====== Auftragsverarbeitungsvertrag ====== Der **Auftragsverarbeitungsvertrag** oder kurz „**AVV**“ oder „**AV-Vertrag**“ regelt das datenschutzrechtliche Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter bei einer [[Auftragsverarbeitung]]. Die zentrale Regelung für einen AV-Vertrag findet sich in [[https://dejure.org/gesetze/DSGVO/28.html|Art. 28]] Abs. 3 [[DSGVO]]. Üblicherweise handelt es sich dabei um ein vom [[Leistungsvertrag]] unabhängiges Dokument (Siehe dazu auch [[Softwarebeschaffung]]. Es ist möglich, Leistungsvertrag und AVV in einem Dokument zusammenzufassen. Als Anhang zum AVV werden üblicherweise die [[technische_und_organisatorische_massnahmen|TOMs]] vereinbart. ===== Formalitäten des Auftragsverarbeitungsvertrages ===== * Ein AV-Vertrag sollte zu Dokumentationszwecken in mindestens in **Textform** gem. [[https://dejure.org/gesetze/BGB/126b.html|§ 126b]] BGB abgefasst sein: Art. 28 Abs. 3 DSGVO stellt keine besonderen Formvorschriften aber die inhaltlichen Anforderungen werden sich durch einen mündlichen Vertrag nicht erfüllen lassen. Andererseits dürfte in der Regel ein elektronisches Dokument genügen, dass auf elektronischem Wege von beiden Seiten bestätigt wird. Eine qualifizierte elektronische Signatur (und damit elektronische Form gemäß [[https://dejure.org/gesetze/BGB/126a.html|§ 126a]] BGB ist nicht erforderlich aber zulässig. Eine einfache elektronische Signatur ist wünschenswert. **Schriftform** durch Austausch von Vertragsurkunden mit eigenhändigen Unterschriften gemäß [[https://dejure.org/gesetze/BGB/126.html|§ 126]] BGB ist natürlich **auch zulässig** ebenso wie Zwischenformen also Fax oder eingescannte Dokumente gemäß [[https://dejure.org/gesetze/BGB/127.html|§ 127]] BGB. * Auf Auftraggeberseite ist Vertragspartei und [[Verantwortlicher]] jeweils die Körperschaft, die durch ihren gesetzlichen Vertreter vertreten wird. Die TU Ilmenau als Auftraggeber sollte also gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=HSchulG+TH+%C2%A7+1&psml=bsthueprod.psml&max=true|§ 1]] Abs. 1 Nr. 2 [[ThürHG]] und [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=HSchulG+TH+%C2%A7+30&psml=bsthueprod.psml&max=true|§ 30]] Abs. 1 S. 1 in Verbindung mit [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=HSchulG+TH+%C2%A7+138&psml=bsthueprod.psml&max=true|§ 138]] Abs. 1 S. 1 ThürHG wie folgt bezeichnet werden: Technische Universität Ilmenau, vertreten durch den Rektor (bzw. Technische Universität Ilmenau, Der Rektor wie es im [[https://www.tu-ilmenau.de/impressum/|Impressum]] heißt). * Redaktionelle, inhaltlich und formale Details in Verträgen (Vertragsmustern), die von der Gegenseite gestellt werden, sollten nur beanstandet bzw. mit dem Vertragspartner diskutiert werden, wenn sie für den AV-Vertrag von unverzichtbarer Bedeutung sind. In der Regel sollten solche Details jedoch zur Arbeitsersparnis und zur Verbesserung der taktischen Ausgangslage bei etwaigen Rechtsstreitigkeiten((Einordnung als Allgemeine Geschäftsbedingungen gemäß [[https://dejure.org/gesetze/BGB/305.html|§ 305]] BGB und damit u.a. Erleichterungen bei der Auslegung gem. [[https://dejure.org/gesetze/BGB/305c.html|§ 305c]] BGB)) **nicht** diskutiert werden. ===== Inhalte des Auftragsverarbeitungsvertrages ===== ==== Zwingende Inhalte ==== Die Mindestinhalte des AVV ergeben sich aus [[https://dejure.org/gesetze/DSGVO/28.html| Art. 28 Abs. 3]] [[DSGVO]]. * Weisungsrecht des Auftraggebers * Laufzeit des Vertrages (Üblicherweise an den Leistungsvertrag gekoppelt.) * Recht zur fristlosen Kündigung bei Datenschutzverstößen ((Wenn [[https://www.gesetze-im-internet.de/brao/__43e.html|§ 43e]] Abs. 2, S. 2 BRAO für die Rechtsanwälte eine Pflicht(!) zur Beendigung vorsieht, ist das nur Konsequenz eines allgemeingültigen Prinzips, dass Datenschutzverstöße eines Vertragspartners nur sehr begrenzt hingenommen, bzw. mit milderen Mitteln als der Kündigung beantwortet werden dürfen.)) ==== Sinnvolle Inhalte ==== * Der Auftragsverarbeiter und etwaige Unterauftragsverarbeiter unterliegen nicht dem [[CLOUD Act]]. (Vor allem bei sensiblen Daten und wenn der Auftragsverarbeiter Zugriff auf die Daten im Klartext hat ein wichtiger Punkt.) {{tag>Artikel}} ====== Muster ====== * [[https://beck-online.beck.de/Dokument?vpath=bibdata%2Fform%2Fjohlenmpfverwr_5%2Fcont%2Fjohlenmpfverwr.glj.gli.gl4.htm&pos=5&hlwords=on| Schwartmann in: Johlen, MPF Verwaltungsrecht 5. Auflage 2018]] {{tag>Artikel}}