Auftragsverarbeitungsvertrag (AVV) nach Art 28 DSGVO
2018-05-26 07:26
Ein wichtiger Hinweis vorab: Unsere Informationen stellen keine Steuer- oder Rechtsberatung im Sinne des deutschen Rechtsberatungsgesetzes (RBerG) dar und sind immer ohne Gewähr!
In den letzten Tagen erhielten wir sehr viele Anfragen zum Thema AVV. Vor allem bei Privatkunden herrscht eine starke Verunsicherung. Im folgenden Artikel haben wir daher einmal die an uns herangetragenen Fragen mit den dazu gehörigen Antworten zusammen gefasst:
1. Was bedeutet die Abkürzung AVV?
AVV ist die Abkürzung für "Auftragsverarbeitungsvertrag".
2. Ich betreibe eine private Webseite, benötige ich einen AVV?
Wenn es sich um eine rein private Webseite handelt, aus der auch keinerlei Einnahmen erzeugt werden, benötigen Sie im Regelfall keinen AVV.
Denn ein AVV bringt für den Auftraggeber (das ist derjenige, der den Vertrag abschließt) auch gewisse Pflichten mit sich, da er mit Abschluss des Vertrages mit verantwortlich für die Datensicherheit ist. Dementsprechend ist ein AVV Auftraggeber dann auch verpflichtet die Vorgaben der DSGVO (z.B. Verfahrensverzeichnis, Dokumentationen ...) zu führen.
Für eine Privatperson ist dieser Aufwand nur schwer bis gar nicht zu bewältigen. Daher wurden private Webseiten von der DSGVO ausgeschlossen. Zitat aus der DSGVO:
Art. 2 DSGVO
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten (c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
(Quelle: https://dsgvo-gesetz.de/art-2-dsgvo/ )
Somit müssen Betreiber von rein privaten Webseiten keinen AVV abschließen.
Aber ACHTUNG, folgender Sachverhalt muss unbedingt beachtet werden:
Sobald Sie z.B. Werbung auf Ihrer Webseite schalten oder Produkte / Leistungen vermitteln, mit der Einnahmen erzielt werden könnten, ändert sich der Sachverhalt. Es ist hierbei egal, ob bereits Einnahmen erzielt wurden oder nicht.
In einem solchen Fall handelt es sich nicht mehr um eine private Webseite!
Und genau dieser wichtige Punkt wird häufig falsch verstanden. Sobald Sie Werbebanner, Affiliate-Links, Produktpräsentationen, Leistungsvermittlungen.. auf Ihrer Webseite veröffentlichen, könnten Sie theoretisch damit Einnahmen erzielen.
Hierdurch werden Sie automatisch mindestens zu einem Kleinunternehmer gemäß § 19 UStG, da Sie diese Einnahmen entsprechend steuerlich melden müssen. Ob es sich dann um eine freiberufliche oder gewerbliche Tätigkeit handelt, entscheidet im Regelfall die für Sie zuständige Behörde.
Somit sind Webseiten, auf denen z.B. Werbebanner, Affiliate-Links, Produktpräsentationen, Leistungsvermittlungen.. veröffentlicht sind, keine privaten Webseiten mehr. Für solche Webseiten müssen Sie einen AVV abschließen.
Dabei sind Sie auch entsprechend verpflichtet Ihren Hosting-Vertragspartner darüber zu informieren, dass Sie eine gewerbliche / freiberufliche Webseite betreiben. Diese Tätigkeit muss auch entsprechend behördlich gemeldet sein.
3. Wir haben einen Verein und hosten eine Vereinswebseite. Benötigen wir auch einen AVV?
Ja! Auch Vereine müssen einen AVV abschließen.
4.Ich bin Firmenkunde / ein Vereinskunde bei VCServer Network, wie bekomme ich den benötigten AVV?
Alle nicht privaten Kunden können den benötigten AVV bei uns in unserem Kundencenter erzeugen und digital signieren.
Loggen Sie sich mit Ihren Kundencenter-Zugangsdaten ein
In der linken Navigation, im Bereich "AUFTRAGSVERARBEITUNG" klicken Sie auf "AV-Vertrag"
Folgen Sie nun den Anweisungen des Systems. Dieses erstellt mit Ihnen den benötigten AVV und bietet Ihnen diesen dann zur Signatur an.
Nach erfolgter Signatur des erstellen AVV können Sie diesen, für Ihre Unterlagen, als PDF Datei herunterladen.
5. Welche Daten werden von VCServer Network beim Besuch von Webseiten, die auf deren Servern gehostet sind, verarbeitet?
Wenn Besucher Ihre Webseite aufrufen, die auf unseren Servern gehostet ist, wird die IP-Adresse des Besuchers in den Server-Log-Dateien gespeichert. Diese IP Speicherung nutzen wir ausschließlich zur Erkennung und Abwehr von Angriffen (z.B. DDOS, BruteForce...). Nach 7 Tagen werden die Daten automatisch gelöscht.
Diese Speicherung betrifft alle bei uns gemieteten:
Hiervon nicht betroffen sind virtuelle und dedizierte Rootserver, da wir bei diesem Produkten weder die Administration durchführen noch einen entsprechenden Datenzugriff haben. Ob und wie solche Daten bei virtuellen und dedizierten Rootservern erhoben und gespeichert werden, können daher nur Sie als Betreiber festlegen.