Auch Sie sind dazu verpflichtet, mit Ihren Soft- und Hardwareanbietern einen AV-Vertrag abzuschließen. Denn diese können beim Online-Support oder Vor-Ort-Service Zugang zu Ihren personenbezogenen Daten, z.B. von Kunden oder Mitarbeitern, erhalten.
Seit dem 25.05.2018 drohen hohe Bußgelder, wenn die Anforderungen der EU-DSGVO nicht eingehalten werden.
AV ist die Abkürzung für Auftragsdaten-Verarbeitung. Ein AV-Vertrag verpflichtet die Firmen, die in Ihrem Auftrag Ihre Daten bearbeiten, dazu, beim Umgang mit Ihren personenbezogenen Daten die EU-DSGVO einzuhalten.
Der AV-Vertrag legt konkrete Maßnahmen zur Einhaltung der EU-DSGVO fest, z.B.:
Der AV-Vertrag dokumentiert die technischen und organisatorischen Maßnahmen, mit denen die von Ihnen beauftragten Auftragsdaten-Verarbeiter (z.B. Ihre Soft- und Hardwarebetreuer), ein ausreichendes Sicherheitsniveau beim Umgang mit Ihren Daten einhalten. Dazu gehören u.a. die Sicherung des Gebäudes, die Absicherung des Systemzuganges und die Festlegung von Zugriffsrechten.
Er legt fest, dass die Mitarbeiter Ihrer Geschäftspartner auf das Daten- und das Fernmeldegeheimnis verpflichtet werden. Die Subunternehmer Ihrer Soft- und Hardwarebetreuer, die ebenfalls mit Ihren Daten umgehen, müssen genannt und auf die Einhaltung der EU-DSGVO verpflichtet werden. Das gilt z.B. für Datenbankhersteller und Hardwareproduzenten.
Der Vertrag regelt auch, dass der Auftragsdaten-Verarbeiter nach Abschluss der Arbeiten alle Daten und Unterlagen löscht bzw. an Sie zurücksendet.
In erster Linie der Auftraggeber. Aber auch Ihre Auftragnehmer bzw. Auftragsdaten-Verarbeiter sind dafür verantwortlich, für den Abschluss eines AV-Vertrages zu sorgen.
Auch mit allen anderen Firmen, die in Ihrem Auftrag Daten verarbeiten und dabei Zugriff auf Ihre personenbezogenen Daten erhalten könnten, müssen Sie einen AV-Vertrag abschließen. Dazu gehören z.B. Dienstleister für die Lohn- und Finanzbuchhaltung (DATEV, BRZ etc.), Anbieter von Cloud-Computing, Dienstleister für den Versand von Werbebriefen und Dienstleister für die Datenträgerentsorgung.
Das bayrische Landesamt für Datenschutzaufsicht stellt eine sehr gute Auflistung von Beispielen zur Verfügung, wann eine Auftragsverarbeitung nach Art 28 DSGVO vorliegt – und wann nicht.
Fragen Sie bei Ihren Soft- und Hardwareanbietern nach. Diese sollten inzwischen einen AV-Vertrag für Ihre Kunden vorbereitet haben.
Sollte das nicht der Fall sein, bietet die IHK Frankfurt einen AV-Vertrag zum Download an. Prüfen Sie, ob der Vertrag alle Besonderheiten Ihres Unternehmens abdeckt. Am besten lassen Sie den Vertrag durch Ihren Datenschutzbeauftragten oder Rechtsanwalt prüfen.
Beispiel 1: Ihr Soft- oder Hardwareanbieter erstellt im Rahmen seiner Serviceleistungen eine Sicherheitskopie Ihrer Daten und legt diese in seinem Netzwerk ab. Durch einen Einbruch oder Virenbefall gelangen Ihre Daten inklusive der enthaltenen personenbezogenen Daten in die Hände Dritter.
Beispiel 2: Ein Mitarbeiter Ihres Auftragnehmers kennt Personen, über die Sie personenbezogene Daten gespeichert haben, und macht diese öffentlich.
Bei einer Prüfung durch die Aufsichtsbehörden können Bußgelder anfallen. Bei einem Datenschutzverstoß durch Ihre Soft- oder Hardwarebetreuer haften Sie mit für die entstandenen Schäden.
Weitere Informationen finden Sie im Merkblatt der unabhängigen Datenschutzbehörde des Bundes und der Länder (DSK).
Diese 9 Tipps helfen Ihnen, einige wichtige Punkte anzupacken!
Unsere 7 Sofortmaßnahmen helfen Ihnen dabei!