13 Aug, 2020
AV-Vertrag oder gemeinsame Verantwortung?

Auftragsverarbeitung – wann braucht man einen Vertrag?

Einen Auftragsverarbeitungsvertrag (AVV) fordert der Gesetzgeber immer dann, wenn ein Dienstleister im Auftrag einer verantwortlichen Stelle personenbezogene Daten verarbeitet. Demnach muss zunächst von der verantwortlichen Stelle geklärt werden, ob überhaupt ein Auftragsverhältnis im Sinne des Art. 28 I DSGVO vorliegt, um im Anschluss weitere rechtliche Anforderungen zur Konkretisierung dieses Verhältnisses vorzunehmen.

Gemäß Art. 4 Nr. 8 DSGVO handelt es sich bei einem Auftragsverarbeiter um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Demgegenüber handelt es sich bei einem Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Aus diesen beiden Definitionen wird deutlich, dass dann eine Auftragsverarbeitung vorliegt, wenn personenbezogene Daten nach Vorgaben einer verantwortlichen Stelle verarbeitet werden. Diese Vorgaben klären grundsätzlich das „Wie“ und „Warum“ der Datenverarbeitung. Diese Weisungsgebundenheit des Auftragsverarbeiters führt dazu, dass der Auftraggeber weiterhin „Herr der Verarbeitung“ ist. Einzig die Entscheidung über die technische und organisatorische Herangehensweise der Datenverarbeitung kann dem Auftragsverarbeiter überlassen werden. Dieser verfügt in der Regel über eine höhere Fachkunde in der Durchführung des Verarbeitungsprozesse als die verantwortliche Stelle, sodass ein Entscheidungsspielraum bei der rein technischen Durchführung eingeräumt wird. Außerdem darf der Auftragnehmer mit der Datenverarbeitung keine eigenen Interessen verfolgen. Dies betrifft jedoch ausschließlich Interessen, die mit der unmittelbaren Verwendung der gewonnen Datensätze in Verbindung stehen. Die Datenverarbeitung muss insofern ausschließlich dem Interesse der verantwortlichen Stelle zugutekommen. Rein technische Wartungen oder Überprüfungen, bei denen keine unmittelbare Einwirkung auf die verarbeitenden Daten möglich ist, werden nicht als Auftragsverarbeitung gesehen.

Die Metapher des „verlängerten Arms“ verdeutlicht diese Konstellation: Der Auftragnehmer wird – ausgelagert – im Auftrag der verantwortlichen Stelle tätig. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung wird weiterhin dem Auftraggeber zugerechnet.

DATENSCHUTZPAKET FÜR IHREN WEBAUFTRITT

Damit Sie sich nicht verstecken müssen

Das Privileg der Datenverarbeitung

Durch das Vorliegen eines Auftragsverhältnisses besteht ein sogenanntes „Privileg“ für die Datenverarbeitung. Grundsätzlich muss jede Verarbeitung auf einer Rechtsgrundlage beruhen. Das Einschalten eines Auftragsverarbeiters lässt sich mit der Übermittlung von Daten an einen Dritten vergleichen. Für die Übermittlung benötigt es eine Rechtsgrundlage, welche die verantwortliche Person zur Weitergabe der Daten ermächtigt. Durch die Weisungsgebundenheit des Auftragsverarbeiters profitiert der Verantwortliche von diesem Privileg und darf – ähnlich wie bei unternehmensinternen Übermittlungen – diese Daten einem Externen zukommen zu lassen, ohne dass es für die Weitergabe eine separate Rechtsgrundlage benötigt. Um dieses Privileg nutzen zu können, müssen vertragliche Regelungen eingegangen werden, die Rechte und Pflichten beider Parteien festlegen. Dieser Vertrag wird in der Regel als Auftragsverarbeitungsvertrag betitelt.

Was muss ein AVV regeln?

Der Ausgestaltung des AVV wird normiert in Art. 28 Absatz 3 DSGVO, welcher die inhaltlichen Mindestanforderungen eines AVV vorgibt. Darunter fallen unteranderem der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen.

Wurden bereits Verträge über eine Auftragsverarbeitung vor in Kraft treten der DSGVO geschlossen, so müssen diese nicht zwingend neu formuliert werden. Zu klären ist, ob alle inhaltlichen Mindestanforderungen nach der DSGVO bereits in den Vertrag aufgenommen worden. Ist dies der Fall, bedarf es keiner neuen Ausformulierung.

