Wer Daten an Dritte zur Verarbeitung weitergibt braucht fast immer einen Auftragsdaten-verarbeitungsvertrag (AVV). Im folgenden werden ein paar Anwendungsfälle, wie auch die Ausnahmen aufgezeigt.
Klassische Beispiele für Auftragsdatenverarbeitung bei der ein Vertrag notwendig wird sind:
- Personalvermittlung
- IT Dienstleistungen von Hostern und Betreibern
- Outsourcing der Verarbeitung (z.B. Telefonhotline)
- Lohn- und Gehaltsabrechnung
- Entsorgung von Datenträgern
In diesen Fällen wird kein AVV notwendig:
- Berufsgeheimnisträger (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Betriebsärzte, Postboten, Priester)
- Inkassobüros
- Klinische Arzeneimittelstudien
- Innerhalb von Konzernen bei gemeinsamer Stammdatenverwaltung
Einen Auftragsdatenverarbeitungsvertrag (ADV), auch als Vertrag zur Auftragsverarbeitung (AV-Vertrag) bekannt, benötigen Sie in der Regel in folgenden Situationen:
-
Externe Datenverarbeitung: Wenn Ihr Unternehmen personenbezogene Daten von Dritten verarbeiten lässt. Dies ist häufig der Fall bei Dienstleistern wie Cloud-Anbietern, Hosting-Diensten, Lohnbuchhaltungsdiensten oder Marketingagenturen.
-
DSGVO-Konformität: Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der EU ist ein AV-Vertrag zwingend erforderlich, wenn personenbezogene Daten im Auftrag verarbeitet werden. Dies dient dem Schutz der Daten und stellt sicher, dass der Auftragnehmer die Daten nur im Einklang mit den Anweisungen des Auftraggebers und den gesetzlichen Vorgaben verarbeitet.
-
Klarheit über Verantwortlichkeiten: Der AV-Vertrag regelt die Rechte und Pflichten beider Parteien (Auftraggeber und Auftragnehmer) in Bezug auf die Datenverarbeitung. Er legt fest, wie die Daten zu schützen sind, wie mit Datenpannen umzugehen ist und wie die Einhaltung der Datenschutzvorschriften kontrolliert wird.
-
Internationale Datenübertragung: Wenn Datenverarbeitung außerhalb des Europäischen Wirtschaftsraums (EWR) stattfindet, ist ein AV-Vertrag besonders wichtig, um die Einhaltung der Datenschutzstandards sicherzustellen.
-
Subunternehmer des Dienstleisters: Der Vertrag sollte auch Regelungen enthalten, falls der Dienstleister Subunternehmer für die Datenverarbeitung einsetzt.
![DSGVO- und IT-Security Beratung. Externer Datenschutzbeauftragter](https://www.sentiguard.eu/wp-content/uploads/2023/07/sentiguard-datenschutzbeauftragter-andreas-dickow.jpg)
So erreichen Sie mich
Ihr Ansprechpartner: Andreas Dickow
- Datenschutzaudit
- Bestandsaufnahmen zu Datenschutz und IT Security
- Einführung ISMS nach BSI IT Grundschutz
- Umsetzung Hinweisgeberschutz (Whistleblowing Hotline)
- Ersthilfe nach Hackerangriffen
- Einführung Technisch- Organisatorischer Massnahmen
- IT Sicherheit nach DIN ISO 27001
- IT Sicherheitskonzepte
- Externer Datenschutzbeauftragter
- Zertifizierter IT Security Partner des Krankenhauszukunftsfonds
- 10 Jahre Erfahrung in Datenschutz und IT Security für staatliche Rechenzentren
- Cyber Security Spezialist, Open Source Contributor und Ethical Hacker
- Dipl.-Ing. (univ.) Elektro- und Informationstechnik
![](https://www.sentiguard.eu/wp-content/uploads/FK-Datenschutz_082026_ger_tc_p-201x300.png)
![](https://www.sentiguard.eu/wp-content/uploads/Cyber-Sicherheitsnetzwerk.png)
Digitaler Ersthelfer