Im Rahmen der AVV-Anforderung wurde mitgeteilt, dass kein AVV benötigt wird, da das Unternehmen als „vollständig in eigener Verantwortung“ handelt. Wie ist das zu beurteilen?

Folgende Ausführungen wurden zur Erläuterung, man brauche keinen AV-Vertrag, gegeben:

NDL (=Neuer DienstLeister) als Datenverantwortlicher

Bei einer möglichen Zusammenarbeit fungiert NDL technisch gesehen nicht als Datenverarbeiter. NDL ist ein für die Verarbeitung Verantwortlicher, der die Zwecke und Mittel der Verarbeitung festlegt. Dies schränkt unsere Bereitschaft oder Verpflichtung, die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Personen zu gewährleisten, nicht ein, ganz im Gegenteil.

Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verlangt nur dann einen Vertrag, der für den Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen verbindlich ist und in dem die Einzelheiten der Verarbeitung festgelegt sind, wenn die Verarbeitung im Auftrag eines für die Verarbeitung Verantwortlichen erfolgt (Art. 28 Abs. 1 und 3 DSGVO). Dies gilt nicht, wenn der Auftragnehmer in eigener Verantwortung über die Art und Weise der Datenverarbeitung entscheiden soll.

NDL ist ein unabhängiges Unternehmen, das es seinen Nutzern ermöglicht, über seine Online-Plattform sowie über die Anwendungen für mobile Geräte Transport- oder Reisedienstleistungen zu buchen. Als solches bestimmt NDL auch im Vertragsverhältnis mit dem Kunden in eigener Verantwortung und in eigenem Interesse, zu welchen Zwecken und mit welchen Mitteln personenbezogene Daten verarbeitet werden. NDL entscheidet also, "warum" und "wie" die personenbezogenen Daten über seine Plattformen verarbeitet werden sollen.

Auf dieser Grundlage ist NDL ein für die Verarbeitung Verantwortlicher und nicht der Auftragsverarbeiter im Namen eines Kunden, denn:

Wie ist das zu beurteilen? 

BayLDA:

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Ergebnis:

Es ist in jedem Einzelfall zu prüfen, ob der Schwerpunkt der Leistung eines Vertragspartners in der Verarbeitung personenbezogener Daten liegt. Ist das der Fall, muss (ggf. zusätzlich zum Leistungsvertrag) ein AV-Vertrag abgeschlossen werden. Ist das nicht der Fall, reicht der Abschluss des Vertrages, der die Erbringung der Leistungen zum Gegenstand hat und es muss kein AV-Vertrag abgeschlossen werden.

Stand: 29.06.2022