AV-Vertrag Generator zur Auftragsdatenverarbeitung nach Datenschutzgrundverordnung (DSGVO)
- Für die Verwendung mit Deinen Auftraggebern oder zur Regelung der Zusammenarbeit mit Deinen Auftragnehmern.
- Angaben einfach im Online-Formular eingeben
- Der AV-Vertrag entsteht direkt vor Deinen Augen
- Download als Word- und PDF-Datei möglich
- Nach anwaltlich geprüftem Vertragsmuster
Was beinhaltet der AV-Vertrag Generator bzw. die Datenschutzsoftware, insbesondere für Deutschland, Österreich und Schweiz?
Mit diesem Auftragsverarbeitungs-Vertrag Generator bzw. Auftragsbearbeitungs-Vertrag Software (kurz AV-Vertrag / ADV-Vertrag / AVV Generator bzw. Software) kann einfach ein Auftragsdatenverarbeitungsvertrag bzw. Auftragsdatenbearbeitungsvertrag sowohl vom Auftraggeber und Auftragnehmer erstellt werden, insbesondere in Deutschland, Österreich oder in der Schweiz bitte beachten Sie bei der Erstellung eigenständig eventuelle Besonderheiten Ihres Landes, die individuell an das jeweilige Unternehmen angepasst werden können. Dabei entsteht der Vertrag direkt vor Ihren Augen, da Änderungen beim Eingeben von Daten direkt in das entstehende Dokument auf Ihrem Bildschirm übernommen werden. Das Dokument kann anschließend als Word- oder PDF-Datei mit den von Ihnen eingegebenen Daten heruntergeladen werden. Sie erhalten bei korrekter Eingabe einen AV-Vertrag, der den Anforderungen an eine Auftragsverarbeitung (bzw. Auftragsbearbeitung) nach Artikel 28 DS-GVO entspricht, welchen Sie ggf. zu Ihrer Absicherung z.B. durch einen Rechtsanwalt oder Datenschutzbeauftragten (bez. Datenberater) ergänzend prüfen lassen sollten um nicht eventuelle fehlerhafte Eingaben auf dem Generator bzw. der Datenschutzsoftware vorgenommen zu haben.
Im Gegensatz zum Muster oder Vorlage eines ADV-Vertrag welcher ggf. durch einen Rechtsanwalt oder Datenschutzbeauftragen (bzw. Datenberater) erstellt wurde und im Internet oftmals zu finden ist haben Anwender mit diesen oftmals das Problem diese Dokumente auf Ihren konkreten Fall anzupassen. Hier kann mit dem ADV-Vertrag Generator, welcher für Unternehmen auf der Website www.datenbuddy.de zur Einhaltung des Datenschutzes zur Verfügung steht, dank konkreter Hinweise, wie diese ein Datenschutzbeauftragter (bzw. Datenberater) oder ein Rechtsanwalt im Einzelfall erteilten kann, die Individualisierung des ADV-Vertrag mit Hilfe des Generators bzw. der Software von Ihnen direkt ohne Wartezeit umgesetzt werden, soweit der Generator bzw. die Datenschutzsoftware technisch verfügbar ist.
Im Gegensatz zu einem Mustervertrag bzw. zu einer Vorlage entsteht der Auftragsverarbeitungsvertrag bzw. Auftragsbearbeitungsvertrag live beim einfachen Frage-Antwort-Spiel vor Ihren Augen und Sie lernen zudem mit dem Datenschutz durch den Generator umzugehen, der ADV-Vertrag Generator (bzw. Datenschutz-Software) geht damit über ein Vertragsmuster bzw. die Nutzung von Vorlagen hinaus. Ein Auftragsverarbeitungs-Vertrag bzw. Auftragsbearbeitungs-Vertrag kann somit von Auftragnehmer und Auftraggeber eigenständig erstellt werden, siehe https://datenbuddy.de/av-vertrag-generator/
Ein ordentlicher AV-Vertrag ist sowohl im Interesse von Auftraggeber und Auftragnehmer, da beide zur Schließung des AV-Vertrag nach der Datenschutzgrundverordnung verpflichtet sind.
