INFORMATIONEN

Was sind AVVs (Data Processing Addendums)?

Datenverarbeitungszusätze (AVVs) sind weisungsgebundene Vereinbarungen zwischen dem Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen, in denen festgelegt wird, wie die Daten des für die Verarbeitung Verantwortlichen verarbeitet und gesichert werden können. Um die Einhaltung der Vorschriften durch Dritte zu gewährleisten, sind AVVs unerlässlich und werden im Rahmen der DSGVO benötigt.

In diesem Artikel werden wir uns mit den folgenden Fragen befassen:

Was ist ein AVV?

Wann ist eine AVV erforderlich?

Warum sind AVVs relevant?

Wo kann ich AVV-Unterstützung erhalten?

Was ist ein AVV?

Ein Datenverarbeitungszusatz ist ein Dokument, mit dem ein Drittanbieter (Datenverarbeiter) bei der Verarbeitung personenbezogener Daten, für die Ihr Unternehmen (der für die Datenverarbeitung Verantwortliche) haftet, rechtlich verpflichtet wird, die geltenden Datenschutzvorschriften einzuhalten.

Nach Artikel 28 Absatz 3 der Datenschutz-Grundverordnung können die Datenschutzbehörden die folgenden Bestimmungen festlegen:

  • Die Auftragsverarbeiter müssen die Datenschutzgrundverordnung einhalten und die Interessen der betroffenen Personen schützen.
  • Der Auftragsverarbeiter darf personenbezogene Daten nicht ohne die schriftliche Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.
  • Beide Seiten müssen die Vertraulichkeit wahren.
  • Um personenbezogene Daten zu schützen, müssen die Auftragsverarbeiter alle erforderlichen technischen und organisatorischen Maßnahmen ergreifen.
  • Der Auftragsverarbeiter darf ohne schriftliche Anweisung des für die Datenverarbeitung Verantwortlichen keine Unteraufträge vergeben.
  • Wenn die Dienstleistungen beendet sind, müssen die Auftragsverarbeiter alle personenbezogenen Daten löschen.
  • Die Verarbeiter sollten den für die Verarbeitung Verantwortlichen zur Durchführung von Audits ermutigen und sich kooperativ zeigen.
  • Wann ist eine AVV erforderlich?

    Ein Datenverarbeitungszusatz ist gemäß DSGVO erforderlich, wenn:

  • Ein für die Verarbeitung Verantwortlicher lagert die Verarbeitung von Daten an einen Drittanbieter oder Partner aus.
  • Auf schriftlichen Antrag des für die Verarbeitung Verantwortlichen vergibt der Auftragsverarbeiter Unteraufträge für die Datenverarbeitung.
  • Nutzung eines Cloud-Service-Anbieters wie Amazon Web Services (AWS)
  • Bei vertraulichkeitsgebundenen Berufsgruppen wie Ärzten, Rechtsanwälten, Steuerberatern und Wirtschaftsprüfern benötigen Sie keine AVV.
  • Warum sind AVVs relevant?

    Die Antwort lautet: Ja. Ergänzungen zur Datenverarbeitung:

  • Begrenzen Sie die Auswirkungen auf den Controller (Ihre Organisation) durch Dritte, und
  • Gewährleistung der Einhaltung der Datenschutzgrundverordnung im Namen des für die Verarbeitung Verantwortlichen.
  • Datenschutzbehörden gehen jedoch über die Sicherung der legitimen Rechte des für die Verarbeitung Verantwortlichen im Rahmen der Datenschutz-Grundverordnung hinaus. Indem sie von dem für die Verarbeitung Verantwortlichen verlangen, dass er bei der Auswahl eines Drittanbieters für die Verarbeitung seiner Daten die gebotene Sorgfalt walten lässt, wirken die Datenschutzbehörden als Kontrollinstanz und Ausgleich.

    Bis zum Beginn des Onboarding ermöglicht die Due-Diligence-Prüfung dem für die Verarbeitung Verantwortlichen, den Auftragsverarbeiter gründlich zu überprüfen, und AVVs formalisieren diese Methode. AVVs stellen auch sicher, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter durch die Dokumentation des Vertrags dem Schutz der Rechte und der Privatsphäre der betroffenen Personen Vorrang einräumen.

    Wo kann ich AVV-Unterstützung erhalten?

    Vor allem für kleine und mittlere Unternehmen kann die Erstellung eines Datenverarbeitungszusatzes eine Herausforderung sein.

    Dies ist ein hervorragender Ausgangspunkt, der jedoch nicht für alle Branchen geeignet ist. Um den besonderen Bedürfnissen Ihres Unternehmens gerecht zu werden, sollten AVVs individuell angepasst werden.

    Die Einhaltung der Vorschriften durch Dritte und Datenverarbeitungsverträge sind in allen globalen Datenschutzvorschriften vorgeschrieben.

    Datenverarbeitung im Rahmen der DSGVO

    Die Unternehmen sind bestrebt, für die Verarbeitung ihrer Ergebnisse geeignete Instrumente und Software zu verwenden. In der Tat muss diese Verarbeitung von potenziell vertraulichen Informationen

    mehr »