Auftragsverarbeitungsverträge: Diese Verpflichtungen gibt es unter dem LGPD

Auftragsverarbeitungsverträge (auch AV-Vertrag oder AVV) sind ein wichtiges Instrument, um die Verarbeitung personenbezogener Daten durch externe Stellen wie Dienstleister, Lieferanten oder Geschäftspartner zu regeln. Sie werden meist im Rahmen von Dienstleistungen abgeschlossen, die Dritte im Auftrag und nach Weisung des Verantwortlichen erbringen.

Das brasilianische Datenschutzgesetz (LGPD) verpflichtet Verantwortliche, klare Anweisungen zur Verarbeitung personenbezogener Daten an Auftragsverarbeiter zu geben. Der Abschluss eines AV-Vertrages ist die beste Möglichkeit, dieses Ziel zu erreichen, da er – insbesondere bei großen Unternehmensgruppen – alle Rechte und Pflichten im Zusammenhang mit dem Datenschutz strukturiert regelt. Darüber hinaus ermöglicht dieses Instrument dem Verantwortlichen, sich besser abzusichern, falls der externe Dienstleister bei der Verarbeitung personenbezogener Daten gegen vertragliche oder gesetzliche Pflichten verstößt.

Der Hauptzweck dieser Vereinbarungen besteht darin, dem Verantwortlichen die Möglichkeit zu geben, dem Auftragsverarbeiter präzise Vorgaben zu den Zwecken und Mitteln der Verarbeitung personenbezogener Daten zu machen. 

Was müssen AV-Verträge beinhalten?

  • Detaillierte Beschreibung der Verarbeitungstätigkeiten des Auftragsverarbeiters: Dazu gehören die genaue Beschreibung der Tätigkeit, deren Zweck sowie die Kategorien personenbezogener Daten und betroffener Personen. Ebenso muss klar geregelt sein, ob Datenübermittlungen ins Ausland erfolgen und ob Unterauftragsverarbeiter beteiligt sind.
     
  • Liste technischer und organisatorischer Sicherheitsmaßnahmen, die der Auftragsverarbeiter umsetzen muss, um die personenbezogenen Daten des Verantwortlichen zu schützen.
     
  • Präzise Definition der Pflichten des Auftragsverarbeiters: Neben der allgemeinen Pflicht zur Einhaltung des LGPD gehören dazu die Verpflichtung auf Vertraulichkeit der Mitarbeitenden, die Pflicht zur Zusammenarbeit mit dem Verantwortlichen im Falle einer Datenschutzverletzung sowie die Unterstützung und Dokumentation bei Anfragen von Datenschutzbehörden oder betroffenen Personen.

AV-Verträge helfen Unternehmen, Verfahren zur Einhaltung der Datenschutzgesetze zu etablieren – auch im Hinblick auf die Rechenschaftspflicht, die das LGPD sowohl für Verantwortliche als auch für Auftragsverarbeiter vorsieht. Beide müssen jederzeit nachweisen können, dass sie wirksame Maßnahmen ergriffen und die Datenschutzregeln eingehalten haben.

Wir unterstützen Sie bei der Erstellung von AV-Veträgen unter Berücksichtigung der gesetzlichen Anforderungen und der strategischen Bedürfnisse Ihres Unternehmens. Das bedeutet für uns, dass wir Sie in allen Phasen begleiten – von der Analyse der Dienstleistung über die Erstellung des Vertrags bis hin zur Bewertung der Angemessenheit der von Dritten zugesicherten Sicherheitsmaßnahmen.

Kontaktperson

Fábio Cavalcante

Fábio Cavalcante, LL.M.

Senior Berater Datenschutz

E-Mail: fcavalcante@re-move-this.first-privacy.com

Telefon: +49 421 69 66 32-886

Mehr erfahren

Verzeichnisse von Verarbeitungstätigkeiten gemäß LGPD

Mehr Informationen

LGPD: Wie müssen Unternehmen bei Sicherheitsvorfällen nach brasilianischem Datenschutzrecht reagieren?

Mehr Informationen

Datenschutz-Folgenabschätzung (DSFA) nach brasilianischem Datenschutzrecht

Mehr Informationen

Datenschutzhinweise für Mitarbeitende gemäß LGPD richtig gestalten

Mehr Informationen