AVV und Unterauftragsverträge im Großen verwalten
Folgendes ist mir in Gesprächen mit Datenschutz- und Compliance-Teams aufgefallen: Fast niemand hat zum Zeitpunkt der Unterzeichnung ein "AVV-Problem". Das Problem zeigt sich sechs, zwölf, achtzehn Monate später, wenn ein Anbieter stillschweigend einen Unterauftragsverarbeiter hinzufügt, ein Übermittlungsmechanismus seine Gültigkeit verliert oder ein Prüfer nach der aktuellen Version eines Vertrags fragt, den seit dem Tag der Unterzeichnung niemand mehr geöffnet hat. Bei einer Handvoll Anbieter können Sie das alles im Kopf behalten. Bei fünfzig können Sie das nicht, und in dem Moment, in dem Sie es versuchen, geht etwas verloren.
In diesem Leitfaden geht es um das System, das diesen Verlust verhindert. Ich erläutere, warum AVV verfallen, was genau Sie für jeden einzelnen verfolgen sollten und wie Sie aus einem Stapel unterzeichneter PDFs etwas machen, das Ihnen unaufdringlich mitteilt, wann Sie handeln müssen. Das Ziel ist ein Portfolio, das konform bleibt und nicht bloß unterzeichnet ist.
Dies ist eine praktische Orientierungshilfe, keine Rechtsberatung.
Am Ende dieses Leitfadens werden Sie:
- die konkreten Wege verstehen, auf denen ein AVV-Portfolio mit der Zeit verfällt
- die Handvoll Datenpunkte kennen, die es lohnt, für jeden Vertrag zu verfolgen
- in der Lage sein, eine zentrale Informationsquelle aufzubauen, die Ihr Team tatsächlich durchsuchen kann
- sehen, wie Erinnerungen diese Informationsquelle in Handeln verwandeln
- einen konkreten ersten Schritt haben, den Sie heute an einem einzigen AVV gehen können
Warum AVV verfallen
Ein Auftragsverarbeitungsvertrag ist voller wiederkehrender, fristgebundener Verpflichtungen, und das Unangenehme daran ist, dass keine von ihnen sich von selbst meldet. Das Dokument bleibt unbewegt, während die Welt um es herum sich weiterdreht. So spielt sich das ab.
Unterauftragsverarbeiter ändern sich. Die meisten AVV erlauben dem Auftragsverarbeiter, nach vorheriger Ankündigung neue Unterauftragsverarbeiter hinzuzufügen, mit einer Frist für Ihren Widerspruch. Verpassen Sie die Frist, haben Sie eine neue Partei akzeptiert, die Ihre Daten verarbeitet, ohne jemals eine Entscheidung darüber getroffen zu haben.
Prüfungen geraten ins Stocken. Viele Verträge verpflichten zu regelmäßigen Prüfungen der Sicherheitsmaßnahmen des Auftragsverarbeiters. Niemand plant sie ein, also finden sie schlichtweg nicht statt, und die Verpflichtung bleibt stillschweigend unerfüllt.
Übermittlungsmechanismen laufen ab oder werden ungültig. Die Rechtsgrundlage für die Übermittlung personenbezogener Daten über Grenzen hinweg hat sich wiederholt verschoben. Ein AVV, der die Konformität an einen bestimmten Mechanismus gebunden hat, kann veralten, ohne dass sich ein einziges Wort im Text ändert.
Versionen driften auseinander. Der Anbieter aktualisiert seinen AVV, stellt den neuen irgendwo ein, und Sie halten immer noch die Version von vor zwei Jahren in der Hand.
Keines davon sendet Ihnen eine Erinnerung, und genau das ist der Kern des Problems. Der Verfall ist unsichtbar, bis zu dem Moment, in dem jemand Sie auffordert, nachzuweisen, dass der Vertrag aktuell ist. Wenn Sie über die weiter gefassten Risiken im Vertragsmanagement gelesen haben, ist dies dieselbe Dynamik in einem Bereich des Unternehmens mit höheren Einsätzen.
