosting – hier wird eine AVV häufig vorformuliert und kann einfach akzeptiert werden

In folgenden Fällen wird kein AVV benötigt

Natürlich gibt es auch Fälle, in denen kein Auftragsverarbeitungsvertrag notwendig ist. Das ergibt sich aus den rechtlichen Rahmenbedingungen. Handelt es sich beispielsweise nicht um personenbezogene Daten, ist auch kein AVV notwendig. Doch selbst für personenbezogenen Daten gibt es Ausnahmesituationen, in denen ein AVV nicht vorgeschrieben ist. Werden die Daten beispielsweise außerhalb der EU verarbeitet, kann es sein, dass ein AVV nicht notwendig ist– vorausgesetzt, ein angemessenes Datenschutzniveau ist gewährleistet. Für die USA gilt dies jedoch beispielsweise nicht.

Dazu kommen bestimmte Berufsgruppen, für die gewerbespezifische Pflichten gelten. Sie müssen aufgrund ihrer Branche die Daten ohnehin besonders schützen, weshalb ein eigener AVV nicht immer notwendig ist. Dazu können unter anderem gehören:

Steuerberater:innen
Rechtsanwält:innen
Banken
Postdienstleister
Wirtschaftsprüfer:innen
Externe Betriebsärzt:innen
Inkassobüros

Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

Ohne Installation, direkt im Netz
Schützt von Viren und Pishing
Automatisch auf dem neusten Stand

Jetzt informieren

Checkliste zum AVV

Für einen Auftragsverarbeitungsvertrag gibt es Muster, die Sie meist kostenlos nutzen können. Allerdings handelt es sich bei der Verarbeitung personenbezogener Daten meist um sehr individuelle Leistungen, sodass Sie das Dokument anpassen müssen. Es empfehlen sich deswegen Vorlagen, die entweder von der Datenschutzbehörde oder einer Anwaltskanzlei stammen. Ob das nötig ist, verrät Ihnen unsere Checkliste. Sie fragt die Grundlagen ab, die gegeben sein müssen, damit ein AVV nötig ist.

Checkliste: Benötige ich einen Auftragsverarbeitungsvertrag (AVV)?

1. Werden personenbezogene Daten verarbeitet? Wenn nicht, ist kein AVV erforderlich.
2. Werden die personenbezogenen Daten von Dritten verarbeitet? Wenn nicht, ist kein AVV erforderlich.
3. Handelt es sich bei dem Dritten um einen Auftragnehmer laut Definition der DSGVO? Wenn nicht, ist kein AVV erforderlich.
4. Ist der Auftragnehmer im Ausland ansässig? Wenn nicht, ist kein AVV erforderlich, sollten die Voraussetzungen aus Artikel 28 DSGVO erfüllt werden.
5. Verarbeitet der Auftragnehmer sensible personenbezogene Daten oder Daten in großem Umfang? Wenn nicht, ist unter Umständen kein AVV erforderlich, wenn die Voraussetzungen des Art. 28 Abs. 4 DSGVO erfüllt sind.

Praktische Beispiele für einen AVV

Die praktischen Anwendungsmöglichkeiten für einen Auftragsverarbeitungsvertrag sind vielfältig. Sie benötigen einen AVV im Bereich von Kundendaten und Daten von Beschäftigten, im Marketing, bei der Finanzbuchhaltung, bei IT-Services, im Personalwesen, bei Recht und Compliance und in Forschung und Entwicklung. Hier kommen drei Beispiele für einen AVV aus der Praxis:

Online-Shop und Logistikdienstleister: In diesem Fall ist der Auftraggeber ein Online-Shop-Betreiber, der Waren an seine Kund:innen verkauft. Der Logistikdienstleister ist dabei Auftragnehmer und verarbeitet die personenbezogenen Kundendaten des Shops für die Zustellung der Waren.
Unternehmen und IT-Dienstleister: Der IT-Dienstleister muss hier die Daten der Beschäftigten verarbeiten, um ein reibungsloses Funktionieren des Systems garantieren zu können. Also etwa Namen, Adressen und Log-ins der Mitarbeiter:innen.
Webanalyse: Betreiben Sie eine Website, die Sie mit Google Analytics auswerten, haben Sie mit Google Ireland Limited einen AVV. Google zeichnet die Aktivitäten der Nutzer:innen auf und verarbeitet dabei personenbezogene Daten, zum Beispiel: IP-Adresse, Browsertyp, Betriebssystem.

