Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?

Fachbeitrag

Mit dem Softwareanbieter muss er geschlossen werden, mit dem Lettershop sowieso, aber wie sieht das eigentlich mit dem Steuerberater aus? Auftragsverarbeitungsverträge (AVV) und deren Handhabung können schnell zu einem unübersichtlichen Ärgernis werden. Mit wem muss ich einen abschließen? Mit wem sollte ich keinen abschließen? Bei wem ist es egal?

Lieber ein AVV zu viel, als einer zu wenig?

In der Hektik um die Umsetzung der DSGVO-Vorgaben bekommt man den Eindruck, dass jeder externe Dienstleister eines Unternehmens, der nicht bei drei auf den Bäumen ist, einen AVV angedreht bekommt. Es scheint das „Better safe than sorry“-Prinzip zu gelten. Lieber ein AVV zu viel, als einer zu wenig. Dabei ist der Abschluss eines Auftragsverarbeitungsvertrag nicht immer erstrebenswert. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftragnehmer in Kontakt kommt, weiter verantwortlich. Dabei kann es aus haftungsrechtlicher Sicht doch deutlich angenehmer sein, sich dieser Verantwortung zu entledigen. Doch wann ist dies der Fall? Der reflexartige Abschluss von AVV’s mit externen Dienstleistern dürfte nicht zuletzt auch daran liegen, dass die Frage welcher Art die Beziehung zum externen Dienstleister denn nun ist, aus datenschutzrechtlicher Sicht oftmals gar nicht so einfach zu beantworten ist.

Für die Weitergabe bedarf es einer separaten Rechtsgrundlage

Festzuhalten bleibt zunächst, dass sie für die Weitergabe der personenbezogenen Daten an den Dienstleister keine weitere Rechtsgrundlage benötigen als diejenige auf die sie selber die Verarbeitung stützen. Der Auftragnehmer zählt nicht als Dritter im Sinne der DSGVO, sondern als ihr verlängerter Arm. Anders verhält es sich bei „echten“ Dritten. Hier benötigen sie zum einen eine Rechtsgrundlage für die ursprüngliche Verarbeitung der Daten zum anderen eine Rechtsgrundlage um die Daten an den Dritten weiterzugeben.

Der wichtigste Faktor ist die Weisungsgebundenheit

Doch wie finden sie jetzt heraus, ob Sie einen Auftragsverarbeitungsvertrag mit Ihrem Dienstleister abschließen müssen? Die Antwort ist leider unbefriedigend: Es kommt drauf an.

Der wichtigste Faktor ist die Weisungsgebundenheit. Je weisungsgebundener ein Dienstleister ist, desto höher ist auch die Wahrscheinlichkeit, dass sie weiter für die Daten verantwortlich sind und einen AVV abschließen müssen. Je ungebundener hingegen ein Dienstleister schalten und walten darf, desto höher ist auch die Wahrscheinlichkeit, dass er selber für die Daten verantwortlich ist, die sie ihm übermittelt haben. Als weitere Kontrolle können sie sich fragen: Sage ich dem Dienstleister was zu tun ist, oder sagt / rät der Dienstleister mir was zu tun ist? Kann ich dem Dienstleister befehlen sofort alle Daten herauszugeben oder zu vernichten oder kann er mir darauf den Vogel zeigen? Was steht im Hauptvertrag?

Steuerberater und andere Ausnahmen

Sollten Sie nach all den Abwägungen noch immer zu keinem klaren Ergebnis gekommen sein, bleibt Ihnen immer noch die Möglichkeit, sich bei ihrer zuständigen Datenschutzaufsichtsbehörde zu erkundigen. Die ist sich vielleicht auch nicht sicher, aber die muss eine Meinung haben. Was jetzt eigentlich mit dem Steuerberater ist? Der ist eine fremde Fachleistung und selber für die Daten verantwortlich. Genauso wie Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienste für den Brieftransport. Sagen zumindest die Aufsichtsbehörden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

15 Kommentare zu diesem Beitrag

  1. Dass es für die Weitergabe keiner besonderen Rechtsgrundlage bedarf ist vollig umstritten und ungeklärt Auch die Abgrenzung nach der Weisungsgebundenheit ist alte BDSG Denke. Entscheidend nach der Datenschutz-Grundverordnung ist alleine wer Zwecke und Mittel festlegt. Weisungsgebundenheit mag da einer von vielen Aspekten sein. Leider ist es eben nicht so einfach, wie der Beitrag es suggerieren will.

