Was ist eine Auftragsverarbeitungsvereinbarung?
Der Art. 28 Datenschutzgrundverordnung (DSGVO), der seit dem 25.05.2018 unmittelbar gilt, gibt vor, dass eine Person, die für einen Verantwortlichen eine Verarbeitung von personenbezogenen Daten vornimmt, ein Auftragsverarbeiter ist.
Mit dem Verantwortlichen meint die Datenschutzgrundverordnung denjenigen der Daten erhoben, gespeichert oder verarbeitet hat. Wenn sich der Verantwortliche nun einen „verlängerten Arm“ sucht um eine Datenverarbeitung vornehmen zu lassen, weil er z.B. selbst nicht die Qualifikation, Ressourcen oder Zeit hat die Verarbeitung selbst vorzunehmen, dann ist dieser „verlängerte Arm“ ein Auftragsverarbeiter. (z.B. IT-Dienstleister mit Datenzugriff, Dienstleister für Cloudsicherheit und Cloudlösungen, Letter-Shops oder Online-Targeting-Dienstleistern) Der Auftragsverarbeiter wird dabei nicht von selbst tätig, sondern nur auf dokumentierbare Weisung hin unter der Kontrolle des Verantwortlichen.
„Der Kern der Tätigkeit des Auftragsverarbeiters besteht darin, personenbezogene Daten als „verlängerter Arm“ des Verantwortlichen in dessen Auftrag zu verarbeiten. Der Auftragsverarbeiter übt zwar die physische Herrschaft über den Verarbeitungsprozess aus, entscheidet aber nicht selbst über die Zwecke und Mittel der Verarbeitung. Er agiert vielmehr nach Weisung des Verantwortlichen, also ohne eigenen Wertungs- und Entscheidungsspielraum.“ (Martini Paal/Pauky, DSGVO BDSG, Rn.2.)
Wieso muss ich eine AVV schließen?
Der Art. 28 Abs.3 DSGVO gibt vor, dass zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein sogenannter Auftragsverarbeitungsvertrag / – vereinbarung zu schließen ist. In dieser soll u. A. geregelt werden wie der Auftragsverarbeiter seine Tätigkeit zu verrichten hat, welche Sicherheitsvorkehrungen er für die betroffenen personenbezogenen Daten zu treffen hat und welche Kontrollrechte der Verantwortliche gegenüber dem Auftragsverarbeiter ausüben darf. Darüber hinaus sind weitere Details zu regeln auf die hier aus Gründen der Übersichtlichkeit nicht aufgezählt werden.
Wann benötige ich eine Auftragsverarbeitungsvereinbarung?
Eine AVV benötige ich wenn die eben genannten Voraussetzungen vorliegen, also der Verantwortliche seinen Einflussradius vergrößert, seinen Arm „verlängert“ und sich dazu eines Auftragsverarbeiters bedient.
Der Abschluss einer AVV ist dann nicht notwendig, wenn die Auftragsverabeitung nicht Hauptleistung der Beziehung zwischen dem Auftraggeber und dem Auftragnehmer ist. So ist dies z.B. bei der Abwicklung von Bestellungen und der Lieferung der Waren. Dabei werden zwangsläufig zwar auch auch personenbezogene Daten verarbeitet, aber Hauptleistung ist dabei eben z.B. die Kommissionierung und Lieferung von Lebensmitteln. Die personenbezogenen Daten werden nur zur Erfüllung der Hauptpflicht, als „Beiwerk“, verarbeitet und im eigenen Ermessen des Vertragspartners verarbeitet. Die Abwicklung eines solchen Rechtsgeschäftes ist von Art. 6 Abs. 1 lit. b) DSGVO gedeckt. Der Vertragspartner möchte sich in diesem Verhältnis auch nicht Kontrollrechten seiner Kunden unterwerfen.
