Benötigen sie einen auftragsverarbeitungsvertrag (AVV) für ihre dokumentenfreigabe-tools?

Einleitung: Die versteckten Datenverarbeiter in Ihrem Toolkit

Sie sind vorsichtig mit der DSGVO, besonders wenn Sie Dokumente mit personenbezogenen Daten wie Verträge, Angebote oder Kundeninformationsblätter handhaben. Aber haben Sie die Tools berücksichtigt, die Sie zum Verwalten und Teilen dieser Dokumente verwenden? Viele Online-Plattformen, insbesondere Dokumentenfreigabe-Tools mit Funktionen wie Betrachteranalysen, könnten als 'Auftragsverarbeiter' in Ihrem Namen handeln und damit spezifische DSGVO-Verpflichtungen auslösen – nämlich die Notwendigkeit eines Auftragsverarbeitungsvertrags (AVV).

Dieser Artikel erklärt, was ein AVV ist, wann Sie einen benötigen und warum er für Tools, die Ihre sensiblen Geschäftsdokumente verarbeiten, entscheidend ist.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtlich bindender Vertrag, der gemäß DSGVO zwischen einem Verantwortlichen (das ist in der Regel Ihr Unternehmen, das entscheidet, warum und wie personenbezogene Daten verarbeitet werden) und einem Auftragsverarbeiter (einem Drittanbieter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet) erforderlich ist.

Der AVV legt die spezifischen Rechte und Pflichten beider Parteien bezüglich der Verarbeitung personenbezogener Daten fest. Er stellt sicher, dass der Auftragsverarbeiter die Daten gemäß den Anweisungen des Verantwortlichen verarbeitet und die strengen Anforderungen der DSGVO an Datenschutz und Sicherheit erfüllt. Betrachten Sie ihn als das Regelwerk, das der Anbieter befolgen muss, wenn er Daten berührt, die Sie kontrollieren. (DSGVO-Grundlagen erklärt)

Verantwortlicher vs. Auftragsverarbeiter: Die Rollen verstehen

• Verantwortlicher: Ihr Unternehmen ist typischerweise der Verantwortliche, wenn Sie personenbezogene Daten von Kunden, Mitarbeitern oder Partnern sammeln und entscheiden, wie diese verwendet werden (z.B. zur Erfüllung eines Vertrags, zur Erbringung einer Dienstleistung, für Marketing).
• Auftragsverarbeiter: Ein Anbieter wird zum Auftragsverarbeiter, wenn er diese personenbezogenen Daten auf Ihre Anweisungen hin verarbeitet. Beispiele umfassen:
  • Cloud-Speicheranbieter, die Ihre Dateien hosten.
  • E-Mail-Marketing-Dienste, die Newsletter versenden.
  • CRM-Plattformen, die Kundendaten verwalten.
  • Dokumentenfreigabe-Plattformen, die Dokumente mit personenbezogenen Daten speichern, übertragen oder analysieren.

Wann benötigen sie einen AVV für dokumentenfreigabe-tools?

Sie benötigen wahrscheinlich einen AVV von ihrem Dokumentenfreigabe-Anbieter, wenn dieser Aktionen durchführt, die eine 'Verarbeitung' personenbezogener Daten darstellen, die in den von ihnen hochgeladenen oder geteilten Dokumenten enthalten sind. Dies ist besonders relevant, wenn das Tool Funktionen wie diese bietet:

• Speicherung: Die Plattform speichert ihre Dokumente, die Namen, E-Mails, Vertragsdetails usw. enthalten.
• Übertragung: Die Plattform ermöglicht den sicheren Versand dieser Dokumente.
• Analytik: Die Plattform verfolgt die Aktivitäten der Betrachter, wie z.B. wer ein Dokument geöffnet hat, wann, wie lange oder von wo aus. Dies beinhaltet die Verarbeitung von Daten, die möglicherweise mit identifizierbaren Personen verknüpft sind. Selbst anonymisierte Analysen können eine Verarbeitung darstellen, wenn die zugrunde liegenden Daten ursprünglich personenbezogen waren.
• Andere Verarbeitungen: Funktionen wie elektronische Signaturen, automatisierte Workflows mit Dokumentendaten oder Integrationen, die Daten synchronisieren, könnten ebenfalls in Frage kommen.

Wenn ihr Dokumentenfreigabe-Tool mehr tut als nur als einfacher Kanal zu fungieren (wie grundlegende verschlüsselte Übertragung, bei der sie nicht auf Inhalte zugreifen können), und stattdessen Dokumente oder zugehörige Metadaten mit persönlichen Informationen speichert oder analysiert, ist es wahrscheinlich ein Auftragsverarbeiter, und ein AVV ist gemäß DSGVO obligatorisch.

