fynk fynk Logo
EN · DE

Auftragsverarbeitungsvertrag (AVV) nach DSGVO Vorlage

Wie von der DSGVO gefordert, ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) ein bindender Vertrag zwischen dem Eigentümer der personenbezogenen Daten (Kunde/Verantwortlicher) und der externen Einheit, die die Datenverarbeitung in dessen Auftrag durchführt (Auftragnehmer/Auftragsverarbeiter). Der AV-Vertrag definiert klar, welche Art von personenbezogenen Daten verarbeitet werden, wie sie verarbeitet werden, wie lange und wo.

Unsere vollständige Vorlage für einen Auftragsverarbeitungsvertrag ist basierend auf den Anforderungen in Artikel 28 der DSGVO gestaltet. Sie hilft Ihnen, schnell einen gut strukturierten AV-Vertrag zu erstellen und ihn selbstbewusst zu unterzeichnen, egal ob Sie Verantwortlicher oder Auftragsverarbeiter sind.

Diese Vorlage verwenden
  • Screenshot 0
  • Screenshot 1
  • Screenshot 2
  • Screenshot 3
  • Screenshot 4
  • Screenshot 5

Volltext Vorlage

Der gesamte Inhalt der Vorlage ist hier zur Einsicht. Du kannst die Inhalte ergänzen und bearbeiten wenn du auf den Button klickst.

Vereinbarung zur Auftragsverarbeitung nach DSGVO (ADV / wko.at)

WKO.at

contract

Vereinbarung
über eine
Auftragsverarbeitung nach Art 28 DSGVO

Der Verantwortliche:


(im Folgenden Auftraggeber)

Der Auftragsverarbeiter:

NexaCloud Ltd.
13 Mellisa Spurs East Sean KT6 5DX

(im Folgenden Auftragnehmer)

Gegenstand der Vereinbarung

Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:

Diese Vereinbarung ist als Ergänzung zum Vertrag zwischen den Parteien vom zu verstehen.

Folgende Datenkategorien werden verarbeitet:

Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:

Dauer der Vereinbarung

Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage /1 zu entnehmen).

Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.

Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

Ort der Durchführung der Datenverarbeitung

Datenverarbeitungstätigkeiten werden ausschließlich innerhalb Österreichs durchgeführt.

Sub-Auftragsverarbeiter

Der Auftragnehmer ist nicht berechtigt, Sub-Auftragsverarbeiter heranzuziehen.

Der Auftragnehmer ist befugt folgende Unternehmen als Sub-Auftragsverarbeiter hinzuziehen:

Firmenname und Sitz

Art der Tätigkeiten

Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab.

Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen.

Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen.

Er hat den Auftraggeber von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen.

Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Auftraggeber
[ Kein(e) Unterzeichner zugewiesen ]
Signatur(en) ausständig. Details
werden nach Abschluss hinzugefügt.
Auftragnehmer
NexaCloud Ltd.
[ Kein(e) Unterzeichner zugewiesen ]
Signatur(en) ausständig. Details
werden nach Abschluss hinzugefügt.

Anlage ./1 – Technisch-organisatorische Maßnahmen

Vertraulichkeit

Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen durch:

☐ Schlüssel

☐ Magnet- oder Chipkarten

☐ Elektrische Türöffner

☐ Portier

☐ Sicherheitspersonal

☐ Alarmanlagen

☐ Videoanlage

☐ Einbruchshemmende Fenster/Sicherheitstüren

☐ Anmeldung beim Empfang mit Personenkontrolle

☐ Begleitung von Besuchern im Unternehmensgebäude

☐ Tragen von Firmen-/Besucherausweisen

☐ Sonstiges:

Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch:

☐ Kennwörter (einschließlich entsprechender Policy)

☐ Verschlüsselung von Datenträgern

☐ Automatische Sperrmechanismen

☐ Zwei-Faktor-Authentifizierung

☐ Sonstiges:

Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch:

☐ Standard-Berechtigungsprofile auf „need to know-Basis“

☐ Periodische Überprüfung der vergebenen Berechtigungen, insb. von admin Benutzerkonten

☐ Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger

☐ Datenschutzgerechte Wiederverwendung von Datenträgern

☐ Standardprozess für Berechtigungsvergabe

☐ Sichere Aufbewahrung von Speichermedien

☐ Protokollierung von Zugriffen

☐ Clear-Desk/Clear-Screen Policy

☐ Sonstiges:

Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenverarbeitung entfernt, und gesondert aufbewahrt.

☐ Ja

x  Nein

Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).