  2. Ich rege an, für KMU eine Art Liste zu pflegen, wo man entnehmen kann, mit wem man eine AVV -abschließen oder -nicht abschließen muss. Sonst wird hier jeder Einzelfall neu bearbeitet. Ich hätte als Frage beizusteuern: Ist ein AVV erforderlich mit dem „typischen“ Web-Hoster mit Email-Server, der die Web-Seite, den Email-Verkehr und die Verarbeitung von Kontaktformularen anbietet und realisiert.

    • Grundsätzlich halten wir das für eine gute Idee. Zumindest für eine erste Einteilung. Allerdings bergen solche Listen auch die Risiken, dass sie ohne weitere Nachprüfung abgearbeitet werden. So wird z.B. mit einem Web-Hoster wohl regelmäßig ein AVV abzuschließen sein. Dennoch sollte auch hier anhand der im Artikel genannten Kriterien überprüft werden, ob dies auch wirklich der Fall ist.

  3. Dass die Abgrenzung nicht einfach ist müssen wir auch gerade feststellen. Und keiner hat bisher eine wirklich befriedigende Antwort. Situation: wir als produzierendes Gewerbe liefern normalerweise an den Fachhandel. Dieser dann weiter an seinen Endkunden. Wenn wir nun im Auftrag des Fachhandels aus irgendeinem Grund direkt an seinen Endkunden liefern sollen brauchen wir dann einen AVV mit dem Fachhandel?

    • Eine pauschale Aussage ist hier nicht möglich, da es auch darauf ankommt, wie genau dieser Lieferungsvertrag zwischen Ihnen und dem Fachhandel jeweils ausgestaltet ist. Wir tendieren aber zu einem Auftragsverarbeitungsverhältnis.

  4. Sehr geehrte Damen und Herren, soviel ich mich auch informiere und wir auch einen externen Rechtsanwalt beauftragt haben, stellt sich mir folgende Frage: Wir sind Baustoffhändler und haben Bauunternehmen als Kunden. Diese Bauunternehmen haben den Bauherren als Kunden. Wenn nun der Bauunternehmer bei uns Baustoffe bestellt und uns Daten in Form von max. Name, Straße, Haus-Nr.,Plz, Ort der BAUSTELLE übermittelt, um dort die benötigten Baustoffe zu liefern, liegt hier ein typischer Fall vor, wo ein Auftragsverarbeitungsvertrag abgeschlossen werden muss. Ich bedanke mich im Voraus schon mal für Ihre Meinung/Rat/Tipp. VIELEN DANK

  5. Ist ein Grafiker, der für einen Auftraggeber eine Broschüre gestaltet, Layouter und teilweise textet, in der auch Werbeanzeigen von Unternehmen enthalten sind, die teilweise personenbezogenen Bezug habe, manchmal ergänzt oder neu gestaltet werden, z.B. Ansprechparter in der Annonce oder Inhabernamen oder Firmenbezeichnungen wie Musteria Mustermann Reinigungsservice, oder e-mailadressen wie musteria-mustermann[at]mustermail.de., einen AVV abschließen?

  6. Sehr geehrte Damen und Herren,
    ich möchte nochmal Bezug nehmen auf die Frage von HEIKO am 31.05.18 und erweitere diese wie folgt: Müssen wir als Leuchten-Händler mit unseren Kunden also keine AV abschließen? Wenn wir nur Ware bestellen und liefern?
    Was passiert, wenn wir die bestellt Ware darüber hinaus installieren? Ist dann eine AV nötig oder muss der Kunde damit an uns herantreten?
    Wir wären dankbar für Hilfe in diesem Wirrwarr, vielen Dank

  7. Guten Tag,
    muss ich mit einem Bankinstitut, das bei Problemen im Online Banking per Fernwartung auf unsere Rechner zugreifen kann, einen Auftragsverarbeitungsvertrag abschließen?

    Vielen Dank im Voraus für Ihre Hilfe!

    • Wir verweisen auf das Kurzpapier Nr. 13 der Datenschutzkonferenz zur Auftragsverarbeitung:

      „Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z.B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO(z. B. Auslesen, Abfragen, Verwenden)ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitungund die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“

  8. Guten Tag,
    wir sind Großhändler von orthopädietechnischen Hilfsmitteln und beliefern Fachhändler (Sanitätshäuser, Orthopädie-Fachgeschäfte, Apotheken) mit unseren Produkten. Diese versorgen die Patienten mit den Artikeln. Wir liefern jedoch immer nur an die Fachgeschäfte, nicht an die Patienten und kennen auch keine Patientendaten (höchstens mal einen Nachnamen als „Commissions“-Angabe ohne einen weiteren Bezug).
    Wir werden nun von einigen Fachhändlern um einen AVV gebeten. Ich bin aber der Auffassung, dass hier kein AVV erforderlich ist, da wir keinerlei personenbezogene Daten der Verbraucher kennen. Liege ich damit richtig?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.