Welche Informationen der Generator (bzw. Datenschutz-Software) von Ihnen braucht, um den AV-Vertrag zu generieren, finden Sie in der untenstehenden Liste.
Benötigte Informationen zur Erstellung eines Auftragsverarbeitungsvertrages bzw. Auftragsbearbeitungsvertrages:
- eigenes Unternehmen (Name und Geschäftsbezeichnung), Straße, Ort
- Auftragsverarbeiter/Vertragspartner (Name und Geschäftsbezeichnung), Straße, Ort
- Informationen über den für die Vertragsbeziehung zwischen Auftraggeber und Auftragsverarbeiter abgeschlossenen Vertrag (Hauptvertrag) mit Datum
- Laufzeiten des Vertrages
- Zweck des Vertrages und Verarbeitungsart (wenn diese nicht im Hauptvertrag definiert wurde)
- Informationen zu den Anforderungen an den Drittlandtransfer der Daten
- Auskunft über die verarbeiteten Datenkategorien und die Kategorien betroffener Personen
- Informationen über den Datenschutzbeauftragten (Name, Kontaktdaten, Unternehmen)
- Informationen über die verwendeten technischen und organisatorischen Maßnahmen (Dokumentation muss vor dem Beginn der Verarbeitung vom Auftraggeber überprüft werden, Änderungen an den TOMs sind zu dokumentieren, Gesamtaudits der TOMs spätestens 12 Monate nach der letzten Änderung) -> genaue Beschreibung der TOMs vom Auftragnehmer und Unterauftragnehmer(n) an AV-Vertrag anhängen
- Hinweise zu einer Verarbeitung durch Unterauftragnehmer (nur nach Einwilligung, Auftragnehmer muss beim Unterauftragnehmer Audits durchführen etc.) -> alle Unterauftragnehmer auflisten (Firma, Anschrift, Leistungsbeschreibung)
- Informationen über das Kontrollrecht des Auftraggebers (Ablehnung der Kontrolle bei Wettbewerbsverhältnis zwischen Auftraggeber und Drittem, Unterstützungspflicht vom Auftragnehmer durch Einsicht in Unterlagen und Zutritt zu Betriebsstätten, etc.)
- Benennung der Personen, die befugt sind, Weisungen zu erteilen bzw. anzunehmen (Name, E-Mail-Adresse)
- Aufbewahrungsfristen für Dokumente nach Beendigung des Vertrages
- Optionale Haftungsregeln und Höhe bei Vertragsstrafen (wenn nicht definiert, gelten die gesetzlichen Vorgaben)
- Bedingungen für die Form der Nebenabreden (schriftlich, E-Mail, mündliche etc.)
- Angaben zum Gerichtsstand
- Ort, Datum und Unterschrift des Aufraggebers und des Auftragnehmers (alternativ: AV-Vertrag kann als Teil der AGBs ohne Unterschrift gültig sein)
Welche Schritte durchläuft man mit dem Generator bzw. der Software bei Erstellung des
Auftragsverarbeitungsvertrages bzw. Auftragsbearbeitungsvertrages?
1. Der Generator bzw. die Software passt ein Muster-Dokument für Auftragsverarbeitungen bzw. Auftragsbearbeitungen an die jeweiligen Bedürfnisse Ihres Unternehmens an. Die Anpassung nimmt der Auftraggeber oder Auftragnehmer selbst und eigenverantwortlich vor.
2. Der Anbieter (https://datenbuddy.de/av-vertrag-generator/) übernimmt keine Haftung für die Richtigkeit und Vollständigkeit Ihrer Version des Muster. Um sich rechtlich abzusichern, sollte die Prüfung Ihres generierten ADV-Vertrag durch einen spezialisierten Rechtsanwalt oder Datenschutzbeauftragten bzw. Datenberater zur Einhaltung von BDSG anderer Gesetze und der DSGVO in Anspruch genommen werden. Bitte beachten Sie weiterhin den Haftungsausschluss und die Allgemeinen Geschäftsbedingungen des Anbieters.