☐ Ja

x  Nein

Datenintegrität

Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch:

☐ Verschlüsselung von Datenträgern

☐ Verschlüsselung von Dateien

☐ Virtual Private Networks (VPN)

☐ Elektronische Signatur

☐ Sonstiges:

Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch:

☐ Protokollierung

☐ Dokumentenmanagement

☐ Sonstiges:

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch:

☐ Backup-Strategie (online/offline; on-site/off-site)

☐ Meldewege und Notfallpläne

☐ Virenschutz

☐ Firewall

☐ Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat)

☐ Security Checks auf Infrastruktur- und Applikationsebene

☐ Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum

☐ Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern

☐ Sonstiges:

Rasche Wiederherstellbarkeit:

☐ Ja

x  Nein

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen:

☐ Ja

x  Nein

Incident-Response-Management:

☐ Ja

x  Nein

Datenschutzfreundliche Voreinstellungen:

☐ Ja

x  Nein

Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers durch:

☐ Eindeutige Vertragsgestaltung

☐ Formalisiertes Auftragsmanagement

☐ Nachkontrollen

☐ Vorabüberzeugungspflicht

☐ Strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS)

☐ Sonstiges:

[ Kein(e) Unterzeichner zugewiesen ]
Ausständig
[ Kein(e) Unterzeichner zugewiesen ]
Ausständig

Diese Vorlage verwenden

Haftungsausschluss: Der ursprüngliche Ersteller, der Autor dieser Vorlage und die fynk GmbH übernehmen keine Verantwortung für Schäden oder Haftungen, die sich aus der Nutzung dieser Vorlage ergeben könnten. Diese Vorlage stellt keinen Ersatz für juristische Beratung dar, und es wird empfohlen, vor der Nutzung einen Rechtsberater zu konsultieren. Die fynk GmbH, der ursprüngliche Ersteller und der Autor erteilen keine Rechtsberatung und haften nicht für etwaige rechtliche Konsequenzen, die sich aus der Verwendung der Vorlage ergeben könnten.

Vertragsmanagement einfach gemacht für Firmen wie

Conrad logo Oekostrom AG Logo Datarade Logo Rampf Logo Unite Logo

Hintergrundinformationen

AV-Verträge einfach erklärt

Erfahren Sie alles über AV-Verträge. Was sie sind, für wen sie gedacht sind und was sie enthalten sollten.

Was ist ein AV-Vertrag?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein rechtlich bindender Vertrag zwischen einem Kunden (Verantwortlicher) und einem Auftragnehmer (Auftragsverarbeiter). Er legt klar fest, wie der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen in dessen Auftrag behandelt. Ein AV-Vertrag gewährleistet, dass die personenbezogenen Daten von Personen stets geschützt sind, während der freie Datenfluss zwischen Unternehmen aufrechterhalten bleibt.

Wichtig: AV-Verträge (auch elektronische Versionen) müssen schriftlich vorliegen.

Wenn beispielsweise Unternehmen A die Abwicklung von Mitarbeitergehältern an ein externes Unternehmen B auslagert, ist Unternehmen B der Auftragsverarbeiter, der Zugang zu den personenbezogenen Daten der Mitarbeiter (Namen, Bankinformationen usw.) hat, um die Aufgabe im Auftrag von Unternehmen A (Verantwortlicher) zu erfüllen. Da die Verarbeitung personenbezogener Daten ein sensibles Thema ist, unterzeichnen beide Parteien einen AV-Vertrag, um klare Regeln zum Datenschutz und zur Datensicherheit festzulegen.

DSGVO-Wissen: Diese Regelung gilt für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen oder Auftragsverarbeiter mit Sitz in der EU, unabhängig davon, wo die Verarbeitung tatsächlich stattfindet.

Wesentliche Elemente eines AV-Vertrags

Die Hauptbestandteile eines Auftragsverarbeitungsvertrags sind der Verantwortliche, der Auftragsverarbeiter und die ausgetauschten personenbezogenen Daten. Lassen Sie uns diese genauer betrachten, basierend auf den Definitionen in Artikel 4 der DSGVO:

Verantwortlicher (Kunde)

Der Verantwortliche ist die Person oder Organisation, die entscheidet, wie und warum personenbezogene Daten verarbeitet werden. Wenn ein Gesetz eines EU-Mitgliedstaates die Zwecke und Methoden der Verarbeitung festlegt, kann dieses Gesetz auch verwendet werden, um den Verantwortlichen auszuwählen oder zu bestimmen, wie man einen auswählt.

