Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?

Fachbeitrag

Mit dem Softwareanbieter muss er geschlossen werden, mit dem Lettershop sowieso, aber wie sieht das eigentlich mit dem Steuerberater aus? Auftragsverarbeitungsverträge (AVV) und deren Handhabung können schnell zu einem unübersichtlichen Ärgernis werden. Mit wem muss ich einen abschließen? Mit wem sollte ich keinen abschließen? Bei wem ist es egal?

Lieber ein AVV zu viel, als einer zu wenig?

In der Hektik um die Umsetzung der DSGVO-Vorgaben bekommt man den Eindruck, dass jeder externe Dienstleister eines Unternehmens, der nicht bei drei auf den Bäumen ist, einen AVV angedreht bekommt. Es scheint das „Better safe than sorry“-Prinzip zu gelten. Lieber ein AVV zu viel, als einer zu wenig. Dabei ist der Abschluss eines Auftragsverarbeitungsvertrag nicht immer erstrebenswert. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftragnehmer in Kontakt kommt, weiter verantwortlich. Dabei kann es aus haftungsrechtlicher Sicht doch deutlich angenehmer sein, sich dieser Verantwortung zu entledigen. Doch wann ist dies der Fall? Der reflexartige Abschluss von AVV’s mit externen Dienstleistern dürfte nicht zuletzt auch daran liegen, dass die Frage welcher Art die Beziehung zum externen Dienstleister denn nun ist, aus datenschutzrechtlicher Sicht oftmals gar nicht so einfach zu beantworten ist.

Für die Weitergabe bedarf es einer separaten Rechtsgrundlage

Festzuhalten bleibt zunächst, dass sie für die Weitergabe der personenbezogenen Daten an den Dienstleister keine weitere Rechtsgrundlage benötigen als diejenige auf die sie selber die Verarbeitung stützen. Der Auftragnehmer zählt nicht als Dritter im Sinne der DSGVO, sondern als ihr verlängerter Arm. Anders verhält es sich bei „echten“ Dritten. Hier benötigen sie zum einen eine Rechtsgrundlage für die ursprüngliche Verarbeitung der Daten zum anderen eine Rechtsgrundlage um die Daten an den Dritten weiterzugeben.

Der wichtigste Faktor ist die Weisungsgebundenheit

Doch wie finden sie jetzt heraus, ob Sie einen Auftragsverarbeitungsvertrag mit Ihrem Dienstleister abschließen müssen? Die Antwort ist leider unbefriedigend: Es kommt drauf an.

Der wichtigste Faktor ist die Weisungsgebundenheit. Je weisungsgebundener ein Dienstleister ist, desto höher ist auch die Wahrscheinlichkeit, dass sie weiter für die Daten verantwortlich sind und einen AVV abschließen müssen. Je ungebundener hingegen ein Dienstleister schalten und walten darf, desto höher ist auch die Wahrscheinlichkeit, dass er selber für die Daten verantwortlich ist, die sie ihm übermittelt haben. Als weitere Kontrolle können sie sich fragen: Sage ich dem Dienstleister was zu tun ist, oder sagt / rät der Dienstleister mir was zu tun ist? Kann ich dem Dienstleister befehlen sofort alle Daten herauszugeben oder zu vernichten oder kann er mir darauf den Vogel zeigen? Was steht im Hauptvertrag?

Steuerberater und andere Ausnahmen

Sollten Sie nach all den Abwägungen noch immer zu keinem klaren Ergebnis gekommen sein, bleibt Ihnen immer noch die Möglichkeit, sich bei ihrer zuständigen Datenschutzaufsichtsbehörde zu erkundigen. Die ist sich vielleicht auch nicht sicher, aber die muss eine Meinung haben. Was jetzt eigentlich mit dem Steuerberater ist? Der ist eine fremde Fachleistung und selber für die Daten verantwortlich. Genauso wie Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienste für den Brieftransport. Sagen zumindest die Aufsichtsbehörden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Dass es für die Weitergabe keiner besonderen Rechtsgrundlage bedarf ist vollig umstritten und ungeklärt Auch die Abgrenzung nach der Weisungsgebundenheit ist alte BDSG Denke. Entscheidend nach der Datenschutz-Grundverordnung ist alleine wer Zwecke und Mittel festlegt. Weisungsgebundenheit mag da einer von vielen Aspekten sein. Leider ist es eben nicht so einfach, wie der Beitrag es suggerieren will.

  2. Ich rege an, für KMU eine Art Liste zu pflegen, wo man entnehmen kann, mit wem man eine AVV -abschließen oder -nicht abschließen muss. Sonst wird hier jeder Einzelfall neu bearbeitet. Ich hätte als Frage beizusteuern: Ist ein AVV erforderlich mit dem „typischen“ Web-Hoster mit Email-Server, der die Web-Seite, den Email-Verkehr und die Verarbeitung von Kontaktformularen anbietet und realisiert.

    • Grundsätzlich halten wir das für eine gute Idee. Zumindest für eine erste Einteilung. Allerdings bergen solche Listen auch die Risiken, dass sie ohne weitere Nachprüfung abgearbeitet werden. So wird z.B. mit einem Web-Hoster wohl regelmäßig ein AVV abzuschließen sein. Dennoch sollte auch hier anhand der im Artikel genannten Kriterien überprüft werden, ob dies auch wirklich der Fall ist.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.