Papermark Logo
6.6K
BlogBenötigen sie einen auftragsverarbeitungsvertrag (AVV) für ihre dokumentenfreigabe-tools?

Benötigen sie einen auftragsverarbeitungsvertrag (AVV) für ihre dokumentenfreigabe-tools?

Marc Seitz

Marc Seitz

@mfts0

Einführung: Die versteckten Datenverarbeiter in Ihrem Toolkit

Sie sind vorsichtig mit der DSGVO, besonders wenn Sie Dokumente mit personenbezogenen Daten wie Verträge, Angebote oder Kundeninformationsblätter verarbeiten. Aber haben Sie auch die Tools bedacht, die Sie verwenden, um diese Dokumente zu verwalten und zu teilen? Viele Online-Plattformen, insbesondere Dokumenten-Sharing-Tools mit Funktionen wie Betrachteranalysen, könnten als "Auftragsverarbeiter" in Ihrem Namen agieren und damit spezifische DSGVO-Verpflichtungen auslösen – nämlich die Notwendigkeit eines Auftragsverarbeitungsvertrags (AVV).

Dieser Artikel erklärt, was ein AVV ist, wann Sie einen benötigen und warum er für Tools, die Ihre sensiblen Geschäftsdokumente verarbeiten, entscheidend ist.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

DSGVO AVV

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtlich bindender Vertrag, der gemäß DSGVO zwischen einem Verantwortlichen (das ist in der Regel Ihr Unternehmen, das entscheidet, warum und wie personenbezogene Daten verarbeitet werden) und einem Auftragsverarbeiter (einem Drittanbieter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet) erforderlich ist.

Der AVV legt die spezifischen Rechte und Pflichten beider Parteien bezüglich der Verarbeitung personenbezogener Daten fest. Er stellt sicher, dass der Auftragsverarbeiter die Daten gemäß den Anweisungen des Verantwortlichen verarbeitet und die strengen Anforderungen der DSGVO an Datenschutz und Datensicherheit erfüllt. Betrachten Sie ihn als das Regelwerk, an das sich der Anbieter halten muss, wenn er mit Daten umgeht, die Sie kontrollieren. (DSGVO-Grundlagen erklärt)

Verantwortlicher vs. Auftragsverarbeiter: Die Rollen verstehen

  • Verantwortlicher: Ihr Unternehmen ist typischerweise der Verantwortliche, wenn Sie personenbezogene Daten von Kunden, Mitarbeitern oder Partnern erheben und entscheiden, wie diese verwendet werden (z.B. zur Erfüllung eines Vertrags, zur Erbringung einer Dienstleistung, für Marketing).
  • Auftragsverarbeiter: Ein Anbieter wird zum Auftragsverarbeiter, wenn er diese personenbezogenen Daten auf Ihre Anweisung hin verarbeitet. Beispiele sind:
    • Cloud-Speicheranbieter, die Ihre Dateien hosten.
    • E-Mail-Marketing-Dienste, die Newsletter versenden.
    • CRM-Plattformen, die Kundendaten verwalten.
    • Dokumenten-Sharing-Plattformen, die Dokumente mit personenbezogenen Daten speichern, übertragen oder analysieren.

Wann benötigen sie einen AVV für dokumentenaustausch-tools?

Sie benötigen wahrscheinlich einen AVV von ihrem anbieter für dokumentenaustausch, wenn dieser aktionen durchführt, die eine "verarbeitung" personenbezogener daten darstellen, die in den von ihnen hochgeladenen oder geteilten dokumenten enthalten sind. Dies ist besonders relevant, wenn das tool funktionen wie diese bietet:

  • Speicherung: Die plattform speichert ihre dokumente, die namen, e-mails, vertragsdaten usw. enthalten.
  • Übertragung: Die plattform ermöglicht das sichere versenden dieser dokumente.
  • Analytik: Die plattform verfolgt die aktivitäten der betrachter, z.b. wer ein dokument geöffnet hat, wann, wie lange oder von wo aus. Dies beinhaltet die verarbeitung von daten, die möglicherweise mit identifizierbaren personen verknüpft sind. Selbst anonymisierte analysen können eine verarbeitung darstellen, wenn die zugrundeliegenden daten ursprünglich personenbezogen waren.
  • Andere verarbeitungen: Funktionen wie elektronische signaturen, automatisierte workflows mit dokumentendaten oder integrationen, die daten synchronisieren, könnten ebenfalls in frage kommen.

Wenn ihr dokumentenaustausch-tool mehr tut als nur als einfacher kanal zu fungieren (wie eine grundlegende verschlüsselte übertragung, bei der sie keinen zugriff auf inhalte haben), und stattdessen dokumente oder zugehörige metadaten mit personenbezogenen informationen speichert oder analysiert, ist es wahrscheinlich ein auftragsverarbeiter, und ein AVV ist nach DSGVO obligatorisch.

