Wiki-Eintrag

Auftragsverarbeitungsvertrag (AV-Vertrag)

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter gemäß Art. 28 DSGVO. Er regelt, wie personenbezogene Daten im Auftrag verarbeitet werden. Für Steuerkanzleien ist er Pflicht bei der Nutzung von Cloud-Diensten, Mandantenportalen und externen IT-Dienstleistern.

Verifiziert am

Fakten

Abkürzung
AV-Vertrag (auch AVV)
Rechtsgrundlage
Art. 28 DSGVO
Parteien
Verantwortlicher (z. B. Kanzlei) und Auftragsverarbeiter (z. B. Cloud-Anbieter)
Pflicht
Abschluss vor Beginn der Datenverarbeitung
Form
Schriftlich oder elektronisch
Verstoß
Bußgeld bis 10 Mio. EUR oder 2 % des Jahresumsatzes (Art. 83 DSGVO)

Inhalt und Anforderungen

Inhalt und Anforderungen

  • 1

    Gegenstand und Dauer der Verarbeitung

  • 2

    Art und Zweck der Verarbeitung sowie Art der personenbezogenen Daten

  • 3

    Kategorien betroffener Personen (z. B. Mandanten, deren Mitarbeiter)

  • 4

    Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters

  • 5

    Regelungen zu Unterauftragsverarbeitern, Löschung und Rückgabe der Daten

Relevanz für Steuerkanzleien

Relevanz für Steuerkanzleien

  • 11

    Steuerkanzleien verarbeiten hochsensible personenbezogene und steuerliche Daten

  • 12

    Bei Nutzung von Cloud-Software, Mandantenportalen oder externem Hosting ist ein AV-Vertrag Pflicht

  • 13

    Die Kanzlei bleibt als Verantwortlicher für die Einhaltung der DSGVO verantwortlich

  • 14

    Der AV-Vertrag muss vor der ersten Datenübertragung an den Dienstleister vorliegen

Prüfpunkte bei der Auswahl von Cloud-Diensten

Prüfpunkte bei der Auswahl von Cloud-Diensten

  • 21

    Ist ein AV-Vertrag verfügbar und entspricht er den Anforderungen nach Art. 28 DSGVO?

  • 22

    Wo werden die Daten gespeichert und verarbeitet (EU/EWR oder Drittland)?

  • 23

    Welche technischen und organisatorischen Maßnahmen setzt der Anbieter um?

  • 24

    Wie ist die Regelung zu Unterauftragsverarbeitern und deren Standorten?

Abgrenzung

  • Ein AV-Vertrag ist keine allgemeine Datenschutzerklärung.

  • Ein AV-Vertrag entbindet die Kanzlei nicht von eigenen Datenschutzpflichten.

  • Nicht jede Datenübermittlung erfordert einen AV-Vertrag – nur wenn Daten im Auftrag verarbeitet werden.

Siehe auch

Verwandte Wiki-Einträge

Sicherheit und DSGVO

Wie Taxaro DSGVO-konforme Prozesse für den Datenaustausch zwischen Steuerkanzlei und Mandanten umsetzt: Verschlüsselung, 2FA, EU-Hosting und Zugriffskontrolle.

Wiki-Eintrag lesen

Mandantenportal

Was ist ein Mandantenportal? Definition, typische Funktionen und Nutzen für Steuerberater und kleine und mittelgroße Kanzleien.

Wiki-Eintrag lesen