Der AV-Vertrag nach Art. 28 DSGVO

Der auch als ADV-Vertrag (Auftragsdatenverarbeitungsvertrag nach alter Rechtsterminologie) bekannte Auftragsverarbeitungsvertrag  wurde in Art. 28 DSGVO neu geregelt. Die Änderungen in Bezug auf den Vertrag als solches sind im Vergleich zum alten BDSG etwas lockerer geworden. Dafür unterliegt die Beziehung zwischen Auftragsdatenverarbeiter und Auftraggeber erheblich strengeren Bedingungen.

Ein solcher Vertrag ist abzuschließen, sobald personenbezogene Daten durch einen externen, weisungsgebundenen Dienstleister verarbeitet werden. Dabei kommen Aktenentsorgungsunternehmen, Cloud-Anbieter und Web-Hoster, aber auch freie Mitarbeiter in Betracht. In den letzten Zügen vor Anwendbarkeit der DSGVO wird sogar offen diskutiert mit Reinigungskräften einen AV-Vertrag zu schließen, denn diesen könnten ebenfalls beim Abwischen des Schreibtisches entsprechend zu schützende personenbezogene Daten in die Hände fallen.

Der AV-Vertrag muss den in Art. 28 DSGVO aufgelisteten Anforderungen entsprechen und in jedem Einzelfall auf die Tätigkeiten des entsprechenden Dienstleisters gemünzt sein. Von einer formularmäßigen Erstellung ist deshalb abzuraten. Die Ausgestaltung des Vertrages sollte genau auf die Tätigkeit des Dienstleisters ausgerichtet sein, sowie Rechte und Pflichten des Verantwortlichen und des Dienstleisters vollumfänglich benennen. Außerdem ist eine ausführliche Liste zu den technischen und organisatorischen Maßnahmen (TOMs) beizufügen, die der Dienstleister zum Schutze der Daten trifft.

Beim AV-Vertrag gilt die Faustregel: Je präziser und verständlicher, desto geringer die Gefahr.

Jedoch muss der Vertrag auch umsetzbar sein. Denn es reicht nach der DSGVO nicht aus ein schönes Datenschutzmodell auszuhandeln mit einem enormen Umfang an TOMs, wenn diese nicht beachtet werden oder den gewünschten Effekt verfehlen. Die praktische Umsetzbarkeit und Wirksamkeit hat nach dem neuen Gesetz der Verantwortliche, also der Auftraggeber, nachzuweisen.