Zum Inhalt Zum Hauptmenü Online/Beratung Mandatsannahme
23. Juli 2018

Auftragsverarbeitungsverträge (AVV) nach der DSGVO

Großer Wirbel einhergehend mit einiger Verunsicherung wurde betrieben im Zusammenhang mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO). Ein Begriff, den einige in diesem Zusammenhang erstmals gehört haben, ist die sogenannte Auftragsverarbeitung und die hierfür benötigten Auftragsverarbeitungsverträge. Worum es sich hierbei handelt, wollen wir in diesem Beitrag kurz darstellen.

Heutzutage konzentrieren sich viele Firmen auf Ihre Kernkompetenz und lagern mit dieser nicht im Zusammenhang stehende Tätigkeiten an Dritte Anbieter aus. Oder es werden Verwaltungsaufgaben, deren Erfüllung Zeit und Arbeitskraft in Anspruch nehmen, durch Dritte übernommen. Häufig Beispiele sind
– Lohn- und Gehaltsabrechnung durch einen Dritten
– ausgelagerter Postversandarbeiten
– Massenversand an Kunden (z.B.: Werbung, E-Mail-Newsletter)
– Datenträger-/Aktenvernichtung und Datenarchivierung
– Cloud-Computing
Diese Auslagerung erfordert es häufig, dass personenbezogene Daten an diese Dritten übermittelt und durch diese verarbeitet werden. Eine solche Übermittlung erfordert nach der DSGVO eigentlich jeweils die ausdrückliche Zustimmung des Betroffenen oder eine gesetzliche Erlaubnis und entsprechende Benachrichtigung des Betroffenen.
Eine Ausnahme gilt nach Art. 28 DSGVO, wenn Auftragsverarbeitung vorliegt und ein entsprechender Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter vorliegt. Ist beides gegeben, benötigt der Verantwortliche nicht die Zustimmung des Betroffenen. Es genügt ein Hinweis auf die Verarbeitung durch die externen Dienstleister innerhalb der Datenschutzerklärung.
– Eine Auftragsverarbeitung liegt unter folgenden Voraussetzungen in der Regel vor:
• Die Datenverarbeitung erfolgt ohne eigenes Interesse des Dritten, sondern alleine zu Zwecken des Auftragsgebers.
• Die Zwecke und Mittel der Verarbeitung legt der Auftraggeber im Wesentlichen selbst fest.
• Die Tätigkeit des Dritten ist als Hilfe oder Unterstützung des Auftraggebers anzusehen.
Diese Punkte können herangezogen werden, um zu beurteilen, ob eine Weisungsgebundenheit des Auftragsverarbeiters dem Auftraggeber gegenüber vorliegt. Dies stellt das entscheidende Element der Auftragsverarbeitung dar.
– Der Auftragsverarbeitungsvertrag ist dann zwischen Auftraggeber und Auftragsverarbeiter abzuschließen. In diesem Vertrag ist der Umgang mit übermittelten personenbezogenen Daten durch den Auftragsverarbeiter geregelt. Der Auftraggeber bleibt den betroffenen Personen gegenüber als datenverarbeitende Stelle verantwortlich. Durch den Vertrag soll sichergestellt werden, dass der Auftragsverarbeiter dem Verantwortlichen gegenüber in der Weise zum Datenschutz verpflichtet ist, wie es die DSGVO dem Verantwortlichen selbst vorschreibt. Der erforderliche Inhalt eines Auftragsverarbeitungsvertrags ergibt sich aus Art. 28 Abs. 3 DSGVO.
Ob Auftragsverarbeitung vorliegt, ist häufig nicht auf Anhieb ersichtlich. Und damit auch nicht, ob ein Auftragsverarbeitungsvertrag ausreicht, um rechtmäßig personenbezogene Daten an Dritte weiterzugeben. Auch die konkrete Ausgestaltung solcher Verträge ist nicht immer einfach. Im Zweifel sollte hier ein Rechtsanwalt zu Rate gezogen werden, der auf das Datenschutzrecht spezialisiert ist.