Was Sie für jeden AVV verfolgen sollten
Um ein Portfolio aktuell zu halten, würde ich für jeden Vertrag dieselbe Handvoll Datenpunkte erfassen. Die Liste ist absichtlich kurz, denn ein Verfolgungssystem, das Sie nicht aufrechterhalten können, ist gar kein System.
| Was zu verfolgen ist | Warum es seinen Platz verdient |
|---|---|
| Anbieter und Hauptvertrag | Verankert den AVV in der Beziehung, die er regelt, damit keiner von beiden allein abdriftet |
| Prüftermine | Sagt Ihnen, wann die nächste Sicherheits- oder Compliance-Prüfung fällig ist |
| Liste der Unterauftragsverarbeiter und Frist zur Änderungsankündigung | Hält fest, wer autorisiert ist und wie lange Sie Zeit haben, Ergänzungen zu widersprechen |
| Prüfrechte | Erfasst, wozu Sie berechtigt sind und wann Sie es ausüben können |
| Übermittlungsmechanismus | Vermerkt, worauf er sich stützt und ob er Ihre tatsächlichen Datenflüsse weiterhin abdeckt |
| Kündigungs- und Löschungsbedingungen | Legt fest, was mit den Daten geschieht, wenn die Beziehung endet |
Beachten Sie, dass die meisten davon Termine oder kurze Fakten sind. Das ist beabsichtigt. Es geht nicht darum, den gesamten Vertrag zusammenzufassen, sondern die wenigen Dinge herauszuziehen, die sich ändern, ablaufen oder fällig werden, damit Sie sie im Blick behalten können, ohne das Dokument jedes Quartal erneut zu lesen. Diese Felder von Hand aus fünfzig Verträgen herauszuziehen, ist wirklich mühsam, und genau hier macht sich die KI-gestützte Vertragsdatenextraktion bezahlt: Sie liest den Vertrag und hebt die Prüftermine, Unterauftragsverarbeiter-Bedingungen und Übermittlungspflichten in strukturierte Felder, die Sie sortieren und filtern können.
Bauen Sie eine zentrale Informationsquelle auf
Die Mechanik ist weniger wichtig als das Prinzip: jeder AVV an einem Ort, durchsuchbar, mit seinem Anbieter verknüpft, mit seinen wichtigsten Terminen extrahiert statt in einer PDF vergraben. Wenn eine Aufsichtsbehörde oder ein Kunde fragt: "Zeigen Sie mir Ihren AVV mit diesem Anbieter und weisen Sie nach, dass er aktuell ist", sollte die Antwort eine Suche entfernt sein und kein Nachmittag des Durchwühlens von Postfächern und gemeinsamen Laufwerken.
Ich habe festgestellt, dass die zentrale Informationsquelle das ist, was den Rest des Systems leicht statt schwer wirken lässt. Sobald jeder Vertrag in einem Vertragsrepository neben dem Vertrag liegt, den er regelt, hört das Portfolio auf, eine vage Sorge zu sein, und wird zu etwas, das Sie betrachten können. Sie sehen auf einen Blick, welche AVV anstehende Prüfungen haben, welche sich auf einen Übermittlungsmechanismus stützen, den Sie überprüfen wollen, und welche zu lange nicht angefasst wurden.
Genau dafür ist das Management von Auftragsverarbeitungsverträgen gemacht: AVV neben den Verträgen speichern, die sie regeln, wobei die KI Prüftermine, Unterauftragsverarbeiter-Bedingungen und Übermittlungspflichten in strukturierte, durchsuchbare Felder extrahiert. Da Contracko EU-gehostet, verschlüsselt und auf rollenbasierter Zugriffskontrolle aufgebaut ist (und die von uns genutzten KI-Anbieter nicht mit Ihren Verträgen trainieren), schafft die Zentralisierung sensibler Verträge dabei kein neues Risiko. Das ist aus denselben Gründen von Bedeutung, aus denen unser Ansatz zur Sicherheit plattformweit von Bedeutung ist.
