Was sagt der EDSA/EDPD zum Thema AV-Vertrag?

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?

Ein Auftragsverarbeitungsvertrag im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?

Wann dürfen Newsletter verschickt werden?

Werbe-Newsletter sind grundsätzlich nach § 7 Abs. 2 Nr. 2 UWG nur mit vorheriger ausdrücklicher Einwilligung des Adressaten zulässig. Hiervon macht § 7 Abs. 3 UWG eine Ausnahme für sog. Bestandskunden. Dies sind Kunden, von denen der Unternehmer, die Email-Adresse im Rahmen eines Verkaufs von Waren oder Dienstleistungen erhalten hat. Bei solchen Bestandskunden darf ein Newsletter an die angegebene Email-Adresse versendet werden, wenn der Kunde dieser Verwendung nicht widersprochen hat und in jeder einzelnen Newsletter-Email auf sein Widerspruchsrecht hingewiesen wird. Des Weiteren darf sich der Newsletter nur auf eigene und ähnliche Waren oder Dienstleistungen beziehen.

Datenschutzrechtlich ist die Newsletter-Werbung gemäß Artikel 6 Abs. 1 S. 1 lit. a DSGVO mit Einwilligung zulässig. Wie Erw. 47 S. 7 DSGVO klarstellt, kann die Direktwerbung aber auch als berechtigtes Interesse nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO betrachtet werden. Artikel 6 Abs. 1 S. 1 lit. f DSGVO kann also insbesondere dann in Betracht kommen, wenn es sich bei den Adressaten des Newsletters um Bestandskunden handelt.

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen bzw. geht das überhaupt?

Zur Zusammenlegung von Newslettern:

Gegen eine Zusammenlegung von Newslettern sprechen keine Bedenken, wenn die oben genannten Voraussetzungen erfüllt wurden. Hat der Kunde dem Erhalt des Newsletters wirksam zugestimmt oder kann sich der Versender auf das Bestandskundenprivileg und das berechtigte Interesse berufen, ist die Zusammenlegung mehrerer Newsletter zu einem einzigen weder wettbewerbsrechtlich noch datenschutzrechtlich zu beanstanden. Die Zusammenlegung erfolgt zum Zwecke der (effektivere) Direktwerbung und dürfte damit von der Einwilligung des Betroffenen zur Direktwerbung sowie von dem berechtigten Interesse gedeckt sein. Eine Offenlegung der persönlichen Daten an weitere Dritte erfolgt bei der Zusammenlegung ebenso wenig (auf BCC achten!).

Vorsicht: Beruft sich der Werbende auf das Bestandskundenprivileg, bleibt zu beachten, dass dieses nur bei der Werbung mit ähnlichen Produkten eingreift. Daher ist bei der Zusammenlegung der Newsletter zu beachten, dass auch danach der Kunde nur Werbung bezüglich ähnlichen Waren oder Dienstleistungen erhält (Verwandtschaft der Themen).

Was ist bei Verarbeitung der Abonnentendaten bei einem externen Dienstleister zu beachten?

Findet die Adressdatenverwaltung über ein einen externen Dienstleister statt, muss sichergestellt werden, dass der Dienstleister die Vorgaben der DSGVO einhält und eine korrekte Verarbeitung der personenbezogenen Daten stattfindet.

Stand: 19.10.2022

Kann "Hubspot" datenschutzkonform genutzt werden?

Ausführliche Informationen über Hubspot finden Sie in unserem Blog.

Darf man denselben AVV im Unterauftragsverhältnis weiterreichen?

Ist es als direkter Auftragsverarbeiter des Endkunden rechtlich möglich, denselben AVV, den man mit dem Endkunden geschlossen hat, mit Unterschrift des Endkunden und des Auftragsverarbeiters, als Anlage zu einem AVV zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einzubinden? Über diesen Weg würden keine Lücken oder Unterschiede in den Datenschutzpflichten entstehen.

LiiDU-Tipp:

Gilt die DSGVO auch für die Schweiz?

