In der Datenschutzberatung ist das Management und die Prüfung von sog. Auftragsverarbeitungsverträgen inzwischen nicht mehr wegzudenken. Die Frage, ob ein AVV erforderlich ist, oder nicht, benötigt in der Praxis teilweise einer umfassenden rechtlichen Betrachtung. In diesem Beitrag soll aufgezeigt werden, welche Vor- und Nachteile der Abschluss eines AVV in der Praxis bietet.
Der Inhalt im Überblick
Bestimmung der Verantwortlichkeit
Einen praktischen Überblick zur Thema Auftragsverarbeitung und typischen Konstellationen bietet unser Beitrag zu Definition und Beispielen. In sehr vielen Fällen wird ein Abschluss notwendig sein. Wird ein notwendiger AVV nicht abgeschlossen, drohen Bußgelder. Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DSGVO legaldefiniert:
„Auftragsverarbeiter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
Hier wird Wert gelegt auf die Aufteilung der Verantwortlichkeit für die Datenverarbeitung. Sofern allerdings geklärt ist, dass die Zweck und Mittel das eigene Unternehmen bestimmt kann sich trotzdem noch die Frage stellen, ob auch wirklich ein AVV benötigt wird oder nicht.
Hier braucht man einen AVV
Wenn mit dem Auftrag konkrete Weisungen einhergehen, die bestimmen, welche Datenverarbeitungen stattfinden, zu welchem Zweck diese vorgenommen werden, liegt ein AVV nahe. Oder wenn eine Aussage dazu getroffen wird, in welcher Art und in welchem Umfang der Dienstleister die Datenverarbeitung vornehmen soll, ist ein AVV notwendig.
Hier braucht man keinen AVV
Wenn es im Rahmen des Auftrags keine konkrete Weisungsgebundenheit gibt, handelt es sich um fremde Fachleistungen, die in eigener Verantwortlichkeit des Dienstleisters erfolgen. In dieser Konstellation wird kein AVV benötigt.
Schwierigkeiten bei der Abgrenzung
Die Grenzen der Abgrenzung der eigenen Verantwortlichkeit und der Auftragsverarbeitung sind oft fließend. Zwar gibt es inzwischen teilweise Beispielslisten, in denen Beispiele für einen AVV aufgeführt sind, z.B. Anhang A und B des Kurzpapiers Nr. 13 der DSK. Auch das FAQ des BayLDA bietet eine praktische Auslegungshilfe. Dennoch kann die Abgrenzung der Verantwortlichkeit im Einzelfall schwierig sein und es lässt sich nicht immer ohne weiteres feststellen, ob ein AVV benötigt wird, oder nicht. Gerade in Graubereichen könnte der Abschluss eines AVV vorteilhaft und damit angezeigt sein.
Was, wenn nur in geringem Umfang personenbezogene Daten übermittelt werden?
Genau genommen liegt eine Verarbeitung personenbezogener Daten schon vor, weil eine personenbezogene E-Mail-Adresse im Rahmen einer Registrierung eingegeben wird. Hierbei ist zu untersuchen, ob das Unternehmen, dessen Mitarbeiter seine E-Mail-Adresse eingibt, bereits deshalb als Auftragsgeber auftritt. Nach dem Prinzip von Art. 4 Nr. 8 DSGVO kommt es nur darauf an, wer Zweck und Mittel der Verarbeitung bestimmt. Wenn der Arbeitgeber bestimmt weshalb und wie ein Dienstleister eingesetzt wird, ist eine entsprechende Einstufung als Verantwortlicher möglich. Wenn es dann zu einer Verarbeitung personenbezogener Daten kommt, ist fraglich, ob eigens wegen den Registrierungsdaten ein AVV abgeschlossen werden muss.
Das BayLDA hat sich in seiner Auslegungshilfe auf die Kern-Bestandteil-Theorie festgelegt:
„Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.“
Doch auch, wenn man sich an dieser Auffassung orientiert, ist eine Abgrenzung im Einzelfall nicht immer ohne weiteres möglich. Bei Online-Dienstleistungen kann es auch an anderen Stellen zu „versteckten“ Datenverarbeitungen kommen, die einen AVV nötig machen können. Wenn z.B. im Rahmen einer Webapplikation durch den Dienstleister Nutzerdaten-Tracking (Übertragung der IP-Adresse, Nutzereinstellungen, Browser oder Geräteinformationen, etc.) stattfindet, stellt sich schon die Frage, ob dann eine Auftragsdatenverarbeitung stattfindet bzw. ob ein Auftragsverarbeitungsvertrag nicht opportun wäre. Wenn Mitarbeiterdaten bei der Nutzung eines Dienstleisters getrackt werden, gibt es zumindest aus arbeitsrechtlicher Sicht die Notwendigkeit, sich vom Dienstleister ein gewisses Niveau an Datensicherheit zusichern zu lassen.
