Der Vertrag, der klarstellt: Wer Daten in Eurem Auftrag verarbeitet, hält sich an Eure Regeln.
Vertrag nach Artikel 28 DSGVO zwischen Verantwortlichem und Auftragsverarbeiter.
Ein Auftragsverarbeitungsvertrag (AVV) ist die nach Artikel 28 DSGVO vorgeschriebene Vereinbarung zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Er regelt verbindlich, wie ein Dienstleister personenbezogene Daten im Auftrag verarbeitet. Artikel 28 Absatz 3 DSGVO nennt die Pflichtinhalte, etwa Gegenstand, Dauer, Zweck und die Weisungsbindung. Ohne AVV ist die Auslagerung einer Datenverarbeitung datenschutzrechtlich unzulässig.
Sobald Ihr externe Dienstleister mit Daten arbeiten lasst, etwa Rechenzentren, Fachverfahren oder Cloud-Dienste, braucht Ihr einen AVV. Er gehört in jede Beschaffung, in der personenbezogene Daten fließen. Prüft dabei besonders die technischen und organisatorischen Maßnahmen des Anbieters. Hinweise dazu findest Du im Bereich Beschaffung.
Immer wenn ein externer Dienstleister personenbezogene Daten in Eurem Auftrag und nach Euren Weisungen verarbeitet. Grundlage ist Artikel 28 DSGVO.
Artikel 28 Absatz 3 DSGVO listet die Pflichtinhalte, unter anderem Gegenstand und Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen sowie die Pflichten des Auftragsverarbeiters.
Verantwortlich bleibt Eure Behörde als Auftraggeberin. Der Auftragsverarbeiter handelt weisungsgebunden und haftet für eigene Verstöße nach den Regeln der DSGVO.