Konkretisierung der Fragestellung:

Ein Unternehmen mit Sitz in der Schweiz bietet Beratungsdienstleistungen für Unternehmen (!) in der EU an: Es berät bei der Instandhaltung mit SAP und unterstützt mit der Analyse, über Konzeption und Implementierung bis hin zum Betrieb bei SAP; es unterstützt dabei Betreiber, Hersteller und Instandhalter von Assets dabei, ein nachhaltiges Asset Management auf Basis von SAP zu realisieren. Dabei gewinnt es etwa bei der Erstellung von Instandhaltungsplänen via SAP Einsicht darin, welche Beschäftigten der B2B-Kunden wann wo zur Instandhaltung eingesetzt sind. 

Gilt die DSGVO für diesen Sachverhalt? 

Ja, denn es ist Art. 3 Abs. 1 DSGVO bzw. Art. 3 Abs. 2 DSGVO anwendbar.

Stand: 12.10.2022

Braucht man mit Cookie-Banner-Anbietern einen AV-Vertrag?

Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Im Internet werden damit vor allem HTTP-Cookies bezeichnet. Das sind Datenpakete, mit denen Webanwendungen personenbezogene Daten sammeln, um beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (z.B. Warenkörbe in Webshops) zu speichern.

Ein Cookie-Banner wird auf Webseiten bspw. dann benötigt, wenn eine Erhebung, Verarbeitung oder Auswertung personenbezogener Daten (v.a. IP-Adressen) technisch nicht notwendig ist (vgl. § 25 TTDSG) und z.B. für Tracking-Analysen vorgenommen wird. Für diese Verarbeitung personenbezogener Daten braucht es eine ausdrückliche Einwilligung des Nutzers, die  z.B. mittels eines Cookie-Banners eingeholt werden kann. 

Alles zum Thema Cookies: siehe FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit BW

Verarbeitet nun die Anwendung „Cookie-Banner-Tool“ eines Anbieters selbst personenbezogene Daten im Auftrag?

Falls ja, ist der Webseitenbetreiber gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Die DSGVO schreibt vor,  dass gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, sobald ein Auftragsverarbeitungsverhältnis vorliegt.

Wie wird laut Art. 4 Abs. 8 DSGVO ein Auftragsverarbeiter definiert?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Das dürfte bei Cookie-Banner-Anwendungen regelmäßig der Fall sein!

Begründung:

Beispiel Cookiebot: Bindet eine Webseite ein Cookiebot-Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet, vgl. Ausführungen dazu bei Dr. DSGVO.

Was muss im AV-Vertrag laut Art. 28 DSGVO geregelt werden?

Im Vertrag werden u.a. die jeweiligen Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. Des weiteren wird auch der konkrete Gegenstand, die Art und der Zweck der Verarbeitung definiert. Zudem können noch weitere Regelungen, wie z.B. die Dauer des Auftrags, Regelungen zu Informationspflichten und zum Weisungsrecht oder auch Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung festgehalten werden.

Ergebnis: In aller Regel braucht man einen AV-Vertrag mit dem Cookie-Banner-Anbieter.

Stand: 05.10.2022

Darf ein Dienstleister die Daten ohne die Einwilligung der Endverbraucher verarbeiten, ohne dabei selbst gegen die DSGVO zu verstoßen?

Konkretisierung der Fragestellung:

Wir (DL-Unternehmen im Bereich B2B) sollen Daten der Kunden (E, Endverbraucher) unserer Kunden (K, B2C) bezüglich ableitbarer Verhalten analysieren. Das bedeutet, es interessiert uns letzten Endes nicht, wie ein Kunde E heißt, wo er genau wohnt, wann er genau geboren ist. 

Unser Kunde K hat dabei die Daten genau vorliegen, also wie heißt die Person E, welche Email-Adresse(n) hat sie, wie lautet die Adresse, Geburtsdatum, ...; kurzum, unser Kunde K weiß soweit "alles" über seine Kunden E, was Datenschützer-Herzen höher schlagen lässt.

Wie dürfen wir (DL) nun die Daten der Endverbraucher E verwenden bzw. wie muss unser Kunde K uns die gewünschten Daten zur Verfügung stellen? 
Uns interessiert wie gesagt NICHT die Adresse, genaues Geburtsdatum, Email-Adresse; Ausschließlich betrachtet werden soll das Geschlecht sowie die Altersspanne (wir dachten an das Alter auf 5 bis 10 Jahre genau, sofern möglich), evtl. eine Umkreis-Angabe zum ungefähren Wohnort / Region des Wohnorts, die bestellten / gekauften Produkte, angesehene Produkte bis zur Kaufentscheidung, ggf. das verwendete Endgerät (Hersteller und Model, nicht Seriennummer!), usw.

