13 Aug, 2020

AV-Vertrag oder gemeinsame Verantwortung?

AV-Vertrag oder gemeinsame Verantwortung?

Auftragsverarbeitung – wann braucht man einen Vertrag?

Einen Auftragsverarbeitungsvertrag (AVV) fordert der Gesetzgeber immer dann, wenn ein Dienstleister im Auftrag einer verantwortlichen Stelle personenbezogene Daten verarbeitet. Demnach muss zunächst von der verantwortlichen Stelle geklärt werden, ob überhaupt ein Auftragsverhältnis im Sinne des Art. 28 I DSGVO vorliegt, um im Anschluss weitere rechtliche Anforderungen zur Konkretisierung dieses Verhältnisses vorzunehmen.

Gemäß Art. 4 Nr. 8 DSGVO handelt es sich bei einem Auftragsverarbeiter um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Demgegenüber handelt es sich bei einem Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Aus diesen beiden Definitionen wird deutlich, dass dann eine Auftragsverarbeitung vorliegt, wenn personenbezogene Daten nach Vorgaben einer verantwortlichen Stelle verarbeitet werden. Diese Vorgaben klären grundsätzlich das „Wie“ und „Warum“ der Datenverarbeitung. Diese Weisungsgebundenheit des Auftragsverarbeiters führt dazu, dass der Auftraggeber weiterhin „Herr der Verarbeitung“ ist. Einzig die Entscheidung über die technische und organisatorische Herangehensweise der Datenverarbeitung kann dem Auftragsverarbeiter überlassen werden. Dieser verfügt in der Regel über eine höhere Fachkunde in der Durchführung des Verarbeitungsprozesse als die verantwortliche Stelle, sodass ein Entscheidungsspielraum bei der rein technischen Durchführung eingeräumt wird. Außerdem darf der Auftragnehmer mit der Datenverarbeitung keine eigenen Interessen verfolgen. Dies betrifft jedoch ausschließlich Interessen, die mit der unmittelbaren Verwendung der gewonnen Datensätze in Verbindung stehen. Die Datenverarbeitung muss insofern ausschließlich dem Interesse der verantwortlichen Stelle zugutekommen. Rein technische Wartungen oder Überprüfungen, bei denen keine unmittelbare Einwirkung auf die verarbeitenden Daten möglich ist, werden nicht als Auftragsverarbeitung gesehen.

Die Metapher des „verlängerten Arms“ verdeutlicht diese Konstellation: Der Auftragnehmer wird – ausgelagert – im Auftrag der verantwortlichen Stelle tätig. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung wird weiterhin dem Auftraggeber zugerechnet.

DATENSCHUTZPAKET FÜR IHREN WEBAUFTRITT

Damit Sie sich nicht verstecken müssen

Das Privileg der Datenverarbeitung

Durch das Vorliegen eines Auftragsverhältnisses besteht ein sogenanntes „Privileg“ für die Datenverarbeitung. Grundsätzlich muss jede Verarbeitung auf einer Rechtsgrundlage beruhen. Das Einschalten eines Auftragsverarbeiters lässt sich mit der Übermittlung von Daten an einen Dritten vergleichen. Für die Übermittlung benötigt es eine Rechtsgrundlage, welche die verantwortliche Person zur Weitergabe der Daten ermächtigt. Durch die Weisungsgebundenheit des Auftragsverarbeiters profitiert der Verantwortliche von diesem Privileg und darf – ähnlich wie bei unternehmensinternen Übermittlungen – diese Daten einem Externen zukommen zu lassen, ohne dass es für die Weitergabe eine separate Rechtsgrundlage benötigt. Um dieses Privileg nutzen zu können, müssen vertragliche Regelungen eingegangen werden, die Rechte und Pflichten beider Parteien festlegen. Dieser Vertrag wird in der Regel als Auftragsverarbeitungsvertrag betitelt.

Was muss ein AVV regeln?

Der Ausgestaltung des AVV wird normiert in Art. 28 Absatz 3 DSGVO, welcher die inhaltlichen Mindestanforderungen eines AVV vorgibt. Darunter fallen unteranderem der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen.

Wurden bereits Verträge über eine Auftragsverarbeitung vor in Kraft treten der DSGVO geschlossen, so müssen diese nicht zwingend neu formuliert werden. Zu klären ist, ob alle inhaltlichen Mindestanforderungen nach der DSGVO bereits in den Vertrag aufgenommen worden. Ist dies der Fall, bedarf es keiner neuen Ausformulierung.

