AV-Vertrag Generator zur Auftragsdatenverarbeitung nach Datenschutzgrundverordnung (DSGVO)

Erstelle Deinen eigenen AV-Vertrag mit diesem einfachen Generator nach DSGVO - Geeignet für Selbstständige und Dienstleister

Was beinhaltet der AV-Vertrag Generator bzw. die Datenschutzsoftware, insbesondere für Deutschland, Österreich und Schweiz?

Mit diesem Auftragsverarbeitungs-Vertrag Generator bzw. Auftragsbearbeitungs-Vertrag Software (kurz AV-Vertrag / ADV-Vertrag / AVV Generator bzw. Software) kann einfach ein Auftragsdatenverarbeitungsvertrag bzw. Auftragsdatenbearbeitungsvertrag sowohl vom Auftraggeber und Auftragnehmer erstellt werden, insbesondere in Deutschland, Österreich oder in der Schweiz bitte beachten Sie bei der Erstellung eigenständig eventuelle Besonderheiten Ihres Landes, die individuell an das jeweilige Unternehmen angepasst werden können. Dabei entsteht der Vertrag direkt vor Ihren Augen, da Änderungen beim Eingeben von Daten direkt in das entstehende Dokument auf Ihrem Bildschirm übernommen werden. Das Dokument kann anschließend als Word- oder PDF-Datei mit den von Ihnen eingegebenen Daten heruntergeladen werden. Sie erhalten bei korrekter Eingabe einen AV-Vertrag, der den Anforderungen an eine Auftragsverarbeitung (bzw. Auftragsbearbeitung) nach Artikel 28 DS-GVO entspricht, welchen Sie ggf. zu Ihrer Absicherung z.B. durch einen Rechtsanwalt oder Datenschutzbeauftragten (bez. Datenberater) ergänzend prüfen lassen sollten um nicht eventuelle fehlerhafte Eingaben auf dem Generator bzw. der Datenschutzsoftware vorgenommen zu haben.

Im Gegensatz zum Muster oder Vorlage eines ADV-Vertrag welcher ggf. durch einen Rechtsanwalt oder Datenschutzbeauftragen (bzw. Datenberater) erstellt wurde und im Internet oftmals zu finden ist haben Anwender mit diesen oftmals das Problem diese Dokumente auf Ihren konkreten Fall anzupassen. Hier kann mit dem ADV-Vertrag Generator, welcher für Unternehmen auf der Website www.datenbuddy.de zur Einhaltung des Datenschutzes zur Verfügung steht, dank konkreter Hinweise, wie diese ein Datenschutzbeauftragter (bzw. Datenberater) oder ein Rechtsanwalt im Einzelfall erteilten kann, die Individualisierung des ADV-Vertrag mit Hilfe des Generators bzw. der Software von Ihnen direkt ohne Wartezeit umgesetzt werden, soweit der Generator bzw. die Datenschutzsoftware technisch verfügbar ist.

Im Gegensatz zu einem Mustervertrag bzw. zu einer Vorlage entsteht der Auftragsverarbeitungsvertrag bzw. Auftragsbearbeitungsvertrag live beim einfachen Frage-Antwort-Spiel vor Ihren Augen und Sie lernen zudem mit dem Datenschutz durch den Generator umzugehen, der ADV-Vertrag Generator (bzw. Datenschutz-Software) geht damit über ein Vertragsmuster bzw. die Nutzung von Vorlagen hinaus. Ein Auftragsverarbeitungs-Vertrag bzw. Auftragsbearbeitungs-Vertrag kann somit von Auftragnehmer und Auftraggeber eigenständig erstellt werden, siehe https://datenbuddy.de/av-vertrag-generator/