Verantwortung des Verantwortlichen

Maßnahmen ergreifen: Es ist die Aufgabe des Auftragsverarbeiters, sicherzustellen, dass die Verarbeitung personenbezogener Daten den Regeln folgt und dass das Unternehmen gesetzeskonform ist, wenn es um die Erhebung der Daten geht.

Regelmäßig überprüfen und aktualisieren: Der Verantwortliche sollte die rechtlichen Maßnahmen regelmäßig überprüfen und aktualisieren, insbesondere wenn die Daten sensibel sind oder die Verarbeitung potenzielle Risiken für die Rechte von Personen birgt.

Datenschutzrichtlinien erstellen: Der Verantwortliche sollte Datenschutzrichtlinien haben, die mit dem Umfang und der Art ihrer Datenverarbeitungstätigkeiten übereinstimmen.

Compliance nachweisen: Der beste Weg, um zu zeigen, dass die Verantwortlichen ihren Pflichten und der Compliance nachkommen, ist die Zertifizierung für Maßnahmen zur Datenerhebung und -schutz.

Datenminimierung fokussieren: Der Verantwortliche muss sicherstellen, dass nur die für jeden spezifischen Zweck notwendigen personenbezogenen Daten verarbeitet werden. Dazu gehört:

  • Die Menge der gesammelten Daten zu begrenzen.
  • Den Umfang der Datenverarbeitung zu reduzieren.
  • Zu kontrollieren, wie lange Daten gespeichert werden.
  • Sicherzustellen, dass Daten nur für diejenigen zugänglich sind, die sie benötigen.

Auftragsverarbeiter (Auftragnehmer)

„Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Verantwortung des Auftragsverarbeiters

  • Anweisungen befolgen: Der Auftragsverarbeiter muss personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeiten, es sei denn, das Gesetz schreibt etwas anderes vor.
  • Vertraulichkeitsverpflichtung: Personen, die zur Verarbeitung von Daten autorisiert sind, müssen sich zur Vertraulichkeit verpflichten.
  • Einhaltung der Sicherheitsmaßnahmen: Der Auftragsverarbeiter muss die erforderlichen Sicherheitsmaßnahmen implementieren, um Daten zu schützen und den Verantwortlichen bei der Beantwortung von Anfragen von betroffenen Personen zu unterstützen.
  • Datenverarbeitung am Ende der Dienstleistung: Nach Abschluss der Dienstleistungen muss der Auftragsverarbeiter alle personenbezogenen Daten entweder löschen oder an den Verantwortlichen zurückgeben, es sei denn, gesetzliche Verpflichtungen verlangen die Aufbewahrung von Daten.
  • Informationsweitergabe: Der Auftragsverarbeiter muss dem Verantwortlichen Informationen bereitstellen, um die Compliance nachzuweisen und Audits zu erleichtern.
  • Über rechtliche Konflikte informieren: Wenn der Auftragsverarbeiter der Meinung ist, dass eine Anweisung gegen Datenschutzgesetze verstößt, muss er den Verantwortlichen unverzüglich informieren.

💡Wissenswert: Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter einsetzt, müssen die gleichen Datenschutzverpflichtungen durch einen Vertrag oder einen rechtlichen Akt auf den anderen Auftragsverarbeiter übertragen werden.

Ein Auftragsverarbeiter kann einen anderen Auftragsverarbeiter nicht ohne schriftliche Genehmigung des Verantwortlichen engagieren. Ist die Genehmigung allgemein, muss der Auftragsverarbeiter den Verantwortlichen über alle Änderungen der anderen Auftragsverarbeiter informieren.

Personenbezogene Daten:

„Personenbezogene Daten“ sind alle Informationen über eine bestimmte Person, die verwendet werden können, um diese zu identifizieren, entweder direkt oder indirekt. Dazu gehören:

  • Name,
  • Identifikationsnummer,
  • Standortdaten,
  • Online-Kennung,
  • Physikalisches Identifikationsmerkmal,
  • Physiologisches Identifikationsmerkmal,
  • Genetische Informationen,
  • Daten über den psychischen Zustand,
  • Wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person.

Wissenswert: Organisationen mit weniger als 250 Mitarbeitern sind nicht verpflichtet, Aufzeichnungen über Verarbeitungstätigkeiten zu führen, es sei denn, ihre Verarbeitung birgt ein Risiko für die Rechte des Einzelnen, ist nicht gelegentlich oder betrifft besondere Kategorien von Daten. Wenn erforderlich, müssen Aufzeichnungen schriftlich (einschließlich elektronisch) geführt und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden.

