Auftragsverarbeitungsverträge (AVV/DPA): wer, wann – und nicht übertreiben

Jedes SaaS-Tool, das personenbezogene Daten für Sie verarbeitet, braucht einen AVV. Meistens liegt er bereits auf der Website des Anbieters bereit. Diese Checkliste verhindert, dass Sie nach einem Jahr 40 lose PDFs haben.

Ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) ist zwischen Ihnen (Verantwortlicher) und jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, verpflichtend.

Mit wem brauchen Sie einen AVV?

\n
• Ihrer Buchhaltungssoftware (verarbeitet Kunden- und Mitarbeiterdaten).
\n
• Ihrem CRM.
\n
• Ihrem HR-System.
\n
• Ihrem E-Mail-Marketing (MailChimp, Mailerlite, ActiveCampaign).
\n
• Ihrem Hosting & Cloud-Speicher (M365, Google Workspace, AWS).
\n
• Ihrem CDN / Sicherheitsanbieter (Cloudflare).
\n
• Ihrem Kundensupport-Tool (Intercom, Zendesk, Help Scout).
\n
• Ihrem Steuerbüro / Ihrer Buchhaltungskanzlei (sofern sie Ihre Daten verarbeiten).
\n

Mit wem NICHT?

\n
• Ihrem Internetanbieter (kein Auftragsverarbeiter).
\n
• Ihrem Telefonanbieter.
\n
• Ihrem Zahlungsdienstleister (Bank gilt als „Third Controller", nicht als Auftragsverarbeiter).
\n

Inhalt eines AVV

Die meisten großen Anbieter stellen einen vorformulierten AVV online bereit. Herunterladen, digital unterzeichnen. Inhalt:

\n
• Zweck und Dauer der Verarbeitung.
\n
• Kategorien von Daten und betroffenen Personen.
\n
• Sicherheitsmaßnahmen des Dienstleisters.
\n
• Unterauftragsverarbeiter (welche AWS-Region, welche externen Anbieter).
\n
• Meldepflicht bei Datenpannen.
\n
• Unterstützung bei Betroffenenrechten.
\n

Archivierung

Alle AVVs in einem Ordner, mit Unterzeichnungsdatum und Versionsnummer. Bei einem Anbieterwechsel: AVV mit dem neuen Anbieter abschließen, der alte bleibt für die Aufbewahrungsfrist im Archiv.

Siehe auch: DSGVO-Übersicht, Unterauftragsverarbeiter außerhalb der EU.