Betriebliche Vorsorge digital verwalten – BAV Workflow

    BAV Workflow Logo
    Alle Begriffe

    Auftragsverarbeitungsvereinbarung (AVV) in der bAV

    Was ist eine Auftragsverarbeitungsvereinbarung (AVV)?

    Eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO ist ein verpflichtender Vertrag zwischen einem Unternehmen (Verantwortlicher) und einem externen Dienstleister oder SaaS‑Anbieter (Auftragsverarbeiter). Sie regelt die Verarbeitung personenbezogener Daten ausschließlich nach Weisung des Verantwortlichen.

    Gemäß DSGVO liegt Auftragsverarbeitung immer dann vor, wenn ein externer Anbieter personenbezogene Daten:

    • erfasst,

    • speichert,

    • übermittelt,

    • nutzt

    • oder sonst wie verarbeitet,

    und dies nicht zu eigenen Zwecken, sondern im Auftrag des Unternehmens tut.

    In der digitalen bAV betrifft das u. a. sensible Daten zu:

    • Entgeltumwandlung

    • bAV‑Vertragsunterlagen

    • Personaldaten

    • Kommunikations‑ und Beratungsprozessen

    • digitalen Akten und Self‑Service‑Portalen

    Sobald ein externer Anbieter Zugriff auf solche Daten erhält, ist eine AVV zwingend vorgeschrieben.

    Welche Inhalte muss eine AVV mindestens regeln?

    Eine AVV muss gemäß Art. 28 Abs. 3 DSGVO insbesondere folgende Punkte verbindlich festlegen:

    1. Zweck und Gegenstand der Verarbeitung

    Beispielsweise:

    • digitale bAV‑Verwaltung

    • Vertragsakte

    • Dokumentenerstellung

    • Mitarbeitendenberatung

    • Hosting von bAV‑Daten

    2. Art der verarbeiteten Daten

    Beispiele:

    • Arbeitsvertragsdaten

    • Entgeltumwandlungsunterlagen

    • bAV‑Vertragsmerkmale

    • Kommunikationsdaten

    3. Rechte und Pflichten beider Parteien

    Unter anderem:

    • Verantwortung des Unternehmens für die Daten

    • Pflicht des Dienstleisters, ausschließlich weisungsgebunden zu handeln

    4. Technische und organisatorische Maßnahmen (TOMs)

    Z. B.:

    • Zugriffs- und Berechtigungskonzepte

    • Verschlüsselung

    • Protokollierung

    • Datenschutz & Informationssicherheit

    5. Unterauftragsverhältnisse

    Der Dienstleister darf Subdienstleister nur mit Genehmigung des Verantwortlichen einsetzen.

    6. Löschung, Rückgabe und Dokumentation

    Der Dienstleister muss eindeutig geregelt:

    • wann Daten gelöscht,

    • zurückgegeben,

    • oder archiviert

    werden müssen.

    Warum ist die AVV im Kontext der digitalen bAV unverzichtbar?

    Moderne bAV‑Systeme arbeiten in der Regel:

    • cloudbasiert

    • mit automatisierten Workflows

    • mit HR‑ und Payroll‑Schnittstellen

    • mit digitalen Akten

    • mit Self‑Service‑Funktionen

    • mit integrierter Beratungslogik

    Damit steigen die Anforderungen an Datenschutz, Transparenz und Prozesssicherheit.

    Die AVV stellt sicher, dass:

    • Daten rechtssicher verarbeitet werden

    • der Anbieter keine eigenen Zwecke verfolgt

    • Standards einheitlich und nachvollziehbar bleiben

    • Compliance‑Risiken minimiert werden

    • ein klarer Verantwortungsrahmen besteht

    • Mitarbeitende nachvollziehen können, wer ihre Daten wie nutzt

    Gerade in der bAV – mit oft jahrzehntelangen Datenbeständen – ist strukturierter Datenschutz ein zentraler Stabilitätsfaktor.

    Besonderheiten in der digitalen bAV‑Praxis

    1. Sensible personenbezogene Daten

    Versorgungsunterlagen, Gehaltsdaten, Vertragsdetails oder BU‑bezogene Informationen gehören zu den sensiblen HR‑Daten, die eine hohe Schutzstufe erfordern.

    2. Schnittstellenabhängigkeit

    Automatisierte Datenflüsse zwischen HR‑Software, Lohnabrechnung und bAV‑Plattformen müssen transparent, vollständig und rechtlich abgesichert sein.

    3. Rollen‑ und Rechtekonzepte

    Wer hat Zugriff?
    Wer darf was sehen?
    Wie wird dokumentiert – und wie schnell?

    Dies muss in der AVV klar geregelt sein.

    4. Cloud‑und SaaS‑Betrieb

    Serverstandort, Sicherheitsstandards, Verfügbarkeit, Zertifizierungen – all das wird über die AVV reguliert.

    Was passiert ohne eine gültige AVV?

    Ohne AVV drohen:

    • Datenschutzverstöße

    • Bußgelder

    • Abmahnungen

    • Stilllegung digitaler Prozesse

    • Haftungsrisiken für Geschäftsführung & Arbeitgeber

    • Reputationsschäden gegenüber Mitarbeitenden und Betriebsrat

    Gerade weil die bAV langfristige Datenverarbeitung umfasst, ist die AVV nicht optional, sondern gesetzliche Pflicht.

    Fazit für HR‑Manager

    Eine Auftragsverarbeitungsvereinbarung ist unverzichtbar, sobald externe Dienstleister oder digitale bAV‑Systeme eingesetzt werden.
    Sie schafft:

    • Rechtssicherheit

    • Transparenz

    • Struktur

    • Nachvollziehbarkeit

    • Schutz sensibler HR‑Daten

    Für eine moderne, digitale und revisionssichere bAV ist die AVV daher ein Pflichtbaustein und gleichzeitig ein Qualitätssiegel für professionelle bAV‑Prozesse.