Ist ein Auftragsverarbeitungsvertrag verpflichtend?

Ja. Laut Absatz 3 von Artikel 28 der DSGVO ist ein Auftragsverarbeitungsvertrag verpflichtend, wenn Sie personenbezogene Daten mit einer Drittpartei teilen. Im Detail besagt dieser Artikel:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsakts nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der den Auftragsverarbeiter gegenüber dem Verantwortlichen bindet und den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt.

Wann benötigen Sie einen AV-Vertrag?

Wann immer personenbezogene Daten verarbeitet werden und dies von einer externen Partei, d.h. einem Auftragsverarbeiter (kann eine Drittpartei sein), übernommen wird, ist ein Auftragsverarbeitungsvertrag erforderlich. Ein wichtiger Punkt, den man beachten sollte, ist, dass die DSGVO nicht speziell von einer „Drittpartei“ spricht, sondern von einem „Auftragsverarbeiter“.

Hier sind einige Beispiele für Datenverarbeitungsdienste, die einen AV-Vertrag erfordern:

  • Cloud-Speicheranbieter
  • E-Mail-Marketing-Dienst
  • Datenanalysefirma
  • Gehaltsabrechnungsdienstleister
  • IT-Support-Unternehmen
  • Customer-Relationship-Management (CRM)-System
  • Webhosting-Dienst

Wichtig: Ein Unternehmen, das personenbezogene Daten ausschließlich selbst verarbeitet, benötigt keinen AV-Vertrag. Zum Beispiel, wenn ein Unternehmen die Daten seiner Kunden für interne Zwecke nutzt und diese nicht mit einer anderen Partei teilt (z.B. ein CRM), ist kein AV-Vertrag erforderlich.

Anforderungen der DSGVO, Artikel 28 für AV-Verträge

Hier sind die wichtigsten Anforderungen für Auftragsverarbeitungsverträge gemäß Artikel 28 der DSGVO:

Der Vertrag muss:

  • Schriftlich vorliegen, auch in elektronischer Form.
  • Sicherheitsmaßnahmen gemäß Artikel 32 der DSGVO enthalten.
  • Erklären, wie Daten zurückgegeben oder gelöscht werden, wenn der Vertrag endet.
  • Erwähnen, ob Standardvertragsklauseln enthalten sind.
  • Klarstellen, welche Daten verarbeitet werden, wie lange sie verarbeitet werden und zu welchem Zweck

Der Auftragsverarbeiter:

  • Muss gute Datenschutzmaßnahmen bereitstellen.
  • Benötigt die Genehmigung des Verantwortlichen, bevor er andere Auftragsverarbeiter einsetzt.
  • Folgt nur den schriftlichen Anweisungen des Verantwortlichen.
  • Sollte bei Anfragen von betroffenen Personen helfen und die DSGVO einhalten.
  • Muss den Zugang zu Informationen und Audits gewähren, um zu zeigen, dass sie die Regeln einhalten.

Und auch:

  • Es sollten Vertraulichkeitsvereinbarungen für alle Personen vorhanden sein, die Zugriff auf die Daten haben.
  • Der ursprüngliche Auftragsverarbeiter ist verantwortlich für das Verhalten von Subauftragsverarbeitern.

Was ist in einem Auftragsverarbeitungsvertrag enthalten?

1. Umfang des Vertrags

  • Eine klare Beschreibung der Dienstleistungen, die der Auftragsverarbeiter bereitstellen wird.
  • Angaben zum Datenverantwortlichen und zum Auftragsverarbeiter.
  • Die Dauer des Verarbeitungsauftrags, mit einem spezifischen Startdatum.
  • Standort der Datenverarbeitung.
  • Arten von verarbeiteten Daten.
  • Die Möglichkeit, dass der Vertrag bei Bedarf unbefristet dauert.
  • Bedingungen, unter denen jede Partei den Vertrag kündigen kann.

2. Rollen und Verantwortlichkeiten der Parteien

  • Die Art der Verarbeitung, wie sie von der DSGVO definiert ist.
  • Die Arten von personenbezogenen Daten, die gemäß den DSGVO-Artikeln verarbeitet werden.
  • Die Kategorien von betroffenen Personen, wie Kinder oder Mitarbeiter.
  • Die Rechte und Pflichten des Kunden, einschließlich, wer Anweisungen geben kann.
  • Kontaktdaten für die Kommunikation, damit die Anweisungen klar sind.