Ein ordentlicher AV-Vertrag ist sowohl im Interesse von Auftraggeber und Auftragnehmer, da beide zur Schließung des AV-Vertrag nach der Datenschutzgrundverordnung verpflichtet sind.
Welche Informationen der Generator (bzw. Datenschutz-Software) von Ihnen braucht, um den AV-Vertrag zu generieren, finden Sie in der untenstehenden Liste.
Benötigte Informationen zur Erstellung eines Auftragsverarbeitungsvertrages bzw. Auftragsbearbeitungsvertrages:

eigenes Unternehmen (Name und Geschäftsbezeichnung), Straße, Ort
Auftragsverarbeiter/Vertragspartner (Name und Geschäftsbezeichnung), Straße, Ort
Informationen über den für die Vertragsbeziehung zwischen Auftraggeber und Auftragsverarbeiter abgeschlossenen Vertrag (Hauptvertrag) mit Datum
Laufzeiten des Vertrages
Zweck des Vertrages und Verarbeitungsart (wenn diese nicht im Hauptvertrag definiert wurde)
Informationen zu den Anforderungen an den Drittlandtransfer der Daten
Auskunft über die verarbeiteten Datenkategorien und die Kategorien betroffener Personen
Informationen über den Datenschutzbeauftragten (Name, Kontaktdaten, Unternehmen)
Informationen über die verwendeten technischen und organisatorischen Maßnahmen (Dokumentation muss vor dem Beginn der Verarbeitung vom Auftraggeber überprüft werden, Änderungen an den TOMs sind zu dokumentieren, Gesamtaudits der TOMs spätestens 12 Monate nach der letzten Änderung) -> genaue Beschreibung der TOMs vom Auftragnehmer und Unterauftragnehmer(n) an AV-Vertrag anhängen
Hinweise zu einer Verarbeitung durch Unterauftragnehmer (nur nach Einwilligung, Auftragnehmer muss beim Unterauftragnehmer Audits durchführen etc.) -> alle Unterauftragnehmer auflisten (Firma, Anschrift, Leistungsbeschreibung)
Informationen über das Kontrollrecht des Auftraggebers (Ablehnung der Kontrolle bei Wettbewerbsverhältnis zwischen Auftraggeber und Drittem, Unterstützungspflicht vom Auftragnehmer durch Einsicht in Unterlagen und Zutritt zu Betriebsstätten, etc.)
Benennung der Personen, die befugt sind, Weisungen zu erteilen bzw. anzunehmen (Name, E-Mail-Adresse)
Aufbewahrungsfristen für Dokumente nach Beendigung des Vertrages
Optionale Haftungsregeln und Höhe bei Vertragsstrafen (wenn nicht definiert, gelten die gesetzlichen Vorgaben)
Bedingungen für die Form der Nebenabreden (schriftlich, E-Mail, mündliche etc.)
Angaben zum Gerichtsstand
Ort, Datum und Unterschrift des Aufraggebers und des Auftragnehmers (alternativ: AV-Vertrag kann als Teil der AGBs ohne Unterschrift gültig sein)

Welche Schritte durchläuft man mit dem Generator bzw. der Software bei Erstellung des
Auftragsverarbeitungsvertrages bzw. Auftragsbearbeitungsvertrages?

1. Der Generator bzw. die Software passt ein Muster-Dokument für Auftragsverarbeitungen bzw. Auftragsbearbeitungen an die jeweiligen Bedürfnisse Ihres Unternehmens an. Die Anpassung nimmt der Auftraggeber oder Auftragnehmer selbst und eigenverantwortlich vor.
2. Der Anbieter (https://datenbuddy.de/av-vertrag-generator/) übernimmt keine Haftung für die Richtigkeit und Vollständigkeit Ihrer Version des Muster. Um sich rechtlich abzusichern, sollte die Prüfung Ihres generierten ADV-Vertrag durch einen spezialisierten Rechtsanwalt oder Datenschutzbeauftragten bzw. Datenberater zur Einhaltung von BDSG anderer Gesetze und der DSGVO in Anspruch genommen werden. Bitte beachten Sie weiterhin den Haftungsausschluss und die Allgemeinen Geschäftsbedingungen des Anbieters.
3. Die Richtigkeit Ihrer Angaben wird nicht vom Anbieter überprüft, die Erstellung des Dokuments erfolgt Schritt für Schritt durch den Dienstleister.
4. Nach der Erstellung des AV-Vertrages steht dieser als Word- oder PDF-Datei zum Download zur Verfügung und kann von Auftraggebern oder Auftragnehmern genutzt werden.
5. Änderungen während der Vertragserstellung können jederzeit von Ihnen eigenständig vorgenommen werden (Zurück-Schaltfläche).

