Wann ist ein Abschluss eines AVV nötig?

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Was sagt der EDSA/EDPD zum Thema AV-Vertrag?

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Ist es ausreichend, wenn die Aufklärung über die Drittlandsverarbeitung in den Datenschutzhinweisen ausführlicher und bei dem Hinweis-Text etwas sparsamer erfolgt?

Beispiel mit folgendem Wortlaut:

Ja, ich möchte News per E-Mail zugesendet bekommen. Ich bin damit einverstanden, dass eine Datenverarbeitung auch außerhalb der EU stattfinden könnte. Weiterführende Detail finden Sie in unseren Datenschutzhinweisen. Diese Einwilligung kann ich jederzeit widerrufen.

Antwort: das ist eine Frage der Informiertheit der Einwilligung:

Die Einwilligung hat in informierter Weise zu erfolgen. In ErwGr. 42 der DS-GVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind und die betroffene Person mindestens darüber in formiert wird, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. DSGVO).

Darüber hinaus ist die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.

Ergebnis: Abwägungsfrage!

Wir halten den Hinweistext gerade noch für zulässig (wegen der besseren Lesbarkeit), wenn der verlinkte Text dann vollständig ist. Vielleicht sollte zusätzlich im Hinweistext vor allem die Rechtsfolge beschrieben werden, was mit den pbD in den USA passiert. 

Stand: 30.11.2022

In welchen Fällen kommt man bei Kontaktformularen oder Newsletter Anmeldungen ohne Check-Boxen aus?

Check-Boxen sind ein beliebtes und sinnvolles Tool um

Datenschutzrechtlich sind Check-Boxen nicht zwingend erforderlich, aber sinnvoll (Dokumentationsmöglichkeit!). Grundsätzlich reicht es auch aus, dem Benutzer einen gut sichtbaren Hinweis auf die Datenschutzerklärung zu geben, bevor dieser das Webformular absendet. Ein Bestätigen, dass der Nutzer die Datenschutzerklärung auch wirklich gelesen hat, ist nicht erforderlich.

Mehr Infos hier

Ohne Check-Boxen kommt man insbesondere auch dann aus, wenn man die Verarbeitung nicht auf eine Einwilligung des Nutzers, sondern auf eine andere Rechtsgrundlage, z.B. sein berechtigtes Interesse an der Verarbeitung stützt bzw. stützten darf.


Dies kommt namentlich bei sog. „Bestandskunden“ in Betracht (§ 7 Abs. 3 UWG). Hier kann eine Verarbeitung auch ohne eine Einwilligung zulässig sein (siehe dazu auch LiiDU FAQ-Seite unter der Frage „Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?“).


Beachte aber, dass auch hier eine Check-Box für den Nachweis der Informationserteilung nach Art. 13 DSGVO sinnvoll ist. Die Informationen nach Art. 13 DSGVO sind unabhängig von der Rechtsgrundlage, auf die die Verarbeitung gestützt würde, zu erteilen.

Abseits des Bestandskunden-Privilegs ist für den

die Einholung einer Einwilligung Pflicht. Der Double Opt-In ist dabei die in der Praxis am meisten verbreitete Lösung. Hier schickt der Verantwortliche dem Nutzer eine E-Mail, mit der er diesen auffordert, die Kontaktaufnahme zu bestätigen.

Ohne Double-Opt-In kommt man bei Newslettern nur aus, wenn die Einwilligung auf andere Weise erfolgt (z.B. E-Mail, Liste auf Messe, etc.).

Im Gegensatz dazu ist beim

die Einholung einer Einwilligung KEINE Pflicht.

Das gilt dann, wenn alleiniger Zweck der Verarbeitung die Bearbeitung der über das Kontaktformular gestellte Anfrage ist. Diese Verarbeitung ist von anderen Rechtsgrundlagen gedeckt, v.a. das berechtigte Interesse des Seitenbetreibers an der Bearbeitung der Anfrage.

Eine Check-Box ist damit ebenfalls nicht zwingend notwendig. Es genügt ein gut sichtbarer Hinweis im Kontaktformular in der Nähe des „Sende-Buttons“, dass auf die Datenschutzerklärung hingewiesen und diese verlinkt wird. 

Ändert sich die Situation, falls die Daten in ein Ticket-System laufen
(Zendesk), welches zwar einen Serverstandort in Europa hat, aber deren Hauptsitz in den USA liegt?

Die Anbindung von Zendesk erfolgt in der Regel über Cookies. Hier müssen dann alle Vorgaben zum Thema rechtswirksame Cookie-Einbindung eingehalten werden. Eine datenschutzrechtliche Einwilligung des Nutzers der Website nach § 25 TTDSG, Art. 6 Abs.1 lit. a DSGVO ist damit in jedem Fall Pflicht.

