Datenschutz im IT-Vertrag: DSGVO-Anforderungen

IT-Dienstleistungen und Datenschutz sind untrennbar verbunden. Jeder IT-Vertrag muss die Anforderungen der DSGVO berücksichtigen.

Wann ist ein AVV erforderlich?

Ein Auftragsverarbeitungsvertrag ist erforderlich, wenn der IT-Dienstleister personenbezogene Daten im Auftrag verarbeitet. Typische Fälle:

• Cloud-Hosting und SaaS


• Managed Services und IT-Support mit Zugriff auf personenbezogene Daten


• E-Mail-Service-Provider


• CRM- und ERP-Systeme

Keine Auftragsverarbeitung

Nicht jeder IT-Vertrag erfordert einen AVV:

• Reine Softwarelizenzen ohne Datenverarbeitung


• Telekommunikationsdienstleistungen (privilegiert nach TKG)


• Berufsgeheimnisträger (Steuerberater, Rechtsanwälte)

Datenschutzklauseln im IT-Vertrag

Technische und organisatorische Maßnahmen (TOMs)

Der IT-Dienstleister muss konkrete TOMs nachweisen:

• Verschlüsselung (at rest und in transit)
• Zugangs- und Zugriffskontrolle
• Verfügbarkeitskontrolle und Backups
• Trennungsgebot (Mandantentrennung)
• Regelmäßige Überprüfung und Bewertung

Unterauftragsverarbeiter

• Welche Subunternehmer setzt der Dienstleister ein?
• Wie werden Sie über neue Unterauftragsverarbeiter informiert?
• Haben Sie ein Widerspruchsrecht?

Datenlöschung bei Vertragsende

• Wann werden die Daten gelöscht?
• In welcher Form erhalten Sie die Daten zurück?
• Wie wird die Löschung dokumentiert?

Meldepflicht bei Datenpannen

Der Dienstleister muss Datenpannen unverzüglich melden (Art. 33 DSGVO: 72 Stunden). Regeln Sie:

• Wie und an wen wird gemeldet?
• Welche Informationen müssen enthalten sein?
• Wer koordiniert die Kommunikation mit Betroffenen und Aufsichtsbehörde?

Drittlandtransfer

Bei IT-Dienstleistern mit Infrastruktur oder Support außerhalb der EU:

• Welche Daten werden übermittelt?


• Welcher Transfermechanismus greift? (DPF, SCCs, BCR)


• Ist ein Transfer Impact Assessment durchgeführt?

Vertrag prüfen lassen

Lassen Sie Ihren AVV oder SaaS-Vertrag auf DSGVO-Konformität prüfen. Jetzt hochladen.