Benötigt wird der Auftragsverarbeitungsvertrag, kurz AVV, wenn ein Auftrag an weisungsabhängige Dritte erteilt wird, die personenbezogene Daten erhalten, weiterverarbeiten oder nutzen. Sobald ein Unternehmen also einen Dienstleister beauftragt, um eine Verarbeitung personenbezogener Daten vorzunehmen, ist der Abschluss eines Auftragsverarbeitungsvertrages zwingend notwendig. Voraussetzung ist dabei, dass der Dienstleister weisungsgebunden ist. Die konkreten rechtlichen Anforderungen an den AVV sind in Art. 28 DSGVO geregelt. Der Zweck durch die in der Datenschutzgrundverordnung festgelegten Regelungen für den AVV besteht darin, die Datensicherheit und den Datenschutz der von der Datenweitergabe Betroffenen zu stärken und damit zu schützen. Sie fungieren als Korrektiv für die Tatsache, dass es Unternehmen generell erlaubt ist, Daten im Rahmen der gesetzlichen Regelungen an Auftragsverarbeiter weiterzugeben.
Bei dem Auftragsverarbeitungsvertrag handelt es sich um einen Vertrag, der zwischen Auftraggeber und Auftragnehmer geschlossen wird. Dabei ist der Auftraggeber in den meisten Fällen ein verantwortliches Unternehmen im Sinne des Art. 4 Nr. 7 DSGVO und der Auftragnehmer (bzw. Auftragsverarbeiter) ein weisungsgebundener Dienstleister. Bei den Auftragnehmern kann es sich zum Beispiel um Marketingagenturen, externe Buchhaltungen oder externe Call-Center handeln, die personenbezogene Daten erhalten, verarbeiten oder nutzen, um den jeweiligen Auftrag zu erfüllen.
Wichtig zu erwähnen ist an dieser Stelle, dass dem beauftragten Dienstleister, der die personenbezogenen Daten im Rahmen des AVV erhält, eine Verwendung zu eigenen Zwecken untersagt ist, da er im Auftrag des Unternehmens agiert. Das auftraggebende Unternehmen trifft weiterhin die rechtliche Verantwortung für den Umgang mit den personenbezogenen Daten. Demnach ist es notwendig, dass der Auftragnehmer sorgfältig ausgewählt und überprüft wird, auch anhand seiner technischen und organisatorischen Maßnahmen (TOM).