Nicht vergessen:

Stand: 30.11.2022

Sollte der ext. DSB eine AVV zwischen seinem Arbeitgeber und dem Kunden prüfen?

Normalerweise kann der Datenschutzbeauftragte den Verantwortlichen bei der Erstellung als auch bei der Prüfung von AVVs unterstützen. Wenn nun der DSB allerdings beim Beratungsunternehmen angestellt ist, sollte er für den Kunden, bei dem er als ext. DSB eingesetzt ist, diesen speziellen AVV (bei dem eine Auftragsverarbeitung zw. Beratungsunternehmen und Kunde vereinbart wird) nicht mitverhandeln, um eine Interessenskollision zu vermeiden.

Beachte dazu Art. 38 Abs. 6 DSGVO: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Es muss also sichergestellt werden, dass Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Ein Interessenkonflikt liegt immer dann vor, wenn die gesetzlichen Aufgaben des DSB möglicherweise nicht bedenkenfrei ausgeführt werden können. Als die Hauptpflichten gelten die Unterrichtung und Beratung des Auftraggebers (Art. 39 Abs. 1 lit. a, c DSGVO), die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften (Art. 39 Abs. 1 lit. b DSGVO) und das Zusammenwirken mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e).

Für diese Pflichten benötigt der Datenschutzbeauftragte insofern Neutralität und Unabhängigkeit. Auch sollte er kein Interesse daran haben „nicht so genau hinzusehen“.

Wir empfehlen daher, den DSB aus der Beratung und Prüfung des AVV zwischen seinem Arbeitgeber und dem Kunden ausdrücklich herauszulassen. Dies sollte schriftlich im DSB-Bestellungsvertrag zwischen Beratungsunternehmen und Kunden so geregelt werden.

Stand: 23.11.2022

Ist der Azure Key Vault datenschutzkonform?

Mehr Infos zum Azure Key Vault finden Sie in unserem Blog.

Welche Qualität müssen TOMs haben, um den Anforderungen der DSGVO zu genügen?

Die TOMs, also die technischen und organisatorischen Maßnahmen die geeignet sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, vgl. Art. 32 DS-GVO, müssen nach Art. 28 Abs. 3 lit. c DS-GVO bei der Auftragsverarbeitung ergriffen und dokumentiert werden.

Einerseits müssen die TOMs dem aktuellen Stand der Technik entsprechen. Andererseits muss auch das Verhältnis von Maßnahme zu Aufwand im Rahmen der Verhältnismäßigkeit berücksichtigt werden. Auf Grund des hohen Schutzinteresses der Betroffenen werden wirtschaftliche Erwägungen jedoch eine hintergründige Rolle spielen. Dabei ist der Verantwortliche selbst in der Pflicht geeignete TOMs aufzustellen und deren Einhaltung zu garantieren.

Um die Qualität beurteilen zu können, ist das Kriterium ein angemessenes Schutzniveau und ist demnach ein Auswuchs der Verhältnismäßigkeit. Anhaltspunkte sind dabei Eintrittswahrscheinlichkeit, Schwere des Risikos für die Betroffenen, Kategorien personenbezogener Daten, aber auch die Implementierungskosten.

Dabei soll sich an schon vorhandene bzw. einfach zu handhabende Maßnahmen orientiert werden. Auch wie eine Verarbeitung stattfindet, in welchem Umfang, unter welchen Umständen und zu welchem Zweck ist zu berücksichtigen. Insgesamt muss also eine Schutzbedarfsfeststellung durchgeführt werden.

Um effektiv der entsprechende Nachweis erbringen zu können, ist folgendes zu dokumentieren: das Verfahren und Ergebnis der Schutzbedarfsfeststellung, der Risikobewertung und die entsprechende Ableitung der Sicherheitsmaßnahmen unter Berücksichtigung der Belastbarkeit.

Zusammengefasst müssen die TOMs verständlich alle Maßnahmen darlegen, um den zuvor nachweislich durchgeführten Schutzbedarfsfeststellungen zu genügen.

Für ausführlicher Informationen kann die Best-Practice Checkliste des BayLDA zu den TOMs herangezogen werden. Mehr Details zum Stand der Technik

Stand: 23.11.2022

Was steht in der NIS2-Richtlinie der EU?

Mehr Infos zur NIS2-Richtlinie finden Sie in unserem Blog.

NIS2-Richtlinie der EU 

Am 10.11.2022 wurde die NIS2-Richtlinie der EU beschlossen. Hier erfahren Sie, welche Auswirkungen die neue Richtlinie zur Netz- und Informationssicherheit hat.

Professional Mitgliederbereich - Datenschutz-Weekly

Sie müssen sich anmelden, um diesen Inhalt zu sehen. Bitte . Kein Mitglied? Werden Sie Mitglied bei uns