Auftragsverarbeitungsvertrag

Auch: AVV · Auftragsdatenverarbeitungsvertrag · ADV-Vertrag

Der Auftragsverarbeitungsvertrag (AVV) ist ein verpflichtender schriftlicher Vertrag zwischen dem Makler und einem Dienstleister, der personenbezogene Daten in seinem Auftrag verarbeitet. Er regelt Umfang, Zweck und Sicherheitsmaßnahmen der Datenverarbeitung.

Ausführliche Erklärung

Setzt ein Makler externe Dienstleister ein, die Zugriff auf personenbezogene Kunden- oder Interessentendaten haben (CRM-Anbieter, Cloud-Speicher, E-Mail-Marketing-Tools, IT-Support), muss vor Beginn der Verarbeitung ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO geschlossen werden. Ohne wirksamen AVV ist die Datenübermittlung an den Dienstleister datenschutzwidrig.

Ein AVV muss mindestens folgende Punkte regeln:

  • Gegenstand und Dauer der Verarbeitung.
  • Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und Kategorien betroffener Personen.
  • Pflichten und Rechte des Verantwortlichen (Makler).
  • Weisungsgebundenheit des Auftragsverarbeiters – er darf Daten nur nach dokumentierter Weisung verarbeiten.
  • Vertraulichkeitsverpflichtung der eingesetzten Mitarbeiter.
  • Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten.
  • Regelungen zu Sub-Auftragsverarbeitern (Zustimmungsvorbehalt).
  • Unterstützungspflichten bei Betroffenenanfragen und Datenpannen.
  • Löschung oder Rückgabe der Daten nach Vertragsende.
  • Nachweis- und Kontrollrechte des Verantwortlichen.

In der Praxis bieten die meisten großen Software- und Cloud-Anbieter (CRM-Systeme, Portale, Buchhaltungssoftware) fertige AVV-Muster zum Download oder zur digitalen Bestätigung an. Der Makler sollte diese vor der ersten Datenübermittlung prüfen und unterzeichnen – idealerweise bevor überhaupt Testdaten eingegeben werden.

Wichtige Praxisfehler:

  • Nutzung eines kostenlosen Tools (z. B. Newsletter-Versand) ohne AVV-Abschluss, weil "es ja nur eine E-Mail-Adresse" ist – auch das ist ein Verstoß.
  • Verwendung privater Cloud-Dienste (z. B. private Dropbox-Accounts) ohne Prüfung, ob überhaupt ein AVV angeboten wird.
  • Fehlende Aktualisierung des AVV bei Anbieterwechsel oder Funktionserweiterung der Software.

Fehlt ein AVV oder ist er unwirksam, drohen Bußgelder nach Art. 83 DSGVO, unabhängig von einer eventuell zusätzlich vorliegenden Datenpanne.

Beispiel aus der Praxis

Ein Makler beauftragt einen Cloud-Anbieter mit der Speicherung von Exposés und Kundendaten. Bevor die ersten Daten hochgeladen werden, schließt er mit dem Anbieter den vorformulierten Auftragsverarbeitungsvertrag ab, der Weisungsbindung, TOMs und Löschpflichten regelt.

Rechtsgrundlage

  • Art. 28 Abs. 3 DSGVO – zwingende Mindestinhalte eines Auftragsverarbeitungsvertrags.
  • Art. 28 Abs. 9 DSGVO – Schriftform (auch elektronisch) des Vertrags.
  • Art. 83 DSGVO – Bußgeld bei Verstoß gegen die Vertragspflicht.

Verwandte Begriffe