Wann ist ein Auftragsverarbeitungsvertrag bzw. Auftragsbearbeitungsvertrag kurz AV-Vertrag oder ADV-Vertrag notwendig?

Ein Auftragsverarbeitungsvertrag bzw. Auftragsbearbeitungsvertrag (AV-Vertrag) muss dann abgeschlossen werden, wenn personenbezogene Daten von einem Auftragnehmer im Auftrag des Verantwortlichen verarbeitet werden. Dabei bleibt der ursprünglich Verantwortliche weiterhin für die personenbezogenen Daten verantwortlich, er muss also weiterhin den Schutz der personenbezogenen Daten garantieren können. Bei fehlenden oder mangelhaften AV-Verträgen können gegen beide Vertragsparteien Bußgelder und Schadensersatzansprüche geltend gemacht werden.

Wann liegt eine Auftragsverarbeitung nach DS-GVO vor?

Es handelt sich dann um eine Auftragsverarbeitung bzw. Auftragsbearbeitung, wenn durch den Verantwortlichen angeordnet wird, personenbezogene Daten mittels eines Auftragsverarbeiters bzw. Auftragsbearbeiters zu verarbeiten.
1) Verarbeitung: jeder (automatisierte oder nicht automatisierte) Vorgang im Zusammenhang mit personenbezogenen Daten, wie Erfassen, Ordnen, Speichern, Ändern oder Löschen.
(Artikel 4 Nr. 2 DS-GVO)
2) Verantwortlicher: Person/Behörde/Einrichtung, die Entscheidungsbefugnisse über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten innehat. (Artikel 4 Nr. 7 DS-GVO)
3) personenbezogene Daten: Informationen, die sich auf natürliche Personen beziehen und geeignet sind, diese zu identifizieren (beispielsweise Name oder andere Kennung, physische Merkmale).
(Art. 4 Nr. 1 DS-GVO)
4) Auftragsverarbeiter: eine Person/Behörde/Einrichtung verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen.
(Art. 4 Nr. 8 DS-GVO)
Dabei muss die Verarbeitung personenbezogener Daten eine Hauptpflicht des Auftragsverarbeiters sein, darf sich folglich nicht nur als Nebenfolge der Rechtsbeziehung ergeben. Weiterhin muss die Auftragsverarbeitung bzw. Auftragsbearbeitung weisungsgebunden erfolgen, der Auftragnehmer darf also die Daten nicht für eigene Zwecke weiterverarbeiten, sondern diese nur für die im Vertrag festgelegten Zwecke nutzen.

Welche Verhaltensregeln bestehen nach der DS-GVO für den Auftragsverarbeiter bzw.
Auftragsbearbeiter?

Der Auftragsverarbeiter (bzw. Auftragsbearbeiter) stellt den verlängerten Arm des Verantwortlichen nach der DS-GVO in Bezug zum Kunden dar, er darf die personenbezogenen Daten des Kunden nur für die vertraglich festgelegten Zwecke verarbeiten. Dabei muss er den Weisungen des Verantwortlichen Folge leisten, es sei denn, diese sind datenschutzwidrig oder unzumutbar.

Existieren Strafen bei nicht vorhandenem Auftragsverarbeitungsvertrag bzw. Haftungsfragen nach der DSGVO?

Fehlt ein AV-Vertrag oder ist dieser unzureichend, drohen Bußgelder von bis zu 2 % des Umsatzes im letzten Jahr bzw. 10 Mio. Euro (Art. 83 Abs. 4 DS-GVO). Werden bei der Auftragsverarbeitung Datenschutzverstöße (bspw. Missachtung von Betroffenenrechten) begangen, kann das Bußgeld bis zu 4 % des Jahresumsatzes bzw. 20 Mio. Euro betragen (Art. 83 Abs. 5 DS-GVO).
Beide Parteien (Auftraggeber und Auftragnehmer) haften gesamtschuldnerisch, d.h. Betroffene können bei beiden Vertragsparteien Schadensersatz bei Verstößen geltend machen.

Muss die Ansprechpartnerbenennung, Dokumentation der Weisungen nach DSGVO erfolgen?

Eine Benennung der Ansprechpartner im AV-Vertrag muss i.d.R. nicht erfolgen, wenn sich diese eindeutig bestimmen lassen; es wird jedoch empfohlen, Kontaktdaten anzugeben.

