abaton Logo

Vereinbarung über eine Auftragsverarbeitung

Im Rahmen der EU-weiten Datenschutzgrundverordnung (kurz DSGVO) unterliegen (fast alle) Unternehmen der Dokumentationspflicht. Gemeint ist damit, dass ein "Verzeichnis der Verarbeitungstätigkeiten" angelegt werden muss. Dieses umfasst sämtliche Verarbeitungstätigkeiten, die in der Zuständigkeit des Unternehmens liegen. Werden personenbezogene Daten außerhalb des Unternehmens verarbeitet - hier reicht es schon, wenn diese auf einem Server gespeichert werden - ist eine Vereinbarung über eine Auftragsverarbeitung (AV-Vereinbarung) vorgesehen. Diese soll u.a. sicherstellen, dass das an der Datenverarbeitung beteiligte Unternehmen die zur Verarbeitung bereitgestellten Daten entsprechend schützt.

Begriffserklärung

Personenbezogene Daten

 Alle Informationen, die sich auf eine Person (natürlich oder juristisch) beziehen und diese bekannt/bestimmbar machen. Dazu gehören u.a.: Name, Geburtsdatum, E-Mail, Geschlecht, Adresse, Einkommen, Bild, Stimme, Fingerabdruck, fixe oder dynamische IP-Adressen.

Kategorien betroffener Personen

Wichtiger Teil der AV-Vereinbarung ist die Angabe über die Kategorien betroffener Personen, auf die sich die Datenverarbeitung erstreckt. Möglich sind hier etwa: (ehemalige) Mitarbeiter, Kunden, Partner, Lieferanten, Interessenten, Newsletter-Abonnenten oder Beratungsunternehmen (Steuerberater, Rechtsberater etc.).

Verarbeitung

Laut DSGVO (Art. 4 Z 2) fällt unter den Begriff "Verarbeitung" jeder Vorgang im Zusammenhang mit personenbezogenen Daten: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Abgleichen, Löschen, Vernichten.

Verantwortlicher

Ersetzt den im österreichischen Datenschutzgesetz (DSG 2000) definierten Begriff AUFTRAGGEBER. Der Verantwortliche entscheidet (alleine oder gemeinsam mit anderen) welche personenbezogenen Daten warum (Zwecke) und wie (Mittel) verarbeitet werden. 

Auftragsverarbeiter

Ersetzt den im österreichischen Datenschutzgesetz (DSG 2000) definierten Begriff DIENSTLEISTER. Der Auftragsverarbeiter bearbeitet personenbezogene Daten im Auftrag des Verantwortlichen. 

Vereinbarung über eine Auftragsverarbeitung (AV-Vereinbarung)

  • Regelt die Rechte und Pflichten im Umgang mit personenbezogenen Daten von Verantwortlichem und Auftragsverarbeiter.
  • Soll sicherstellen, dass der Auftragsverarbeiter die ihm vom Verantwortlichen anvertrauten Daten ausschließlich zu den Zwecken verarbeitet, für die der Verantwortliche sie erhoben hat.
  • Verpflichtet den Auftragsverarbeiter, die Daten entsprechend zu schützen und gibt dem Verantwortlichen diesbezüglich umfassende Kontrollrechte.

Wann brauchen Sie eine AV-Vereinbarung mit abaton für Ihre DSGVO-Unterlagen?

Es reicht aus, wenn Sie personenbezogene Daten auf Ihrem abaton-Hosting-Produkt speichern. Damit gewähren Sie abaton theoretischen Zugang zu diesen Daten, was eine AV-Vereinbarung begründet. 

Beispiele:

  • Sie versenden Newsletter über Ihr abaton-Hosting-Produkt, Namen und E-Mail-Adresse der Empfänger sind auf einem abaton-Server hinterlegt. Personenkategorien könnten in diesem Fall Kunden, Interessenten, Lieferanten und eventuell auch Mitarbeiter sein; Art der personenbezogenen Daten wären Name sowie E-Mail-Adresse.
  • Sie betreiben einen Online-Shop, bei einer Anmeldung bzw. einem getätigtem Kauf werden Name, Adresse, Telefonnummer sowie E-Mail-Adresse vom Kunden abgefragt und auf einem abaton-Server gespeichert. Die entsprechende Personenkategorie wäre hier Kunde, Art der personenbezogenen Daten: Name, Adresse, Telefonnummer und E-Mail-Adresse.
  • Kunden oder andere Personen können Sie über ein Kontaktformular auf Ihrer Webseite erreichen, die eingetragenen Daten werden auf einem abaton-Server gespeichert. Personenkategorien wären hier etwa Kunden und Interessenten; Art der personenbezogenen Daten entsprechend den verwendeten Formularfeldern Name, Telefonnummer, E-Mail-Adresse etc.

Sie benötigen KEINE AV-Vereinbarung, wenn...

  • personenbezogene Daten öffentlich auf Ihrer Webseite zugänglich sind, zum Beispiel wenn Sie die Kontaktdaten Ihrer Mitarbeiter auf einer Team- oder Kontaktseite zur Verfügung stellen.
  • Sie personenbezogene Daten ausschließlich auf Systemen speichern, die sich an Ihrem eigenen Unternehmensstandort befinden.

Was müssen Sie tun, um eine AV-Vereinbarung mit abaton zu bekommen?

Um unseren Kunden den Start in die DSGVO etwas zu erleichtern, haben wir für Sie eine AV-Vereinbarung vorbereitet. Wenn Sie eine AV-Vereinbarung für Ihre Unterlagen benötigen, schicken Sie uns bitte ein E-Mail an datenschutzabatonat. Das E-Mail sollte folgende Informationen enthalten:

  • Personenkategorien, die der Auftragsverarbeitung unterliegen
  • Arten von personenbezogenen Daten, die von der Auftragsverarbeitung betroffen sind

Wir ergänzen für Sie die AV-Vereinbarung und übermitteln Ihnen das unterfertigte Dokument für Ihre Unterlagen.

Das abaton Partnerprogramm

Domaincheck


abaton-Graz:
Hans-Resel-Gasse 17
8020 Graz

abaton-Wien:
Mariahilfer Straße 1D/13
1060 Wien

Telefon: +43 5 0240
Fax: +43 5 0240 70
E-Mail: interesse@abaton.at

Anfrageformular