So kommen Sie an einen AVV

Wenn Sie Auftraggeber sind, erhalten Sie in der Regel einen AVV von dem Partnerunternehmen, also dem Auftragsverarbeiter. Den AVV haben Sie vielleicht mit den AGB akzeptiert oder können ihn in Ihrem Kundenkonto nachlesen. Wichtig ist, dass Sie ihn griffbereit haben und leicht zuordnen können – das muss nicht ausgedruckt sein, eine digitale Form reicht aus.

Sollten Sie als Auftragnehmer für die Verarbeitung von Daten zuständig sein, müssen Sie einen AVV zur Verfügung stellen – entweder einzeln oder ebenfalls integriert in die AGB. Für den AVV gibt es einige Muster. Auch die Europäische Kommission stellt einige Standardvertragsklauseln zum Download bereit.

Zahlreiche Webseiten bieten teils sogar kostenlose AVV-Vorlagen und Generatoren an, die Ihnen bei der Erstellung eine Hilfe sein können. Es ist empfehlenswert, dass eine Fachkraft das Dokument kontrolliert. Einige Branchenverbände oder Berufsorganisationen bieten außerdem AVV-Vorlagen an, die auf die spezifischen Bedürfnisse ihrer Mitglieder zugeschnitten sind und sich eventuell besser eignen.

Wenn Ihr Unternehmen mit großen Mengen sensibler Daten umgeht oder Zweifel bestehen, wie Sie die gesetzlichen Vorschriften einhalten sollen ist es ratsam, eine Anwaltskanzlei zu konsultieren. Ein:e Anwält:in kann Ihnen helfen, einen maßgeschneiderten AVV zu erstellen.

Was passiert, wenn Unternehmen keinen AVV abschließen?

Keinen AVV zu haben und damit gegen die DSGVO zu verstoßen, kann eine Reihe negativer Auswirkungen haben. Zunächst gibt es die rein rechtlichen. Die Datenschutzaufsichtsbehörden können bei Verstößen gegen die DSGVO Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens verhängen. Zusätzlich können betroffene Personen, deren Daten ohne AVV verarbeitet wurden, das Unternehmen noch zusätzlich verklagen. Solche Prozesse sind nicht nur mit Kosten verbunden, sondern können auch zu einem Imageverlust führen.

Prominente Beispiele der vergangenen Jahre:

Google sah sich im Jahr 2021 mit einer Geldbuße in Höhe von 50 Millionen Euro konfrontiert. Die französische Datenschutzbehörde (CNIL) erhob diese Forderung, weil Google ohne AVV mit einem Subunternehmer gearbeitet hatte.
Im Jahr 2022 verhängte die bayerische Datenschutzbehörde (BayLDA) gegen ein Krankenhaus eine Geldbuße von 100.000 Euro, weil das Krankenhaus keinen AVV mit einem IT-Dienstleister abgeschlossen hatte.
Neben den möglichen rechtlichen Konsequenzen gibt es auch noch fachliche Herausforderungen. Ohne AVV hat Ihr Unternehmen keinen Überblick darüber, wie mit den Daten Ihrer Kund:innen umgegangen wird. Das kann zu einem Kontrollverlust und weiteren Datenschutzverletzungen führen. Außerdem könnten mögliche Kund:innen oder Geschäftspartner schlicht die Zusammenarbeit mit Ihnen verweigern, sollten Sie sich nicht an die DSGVO halten.

Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Jetzt kostenlos downloaden

Das Wichtigste zum Auftragsverarbeitungsvertrag in Kürze

Verarbeitet ein externer Dienstleister personenbezogene Daten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV).
Den Inhalt eines AVV regelt Artikel 28 der DSGVO.
Es gibt Ausnahmesituationen, in denen ein Auftragsverarbeitungsvertrag nicht zwingend notwendig ist: beispielsweise, wenn es gewerbespezifische Regeln gibt.
Im Internet können Sie Muster-AVV und Standardklauseln herunterladen. Im Zweifeln sollten Sie jedoch die Hilfe einer Anwaltskanzlei bemühen.
Arbeiten Sie trotz AVV-Pflicht ohne einen entsprechenden Vertrag, riskieren Sie hohe Bußgelder, Gerichtsprozesse und einen Imageverlust.

