Vertrag zwischen einem Verantwortlichen (Research-Team oder Auftraggeber) und einem Auftragsverarbeiter (Anbieter, der Daten im Auftrag verarbeitet), der festlegt was der Anbieter mit den Daten tun darf. Pflicht nach DSGVO Artikel 28. Englisch: DPA (Data Processing Agreement).
Definition: Vertrag zwischen einem Verantwortlichen (Research-Team oder Auftraggeber) und einem Auftragsverarbeiter (Anbieter, der Daten im Auftrag verarbeitet), der festlegt was der Anbieter mit den Daten tun darf. Pflicht nach DSGVO Artikel 28. Englisch: DPA (Data Processing Agreement).
Der AVV ist der Vertrag, der Anbieter-Marketing in rechtliche Verpflichtungen übersetzt. Nach DSGVO Artikel 28 muss jeder, der in deinem Auftrag personenbezogene Daten verarbeitet, einen AVV unterzeichnen. Ohne AVV ist die Nutzung eines Anbieters mit Teilnehmerdaten bereits eine DSGVO-Verletzung.
Ein brauchbarer AVV regelt: Zwecke der Verarbeitung, Datenkategorien, Aufbewahrungsfristen, Sicherheitsmaßnahmen, Liste der Unterauftragsverarbeiter und Benachrichtigungsprozess, Meldefristen bei Datenschutzverletzungen, sowie Rückgabe oder Löschung der Daten bei Vertragsende. Anbieter-Templates sind tendenziell anbieterfreundlich formuliert; sorgfältig lesen und Anpassungen verlangen wo der Text vage oder einseitig ist.
Kostenlose oder günstige KI-Tools bieten selten einen AVV an. Enterprise-Tarife meistens schon. Ein solider AVV ist ein starkes Signal, dass der Anbieter Compliance ernst nimmt; das Fehlen ist ein starkes Signal sich abzuwenden.
Dieser Begriff wird in den folgenden Artikeln referenziert: