Unternehmen können geschäftliche Vereinbarungen in Form von Auftragsdatenverarbeitungsverträgen (AV-Vertrag) mit Ihren Geschäftpartnern, Subunternehmer und mit anderen Verantwortlichen abschließen. Konkret: Ein Unternehmen, der Auftragsverarbeiter verarbeitet für ein anderes Unternehmen (Verantwortlicher bzw. verantwortliche Stelle) Daten.
Folgende Fakten sollten Sie zunächst über den Auftragsdatenverarbeitungsvertrag (AV-Vertrag) wissen:
- Der Verantwortliche ist in der Regel zuständig für die Einholung von Einwilligungen
- Der Verantwortliche ist zuständig und verantwortlich für die Einhaltung der meisten datenschutzrechtlichen Pflichten
- Der Auftragsverarbeiter muss den Anforderungen und Vorschriften des Verantwortlichen Folge leisten
- Er verarbeitet Daten im Interesse und Namen des Verantwortlichen
- Der Auftragsverarbeiter bedarf für seine Tätigkeit regelmäßig keiner Einwilligungen der Betroffenen
- Er muss keine detaillierten Belehrungen hinsichtlich der Datenübermittlung herausgeben, da der Verantwortliche vollumfassend verantwortlich bleibt
- Er darf die Daten nicht für seine eigenen Zwecke verwenden und muss diese nach Vertragsende löschen
Was sollte in einem Auftragsdatenverarbeitungsvertrag geregelt sein?
- Der Auftragsverarbeiter darf die personenbezogenen Daten ausschließlich im Interesse und im Namen des Verantwortlichen verarbeiten (wie oben bereits erwähnt).
- Der Auftragsverarbeiter darf wesentliche Aspekte der Datenverarbeitung nicht ohne weiteres ändern. Es bedarf der Anweisung des Verantwortlichen.
- Der Auftragsverarbeiter hat die Pflicht die Daten sicher aufzubewahren. Hier kann es hilfreich sein, wenn sich beide Parteien auf ein Datensicherheitsprogramm verständigen. Die Maßnahmen können technisch, organisatorisch und administrativ geregelt sein.
- Der Auftragsverarbeiter muss vertragliche Regelungen und etwaigen Anweisungen durch den Verantwortlichen befolgen.
- Geregelt sollte auch die Zusammenarbeit, Meldepflichten und Schadensersatzpflichten im Falle von Verstößen sein. Wie arbeiten die beiden Parteien im Rahmen der Untersuchung zusammen? Unter welchen Umständen muss der Anbieter den Kunden benachrichtigen? Wie viel Einfluss hat der Anbieter auf den Text der Belehrungen für die Betroffenen? Und wer übernimmt die Kosten im Fall eines Datenschutzverstoßes?
Auftragsdatenverarbeitungsvertrag für Website-Betreiber: Sollten Sie der Betreiber einer Website sein, heißt das für Sie konkret: Sie müssen ebenfalls diverse dieser Verträge abschließen. Auftragsdatenverarbeitungsverträge können Sie z.B. mit Ihrem Hoster oder Google abschließen. Entsprechende Vordrucke sind mittlerweile bei den meisten Anbietern auf deren Website hinterlegt. Sie müssen den Auftragsdatenverarbeitungsvertrag im häufigsten Fall lediglich ausdrucken, unterschreiben und zurückschicken.