Benötigt Ihr Unternehmen einen Auftragsverarbeitungsvertrag?
Hosting, CRM oder Buchhaltungsprogramm – wann ist ein AV-Vertrag erforderlich!
Wird Ihre Website auch auf einem Server gehostet, den Ihnen Ihre Agentur empfohlen hat?
Und Ihr Vertrieb nutzt ein professionelles CRM? Oder in der Personalabteilung wird eine Software eingesetzt, die von einem externen Anbieter stammt?
In vielen dieser Fälle handelt es sich sehr wahrscheinlich um SaaS (Software as a Service) -Lösungen. Die Software läuft in der Regel auf einer Cloud und nicht auf der eigenen Hardware.
Wenn Sie solche Lösungen einsetzen, werden Daten auf der Hardware des Anbieters gespeichert und verarbeitet. Ihre Daten werden also in die Cloud des Anbieters übertragen.
Das bedeutet auch, dass der Anbieter Ihre Daten in Ihrem Auftrag verarbeitet. Es wird ein Auftragsverarbeitungsvertrag (AV-Vertrag) benötigt, der datenschutzrechtlich regelt, wie die Verarbeitung der Daten dort erfolgen muss.
Bevor Sie einen A-Vertrag mit einem Unternehmen abschließen, sollten Sie genau prüfen, ob ein tatsächlich ein Auftragsverarbeitungsverhältnis besteht.
Eine Auftragsverarbeitung wird nicht automatisch durch den Abschluss eines AV-Vertrags begründet. Der umgekehrte Zusammenhang ist richtig: Es ist zu klären, ob es sich um eine Auftragsverarbeitung handelt und wenn ja, muss ein AV-Vertrag abgeschlossen werden.
Jeder AV-Vertrag sollte sorgfältig geprüft werden!
Seriöse Anbieter stellen Ihnen mit Abschluss des Hauptvertrags automatisch auch einen AV-Vertrag zur Verfügung. Und auch wenn es in der Regel für ein kleineres Unternehmen schwierig ist, Änderungen eines AVV-Vertrags gegenüber einen großen Anbieter von Lösungen durchzusetzen, sollten Sie diesen sorgfältig prüfen. Nur so können Sie erkennen, ob alle Regelungen den geltenden Datenschutzanforderungen entsprechen oder ob Sie mit der Wahl des Anbieters nicht kalkulierbare Risiken eingehen.
Die Risiken kleinerer Abweichungen von den Datenschutzanforderungen können nach sorgfältiger Risikoabwägung im Einzelfall vielleicht getragen werden, grobe Verstöße des Auftragsverarbeiters gegen die DSGVO sollten dazu führen, dass Sie sich einen anderen Anbieter suchen.
„Bezahlen“ Sie mit Ihren Daten?
Insbesondere sehr günstige Lösungen, bei denen die Daten in ein Drittland (oft die USA) übertragen werden, sind kritisch zu prüfen. Sie „bezahlen“ hier möglicherweise mit Ihren Daten und den Daten Ihrer Kunden. Und der Anbieter nutzt die Daten auch für eigene Zwecke.
Eine Auftragsverarbeitung wird nicht durch den Abschluss eines AV-Vertrags begründet.
Prüfen Sie also sorgfältig, ob tatsächlich ein Auftragsverhältnis besteht, In einigen Fällen liegt eine gemeinsame Verantwortung mit dem Diensteanbieter vor oder der Anbieter handelt als eigenständiger Verantwortlicher. In diesem Fall müssen Sie eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten nachweisen können und die betroffenen Personen über die Empfänger der Daten informieren! Dabei gilt, dass Vertragsklauseln, bei denen sich ein Anbieter das Recht einräumt, Ihre Daten auch für eigene Zwecke zu verarbeiten, möglichst abzulehnen sind. Sollte dies nicht möglich sein, seien Sie kritisch und suchen Sie sich wenn irgend möglich einen alternativen Anbieter.
