Verträge, AVV, Monitoring & Reporting

Ein Auftragsverarbeitungsvertrag nach Art.

28 DSGVO muss folgende Pflichtinhalte enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen sowie technische und organisatorische Maßnahmen (TOM). Zusätzlich regelt der AVV die Einbindung von Unterauftragnehmern, Löschpflichten und das Recht auf Audits. ADVISORI erstellt rechtssichere AVV-Templates, die alle DSGVO-Anforderungen abdecken und gleichzeitig flexibel genug für verschiedene Dienstleistertypen sind.

Systematisches Datenschutz-Monitoring umfasst die kontinuierliche Überwachung aller Drittdienstleister hinsichtlich ihrer Vertragstreue und Datenschutz-Compliance. Der Prozess beginnt mit einer risikobasierten Kategorisierung der Dienstleister nach Datenvolumen, Sensibilität und strategischer Bedeutung. Darauf aufbauend werden Monitoring-Zyklen definiert: kritische Dienstleister werden quartalsweise geprüft, Standard-Dienstleister jährlich. ADVISORI implementiert dafür strukturierte Checklisten, automatisierte Abfragen und KPI-Dashboards, die den Compliance-Status auf einen Blick zeigen.

Ohne gültigen AVV drohen Bußgelder von bis zu

10 Millionen Euro oder

2 % des weltweiten Jahresumsatzes nach Art.

83 Abs.

4 DSGVO. Darüber hinaus können Aufsichtsbehörden die Datenverarbeitung untersagen, was zu Betriebsunterbrechungen führt. Auch die persönliche Haftung der Geschäftsführung ist möglich. In der Praxis verhängen Datenschutzbehörden zunehmend Bußgelder bei fehlenden oder mangelhaften AVV, insbesondere bei Cloud-Diensten und SaaS-Anbietern.

Ein DSGVO-konformes Datenschutz-Reporting umfasst regelmäßige Berichte über den Status aller Auftragsverarbeitungen, identifizierte Risiken, durchgeführte Audits und den Umsetzungsstand vereinbarter Maßnahmen. Zentrale KPIs sind die Anzahl aktiver AVV, der Anteil geprüfter Dienstleister, offene Maßnahmen und die durchschnittliche Reaktionszeit bei Vorfällen. ADVISORI entwickelt Reporting-Frameworks, die sowohl die Anforderungen der Geschäftsführung als auch der Aufsichtsbehörden erfüllen und automatisiert aus dem Monitoring-System gespeist werden.

Bei der Auftragsverarbeitung (Art.

28 DSGVO) verarbeitet ein Dienstleister personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen, etwa bei Cloud-Hosting oder Lohnabrechnung. Bei gemeinsamer Verantwortlichkeit (Art.

26 DSGVO) legen zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung fest, beispielsweise bei gemeinsamen Marketing-Plattformen. Die Abgrenzung ist entscheidend, da unterschiedliche Vertragsanforderungen und Haftungsregeln gelten. ADVISORI unterstützt bei der korrekten Einordnung und der passenden Vertragsgestaltung.

Auftragsverarbeitungsverträge sollten mindestens einmal jährlich überprüft werden. Bei kritischen Dienstleistern mit hohem Datenvolumen oder sensiblen Daten empfiehlt sich eine quartalsweise Prüfung. Zusätzlich ist eine anlassbezogene Prüfung notwendig bei Gesetzesänderungen, Sicherheitsvorfällen, Änderungen im Leistungsumfang oder beim Einsatz neuer Unterauftragnehmer. ADVISORI etabliert einen systematischen Prüfkalender und stellt sicher, dass alle AVV stets den aktuellen rechtlichen und technischen Anforderungen entsprechen.

Ein AVV muss nach Art.

32 DSGVO angemessene technische und organisatorische Maßnahmen (TOM) festlegen. Technische Maßnahmen umfassen Verschlüsselung, Zugangskontrollen, Protokollierung, Backup-Konzepte und Netzwerksicherheit. Organisatorische Maßnahmen beinhalten Schulungen, Berechtigungskonzepte, Vertraulichkeitsvereinbarungen und Incident-Response-Prozesse. Die Maßnahmen müssen dem Risiko der Verarbeitung angemessen sein und regelmäßig auf Wirksamkeit geprüft werden. ADVISORI definiert für jeden Dienstleistertyp passende TOM-Anforderungen und überwacht deren Einhaltung.