Da es sich nach dem Wortlaut des Gesetzes bei dem Abschluss eines AVV um eine individuelle Vertragsabrede handeln soll, besteht keine einseitige Pflicht einer bestimmten Partei zur Vorlage eines AVV. Beide Parteien müssen die Anbahnung eines Vertrages anstreben. Sollte die Verarbeitung ohne Vertrag vonstattengehen, so können Bußgelder bis zu 10 Millionen Euro verhängt werden.

Nichtsdestotrotz wird von den Datenschutzaufsichtsbehörden regelmäßig verlangt, dass Unternehmen ein Musterdokument für den Vertragsabschluss mit einem Auftragnehmer oder -geber haben. Dieser kann dann im konkreten Fall den individuellen Bedürfnissen nach abgeändert werden.

DATENSCHUTZPAKET FÜR IHREN WEBAUFTRITT

Damit Sie sich nicht verstecken müssen

Florian Kahl

Medet Demirci

Tel: 0511 / 1247 213

md@backoffice360.de

Lenz C web

Christopher Lenz

Tel: 0511 / 1247 220

cl@backoffice360.de

Business-Frühstück Juni

Business-Frühstück 6. Juni 2024

Wir möchten Sie am 06.06.2024 um 9:00 Uhr zu unserem Business-Frühstück einladen. Unser Kollege Jörg Gieger wird einen 15-minütigen Impulsvortrag zum Thema „New Work...
Japandi-Stil Cafeteria

Japandi-Stil – harmonische und funktionale Einrichtung – auch für Ihr Büro

Anfang 2021 entstand ein neuer Wohnstil – der Japandi-Stil – der, wie der Name schon vermuten lässt, japanische und skandinavische Elemente miteinander verbindet. Auch...
Fusion zweier Traditionsunternehmen

Fusion der Office 360 GmbH und der C. Osswald GmbH & Co. KG

Die Office 360 GmbH und die C. Osswald GmbH & Co. KG, zwei führende Anbieter von Bürobedarfs- und Digitalisierungslösungen, geben heute ihre erfolgreiche Fusion...
Kyocera Taskalfa

Zukunftsfähige Multifunktionsdrucker für den Sparkassenverband Niedersachsen

Der Sparkassenverband Niedersachsen hat ein ökonomisch wie ökologisch optimiertes Outputkonzept implementiert. Bei der Umsetzung vertraute er auf die Expertise der...
IBK Consulting - Open Space Arbeitsplätze

Das Büro der Zukunft – realisiert für IBK IngenieurConsult GmbH

Um eine optimale Planung zu ermöglichen wurden Workshops durchgeführt um die Voraussetzungen zu analysieren, Wünsche zu sammeln und Ideen zu erarbeiten, die dann als...
VEA - Kantine

Multi-Space-Konzept für die VEA

Das Konzept beinhaltet Einzel- und Doppelbüros, Besprechungsinseln aber auch offene Arbeitsflächen, die moderne Formen der Zusammenarbeit ermöglichen. Wichtig war...
Schindler - Bürokonzept

Zukunftsweisendes Einrichtungskonzept für Schindler Aufzüge und Fahrtreppen GmbH

Das Team von Schindler kannte bisher nur die traditionellen Einzelbüros. Mit dem anstehenden Umzug in neue Räumlichkeiten sollte auch ein neues Arbeitskonzept her, das...
OMS - Büroraum

Neues Open-Space-Konzept für die OMS Prüfservice GmbH

Wenn Unternehmen schnell wachsen brauch es oft schnelle Lösungen über neue Arbeitsplätze zu schaffen. OMS hatte sich trotzdem von einem neuen Open-Space-Konzept...

Mit Nachhaltigkeit Energie und somit Kosten sparen

Bereits 2014 haben wir 50 Tipps gesammelt für den Umweltschutz im Büro. Heute, angesichts stark steigender Energie- und Materialkosten, ist das Thema Nachhaltigkeit...

Alles für ein nachhaltiges und effizientes Büro

Mit unserer digitalen Beschaffungsplattform bieten wir ihnen alles für ein nachhaltiges und effizientes Büro. So können Sie bei der Bestellung Ihrer C-Materialien...