Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?

Fachbeitrag

Mit dem Softwareanbieter muss er geschlossen werden, mit dem Lettershop sowieso, aber wie sieht das eigentlich mit dem Steuerberater aus? Auftragsverarbeitungsverträge (AVV) und deren Handhabung können schnell zu einem unübersichtlichen Ärgernis werden. Mit wem muss ich einen abschließen? Mit wem sollte ich keinen abschließen? Bei wem ist es egal?

Lieber ein AVV zu viel, als einer zu wenig?

In der Hektik um die Umsetzung der DSGVO-Vorgaben bekommt man den Eindruck, dass jeder externe Dienstleister eines Unternehmens, der nicht bei drei auf den Bäumen ist, einen AVV angedreht bekommt. Es scheint das „Better safe than sorry“-Prinzip zu gelten. Lieber ein AVV zu viel, als einer zu wenig. Dabei ist der Abschluss eines Auftragsverarbeitungsvertrag nicht immer erstrebenswert. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftragnehmer in Kontakt kommt, weiter verantwortlich. Dabei kann es aus haftungsrechtlicher Sicht doch deutlich angenehmer sein, sich dieser Verantwortung zu entledigen. Doch wann ist dies der Fall? Der reflexartige Abschluss von AVV’s mit externen Dienstleistern dürfte nicht zuletzt auch daran liegen, dass die Frage welcher Art die Beziehung zum externen Dienstleister denn nun ist, aus datenschutzrechtlicher Sicht oftmals gar nicht so einfach zu beantworten ist.

Für die Weitergabe bedarf es einer separaten Rechtsgrundlage

Festzuhalten bleibt zunächst, dass sie für die Weitergabe der personenbezogenen Daten an den Dienstleister keine weitere Rechtsgrundlage benötigen als diejenige auf die sie selber die Verarbeitung stützen. Der Auftragnehmer zählt nicht als Dritter im Sinne der DSGVO, sondern als ihr verlängerter Arm. Anders verhält es sich bei „echten“ Dritten. Hier benötigen sie zum einen eine Rechtsgrundlage für die ursprüngliche Verarbeitung der Daten zum anderen eine Rechtsgrundlage um die Daten an den Dritten weiterzugeben.

Der wichtigste Faktor ist die Weisungsgebundenheit

Doch wie finden sie jetzt heraus, ob Sie einen Auftragsverarbeitungsvertrag mit Ihrem Dienstleister abschließen müssen? Die Antwort ist leider unbefriedigend: Es kommt drauf an.

Der wichtigste Faktor ist die Weisungsgebundenheit. Je weisungsgebundener ein Dienstleister ist, desto höher ist auch die Wahrscheinlichkeit, dass sie weiter für die Daten verantwortlich sind und einen AVV abschließen müssen. Je ungebundener hingegen ein Dienstleister schalten und walten darf, desto höher ist auch die Wahrscheinlichkeit, dass er selber für die Daten verantwortlich ist, die sie ihm übermittelt haben. Als weitere Kontrolle können sie sich fragen: Sage ich dem Dienstleister was zu tun ist, oder sagt / rät der Dienstleister mir was zu tun ist? Kann ich dem Dienstleister befehlen sofort alle Daten herauszugeben oder zu vernichten oder kann er mir darauf den Vogel zeigen? Was steht im Hauptvertrag?

Steuerberater und andere Ausnahmen

Sollten Sie nach all den Abwägungen noch immer zu keinem klaren Ergebnis gekommen sein, bleibt Ihnen immer noch die Möglichkeit, sich bei ihrer zuständigen Datenschutzaufsichtsbehörde zu erkundigen. Die ist sich vielleicht auch nicht sicher, aber die muss eine Meinung haben. Was jetzt eigentlich mit dem Steuerberater ist? Der ist eine fremde Fachleistung und selber für die Daten verantwortlich. Genauso wie Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienste für den Brieftransport. Sagen zumindest die Aufsichtsbehörden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

25 Kommentare zu diesem Beitrag

  1. Dass es für die Weitergabe keiner besonderen Rechtsgrundlage bedarf ist vollig umstritten und ungeklärt Auch die Abgrenzung nach der Weisungsgebundenheit ist alte BDSG Denke. Entscheidend nach der Datenschutz-Grundverordnung ist alleine wer Zwecke und Mittel festlegt. Weisungsgebundenheit mag da einer von vielen Aspekten sein. Leider ist es eben nicht so einfach, wie der Beitrag es suggerieren will.

  2. Ich rege an, für KMU eine Art Liste zu pflegen, wo man entnehmen kann, mit wem man eine AVV -abschließen oder -nicht abschließen muss. Sonst wird hier jeder Einzelfall neu bearbeitet. Ich hätte als Frage beizusteuern: Ist ein AVV erforderlich mit dem „typischen“ Web-Hoster mit Email-Server, der die Web-Seite, den Email-Verkehr und die Verarbeitung von Kontaktformularen anbietet und realisiert.