Warum ist ein AVV entscheidend?

1. DSGVO-Konformität: Artikel 28 der DSGVO verlangt ausdrücklich einen Vertrag (wie einen AVV) zwischen Verantwortlichen und Auftragsverarbeitern. Ohne einen solchen zu arbeiten ist ein direkter Verstoß.
2. Rechenschaftspflicht: Der AVV zeigt, dass sie sorgfältig geprüft und klare Regeln für den Umgang ihres Anbieters mit personenbezogenen Daten festgelegt haben, wodurch sie ihre Rechenschaftspflichten erfüllen. (Wichtige DSGVO-Grundsätze für Unternehmen)
3. Sicherheitsgarantie: Ein robuster AVV beschreibt detailliert die Sicherheitsmaßnahmen, die der Auftragsverarbeiter implementieren muss, und gibt ihnen die Gewissheit, dass die Daten angemessen geschützt sind.
4. Haftungsmanagement: Er klärt die Verantwortlichkeiten im Falle einer Datenschutzverletzung oder Nichteinhaltung und hilft, die Haftung zwischen ihnen und dem Anbieter zu definieren.
5. Vertrauenssignal: Die Wahl von Anbietern, die bereitwillig einen umfassenden AVV zur Verfügung stellen, signalisiert deren Engagement für den Datenschutz und schafft Vertrauen. Seriöse Anbieter verstehen ihre Verpflichtungen und machen ihren AVV leicht zugänglich, oft über ihre Datenschutzrichtlinien oder Sicherheitsseiten.

Was sollte ein AVV abdecken?

Ein DSGVO-konformer AVV spezifiziert typischerweise:

• Den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung.
• Die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen.
• Die Pflichten und Rechte des Verantwortlichen (Ihr Unternehmen).
• Die Pflichten des Auftragsverarbeiters, einschließlich:
  • Verarbeitung der Daten nur auf dokumentierte Anweisung des Verantwortlichen.
  • Sicherstellung, dass das beteiligte Personal zur Vertraulichkeit verpflichtet ist.
  • Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen.
  • Keine Beauftragung von Unterauftragsverarbeitern ohne Genehmigung des Verantwortlichen (und Sicherstellung, dass Unterauftragsverarbeiter die gleichen Standards erfüllen).
  • Unterstützung des Verantwortlichen bei Anfragen zu Betroffenenrechten (Zugang, Löschung usw.).
  • Unterstützung des Verantwortlichen bei Meldungen von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen.
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung der Dienstleistungen.
  • Bereitstellung von Informationen zum Nachweis der Einhaltung (Audits, Inspektionen).

Auswahl eines konformen Dokumentenaustauschdiensts

Bei der Bewertung von Plattformen für den Dokumentenaustausch sollten Sie diejenigen priorisieren, die:

• DSGVO-konform sind: Sie sollten ihre Verpflichtung zur DSGVO klar zum Ausdruck bringen.
• Einen AVV bereitstellen: Sie müssen einen leicht verfügbaren, umfassenden AVV anbieten, der die DSGVO-Anforderungen erfüllt.
• Starke Sicherheit implementieren: Achten Sie auf Verschlüsselung, robuste Zugriffskontrollen, Audit-Logs usw.
• Transparent sind: Sie sollten in ihrer Datenschutzrichtlinie klar über ihre Datenverarbeitungspraktiken informieren.

Fazit: AVVs sind für Auftragsverarbeiter nicht verhandelbar

Wenn Ihr Dokumentenaustauschdienst Dokumente mit personenbezogenen Daten speichert oder analysiert, insbesondere durch Funktionen wie Betrachteranalysen, fungiert er als Auftragsverarbeiter gemäß DSGVO. Das bedeutet, dass der Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit ihnen keine Option ist – es ist eine grundlegende Voraussetzung für die Compliance.

Die Wahl von Anbietern wie Papermark, die diese Verpflichtungen verstehen und neben robusten Sicherheitsfunktionen eine klare AVV bereitstellen, ist entscheidend für den Schutz Ihrer Daten, die Erfüllung Ihrer regulatorischen Pflichten und den Aufbau von Vertrauen im digitalen Zeitalter. (Vermeiden Sie häufige DSGVO-Fehler beim Dokumentenaustausch)

---

Stellen Sie sicher, dass Ihre Praktiken zum Teilen von Dokumenten vollständig konform sind.

Überprüfen Sie, ob Ihre Anbieter eine DSGVO-konforme AVV bereitstellen. Papermark erfüllt diese Anforderungen und bietet sicheres Teilen von Dokumenten mit den notwendigen rechtlichen Schutzmaßnahmen.

Papermark jetzt entdecken

Häufig gestellte Fragen