Müssen technische und organisatorische Maßnahmen (TOMs) im AV-Vertrag / ADV-Vertrag enthalten sein?

Auftragsverarbeiter bzw. Auftragsbearbeiter müssen geeignete TOMs verwenden, um bei der Datenverarbeitung den Schutz der betroffenen Personen und die Konformität mit der DS-GVO zu garantieren (Art. 28 Abs. 1 DS-GVO). Auftraggeber sollten die technischen und organisatorischen Maßnahmen vor dem Abschluss eines AV-Vertrags / AVV-Vertrags bei einer Auftragsverarbeitung bzw. Auftragsbearbeitung zur Einhaltung des Bundesdatenschutzgesetzes, weiterer Gesetze und der DSGVO überprüfen.

Müssen Betroffenenrechte im AV-Vertrag geregelt werden?

Die Geltendmachung von Betroffenenrechten erfolgt beim Verantwortlichen dieser trägt für den Datenschutz die Verantwortung. Dieser kann dem Auftragsverarbeiter (bzw. Auftragsbearbeiter) Weisungen erteilen, wie dieser auf Anfragen zu reagieren hat. Auftragsverarbeitungsverträge (bzw. Auftragsbearbeitungsverträge) bilden hierfür eine Basis.

Sind Informations- und Mitwirkungspflichten des Auftragsverarbeiters im AVV zu regeln?

Der Auftragsverarbeiter bzw. der Auftragsbearbeiter hat den Auftraggeber in der Erfüllung seiner Informationspflichten (bspw. gegenüber Aufsichtsbehörden) durch Zusammenarbeit zu unterstützen (Art. 28 Abs. 3 S. 2 lit. h DS-GVO).

Erstelle Deinen eigenen AV-Vertrag mit diesem einfachen Generator nach DSGVO - Geeignet für Selbstständige und Dienstleister

Ist ein Unterauftragnehmer nach AV-Vertrag zugelassen oder ausgeschlossen?

Unterauftragnehmer dürfen Daten nur nach vorheriger Einwilligung des Verantwortlichen verarbeiten (Art. 28 Abs. 2 S.1 DS-GVO). Weiterhin müssen Unterauftragnehmer dasselbe Sicherheitsniveau wie der Auftragnehmer nachweisen können (Art. 28 Abs. 4 DS-GVO).

Werden Verarbeitungen in Drittländern durch AV-Verträge gestattet?

Eine Verarbeitung der Daten in Drittländern (außerhalb der EU) ist nur unter den Voraussetzungen von Art. 44 DS-GVO (bspw. Einwilligung, angemessenes Datenschutzniveau, Standardvertragsklauseln) durch Dritte mit welchen in der Regel Verträge bestehen möglich. Bitte beachten Sie, dass ggf. ein EU-Vertreter in DSGVO-Angelegenheiten zu bestellen ist.

FAQs

Was ist ein AVV-Vertrag?

Der Auftragsvertrag kommt zwischen dem Auftragsverarbeiter und dem Verantwortlichen zu Stande, beide unterzeichnen den Vertrag. Der Vertrag bildet die Grundlage für die Übermittlung von Daten, die personenbezogen sind, von einem Verantwortlichen an einen Beauftragten. Im Anschluss ist der Beauftragte für die Verarbeitung dieser verantwortlich.

Wann braucht man einen AV-Vertrag?

Einen AV-Vertrag ist abzuschließen, wenn die Datenverarbeitung in einem Unternehmen nicht intern erfolgt, d.h. so bald ein ‚fremder Dienstleister‘ für die Datenverarbeitung eines Unternehmens zuständig ist, muss zwischen ihm und dem Verantwortlichen ein AVV abgeschlossen werden. Die Grundlage für den Abschluss eines AVV-Vertrages ist in Art. 28 Abs. 3 DSGVO normiert.

Wer braucht Auftragsverarbeitungsvertrag?