    • Grundsätzlich halten wir das für eine gute Idee. Zumindest für eine erste Einteilung. Allerdings bergen solche Listen auch die Risiken, dass sie ohne weitere Nachprüfung abgearbeitet werden. So wird z.B. mit einem Web-Hoster wohl regelmäßig ein AVV abzuschließen sein. Dennoch sollte auch hier anhand der im Artikel genannten Kriterien überprüft werden, ob dies auch wirklich der Fall ist.

  3. Dass die Abgrenzung nicht einfach ist müssen wir auch gerade feststellen. Und keiner hat bisher eine wirklich befriedigende Antwort. Situation: wir als produzierendes Gewerbe liefern normalerweise an den Fachhandel. Dieser dann weiter an seinen Endkunden. Wenn wir nun im Auftrag des Fachhandels aus irgendeinem Grund direkt an seinen Endkunden liefern sollen brauchen wir dann einen AVV mit dem Fachhandel?

    • Eine pauschale Aussage ist hier nicht möglich, da es auch darauf ankommt, wie genau dieser Lieferungsvertrag zwischen Ihnen und dem Fachhandel jeweils ausgestaltet ist. Wir tendieren aber zu einem Auftragsverarbeitungsverhältnis.

  4. Sehr geehrte Damen und Herren, soviel ich mich auch informiere und wir auch einen externen Rechtsanwalt beauftragt haben, stellt sich mir folgende Frage: Wir sind Baustoffhändler und haben Bauunternehmen als Kunden. Diese Bauunternehmen haben den Bauherren als Kunden. Wenn nun der Bauunternehmer bei uns Baustoffe bestellt und uns Daten in Form von max. Name, Straße, Haus-Nr.,Plz, Ort der BAUSTELLE übermittelt, um dort die benötigten Baustoffe zu liefern, liegt hier ein typischer Fall vor, wo ein Auftragsverarbeitungsvertrag abgeschlossen werden muss. Ich bedanke mich im Voraus schon mal für Ihre Meinung/Rat/Tipp. VIELEN DANK

  5. Ist ein Grafiker, der für einen Auftraggeber eine Broschüre gestaltet, Layouter und teilweise textet, in der auch Werbeanzeigen von Unternehmen enthalten sind, die teilweise personenbezogenen Bezug habe, manchmal ergänzt oder neu gestaltet werden, z.B. Ansprechparter in der Annonce oder Inhabernamen oder Firmenbezeichnungen wie Musteria Mustermann Reinigungsservice, oder e-mailadressen wie musteria-mustermann[at]mustermail.de., einen AVV abschließen?

    • Ich bin Laie und möchte mit einer Gegenfrage antworten, die sich zwangsläufig stellt, wenn man einfach geradeaus denkt: Unterliegen Daten, die für die Öffentlichkeit bestimmt sind, wie z. B. Kontaktdaten auf einem Flyer, dem Datenschutz? Macht doch irgendwie keinen Sinn…

  6. Sehr geehrte Damen und Herren,
    ich möchte nochmal Bezug nehmen auf die Frage von HEIKO am 31.05.18 und erweitere diese wie folgt: Müssen wir als Leuchten-Händler mit unseren Kunden also keine AV abschließen? Wenn wir nur Ware bestellen und liefern?
    Was passiert, wenn wir die bestellt Ware darüber hinaus installieren? Ist dann eine AV nötig oder muss der Kunde damit an uns herantreten?
    Wir wären dankbar für Hilfe in diesem Wirrwarr, vielen Dank

  7. Guten Tag,
    muss ich mit einem Bankinstitut, das bei Problemen im Online Banking per Fernwartung auf unsere Rechner zugreifen kann, einen Auftragsverarbeitungsvertrag abschließen?

    Vielen Dank im Voraus für Ihre Hilfe!

    • Wir verweisen auf das Kurzpapier Nr. 13 der Datenschutzkonferenz zur Auftragsverarbeitung:

      „Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z.B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO(z. B. Auslesen, Abfragen, Verwenden)ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitungund die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“

  8. Guten Tag,
    wir sind Großhändler von orthopädietechnischen Hilfsmitteln und beliefern Fachhändler (Sanitätshäuser, Orthopädie-Fachgeschäfte, Apotheken) mit unseren Produkten. Diese versorgen die Patienten mit den Artikeln. Wir liefern jedoch immer nur an die Fachgeschäfte, nicht an die Patienten und kennen auch keine Patientendaten (höchstens mal einen Nachnamen als „Commissions“-Angabe ohne einen weiteren Bezug).
    Wir werden nun von einigen Fachhändlern um einen AVV gebeten. Ich bin aber der Auffassung, dass hier kein AVV erforderlich ist, da wir keinerlei personenbezogene Daten der Verbraucher kennen. Liege ich damit richtig?

