Anwendungen & Auftragsverarbeitung
Verwaltung von Software und Auftragsverarbeitungsverträgen nach Art. 28 DSGVO
Die Anwendungsverwaltung dokumentiert alle Software und Dienste, die personenbezogene Daten verarbeiten. Besonderer Fokus liegt auf der Verwaltung von Auftragsverarbeitungsverträgen (AVV).
Übersicht
Was ist eine "Anwendung"?
Eine Anwendung im DSGVO-Kontext ist jede Software oder jeder Dienst, der:
- Personenbezogene Daten speichert
- Personenbezogene Daten verarbeitet
- Zugriff auf personenbezogene Daten ermöglicht
Beispiele:
- Cloud-Dienste (Microsoft 365, Google Workspace)
- CRM-Systeme (Salesforce, HubSpot)
- HR-Software (Personio, DATEV)
- E-Mail-Marketing (Mailchimp, CleverReach)
- Analyse-Tools (Google Analytics, Matomo)
- Hosting-Provider (AWS, Azure, Hetzner)
AVV-Status (Auftragsverarbeitungsvertrag)
Status-Typen
| Status | Bedeutung | Handlungsbedarf |
|---|---|---|
| Erforderlich | AVV muss abgeschlossen werden | Dringend! Vertrag einholen |
| Unterschrieben | AVV liegt vor | Ablaufdatum überwachen |
| Nicht erforderlich | Keine Auftragsverarbeitung | Dokumentation ausreichend |
| Ausstehend | AVV angefordert, nicht erhalten | Nachfassen |
| Abgelaufen | AVV-Laufzeit überschritten | Erneuerung einleiten |
Wann ist ein AVV erforderlich?
Ein AVV nach Art. 28 DSGVO ist erforderlich, wenn:
AVV erforderlich bei:
- Cloud-Speicher mit Kundendaten
- Externes Lohnbüro
- Hosting-Provider
- Newsletter-Dienste
- Backup-Dienste
Kein AVV erforderlich bei:
- Eigenständige Verantwortliche (z.B. Steuerberater mit eigener Berufspflicht)
- Reine Transportdienste (z.B. Post)
- Anonymisierte Daten
Neue Anwendung erfassen
Pflichtfelder
| Feld | Beschreibung |
|---|---|
| Name | Produktname der Software |
| Anbieter | Herstellerfirma |
| Kategorie | CRM, HR, Cloud Storage, etc. |
| Beschreibung | Wofür wird die Anwendung genutzt? |
| AVV-Status | Siehe oben |
Datenverarbeitungsdetails
| Feld | Beschreibung |
|---|---|
| Verarbeitete Datenkategorien | Welche Daten werden verarbeitet? |
| Betroffene Personen | Wessen Daten? |
| Datenstandort | Wo werden Daten gespeichert? |
| Subunternehmer | Nutzt der Anbieter Unterauftragnehmer? |
Standort und Compliance
| Feld | Optionen |
|---|---|
| Land des Anbieters | Sitz des Unternehmens |
| Hosting-Standort | EU, USA, Andere |
| Angemessenheitsbeschluss | Ja/Nein |
| Zusätzliche Garantien | SCC, BCR, DPF |
Vorlagen nutzen
Das System bietet vorkonfigurierte Vorlagen für häufig genutzte Anwendungen:
Verfügbare Vorlagen
| Vorlage | Kategorie | Vorkonfiguriert |
|---|---|---|
| Microsoft 365 | Cloud/Produktivität | AVV, Standort, Datenkategorien |
| Google Workspace | Cloud/Produktivität | AVV, Standort, Datenkategorien |
| Salesforce | CRM | AVV, Standort |
| DATEV | Buchhaltung | AVV, Standort |
| AWS | Cloud Infrastructure | AVV, Regionen |
| Mailchimp | E-Mail-Marketing | AVV, DPF-Status |
Vorlage anwenden
- Klicken Sie auf "Aus Vorlage erstellen"
- Wählen Sie die passende Vorlage
- Prüfen und ergänzen Sie die Daten
- Speichern Sie die Anwendung
Drittlandtransfer dokumentieren
EU/EWR-Anbieter
Bei Anbietern mit Sitz und Hosting in EU/EWR:
- Kein zusätzlicher Dokumentationsaufwand
- AVV nach Art. 28 ausreichend
Nicht-EU-Anbieter
| Szenario | Erforderliche Maßnahmen |
|---|---|
| Angemessenheitsbeschluss | Beschluss dokumentieren |
| Data Privacy Framework (USA) | DPF-Zertifizierung prüfen und dokumentieren |
| Standardvertragsklauseln | SCC abschließen + Transfer Impact Assessment |
| Binding Corporate Rules | BCR-Genehmigung nachweisen |
Transfer Impact Assessment (TIA)
Bei SCC ist zusätzlich ein TIA erforderlich:
-
Rechtslage im Drittland prüfen
- Zugriffsbefugnisse von Behörden
- Rechtsschutzmöglichkeiten
-
Zusätzliche Maßnahmen bewerten
- Verschlüsselung
- Pseudonymisierung
- Vertragliche Zusagen
-
Risikobewertung dokumentieren
- Wahrscheinlichkeit eines Zugriffs
- Sensibilität der Daten
Verknüpfungen
Mit Verarbeitungstätigkeiten
Jede Anwendung kann mit Verarbeitungstätigkeiten verknüpft werden:
Mit TOMs
Dokumentieren Sie anwendungsspezifische Schutzmaßnahmen:
AVV-Verwaltung
AVV hochladen
- Anwendung öffnen
- Im Bereich "AVV-Dokumente" auf "Hochladen" klicken
- PDF des unterzeichneten AVV auswählen
- Gültigkeitszeitraum eingeben
AVV-Ablaufüberwachung
Das System warnt automatisch:
- 90 Tage vorher: Hinweis auf bevorstehenden Ablauf
- 30 Tage vorher: Dringende Warnung
- Nach Ablauf: Compliance-Score wird reduziert
AVV-Checkliste
Ein gültiger AVV muss enthalten:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Weisungsbindung des Auftragsverarbeiters
- Vertraulichkeitsverpflichtung
- Technische und organisatorische Maßnahmen
- Regelungen zu Unterauftragnehmern
- Unterstützungspflichten bei Betroffenenrechten
- Löschung/Rückgabe nach Auftragsende
- Nachweispflichten und Kontrollrechte
Kategorien
Anwendungskategorien
| Kategorie | Beschreibung |
|---|---|
| CRM | Kundenbeziehungsmanagement |
| ERP | Unternehmensressourcenplanung |
| HR | Personalverwaltung |
| E-Mail-Dienste | |
| Cloud Storage | Dateispeicherung |
| Kommunikation | Chat, Videokonferenz |
| Analytics | Analyse und Tracking |
| Marketing | Marketing-Automation |
| Custom | Eigenentwicklungen |
Best Practices
Regelmäßige Überprüfung
- Quartalsweise AVV-Status prüfen
- Jährlich alle Anwendungen auf Aktualität prüfen
- Bei Anbieterwechsel sofort aktualisieren
- Neue Anwendungen VOR Einsatz erfassen
Dokumentationsqualität
- Anbieter-Kontaktdaten aktuell halten
- Vertragsunterlagen zentral ablegen
- Änderungen nachvollziehbar dokumentieren
- Subunternehmer-Listen pflegen