3. Die Richtigkeit Ihrer Angaben wird nicht vom Anbieter überprüft, die Erstellung des Dokuments erfolgt Schritt für Schritt durch den Dienstleister.
4. Nach der Erstellung des AV-Vertrages steht dieser als Word- oder PDF-Datei zum Download zur Verfügung und kann von Auftraggebern oder Auftragnehmern genutzt werden.
5. Änderungen während der Vertragserstellung können jederzeit von Ihnen eigenständig vorgenommen werden (Zurück-Schaltfläche).
Wann ist ein Auftragsverarbeitungsvertrag bzw. Auftragsbearbeitungsvertrag kurz AV-Vertrag oder ADV-Vertrag notwendig?
Ein Auftragsverarbeitungsvertrag bzw. Auftragsbearbeitungsvertrag (AV-Vertrag) muss dann abgeschlossen werden, wenn personenbezogene Daten von einem Auftragnehmer im Auftrag des Verantwortlichen verarbeitet werden. Dabei bleibt der ursprünglich Verantwortliche weiterhin für die personenbezogenen Daten verantwortlich, er muss also weiterhin den Schutz der personenbezogenen Daten garantieren können. Bei fehlenden oder mangelhaften AV-Verträgen können gegen beide Vertragsparteien Bußgelder und Schadensersatzansprüche geltend gemacht werden.
Wann liegt eine Auftragsverarbeitung nach DS-GVO vor?
Es handelt sich dann um eine Auftragsverarbeitung bzw. Auftragsbearbeitung, wenn durch den Verantwortlichen angeordnet wird, personenbezogene Daten mittels eines Auftragsverarbeiters bzw. Auftragsbearbeiters zu verarbeiten.
1) Verarbeitung: jeder (automatisierte oder nicht automatisierte) Vorgang im Zusammenhang mit personenbezogenen Daten, wie Erfassen, Ordnen, Speichern, Ändern oder Löschen.
(Artikel 4 Nr. 2 DS-GVO)
2) Verantwortlicher: Person/Behörde/Einrichtung, die Entscheidungsbefugnisse über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten innehat. (Artikel 4 Nr. 7 DS-GVO)
3) personenbezogene Daten: Informationen, die sich auf natürliche Personen beziehen und geeignet sind, diese zu identifizieren (beispielsweise Name oder andere Kennung, physische Merkmale).
(Art. 4 Nr. 1 DS-GVO)
4) Auftragsverarbeiter: eine Person/Behörde/Einrichtung verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen.
(Art. 4 Nr. 8 DS-GVO)
Dabei muss die Verarbeitung personenbezogener Daten eine Hauptpflicht des Auftragsverarbeiters sein, darf sich folglich nicht nur als Nebenfolge der Rechtsbeziehung ergeben. Weiterhin muss die Auftragsverarbeitung bzw. Auftragsbearbeitung weisungsgebunden erfolgen, der Auftragnehmer darf also die Daten nicht für eigene Zwecke weiterverarbeiten, sondern diese nur für die im Vertrag festgelegten Zwecke nutzen.
Welche Verhaltensregeln bestehen nach der DS-GVO für den Auftragsverarbeiter bzw.
Auftragsbearbeiter?
Der Auftragsverarbeiter (bzw. Auftragsbearbeiter) stellt den verlängerten Arm des Verantwortlichen nach der DS-GVO in Bezug zum Kunden dar, er darf die personenbezogenen Daten des Kunden nur für die vertraglich festgelegten Zwecke verarbeiten. Dabei muss er den Weisungen des Verantwortlichen Folge leisten, es sei denn, diese sind datenschutzwidrig oder unzumutbar.
Existieren Strafen bei nicht vorhandenem Auftragsverarbeitungsvertrag bzw. Haftungsfragen nach der DSGVO?
