Neben einem Dienstleistungsvertrag muss in bestimmten Fällen, wenn personenbezogene Daten verarbeitet werden, ein Datenschutzvertrag (Data processing agreement) zwischen Verantwortlichem (Controller) und Auftragsverarbeiter (Processor) geschlossen werden. Dieser lautet Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO. Wird dieser nicht geschlossen oder fehlerhaft geschlossen (falsche TOMs), kann es zu empfindlichen Bußgeldern kommen. In diesem Fall hatte ein Unternehmen Rat bezüglich eines AVV bei der hamburgischen Datenschutzaufsichtsbehörde (Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit) eingeholt, dessen Rat jedoch nicht befolgt. Da dieser Datenschutzvertrag eine beidseitige Verpflichtung ist, wurde ein Bußgeld in Höhe von 5.000,- EUR plus 250,- EUR Gebühren ausgesprochen.
Quelle: Heise