  9. Sehr geehrte Damen und Herren,
    ich arbeite in einem Event-Büro. Wir sind Veranstalter eines großen Festival. Wir sind VVK-Stelle und nutzen ein „externes“ Ticketsystem. Dort geben – gaben – wir bis 25.5. ganz normal die Daten der Kartenkäufer ein. Wir haben zwei Leute damit „beschäftigt“ sich die dsgvo vorzunehmen. Rausgekommen ist Folgendes: 1. der Betreiber des Ticketsystems möchte uns keine AVV geben (so wurde bei uns verbreitet), weil wir es nicht bräuchten. 2. Dadurch sind unsere beiden Leute auf die Idee gekommen: „Na, dann tragen wir in das Ticketsystem anstatt der richtigen Kundendaten, unsere Kürzel und unsere Adresse ein“. Dass das Ticketsystem daraus Adressen für Buchung und Rechnungen generiert und nun entsprechend unsere Kürzel im Adressfeld stehen, wird mit Schulterzucken abgetan, „Wir haben ja keine AVV!“. Interessant hierbei: Wir haben auch einen Ticketshop auf unserer Seite. Diese Bestellungen gehen automatisch zu einer weiteren VVK-Stelle, wo dann die richtigen Kundendaten ins Ticketsystem eingegeben werden (Keine Kürzel). Wieder Schulterzucken. 3. Dies wird dadurch noch adabsurdum geführt, indem nun Exceltabellen geführt werden, wo die richtigen Daten eingegeben und zudem noch alles zuzsammen geführt wird: Wer Wann Was bezahlt hat, inkl. Kontoseite usw. 4. Und diesen Daten liegen auf einer Netzwerkplatte, wo auch Schülerpraktikanten und andere Leute, die mal in diesen Job hineinschnuppern wollen, zugreifen können – weil NICHT Kennwortgeschützt. Ausrede: Es reiche, wenn diese Leute eine Dienstanweisung unterschreiben. Ich bin mir das nicht so sicher. Wir sind ein Verein und so befinden sich etliche ungeschützte Tabellen auf dem Netzwerkordner, für alle erreichbar.
    Das kann doch nicht korrekt sein.
    Großes Thema. Vielleicht finden Sie Zeit. Sie können mir auch gern auf meine Mail antworten.

    Herzlichen Dank dafür.

    • Personenbezogene Daten müssen vor Unbefugten geschützt werden. Der Schutz der Daten erfolgt durch geeignete Maßnahmen. Grundsätzlich können u.a. die Verwendung eines Passworts und Pseudonymisierung (Art.4 Nr.5 DSGVO) solche Schutzmaßnahmen darstellen.

      Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person (betroffene Person) beziehen“, Art. 4 Nr. 1 DSGVO. Ein „Verstecken“ von personenbezogenen Daten hinter anderen personenbezogenen Daten ist daher nicht zielführend.

      Ob in Ihrem Fall eine Auftragsverarbeitung vorliegt oder welche Datenschutzmaßnahmen konkret erforderlich sind, kann im Rahmen des Blogs leider nicht beantwortet werden.

  10. Hallo, ich betreibe den „Arbeitgeberservice für Privathaushalte“ im Rahmen meines Internet-Angebots caremaid.net (seit dem 25.5. nicht mehr erreichbar, es wird am Relaunch gearbeitet). Die Dienstleistung richtet sich an Pflege-Haushalte, in denen eine pflegebedürftige Person von einer angestellten Pflegehilfe, meist aus dem osteuropäischen Ausland, betreut wird. Die Dienstleistung besteht im Wesentlichen in der Erstellung von Lohnabrechnungen und entsprechenden Meldungen bei Krankenkassen, Finanzämtern etc.. Wohlgemerkt sind meine Auftraggeber private Haushalte und keine Unternehmen. Ich gehe davon aus, dass ich mit denen einen AVV abschließen muss, da sie über die Daten ihrer Arbeitnehmer verfügen. Richtig gedacht? Danke!

    • Ihre Frage ist relativ komplex, bedarf weiterer Informationen und kann im Rahmen dieses Blogs leider nicht beantwortet werden. Wir sehen in Ihrer Konstellation nicht zwangsläufig ein Auftragsverarbeitungsverhältnis.

  11. Guten Tag,
    wie sieht es in dem Fall aus, wenn ein Hotel einen Dienstleistungsvertrag mit einem Unternehmen abschließt, welches einen externen Rezeptionsdienst anbietet? Das Weisungsrecht ggü. der MA hat das dienstleistende Unternehmen. Die MA haben dabei mit personenbezogenen Daten zu tun. Ist dies vom Arbeitsvertrag/Dienstleistungsvertrag abgedeckt oder müsste zusätzlich noch ein AVV abgeschlossen werden?
    Danke!

  12. Guten Morgen,

    wie ist die Sachlage, wenn wir bereits vom Dienstleister einen Auftragsverarbeitungsvertrag erhalten haben, müssen wir denen auch unseren eigenen zusenden, oder reicht es, wenn wir den von denen unterschrieben haben?
    Vielen Dank

    • Sie möchten ja sicherstellen, dass bei Ihrem Dienstleister mindestens das gleiche Datenschutzniveau herrscht wie bei Ihnen. Wenn Sie also mit den technischen und organisatorischen Maßnahmen einverstanden sind und der Vertrag auch sonst Ihren Vorstellungen entspricht, können Sie diesen Vertrag eingehen. Sie sollten aber nicht zwei Verträge, die sich im Zweifel widersprechen, abschließen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.