Bringen Sie die Termine auf einen Zeitplan
Eine Informationsquelle hilft nur, wenn sie Ihnen sagt, wann Sie handeln müssen. Werfen Sie einen Blick zurück auf die oben genannten Verfallspunkte, und Ihnen wird auffallen, dass es sich allesamt um Termine handelt: Prüffristen, Widerspruchsfristen für Unterauftragsverarbeiter, Prüfzyklen, Revalidierung von Übermittlungsmechanismen. Jeder davon sollte eine Erinnerung erzeugen, die an die jeweils verantwortliche Person geleitet wird, mit genügend Vorlauf, um tatsächlich etwas zu unternehmen, statt nur zu erfahren, dass Sie ihn verpasst haben.
Dies ist der Teil, den Teams am häufigsten überspringen, und es ist der Teil, der alles andere lohnenswert macht. Ein verfolgter Termin ohne angehängte Erinnerung ist nur ein Fakt, der darauf wartet, vergessen zu werden. Mit Erinnerungen an Ablauf und Verlängerung, die an die durch Ihre Extraktion herausgezogenen Termine gekoppelt sind, stupst das System die richtige Person vor jeder Frist an, und das Portfolio beginnt, sich um sich selbst zu kümmern. Für alle, die einen breiten Anbieterstapel jonglieren, ist dies auch das alltägliche Rückgrat des Anbieter-Vertragsmanagements.
Sehen Sie das gesamte Portfolio auf einen Blick
Sobald Termine verfolgt werden und Erinnerungen fließen, ist das Letzte, das sich hinzuzufügen lohnt, eine Gesamtansicht über alles. Ich öffne gern einen einzigen Bildschirm und sehe, wie es um das gesamte Portfolio steht, statt Verträge einzeln zu prüfen. Gutes Reporting verwandelt Dutzende von AVV in ein Bild, auf das Sie reagieren können, und genau das ist es auch, was ein Compliance-Verantwortlicher braucht, wenn die Führung oder ein Prüfer fragt, wie die Dinge stehen.
Ein konkreter erster Schritt
Sie müssen nicht das gesamte System auf einmal aufbauen, und ehrlich gesagt würde ich davon abraten, es zu versuchen. Beginnen Sie mit einem einzigen Vertrag. Nehmen Sie einen AVV, den Sie bereits haben, und lassen Sie ihn durch das AVV-Erinnerungstool laufen. Laden Sie ihn hoch, und es extrahiert die Prüftermine, die Änderungsfristen für Unterauftragsverarbeiter und die Fristen der Prüfrechte und schlägt dann einen Erinnerungszeitplan dafür vor. Es ist kostenlos und zeigt Ihnen in ein paar Minuten an einem einzigen Dokument, was das vollständige System über Ihren gesamten Stapel hinweg leistet.
Wenn Sie sehen, wie es an einem Vertrag funktioniert, wird der Sprung zu fünfzig weit weniger einschüchternd. Dieselbe Disziplin (jeder Termin verfolgt, jeder Verantwortliche erinnert) ist das, was ein AVV-Portfolio konform statt bloß unterzeichnet hält. Von dort aus können Sie den Rest Ihrer Verträge an einem Ort zusammenführen und die Erinnerungen das Gewicht tragen lassen, das Sie bislang im Kopf getragen haben.
Wenn Sie sehen möchten, wie das zu Ihrem konkreten Anbieterstapel passt, legt die Lösungsübersicht die einzelnen Bausteine dar, und es gibt eine kostenlose Testversion, wann immer Sie es an echten Verträgen ausprobieren möchten. Melden Sie sich gern, wenn Sie Fragen haben. Ich lese jede E-Mail selbst und helfe Ihnen jederzeit gern dabei, ein ausuferndes AVV-Portfolio wieder unter Kontrolle zu bringen.
Legen Sie mit Contracko los
Nehmen Sie sich den Stress aus dem Vertrags- und Abonnementmanagement. Mit Contracko bleiben Sie organisiert, pünktlich und in Kontrolle. Beginnen Sie noch heute mit der Vereinfachung.