Inhaltsverzeichnis
Auftragsverarbeitungsvertrag
Der Auftragsverarbeitungsvertrag oder kurz „AVV“ oder „AV-Vertrag“ regelt das datenschutzrechtliche Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter bei einer Auftragsverarbeitung. Die zentrale Regelung für einen AV-Vertrag findet sich in Art. 28 Abs. 3 DSGVO.
Üblicherweise handelt es sich dabei um ein vom Leistungsvertrag unabhängiges Dokument (Siehe dazu auch Softwarebeschaffung. Es ist möglich, Leistungsvertrag und AVV in einem Dokument zusammenzufassen.
Als Anhang zum AVV werden üblicherweise die TOMs vereinbart.
Formalitäten des Auftragsverarbeitungsvertrages
- Ein AV-Vertrag sollte zu Dokumentationszwecken in mindestens in Textform gem. § 126b BGB abgefasst sein: Art. 28 Abs. 3 DSGVO stellt keine besonderen Formvorschriften aber die inhaltlichen Anforderungen werden sich durch einen mündlichen Vertrag nicht erfüllen lassen. Andererseits dürfte in der Regel ein elektronisches Dokument genügen, dass auf elektronischem Wege von beiden Seiten bestätigt wird. Eine qualifizierte elektronische Signatur (und damit elektronische Form gemäß § 126a BGB ist nicht erforderlich aber zulässig. Eine einfache elektronische Signatur ist wünschenswert. Schriftform durch Austausch von Vertragsurkunden mit eigenhändigen Unterschriften gemäß § 126 BGB ist natürlich auch zulässig ebenso wie Zwischenformen also Fax oder eingescannte Dokumente gemäß § 127 BGB.
- Auf Auftraggeberseite ist Vertragspartei und Verantwortlicher jeweils die Körperschaft, die durch ihren gesetzlichen Vertreter vertreten wird. Die TU Ilmenau als Auftraggeber sollte also gemäß § 1 Abs. 1 Nr. 2 ThürHG und § 30 Abs. 1 S. 1 in Verbindung mit § 138 Abs. 1 S. 1 ThürHG wie folgt bezeichnet werden: Technische Universität Ilmenau, vertreten durch den Rektor (bzw. Technische Universität Ilmenau, Der Rektor wie es im Impressum heißt).
- Redaktionelle, inhaltlich und formale Details in Verträgen (Vertragsmustern), die von der Gegenseite gestellt werden, sollten nur beanstandet bzw. mit dem Vertragspartner diskutiert werden, wenn sie für den AV-Vertrag von unverzichtbarer Bedeutung sind. In der Regel sollten solche Details jedoch zur Arbeitsersparnis und zur Verbesserung der taktischen Ausgangslage bei etwaigen Rechtsstreitigkeiten1) nicht diskutiert werden.
Inhalte des Auftragsverarbeitungsvertrages
Zwingende Inhalte
Die Mindestinhalte des AVV ergeben sich aus Art. 28 Abs. 3 DSGVO.
- Weisungsrecht des Auftraggebers
- Laufzeit des Vertrages (Üblicherweise an den Leistungsvertrag gekoppelt.)
- Recht zur fristlosen Kündigung bei Datenschutzverstößen 2)
Sinnvolle Inhalte
- Der Auftragsverarbeiter und etwaige Unterauftragsverarbeiter unterliegen nicht dem CLOUD Act. (Vor allem bei sensiblen Daten und wenn der Auftragsverarbeiter Zugriff auf die Daten im Klartext hat ein wichtiger Punkt.)
Muster
2)
Wenn § 43e Abs. 2, S. 2 BRAO für die Rechtsanwälte eine Pflicht(!) zur Beendigung vorsieht, ist das nur Konsequenz eines allgemeingültigen Prinzips, dass Datenschutzverstöße eines Vertragspartners nur sehr begrenzt hingenommen, bzw. mit milderen Mitteln als der Kündigung beantwortet werden dürfen.