Benötigt wird der AV- Vertrag für den Verantwortlichen und dem Auftragsverarbeiter, der mittels Vertrag persönliche Daten übermittelt bekommt, um diese anschließend zu verarbeiten. Maßgeblich ist der AV- Vertrag eigentlich für den Verantwortlichen selbst, der den fremden Dienstleister dafür beauftragt, denn er ist letztlich der Verantwortliche für die Daten und der vorschriftsgemäßen Bearbeitung dieser. Zudem trifft gerade nur ihn die Einhaltung der DSGVO Vorgaben.

Warum Auftragsverarbeitungsvertrag?

Der Abschluss eines AV- Vertrages ist im DSGVO normiert und soll insbesondere abgeschlossen werden, damit versichert werden kann, dass der externe Dienstleister, der vom Auftraggeber beauftragt worden ist, für die Bearbeitung der Daten, die er übermittelbekommen hat, nicht für persönliche Zwecke nutzt. Eine Besonderheit des AV- Vertrages ist auch, dass dieser den Auftragsverarbeiter zu weisungsgebundener Verarbeitung der Daten verpflichtet, sodass er nur mit Weisung des Verantwortlichen Handlungen vornehmen kann.

Wer muss AV- Vertrag erstellen?

Den AV- Vertrag muss das jeweilige Unternehmen erstellen, welches die Datenverarbeitung einem externen Dienstleister zur Datenverarbeitung, überträgt.

Was sind Beispiele für eine Auftragsverarbeitung?

Beispiele für eine Auftragsverarbeitung sind: Kunden und Hosting- Services, Marketing oder Vertriebsagentur, Callcenter, Datenerhebende Sicherheitsdienste, IT- Outsourcing, Rechenzentren outgesourct, Cloud Services, Buchhalter extern, Lohn und Gehaltsabrechnung extern, Serverwartung. Anbieter wie Google, Dropbox, GMX, Microsoft, Linkedin, Jimdo, Hetzner, SendinBlue gehören auch dazu.

Was muss ein AV -Vertrag beinhalten?

Der Inhalt des AV- Vertrages richtet sich nach Art. 28 Abs.3 DSGVO, danach muss ein AV- Vertrag folgende Gesichtspunkte beinhalten:

– Vertragsgegenstand

– Vertragsdauer

– Grund und Art der Datenverarbeitung

– Gruppierung der betroffenen Personen

– Tragweiter der Befugnis der Weisungsgebundenheit

– Rechte & Pflichten vom Verantwortlichen

– Rechte & Pflichten vom Auftragsverarbeiter

– Verschwiegenheitsverpflichtung des Auftragsverarbeiters

– Meldepflichten des Auftragsverarbeiter

– Kontrollbefugnisse des Verantwortlichen

– Unterstützungspflicht des Auftragsverarbeiters

– Maßnahmen, welche zu ergreifen sind, um den Schutz von personenbezogenen Daten zu gewährleisten

– Verschwiegenheitsverpflichtung des Auftragsverarbeiters

– Meldepflichten des Auftragsverarbeiter

– Kontrollbefugnisse des Verantwortlichen

– Beendigungsbestimmungen/Schlussbestimmungen: Wie kommt die Beendigung zu Stande? Mit Löschung oder Rückgabe von Daten?

Wann ist kein AVV notwendig?

Befreit vom Abschluss eines AV- Vertrages sind Dienstleister, welche nicht unter einer Weisung des Verantwortlichen stehen. Denn diese zählen durch ihre branchenspezifische Tätigkeit zu den verantwortlichen Personen, die den Schutz der personenbezogenen Daten zur Pflicht haben. Zu nennen sind jeweils:

– Steuerberater (nur in Hessen, NRW, Baden- Württemberg ein AV Vertrag notwendig)

– Banken

– Kreditinstitute

– Wirtschaftsprüfung

– Rechtsanwalt

– Notar

– Brieftransporte

– Inkassodienstleister

– Betriebsarzt

Wer muss den AV unterschreiben?

Den AV-Vertrag müssen beide Vertragsparteien unterzeichnen, sowohl der Verantwortliche als Auftraggeber und der Dienstleister als Auftragsverarbeiter.

Wer muss Auftragsverarbeitungsvertrag unterschreiben?

Den AV-Vertrag müssen beide Vertragsparteien unterzeichnen, sowohl der Verantwortliche als Auftraggeber als auch der Dienstleister als Auftragsverarbeiter.

Ist ein Berater ein Auftragsverarbeiter?

