AVV/DPA (Auftragsverarbeitungsvertrag / Data Processing Agreement)

Kurz erklärt

AVV = Auftragsverarbeitungsvertrag (deutsch) · DPA = Data Processing Agreement (englisch).
Regelt nach DSGVO Art. 28, wie ein Anbieter personenbezogene Daten im Auftrag verarbeitet (Zweck, Dauer, Sicherheitsmaßnahmen, Unterauftragsverarbeiter u. a.).
Siehe im Leitfaden.

Beispiele

• Cloud-Anbieter der Bewerbungs-KI verarbeitet Bewerberdaten für Ihr KMU.
• Unterauftragsverarbeiter (z. B. Hosting) werden im DPA benannt und vertraglich gebunden.

Praxis-Tipps

• DPA/AVV vom Anbieter einfordern, prüfen, zeichnen und ablegen.
• Technisch-organisatorische Maßnahmen (TOMs) prüfen (Verschlüsselung, Zugriff).
• Unterauftragsverarbeiter und Drittland-Transfers prüfen (Standardklauseln, Garantien).

Rechtsgrundlagen

• DSGVO Art. 28 (Auftragsverarbeitung)
• Bezug zum EU AI Act: Deployer-Pflichten (ordnungsgemäßer Betrieb, Infos aus Art. 13 nutzen; Art. 26)