Was muss unbedingt in einem AVV (Auftragsverarbeitungsvertrag) geregelt werden?
Im folgenden zitiere ich intersoft consulting: „Art. 28 Abs. 3 DSGVO definiert die Mindestanforderungen an den Inhalt eines Auftragsverarbeitungsvertrages. Der Auftragsverarbeitungsvertrag muss Regelungen zu den im Gesetz aufgeführten Punkten treffen.
Hierzu zählen:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten & Kategorien von betroffenen Personen
- Weisungsbefugnis des Verantwortlichen
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen & organisatorischen Maßnahmen
- Genehmigungsbedürfnis und Mindeststandards bei Subunternehmern
- Unterstützung des Verantwortlichen bei Betroffenenanfragen
- Unterstützung des Verantwortlichen bei Erfüllung der Meldepflicht von Datenschutzvorfällen und der Durchführung von Datenschutz-Folgenabschätzung
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt“ (https://www.intersoft-consulting.de/infos/auftragsverarbeitung/, 6.1.24)