Ein Berater selbst hat die Aufgabe zu beraten. Egal, ob es sich um einen Unternehmensberater oder Steuerberater usw. handelt. Durch seine Tätigkeitsbranche hat er lediglich die Datensicherung als Gegenstand, weshalb er eigenverantwortlich tätig ist. Er ist von „Natur“ aus zur Verschwiegenheit und Datensicherheit verpflichtet, ohne gegenüber einem anderen weisungsgebunden zu sein. Daher ist ein Berater regelmäßig kein Auftragsverarbeiter.

In welchem Fall liegt keine Auftragsverarbeitung vor?

Sobald der Verantwortliche einen Dienstleister für die Datenverarbeitung beauftragt, der eigenständig ist und nicht der Weisung des Verantwortlichen unterliegt, ist keine Auftragsverarbeitung anzunehmen, stattdessen ist dies eine einfache Veräußerung bzw. Weiterveräußerung und Verarbeitung von personenbezogenen Daten. Der Verarbeiter der Daten ist dann nicht als ein Auftragsverarbeiter einzustufen, er gilt dann als ein Verantwortlicher, der selbstständig tätig ist. Diesbezüglich ist dann auch kein AV-Vertrag abzuschließen.

Warum fordert der Gesetzgeber einen AV-Vertrag?

Dem Gesetzgeber ist die Einhaltung der Datensicherheit der Verbraucher bzw. Personen sehr wichtig, so auch durch die EU- Vorgaben erkennbar. EU- Vorgaben haben strenge Ansätze bzgl. der Datensicherheit. Der AV- Vertrag beinhaltet lediglich die Rechte und Pflichten von beiden Parteien, dem Auftragsverarbeiter und vom Verantwortlichen selbst. Es soll gewährleisten, dass beide Parteien ihre Rechte und Pflichten einhalten und unionsrechtskonform handeln. Dem Verantwortlichen trifft die Pflicht eine rechtmäßige Datensicherheit zu gewährleisten und den EU- Vorgaben gemäß zu handeln. Die Unternehmen, die unter der DSGVO fallen, sind auch verpflichtet die Vorgaben einzuhalten und die vom Gesetzgeber in den Vordergrund gelegte Datensicherheit auch zu gewährleisten. Ein AV- Vertrag entspricht genau dem Willen des Gesetzgebers und gewährleistet das Einhalten der in DSGVO normierten Datensicherheit. Daher ist der AV- Vertrag ein wichtiger, als auch vom Gesetzgeber in der DSGVO normierter Grundbaustein.

Was versteht man unter einem Auftragsverarbeiter?

Ein Dienstleister, der weisungsgebunden für einen Verantwortlichen, häufig ein Unternehmen die Datenverarbeitung übernimmt. Grundlage für diese Datenverarbeitung ist der AV- Vertrag. Dabei ist der Verantwortliche der Auftraggeber und der Datenverarbeiter der Auftragnehmer bzw. Auftragsverarbeiter.

Ist ein Steuerberater ein Auftragsverarbeiter?

In vielen Bundesländern gilt der Steuerberater als kein Auftragsverarbeiter, da er lediglich ein selbstverantwortlicher Tätig ist und branchenspezifisch die Datensicherheit in seinem Tätigkeitsbereich liegt. Im Hessen, NRW sind jedoch Steuerberater als Auftragsverarbeiter einzustufen und müssen ein AV- Vertrag mit dem jeweiligen Auftraggeber unterzeichnen.

Wer ist Verantwortlicher bei Auftragsverarbeitung?

Der Verantwortlicher in der Auftragsverarbeitung ist der Auftraggeber selbst, d.h. das Unternehmen, welches die Datenverarbeitung an einen Dritten überträgt.

Wann bin ich Auftragsverarbeiter?

Ausschlaggebend ist bei einem Auftragsverarbeiter, wenn er weisungsgebunden gegenüber dem Verantwortlichen bzw. seinem Auftraggeber ist. D.h. sobald er unter Weisung die Datenverarbeitung von dem jeweiligen Unternehmen vornimmt. Dies auch gem. Art. 28 DSGVO i.V.m. § 62 BDSG.

Wann spricht man von einem Auftragsverarbeiter?