Warum ist ein AVV entscheidend?

  1. DSGVO-konformität: Artikel 28 der DSGVO verlangt ausdrücklich einen vertrag (wie einen AVV) zwischen verantwortlichen und auftragsverarbeitern. Ohne einen solchen zu arbeiten ist ein direkter verstoß.
  2. Rechenschaftspflicht: Der AVV zeigt, dass sie sorgfältig geprüft und klare regeln für den umgang ihres anbieters mit personenbezogenen daten festgelegt haben, wodurch sie ihre rechenschaftspflichten erfüllen. (Wichtige DSGVO-prinzipien für unternehmen)
  3. Sicherheitsgarantie: Ein robuster AVV beschreibt im detail die sicherheitsmaßnahmen, die der auftragsverarbeiter implementieren muss, und gibt ihnen die gewissheit, dass die daten angemessen geschützt sind.
  4. Haftungsmanagement: Er klärt die verantwortlichkeiten im falle einer datenschutzverletzung oder nichteinhaltung und hilft, die haftung zwischen ihnen und dem anbieter zu definieren.
  5. Vertrauenssignal: Die wahl von anbietern, die bereitwillig einen umfassenden AVV zur verfügung stellen, signalisiert deren engagement für den datenschutz und schafft vertrauen. Seriöse anbieter verstehen ihre verpflichtungen und machen ihren AVV leicht zugänglich, oft über ihre datenschutzrichtlinien oder sicherheitsseiten.

Was sollte ein AVV abdecken?

Ein DSGVO-konformer AVV (Auftragsverarbeitungsvertrag) spezifiziert typischerweise:

  • Den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung.
  • Die Arten der personenbezogenen Daten und die Kategorien betroffener Personen.
  • Die Pflichten und Rechte des Verantwortlichen (Ihr Unternehmen).
  • Die Pflichten des Auftragsverarbeiters, einschließlich:
    • Verarbeitung der Daten nur auf dokumentierte Anweisung des Verantwortlichen.
    • Sicherstellung, dass das beteiligte Personal zur Vertraulichkeit verpflichtet ist.
    • Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen.
    • Keine Beauftragung von Unterauftragsverarbeitern ohne Genehmigung des Verantwortlichen (und Sicherstellung, dass Unterauftragsverarbeiter die gleichen Standards erfüllen).
    • Unterstützung des Verantwortlichen bei Anfragen zu Betroffenenrechten (Zugang, Löschung usw.).
    • Unterstützung des Verantwortlichen bei Meldungen von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen.
    • Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung der Dienstleistungen.
    • Bereitstellung von Informationen zum Nachweis der Einhaltung (Audits, Inspektionen).

Auswahl eines konformen Dokumentenaustausch-Tools

Bei der Bewertung von Plattformen für den Dokumentenaustausch sollten Sie diejenigen priorisieren, die:

  • DSGVO-konform sind: Sie sollten ihre Verpflichtung zur DSGVO klar zum Ausdruck bringen.
  • Einen AVV bereitstellen: Sie müssen einen leicht verfügbaren, umfassenden AVV anbieten, der die DSGVO-Anforderungen erfüllt.
  • Starke Sicherheit implementieren: Achten Sie auf Verschlüsselung, robuste Zugriffskontrollen, Audit-Logs usw.
  • Transparent sind: Sie sollten in ihrer Datenschutzerklärung klar über ihre Datenverarbeitungspraktiken informieren.

Fazit: AVVs sind für Auftragsverarbeiter nicht verhandelbar

Wenn Ihr Dokumentenaustausch-Tool Dokumente mit personenbezogenen Daten speichert oder analysiert, insbesondere durch Funktionen wie Betrachteranalysen, fungiert es als Auftragsverarbeiter gemäß DSGVO. Das bedeutet, dass der Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit ihnen keine Option ist – es ist eine grundlegende Voraussetzung für die Compliance.

Die Wahl von Anbietern wie Papermark, die diese Verpflichtungen verstehen und einen klaren AVV zusammen mit robusten Sicherheitsfunktionen bereitstellen, ist entscheidend für den Schutz Ihrer Daten, die Erfüllung Ihrer regulatorischen Pflichten und den Aufbau von Vertrauen im digitalen Zeitalter. (Vermeiden Sie häufige DSGVO-Fehler beim Dokumentenaustausch)

Stellen sie sicher, dass ihre dokumentenfreigabepraktiken vollständig konform sind.

Überprüfen sie, ob ihre anbieter einen DSGVO-konformen AVV bereitstellen. Papermark erfüllt diese anforderungen und bietet sichere dokumentenfreigabe mit den notwendigen rechtlichen schutzmaßnahmen.

Häufig gestellte Fragen

More useful articles from Papermark

AlleDatenräumeDokumentenaustauschVertriebsunterstützungFundraisingInvestorenFusionen und ÜbernahmenDateisicherheitDSGVO-Konformität & Leitfäden