Nachdem wir im vorherigen Beitrag geklärt haben was ein AV-Vertrag (AVV) regelt und wozu er für dich relevant ist, schauen wir uns heute an was alles drin‘ steht. Du hast Dich sicher auch schon gefragt, was eigentlich alles in einen AVV rein gehört, oder?
Notwendiger Hinweis: Ich schreibe aus meiner Sicht und Berufserfahrung als Webentwickler / IT-Systemadministrator und ich bin kein Anwalt Daher handelt es sich bei diesem Beitrag nicht um eine rechtliche Beratung. Benötigst Du eine rechtlich verbindliche Aussage, wende dich bitte an (d)einen Fachanwalt oder DSB.
Los geht’s, wir lichten den Nebel und schauen uns die Kernelemente eines AV-Vertrages an:
1. Wer ist wer?
Zuallererst werden in einem AV-Vertrag Auftraggeber (z.B. dein/e Kund*in) und Auftragnehmer (z.B. Du) festgelegt. Hier werden die Rollen klar verteilt, um im Verlauf des Vertrages klar zu differenzieren, wer welche Verantwortungen, Rechte und Pflichten trägt.
2. Was wird gemacht?
Welche Arten von Datenverarbeitungen führt der Auftragnehmer eigentlich durch? Dies muss im AV-Vertrag genau beschrieben werden. Das gibt dir und deinem Kunden eine klare Vorstellung davon, welche Datenschutzverpflichtungen auf euch zukommen. Dieser Punkt kann auch deine AGB sowie Angebote oder weitere Verträge mit Detailvereinbarungen einschließen. Je genauer die Beschreibung der Verarbeitungen, desto besser.
3. Um welche Daten geht es?
Der AV-Vertrag muss auch klar darlegen, welche Arten von personenbezogenen Daten verarbeitet werden und wen diese betreffen. Ein wesentlicher Punkt, um sicherzustellen, dass ihr alle relevanten Datenschutzregelungen festlegen könnt. Es muss auch geklärt werden, ob es sich um Kategorien besonders schützenswerter Daten (z.B. Gesundheitsdaten) handelt.
4. Wie wird der Datenschutz gewährleistet?
Ein zentraler Teil jedes AV-Vertrags sind die technischen und organisatorischen Maßnahmen (TOM), die zum Schutz der Daten ergriffen werden müssen. Hier wird festgelegt, welche Maßnahmen du ergreifen musst, um den Datenschutz zu gewährleisten. Häufig wird im AV-Vertrag auf einen Anhang verwiesen, da es sich bei den TOM um ein komplexes Dokument handelt.
5. Welche Rechte und Pflichten haben wir?
In jedem AV-Vertrag werden die Rechte und Pflichten beider Seiten festgelegt. Zum Beispiel, wann und wie du deinen Kunden über Datenpannen informieren musst oder welche Kontrollrechte dein Kunde hat. Auch der Einsatz von Subunternehmern muss geregelt werden.
6. Wie lange wird verarbeitet?
Zum Schluss wird noch die Dauer der Datenverarbeitung festgelegt. Das hilft dabei, den Überblick zu behalten und sicherzustellen, dass Daten nicht unnötig lange gespeichert werden.
7. Der Anhang
1. Das Subunternehmer-Verzeichnis
Darüber hinaus gibt es häufig auch ein Verzeichnis von genehmigten Subunternehmen. So wissen beide Parteien direkt, an wen welche Daten zur Vertragserfüllung weitergegeben werden (dürfen).
2. Die technischen und organisatorischen Maßnahmen (TOM)
In diesem Teil des Vertrags – häufig als Anhang – wird genau definiert, welche Maßnahmen du als Auftragnehmer ergreifen musst, um die personenbezogenen Daten deines Auftraggebers zu schützen.
Die TOM stellen sicher, dass die Daten deiner Kunden vor unbefugtem Zugriff, Verlust oder Beschädigung geschützt sind. Es handelt sich dabei nicht nur um technische Maßnahmen, wie zum Beispiel Firewalls, Verschlüsselung und Virenschutz, sondern auch um organisatorische Maßnahmen, wie das Erstellen von Sicherheitsrichtlinien oder Schulungen für deine Mitarbeiter. Darunter fallen zum Beispiel die Dokumentation und Umsetzung von Passwortrichtlinien und eines Notfallkonzeptes, sowie die Schulung zur Erkennung von Phishing-Angriffen.
Wenn Du mehr zum Thema „Phishing erkennen und sich davor schützen“ erfahren möchtest, lohnt sich ein Blick auf https://phish-im-netz.de. Dort erfährst Du auch mehr über mein Angebot eines Awareness-Trainings.
Im Anhang deines AV-Vertrags werden die spezifischen TOM aufgeführt, die du implementieren musst. Folgendes könnte zum Beispiel eine Gliederung sein:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Fähigkeit, die Verfügbarkeit von Daten und den Zugang zu ihnen zu gewährleisten und zeitnah wiederherzustellen (z.B. Notfall-Konzept)
- Ein Prozess zur regelmäßigen Überprüfung und Dokumentation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherung der Daten. (z.B. Backup-Strategie)
- Maßnahmen zur Gewährleistung der physischen Sicherheit der Daten, wie (z.B. Alarmanlage in Server- und Büroräumen, Kameraüberwachung, Zertifizierungen)
Die genauen TOM, die der Auftragnehmer einhalten muss, hängen auch von der Art der Daten und dessen geplanter Verarbeitung ab. Die TOM sind ein entscheidender Bestandteil deines AV-Vertrags und sollten nicht auf die leichte Schulter genommen werden. Sie sind ein wesentliches Instrument, um die Daten deines Auftraggebers zu schützen und deine Verpflichtungen im Rahmen der DSGVO zu erfüllen.
Fazit
AV-Verträge können verwirrend sein, keine Frage. Aber sie sind unerlässlich, um sicherzustellen, dass wir den Datenschutz ernst nehmen und verantwortungsbewusst mit den Daten unserer Kunden umgehen. Und auch wenn das Erstellen und Verwalten von AV-Verträgen eine echte Herausforderung sein kann, gibt es Tools, die dir dabei helfen.
Mit meinem Plugin WPAV kannst du den gesamten Verwaltungsprozess direkt in deinem WooCommerce-Shop automatisieren. Kein Papierkram, keine E-Mails, nur Du, deine Kund*innen und der klare Überblick über alle deine AV-Verträge. Neugierig geworden? Schau dir doch mal WPAV an.