Im Zweifel lieber einer zu viel?
Falls ein notwendiger AVV nicht geschlossen wurde, droht ein Bußgeld. In der Praxis muss deshalb überprüft werden, ob es immer notwendig ist, eine umfangreiche rechtliche Betrachtung bei der Prüfung der Notwendigkeit eines AVV anzustellen. Schließlich kann die Untersuchung dessen, was genau Inhalt der Dienstleistung ist zum Teil mehr Zeit in Anspruch nehmen als der Abschluss und die Überprüfung des AVV selbst. Wäre es da nicht besser, in Zweifelsfällen lieber einen AVV zu viel als zu wenig zu schließen?
Vorteile, wenn ein AVV abgeschlossen wird
Folgende Punkte sprechen dafür, einen AVV zu schließen:
- Man ist abgesichert: In manchen Fällen kann nicht ausgeschlossen werden, dass es zu einer Verarbeitung personenbezogener Daten durch den Dienstleister kommt. Hier ist es besser, einen AVV abgeschlossen zu haben, bevor es zu einer Notwendigkeit kommt. Wenn z.B. im Rahmen der Dienstleistung Texte durch Mitarbeitende eingegeben werden, kann nicht ausgeschlossen werden, dass auch mal personenbezogene Daten eingegeben werden. Dies gilt auch, wenn dies nicht vorgesehen ist.
- Man handelt sorgfältig: Insbesondere, wenn es um die Eingabe von Mitarbeiterdaten im Zusammenhang mit einem Dienstleister geht, kann es opportun sein, den Dienstleister vertraglich zu verpflichten, sorgfältig mit den Daten umzugehen. Falls man bereits ein AVV-Template hat, kann dies ein einfacher Weg sein, diese Verpflichtung möglichst schnell umzusetzen.
- Man ist privilegiert: In einem Auftragsverarbeitungsverhältnis besteht die Besonderheit, dass nur der Verantwortliche eine Rechtsgrundlage zur Datenverarbeitung benötigt. Insbesondere, wenn für die Verarbeitungstätigkeit des Auftragnehmers keine Rechtsgrundlage in Betracht kommt, kann es daher vorteilhaft sein, wenn sich ein Vertragsverhältnis als Auftragsverarbeitung einstufen lässt.
Nachteile, wenn ein AVV abgeschlossen wird
Folgende Punkte sprechen hierbei dagegen einen AVV zu schließen:
- Man übernimmt Verantwortung: Sofern bei einer Konstellation, in der der Dienstleister als eigenständiger Verantwortlicher auftritt, ein AVV geschlossen wird, kann dies dazu führen, dass Verantwortung für fremde Verarbeitungstätigkeiten übernommen wird. Letztendlich eine Haftungsfrage. Für den Auftragsnehmer kann dies auch positiv wirken, denn in gewisser Weise gibt er Verantwortung ab. Negativ ist allerdings aus Sicht des Auftragnehmers, dass dieser die Entscheidungshoheit über die Datenverarbeitung verliert. Der AVV wird daher nicht in jedem Fall die Interessen der Parteien adäquat regeln.
- Man hat Dokumentations- und Überprüfungspflichten: Ein AVV muss überprüft und abgelegt werden. Hinsichtlich der eigenen Vertragspartner besteht bei datenschutzrechtlich relevanten Tätigkeiten zudem die Notwendigkeit, die TOM vom Auftragsnehmer genau unter die Lupe zu nehmen, damit diese die eigenen TOM nicht „ausdünnen“, sofern der Auftragnehmer relevant für die eigene Dienstleistung gegenüber Kunden wird.
Auch bei Auftragsverarbeitungsverträgen gilt: Es kommt darauf an
Letztendlich bleibt es eine Frage des Einzelfalls, ob ein AVV benötigt wird oder nicht. In Zweifelsfällen gibt es durchaus gute Argumente, sich für den Abschluss eines AVV zu entscheiden. Allerdings gilt dann auch, dass man auf dem Schirm haben muss, dass man in einem gewissen Umfang Verantwortung übernimmt, was nicht in jeder Konstellation ein erstrebenswertes Ergebnis ist.
