Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, wenn ein Dienstleister personenbezogene Daten im Auftrag verarbeitet (Art. 28 DSGVO). Ohne AVV drohen Bussgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes.
Wann brauche ich einen AVV?
- E-Mail-Hosting und Cloud-Dienste
- Externe Lohn- und Gehaltsabrechnung
- Newsletter-Dienste (Mailchimp, Brevo)
- Webhosting und CDN
- CRM-Systeme
- Externer IT-Support mit Datenzugriff
- Datenvernichtung / Aktenvernichtung
Pflichtinhalte nach Art. 28 DSGVO
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Weisungsgebundenheit des Auftragsverarbeiters
- Vertraulichkeit — Verpflichtung der Mitarbeiter
- Technisch-organisatorische Massnahmen (TOM) — Als Anlage
- Subunternehmer — Genehmigungspflicht, Liste
- Unterstuetzungspflichten — Bei Betroffenenanfragen und Datenpannen
- Loeschung nach Vertragsende — Loeschung oder Rueckgabe aller Daten
- Kontrollrechte des Verantwortlichen
TOM-Anlage: Technisch-organisatorische Massnahmen
Die TOM-Anlage ist das Herzstück des AVV. Sie muss konkrete Massnahmen beschreiben:
- Zutrittskontrolle (physischer Zugang)
- Zugangskontrolle (IT-Systeme)
- Zugriffskontrolle (Berechtigungskonzept)
- Trennungskontrolle (Mandantentrennung)
- Verschluesselung
- Pseudonymisierung
- Wiederherstellbarkeit (Backups)
- Belastbarkeit der Systeme
Checkliste AVV
- Alle Pflichtinhalte nach Art. 28 DSGVO?
- TOM-Anlage konkret und aktuell?
- Subunternehmer-Liste aktuell?
- Kontrollrechte vereinbart?
- Loeschung/Rueckgabe nach Vertragsende?
- Meldepflicht bei Datenpanne?
- Von beiden Parteien unterzeichnet?
Verwandt: Datenschutzerklaerung Vorlage und NDA Vorlage.