Da es sich nach dem Wortlaut des Gesetzes bei dem Abschluss eines AVV um eine individuelle Vertragsabrede handeln soll, besteht keine einseitige Pflicht einer bestimmten Partei zur Vorlage eines AVV. Beide Parteien müssen die Anbahnung eines Vertrages anstreben. Sollte die Verarbeitung ohne Vertrag vonstattengehen, so können Bußgelder bis zu 10 Millionen Euro verhängt werden.

Nichtsdestotrotz wird von den Datenschutzaufsichtsbehörden regelmäßig verlangt, dass Unternehmen ein Musterdokument für den Vertragsabschluss mit einem Auftragnehmer oder -geber haben. Dieser kann dann im konkreten Fall den individuellen Bedürfnissen nach abgeändert werden.

DATENSCHUTZPAKET FÜR IHREN WEBAUFTRITT

Damit Sie sich nicht verstecken müssen

Florian Kahl

Medet Demirci

Tel: 0511 / 1247 213

md@backoffice360.de

Lenz C web

Christopher Lenz

Tel: 0511 / 1247 220

cl@backoffice360.de

OMS Retail - Arbeitsatmosphäre

Verbesserung der Arbeitsatmosphäre bei der OMS Retail GmbH

Der Fokus wurde auf die Gestaltung flexibler Arbeitsplätze und die Umsetzung akustischer Maßnahmen gelegt, um die Arbeitsatmosphäre erheblich zu verbessern.

Bosse Theken-Systeme Praxiseinrichtung

Gemeinsam mit Ihnen entwickeln wir Ihre Praxiseinrichtung

In der heutigen Gesundheitsversorgung spielt die richtige Praxiseinrichtung eine entscheidende Rolle für den Erfolg und das Wohlbefinden von Patienten und...
Co-Working-Space NBank

Neuer Co-Working-Space für die NBank

Über zwei Stockwerke hinweg entstand bei der NBank ein neuer Co-Working-Space. In verschiedenen Workshops wurde zusammen mit dem Projektteam der NBank, das später...
IME Bürobegrünung

Bürobegrünung: Der Schlüssel zu einem gesunden und produktiven Arbeitsumfeld

Ein Büro ohne Pflanzen ist wie ein Raum ohne Seele. Die Bürobegrünung spielt eine entscheidende Rolle für das Wohlbefinden und die Produktivität von Arbeitnehmern. Mit...
Kontierungsstempel

Der Kontierungsstempel – Die unerkannte Superkraft im Büro!

Vergesst Batman und Superman, heute sprechen wir über den wahren Helden des modernen Büroalltags: Den Kontierungsstempel! Einst als unscheinbares Werkzeug der...
digitale Rechnungsverarbeitung

Warum sich die Investition in digitale Rechnungsverarbeitung für Unternehmen lohnt

In der heutigen Geschäftswelt stehen Unternehmen und Organisationen vor der Herausforderung, ihre Prozesse effizienter zu gestalten und gleichzeitig Kosten zu senken....
Faxgerät

Faxgeräte: Die unverwüstlichen Dinosaurier der Bürokommunikation

Ein Blick in die Büros von gestern und heute  Schreibmaschinen, Rohrpost oder Disketten – all diese Relikte aus der Vergangenheit haben längst den Weg in die...
Japandi-Stil Cafeteria

Japandi-Stil – harmonische und funktionale Einrichtung – auch für Ihr Büro

Anfang 2021 entstand ein neuer Wohnstil – der Japandi-Stil – der, wie der Name schon vermuten lässt, japanische und skandinavische Elemente miteinander verbindet. Auch...
Fusion zweier Traditionsunternehmen

Fusion der Office 360 GmbH und der C. Osswald GmbH & Co. KG

Die Office 360 GmbH und die C. Osswald GmbH & Co. KG, zwei führende Anbieter von Bürobedarfs- und Digitalisierungslösungen, geben heute ihre erfolgreiche Fusion...
Kyocera Taskalfa

Zukunftsfähige Multifunktionsdrucker für den Sparkassenverband Niedersachsen

Der Sparkassenverband Niedersachsen hat ein ökonomisch wie ökologisch optimiertes Outputkonzept implementiert. Bei der Umsetzung vertraute er auf die Expertise der...