Wann braucht ein CSC einen AVV?

Immer wenn ein externer Dienstleister personenbezogene Daten verarbeitet – z.B. Cloud-Software für Mitgliederverwaltung, Buchhaltung oder E-Mail-Dienste. Der AVV ist gesetzlich vorgeschrieben.

Was regelt ein Auftragsverarbeitungsvertrag?

Der AVV definiert Zweck, Dauer, Art der Daten, Pflichten des Dienstleisters, technische Schutzmaßnahmen und Rechte des Auftraggebers – alles gemäß Art. 28 DSGVO.

Cannanas bietet viele Funktionen für Cannabis Social Clubs

Startseite
Glossar
Auftragsverarbeitung (AVV)
Auftragsverarbeitung (AVV)

Ein AVV (Auftragsverarbeitungsvertrag) regelt, wie ein Dienstleister personenbezogene Daten im Auftrag verarbeitet – ein typischer Baustein für DSGVO-Compliance.

Zur Übersicht

Kategorie: Regulierung & Compliance

Ein Auftragsverarbeitungsvertrag (AVV) ist ein nach Art. 28 DSGVO vorgeschriebener Vertrag zwischen einem Verantwortlichen und einem Dienstleister, der in dessen Auftrag personenbezogene Daten verarbeitet. Für Cannabis Social Clubs ist ein AVV Pflicht bei jeder externen Datenverarbeitung – etwa durch Cloud-Software oder Zahlungsdienstleister.

Wann braucht ein Cannabis Social Club einen AVV?

Immer wenn ein externer Dienstleister Zugang zu personenbezogenen Mitgliederdaten erhält, muss ein AVV geschlossen werden. Typische Fälle in Anbauvereinigungen:

Vereinssoftware: Cloud-basierte Mitgliederverwaltung oder Anbaudokumentation
Zahlungsabwicklung: SEPA-Dienstleister für den Beitragseinzug
E-Mail-Versand: Tools für Mitgliederkommunikation und Newsletter
Hosting: Webhosting-Anbieter, die Vereinswebsite oder Datenbanken betreiben
Buchhaltung: Externe Steuerberater mit Datenzugriff

Was muss der AVV inhaltlich regeln?

Art. 28 Abs. 3 DSGVO definiert Mindestinhalte:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten (z. B. Name, Adresse, Abgabedaten)
Kategorien betroffener Personen (Mitglieder, ggf. Lieferanten)
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
Regelungen zu Unterauftragsverarbeitern
Löschpflichten nach Ende der Zusammenarbeit

Welche Risiken drohen ohne AVV?

Fehlt ein AVV, verstößt der Verein gegen die DSGVO. Mögliche Konsequenzen:

Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes
Haftung des Vorstands bei Datenschutzverletzungen
Vertrauensverlust bei Mitgliedern

Wie setzt man den AVV in der Praxis um?

Seriöse Anbieter wie Cannanas stellen standardisierte AVVs bereit, die den Anforderungen der DSGVO entsprechen. Der Vorstand sollte alle Dienstleister mit Datenzugriff inventarisieren und im Verzeichnis von Verarbeitungstätigkeiten erfassen.

Häufige Fragen zu Auftragsverarbeitung (AVV)

: Immer wenn ein externer Dienstleister personenbezogene Daten verarbeitet – z.B. Cloud-Software für Mitgliederverwaltung, Buchhaltung oder E-Mail-Dienste. Der AVV ist gesetzlich vorgeschrieben.
: Der AVV definiert Zweck, Dauer, Art der Daten, Pflichten des Dienstleisters, technische Schutzmaßnahmen und Rechte des Auftraggebers – alles gemäß Art. 28 DSGVO.

Startseite/Glossar/Auftragsverarbeitung (AVV)Auftragsverarbeitung (AVV)