3. Zwecke und Aufgaben der Datenverarbeitung

  • Eine klare Beschreibung der Zwecke, für die personenbezogene Daten verarbeitet werden.
  • Spezifizierung der Arten von Aufgaben, die der Auftragsverarbeiter durchführen wird (z.B. Datenspeicherung, Analyse oder Marketing).
  • Bedingungen, unter denen Daten mit Dritten geteilt werden dürfen.
  • Einschränkungen bei der Datenverarbeitung auf das, was für die angegebenen Zwecke notwendig ist.
  • Verfahren zur Bearbeitung von Anfragen betroffener Personen und zur Einhaltung ihrer Rechte.

Häufig verwendete Klauseln in einem AV-Vertrag

  • Subverarbeitung
  • Zweck der Verarbeitung
  • Verpflichtungen des Auftragsverarbeiters
  • Rechte der betroffenen Personen
  • Sicherheitsmaßnahmen
  • Vertraulichkeit
  • Datenpanne
  • Haftung
  • Schadensersatz
  • Anwendbares Recht

Warum die Vorlage für den AV-Vertrag von fynk verwenden?

Verwenden Sie unsere konkrete und gut strukturierte Vorlage für den AV-Vertrag, um die Anforderungen der DSGVO problemlos zu erfüllen. Diese Vorlage skizziert alles, was Sie benötigen, einschließlich der verarbeiteten Daten, der Rollen jeder Partei und der erforderlichen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Unsere Vorlage für den AV-Vertrag behandelt wichtige Themen wie die Rechte betroffener Personen, den Umgang mit Datenpannen und die Zusammenarbeit mit Subauftragsverarbeitern.

FAQs

Wer ist der Verantwortliche und wer ist der Auftragsverarbeiter?
Der Verantwortliche ist die Entität, die über den Zweck und die Mittel der Datenverarbeitung entscheidet. Der Auftragsverarbeiter ist die Entität, die Daten im Auftrag des Verantwortlichen verarbeitet.
Was passiert, wenn ich keinen AV-Vertrag habe?
Ohne einen AV-Vertrag könnte Ihr Unternehmen mit hohen Geldstrafen und rechtlichen Konsequenzen gemäß der DSGVO oder ähnlichen Datenschutzgesetzen konfrontiert werden. Sie könnten auch anfälliger für Datenverletzungen und Rechenschaftspflichtprobleme sein.
Welche Arten von Unternehmen benötigen typischerweise einen AV-Vertrag?
Jedes Unternehmen, das Datenverarbeitungsfunktionen auslagert—wie Gehaltsabrechnung, IT-Dienste, Marketing oder Cloud-Speicher—benötigt einen AV-Vertrag mit dem Dienstleister, der personenbezogene Daten in seinem Auftrag verarbeitet.
Wie lange bleibt ein AV-Vertrag in Kraft?
Die Dauer eines AV-Vertrags dauert typischerweise so lange, wie die Verarbeitungsbeziehung besteht. Er kann Klauseln zur Datenaufbewahrung und -löschung nach Beendigung der Beziehung enthalten.
Können AV-Verträge zwischen verschiedenen Anbietern standardisiert werden?
Obwohl AV-Verträge gemeinsame Klauseln haben, sollte jeder Vertrag auf die spezifischen Datenverarbeitungsaktivitäten, Risiken und Compliance-Anforderungen der Beziehung zwischen Verantwortlichem und Auftragsverarbeiter zugeschnitten werden.
Wer ist unter einem AV-Vertrag für die Datensicherheit verantwortlich?
Sowohl der Verantwortliche als auch der Auftragsverarbeiter teilen sich die Verantwortung für die Datensicherheit, aber der Auftragsverarbeiter muss die im AV-Vertrag festgelegten Sicherheitsmaßnahmen einhalten und den Verantwortlichen über etwaige Verletzungen informieren.

Bereit, zu unterschreiben?
Verwende diese Vorlage jetzt.

Vorlage verwenden

Klauselbibliothek: Lerne mehr über die Klauseln in dieser Vorlage

Lerne mehr über die Klauseln, die in dieser Vorlage erscheinen und finde andere Klauseln, die in echten Verträgen verwendet werden.

Ähnliche Vorlagen

Suchst du nach mehr Vorlagen? fynk hat sie alle!

Influencer-Vertrag Vorlage

Ein Influencer-Vertrag ist eine Vereinbarung zwischen einer Marke und einem Influencer, die die Details ihrer Zusammenarbeit festlegt.