Direkt zum Inhalt wechseln
Uncategorized
/
7 Gefällt mir
/
Lesezeit: 3 Minuten
/
18.02.2025

Rechtsfrage: Auftragsverarbeitungsvertrag

Wir haben gehört, dass wir gemäß DSGVO eine Art Vertrag mit unseren Dienstleistern schließen müssen, der die Verarbeitung personenbezogener Daten regelt. Stimmt das? Und würde das für Dienstleister gelten, die unsere Geschäftsstelle betreiben, IT-Berater und Webdesigner? Auch für unseren Steuerberater?

Werden Daten im Auftrag und unter Weisung Ihres Vereins von externen Dienstleistern verarbeitet, müssen Auftraggeber und Auftragnehmer grundsätzlich einen gesonderten Vertrag abschließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. Hierbei handelt es sich um den Auftragsverarbeitungsvertrag (AV-Vertrag), welcher in der DSGVO geregelt ist. Dieser Vertrag ist immer dann abzuschließen, wenn ein Unternehmen personenbezogene Daten von einem anderen Anbieter oder Dienstleister verarbeiten lässt.

Bei der Beurteilung, ob eine Auftragsverarbeitung vorliegt und ob daher ein AV-Vertrag erforderlich ist, spielt die Weisungsgebundenheit des Dienstleisters eine entscheidende Rolle. Je stärker der Dienstleister an Ihre Weisungen gebunden ist, desto wahrscheinlicher ist es, dass Sie gemäß DSGVO weiterhin als Verantwortlicher gelten und einen Auftragsverarbeitungsvertrag abschließen müssen.

Bei Abschluss eines Auftragsverarbeitungsvertrags haften sowohl der Auftragsverarbeiter als auch der Verantwortliche gemeinsam für Verstöße gegen datenschutzrechtliche Vorschriften. Dabei ist die Haftung des Auftragsverarbeiters jedoch auf Verstöße beschränkt, die auf Nichteinhaltung der Weisungen des Verantwortlichen zurückzuführen sind. Beide Parteien haben weiterhin die Möglichkeit, sich zu exkulpieren. Der Verantwortliche bleibt der erste Ansprechpartner für Betroffene, die Datenschutzverstöße rügen und anfechten möchten.

Um Auftragsverarbeitungsverträge DSGVO-konform abzuschließen, sind in der Regel folgende Aspekte gemäß Art. 28 Abs. 3 DSGVO vertraglich zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person
  • Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter
  • Anforderungen an die Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Regelung wie der Nachweis der Einhaltung der genannten Pflichten erfolgt

Die von Ihnen konkret benannten Stellen:

  • Geschäftsstelle: Sofern die Geschäftsstelle als externe Dienstleisterin fungiert und personenbezogene Daten im Auftrag des Vereins verarbeitet, könnte ein AVV erforderlich sein.
  • IT-Berater & Webdesigner: Wenn der IT-Berater Zugriff auf personenbezogene Daten hat oder diese verarbeitet (z.B. bei der Wartung von Systemen), ist auch hier ein solcher Vertrag notwendig. Gleiches gilt für Webdesigner.
  • Steuerberater: Hier gilt allerdings eine Ausnahme und es ist genauso wie bei Rechtsanwälten kein AVV notwendig, da Steuerberater als eigenständig Verantwortliche im Sinne der DSGVO gelten. Sie unterliegen zudem der beruflichen Schweigepflicht.
Hat Ihnen dieser Artikel gefallen?
7 Gefällt mir
/
Text als PDF speichern
/ Diesen Beitrag nutzen
Sie wollen mehr erfahren?

Benedetto 03/2025

Planung und Vorbereitung
Früher war mehr Lametta!

Haftung & Versicherung
Risikoanalyse und Absicherung

Hausrecht
Umgang mit Störenfrieden

… und vieles mehr!

Diese Ausgabe herunterladen (PDF)
Jetzt unseren Newsletter abonnieren und jeden Monat die Info zur aktuellen Ausgabe von Benedetto erhalten.
Newsletter Anmeldung
Sie haben Fragen?
DEUTSCHES EHRENAMT e.V.
Mühlfelder Straße 20
82211 Herrsching
T +49 (8152) 9994170
F +49 (8152) 9994177
E benedetto@deutsches-ehrenamt.de
Deutsches Ehrenamt