Der Auftragsverarbeitungsvertrag (AVV)
In den vergangenen Jahren wurde ich als Datenschutzbeauftragter oft gefragt, warum es immer besser ist, einen Auftragsverarbeitungsvertrag (AVV) mit Auftragnehmern abzuschließen. Es ist zunächst mit viel Mühe verbunden, oft ein bürokratischer Akt und hin und wieder auch ein wenig unangenehm.
Warum einen Auftragsverarbeitungsvertrag (kurz AVV) abschließen?
Zum einen ist es oft erforderlich. Werden keine AVVs abgeschlossen, drohen sogar Bußgelder. Zum anderen wird die Aufteilung der Verantwortlichkeit für die Datenverarbeitung geregelt, wenn die Abgrenzung der eigenen Verantwortlichkeit und der Auftragsverarbeitung fließend und ungenau ist. Interessant ist auch, dass nicht immer ein solcher Vertrag notwendig ist. Dann finde ich in der Dokumentation Kommentare wie „Kunde XY verweigerte die Unterzeichnung eines AVV“. Ja, und jetzt?
Wann braucht man keinen AVV?
Immer dann, wenn es im Rahmen des Auftrages keine konkrete Weisungsgebundenheit gibt, handelt es sich um sogenannte fremde Fachleistungen. Diese werden in eigener Verantwortlichkeit des Dienstleisters erbracht. Ein gutes Beispiel sind hier die Handlungsreisenden. Abgesehen von ein paar anderen Ausnahmen wird ansonsten immer dann ein AVV benötigt, wenn festgelegt wird, in welcher Art und in welchem Umfang der Dienstleister die Datenverarbeitung vornehmen soll. Dieser AVV regelt die konkreten Weisungen, welche Datenverarbeitungen zu welchem Zweck, welcher Art und in welchem Umfang von wem durchgeführt werden.
Also besser immer einen AVV abschließen?
Es kommt darauf an, wer letztendlich Zweck und Mittel der Verarbeitung bestimmt, ob ein solcher Vertrag abgeschlossen werden soll. Das ist in vielen Bereichen eine Auslegungssache, vor allem dann, wenn die Datenverarbeitung nicht im Vordergrund der Dienstleistung steht und keinen (Kern-)Bestandteil ausmacht. Auch übernimmt man als Verantwortlicher dann die Verantwortung und Haftung für fremde Verarbeitungstätigkeiten. In einigen Fällen ist es sogar für den Auftragnehmer vorteilhaft, einen AVV abzuschließen, denn diese Verantwortung liegt nun nicht mehr in seinen Händen. Die Verantwortlichen beider Seiten haben nun auch die Pflicht, notwendige Dokumentations- und Überprüfungspflichten wahrzunehmen. Geprüft sollte dies dann auch werden, wenn Verdacht besteht, dass die eigenen technischen und organisatorischen Maßnahmen durch den Dienstleister nun wässrig werden.
Gute und „sonderbare“ AVVs
Viele dieser Verträge, die ich dann zur Durchsicht erhalte, sind irgendwie beeindruckend. Anstatt dem Artikel 28 der DSGVO zu genügen, erhalte ich oft Schriftstücke von 60 und mehr Seiten, die definitiv ein Werk für und von einem Anwalt (oder einer Google-Recherche) waren – es finden sich darin oft nicht nur Neuformulierungen geltender Gesetze, u.a. aus dem BDSG, ArbSchG, UHG wieder, sondern sie nennen häufig auch nicht alle relevanten Bausteine eines AVV. Hanebüchen… Vor allem, da es eventuell sogar die Gültigkeit des Vertrages im Allgemeinen verlieren könnte.
Wenn Sie sich dafür entscheiden, mich als Ihren Datenschutzbeauftragten zu engagieren, können Sie diesen unangenehmen Teil der Prüfung, Erstellung und Abwicklung von Auftragsverarbeitungsverträgen mit Ihren Dienstleistern beruhigt in meine Hände legen. So können Sie sich wieder voll und ganz auf Ihr Kerngeschäft konzentrieren, während ich mich um die Einhaltung aller datenschutzrechtlichen Anforderungen kümmere und dafür sorge, dass Ihre Verträge den gesetzlichen Vorgaben entsprechen.