Clemens Förster

11.06.2024

# Tags:Sicherheit Business Basics Cybersecurity Start-up

TLS-Verschlüsselung und ihre Einsatzgebiete einfach erklärt

Digitale Sicherheit ist in Zeiten von Cyberkriminalität und Datenschutzbestimmungen unverzichtbar. Transport Layer Security (TLS) ist eine Verschlüsselungslösung für Unternehmen und Privatpersonen für den vertraulichen Datenaustausch. Dieser Artikel gibt Ihnen einen Überblick und erläutert die Grundlagen. Der Schutz sensibler Informationen vor unbefugten Zugriffen stellt für Unternehmen eine der größten Herausforderungen der digitalen Transformation dar. Eine zentrale Rolle kommt dabei der Transport Layer Security zu. Dieses Verschlüsselungsprotokoll gewährleistet die sichere Übertragung vertraulicher Daten im Internet – ob im internen Netzwerk oder im Austausch mit externen Stellen. Doch wie funktioniert TLS genau? Wie steht es um die Vor- und Nachteile? Und in welchen Bereichen kommt die Verschlüsselungstechnologie zum Einsatz?

Security

Hände, die ein Smartphone halten, über der Tastatur eines Notebooks, davor stilisierte Symbole für Textdateien und ein virtuelles Vorhängeschloß

Datensicherheit: So schützen Sie digitale Informationen richtig

Cloud-Services, die Erfassung von Nutzungsdaten oder Bestellungen aus dem Online-Shop: Unternehmen arbeiten in ihren täglichen Geschäftsprozessen mit immer mehr Daten. Doch wegen der Gefahr von Cyberangriffen, Naturkatastrophen und Anwendungsfehlern ist die Datensicherheit mitunter schwierig zu gewährleisten. Dazu kommen die gesetzlichen Bestimmungen zum Datenschutz. So manche Unternehmen beschäftigen sich jedoch erst dann intensiv mit Datensicherheit, wenn es zu spät ist: bei fahrlässigem Datenverlust oder als Opfer von Datendiebstahl. Dieser Leichtsinn kann sich rächen: Schon die erste große Datenpanne kann für ein Unternehmen existenzgefährdend sein. Wenn Daten in falsche Hände gelangt sind, ist es schwierig, den Schaden wiedergutzumachen: Neben dem Ausfall von Geschäfts- und Produktionsprozessen drohen Klagen auf Schadensersatz von Geschädigten, deren Daten kompromittiert wurden. Daneben kommen auf Sie als Verursacher einer Datenpanne rechtliche Konsequenzen durch den Gesetzgeber zu. Der beste Schutz gegen den Verlust und Diebstahl Ihrer Unternehmensdaten ist ein lückenloses Datensicherheitskonzept. Doch was bedeutet Datensicherheit konkret? Worauf sollten Sie achten und wie sollte ein solches Konzept aussehen, damit es auch in der Praxis funktioniert und künftigen Schaden von Ihrem Unternehmen abwendet?

Security

Ein Schlüssel mit fünf Sternchen anstelle eines Schlüsselbartes liegt auf einer Elektronikplatine.

Asymmetrische Verschlüsselung einfach erklärt

Verschlüsseln? Aber sicher! Vom Bitcoin bis zum sicheren Surfen per HTTPS – ohne asymmetrische Verschlüsselung wäre das Internet von heute kaum vorstellbar. Doch wie funktionieren Kryptosysteme wie RSA, DH und ECC – und sind sie tatsächlich unknackbar? Und was sollten Sie unbedingt beachten, wenn Sie Kryptographie für Ihr eigenes Business nutzen? Asymmetrische Verschlüsselungsverfahren haben die Welt der Kryptographie verändert. Sie können viel mehr, als nur Texte sicher zu verschlüsseln. Alles fing vor 40 Jahren mit ein paar unlösbaren mathematischen Problemen an. Heute basieren unzählige Anwendungen und Dienste im Internet auf der asymmetrischen Verschlüsselung. Blockchain-Technologien und sicher signierte E-Mails beispielsweise wären ohne die Verschlüsselung über sogenannte asymmetrische Schlüsselpaarungen kaum möglich.