Fehlt ein AV-Vertrag oder ist dieser unzureichend, drohen Bußgelder von bis zu 2 % des Umsatzes im letzten Jahr bzw. 10 Mio. Euro (Art. 83 Abs. 4 DS-GVO). Werden bei der Auftragsverarbeitung Datenschutzverstöße (bspw. Missachtung von Betroffenenrechten) begangen, kann das Bußgeld bis zu 4 % des Jahresumsatzes bzw. 20 Mio. Euro betragen (Art. 83 Abs. 5 DS-GVO).
Beide Parteien (Auftraggeber und Auftragnehmer) haften gesamtschuldnerisch, d.h. Betroffene können bei beiden Vertragsparteien Schadensersatz bei Verstößen geltend machen.
Muss die Ansprechpartnerbenennung, Dokumentation der Weisungen nach DSGVO erfolgen?
Eine Benennung der Ansprechpartner im AV-Vertrag muss i.d.R. nicht erfolgen, wenn sich diese eindeutig bestimmen lassen; es wird jedoch empfohlen, Kontaktdaten anzugeben.
Müssen technische und organisatorische Maßnahmen (TOMs) im AV-Vertrag / ADV-Vertrag enthalten sein?
Auftragsverarbeiter bzw. Auftragsbearbeiter müssen geeignete TOMs verwenden, um bei der Datenverarbeitung den Schutz der betroffenen Personen und die Konformität mit der DS-GVO zu garantieren (Art. 28 Abs. 1 DS-GVO). Auftraggeber sollten die technischen und organisatorischen Maßnahmen vor dem Abschluss eines AV-Vertrags / AVV-Vertrags bei einer Auftragsverarbeitung bzw. Auftragsbearbeitung zur Einhaltung des Bundesdatenschutzgesetzes, weiterer Gesetze und der DSGVO überprüfen.
Müssen Betroffenenrechte im AV-Vertrag geregelt werden?
Die Geltendmachung von Betroffenenrechten erfolgt beim Verantwortlichen dieser trägt für den Datenschutz die Verantwortung. Dieser kann dem Auftragsverarbeiter (bzw. Auftragsbearbeiter) Weisungen erteilen, wie dieser auf Anfragen zu reagieren hat. Auftragsverarbeitungsverträge (bzw. Auftragsbearbeitungsverträge) bilden hierfür eine Basis.
Sind Informations- und Mitwirkungspflichten des Auftragsverarbeiters im AVV zu regeln?
Der Auftragsverarbeiter bzw. der Auftragsbearbeiter hat den Auftraggeber in der Erfüllung seiner Informationspflichten (bspw. gegenüber Aufsichtsbehörden) durch Zusammenarbeit zu unterstützen (Art. 28 Abs. 3 S. 2 lit. h DS-GVO).
- Für die Verwendung mit Deinen Auftraggebern oder zur Regelung der Zusammenarbeit mit Deinen Auftragnehmern.
- Angaben einfach im Online-Formular eingeben
- Der AV-Vertrag entsteht direkt vor Deinen Augen
- Download als Word- und PDF-Datei möglich
- Nach anwaltlich geprüftem Vertragsmuster
Ist ein Unterauftragnehmer nach AV-Vertrag zugelassen oder ausgeschlossen?
Unterauftragnehmer dürfen Daten nur nach vorheriger Einwilligung des Verantwortlichen verarbeiten (Art. 28 Abs. 2 S.1 DS-GVO). Weiterhin müssen Unterauftragnehmer dasselbe Sicherheitsniveau wie der Auftragnehmer nachweisen können (Art. 28 Abs. 4 DS-GVO).
Werden Verarbeitungen in Drittländern durch AV-Verträge gestattet?
Eine Verarbeitung der Daten in Drittländern (außerhalb der EU) ist nur unter den Voraussetzungen von Art. 44 DS-GVO (bspw. Einwilligung, angemessenes Datenschutzniveau, Standardvertragsklauseln) durch Dritte mit welchen in der Regel Verträge bestehen möglich. Bitte beachten Sie, dass ggf. ein EU-Vertreter in DSGVO-Angelegenheiten zu bestellen ist.