Security

Geschlossene Schloss-Symbole auf einer stilisierten Computerplatine mit Programmcode

IT-Sicherheit im Überblick: Definition, Bereiche, Ziele

In einer fortschreitend vernetzten Welt sind Ihre geschäftskritischen IT-Systeme und Ihre wertvollen Daten permanent Cyber-Bedrohungen ausgesetzt. Daher ist eine solide IT-Sicherheitslösung eine entscheidende Investition für den Schutz Ihres Unternehmens. Wir geben einen Überblick über die verschiedenen Bereiche, in denen IT-Sicherheit in Ihrem Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützen kann. Die fortschreitende Digitalisierung bringt zwar viele Vorteile, stellt Unternehmen aber auch vor neue Herausforderungen im Bereich IT-Sicherheit. Der Schutz sensibler Daten und Systeme vor Cyber-Angriffen ist zu einer der wichtigsten Aufgaben geworden. Eine solide IT-Sicherheitsstrategie ist der Schlüssel, um Datenverluste, Ausfallzeiten und finanzielle Schäden zu vermeiden. Erfahren Sie, wie Sie Ihre Unternehmensdaten und Systeme effektiv vor den ständig wachsenden Cyber-Bedrohungen schützen können.

Security

Symbolisches Vorhängeschloss mit digitalen Ziffernfolgen eines Binärcodes , der sich in der Mitte eines runden Schließmechanismus befindet.

Brute-Force-Angriffe einfach erklärt: Das steckt dahinter

Moderne Brute-Force-Angriffe sind in der Lage, über koordinierte Massenanfragen Tausende von Passwörtern pro Sekunde auszuprobieren. Jeden Monat treffen solche Angriffe kleine Unternehmen, Mittelständler und Großunternehmen sowohl aus der Privatwirtschaft als auch aus dem Gesundheitssektor: Die beteiligten Hackergruppen schrecken im Grunde vor nichts zurück. Hier erfahren Sie, was hinter diesen Angriffen steckt – und wie Sie die Webseiten und die Webapps Ihres Unternehmens effektiv schützen. Der Begriff „Brute Force“ bedeutet direkt übersetzt „brutale Gewalt“. Ein Brute-Force-Angriff (Englisch: Brute Force Attack) zielt üblicherweise auf eine Anwendung, einen Passwort-Hash oder ein verschlüsseltes Passwort, um unbefugten Zugang zu geschützten Systemen, Konten oder Daten zu erlangen.

Vodafone Business

Zur Webseite

Auftragsverarbeitungsvertrag (AVV) – Für mehr Datenschutz

Inhaltsverzeichnis

Was ist ein Auftragsverarbeitungsvertrag?

Lookout: Die Sicherheitslösung für mobile Endgeräte

Was steht im Auftragsverarbeitungsvertrag?

Wann ist ein Auftragsverarbeitungsvertrag notwendig?

In folgenden Fällen wird kein AVV benötigt

Mobiler Virenschutz für Mitarbeiter:innen

Checkliste zum AVV

Checkliste: Benötige ich einen Auftragsverarbeitungsvertrag (AVV)?

Praktische Beispiele für einen AVV

So kommen Sie an einen AVV

Was passiert, wenn Unternehmen keinen AVV abschließen?

Prominente Beispiele der vergangenen Jahre:

Whitepaper: Cyber Security

Das Wichtigste zum Auftragsverarbeitungsvertrag in Kürze

TLS-Verschlüsselung und ihre Einsatzgebiete einfach erklärt

Datensicherheit: So schützen Sie digitale Informationen richtig

Asymmetrische Verschlüsselung einfach erklärt

IT-Sicherheit im Überblick: Definition, Bereiche, Ziele

Brute-Force-Angriffe einfach erklärt: Das steckt dahinter

Vodafone Business

Newsletter für Business-Kund:innen

Enterprise Plenum