An sich dachten wir in einem ersten Schritt der konzeptionellen Überlegungen daran, die Adress- und Namensdaten komplett zu vernachlässigen und noch bei unserem Kunden K eine Verschlüsselung der Email-Adresse vorzunehmen, die von uns als DL nicht wieder zurückgerechnet werden kann ("hashing").* Mit diesen gehashed-ten Email-Adressen könnten wir als DL dann eine ID bilden, die die uns relevanten Informationen anschließend der verschlüsselten ID zuordnen lässt. Hintergrund für diese Notwendigkeit wäre, dass die Infos einzelnen fiktiven Personen zugeordnet und nicht zu einer großen Datenmasse verschmelzen sollen.


In einem vergangenen Datenschutz-Weekly hatten wir über die Begriffe Anonymisierung und Pseudonymisierung gesprochen. Aktuell wäre soweit vermutlich vom Begriff der Pseudonymisierung auszugehen, anhand des Hashes ist das erfolgreiche Durchführen einer Rückrechnung dabei höchst unwahrscheinlich. Unserem Kunde K hingegen würde in dem Szenario voraussichtlich die Zuordnung "genaue Kundendaten" (die K sowieso von E weiß...) zu der verschlüsselten Email-Adresse vorliegen.

Art. 5 Abs. 1 c) DGSVO – Datenminimierung und

Art. 6 DSGVO – Rechtsgrundlage für Verarbeitung notwendig

1. Dienstleister DL muss vom Kunden K also so wenig wie möglich Daten über den Endverbraucher E bekommen.

Idealerweise sollte der Datensatz keine Adressdaten, keine Geburtsdaten, keine Namen und keine Mailadressen umfassen.


2. Wenn der Kunde K die Ergebnisse nach dem Analyseprozess wieder zurückführen kann auf einzelne Personen, dann wäre das ein Analyseverfahren auf Basis personenbezogener Daten, nach denen er die Vorgaben der DSGVO einhalten muss. Dafür braucht er wiederum eine Rechtsgrundlage. Das kann wohl nur durch die vorab eingeholte Einwilligung der Endverbraucher E geschehen.

Ergebnis: Verarbeitet der Kunde K die Daten der Endverbraucher E nach durchgeführter Analyse so, dass er die Daten wieder zusammenführen kann (und damit wieder personenbezogene Daten vorliegen hat), braucht er eine  vorherige Einwilligung der Endverbraucher.

Vor Einführung der DSGVO spielte es keine Rolle, welche Daten an den Dienstleister DL geschickt worden wären, da der Auftragsverarbeiter nicht verantwortlich war für die personenbezogenen Daten.


Seit der Einführung der DGSVO ist die Rechtslage anders:

Er muss … hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, vgl. Art. 28 Abs. 1 DSGVO

Die Verpflichtung geht sogar noch weiter: vgl. Art. 28 Abs. 3, letzter Absatz:

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

Stand: 28.09.2022

Braucht man bei der Nutzung eines CDN zwingend einen AV-Vertrag mit dem Anbieter?

Ist ein AV-Vertrag nach Art. 28 DSGVO nötig?

Wir hatten im Datenschutz-Weekly hier schon einmal die Frage zu Cloudflare beantwortet (siehe FAQ Datenschutz)

Die Antwort war: wenn personenbezogene Daten über den Dienst erhoben werden, sind alle DSGVO-Vorgaben einzuhalten. Im Falle von Cloudflare ist die Rechtslage unsicher, der TÜV-Süd ist hier den Weg über die technisch-notwendigen Cookies gegangen.

LG Braunschweig: Cookiebot über ein CDN (Content Delivery Networks) ist unzulässig

CDN-Leistungen könnten auch als TK-Leistungen eingeordnet werden und wären dann über § 6 TTDSG priviligiert.
Damit wäre das nicht primär ein Datenschutz-Thema.

Ansonsten gilt, was für den DSGVO-konformen Einsatz von Tools notwendig ist:

Stand: 27.07.2022

Wer muss Aufwandsentschädigungen zahlen?

Konkrete Ausführung der Frage:

Ein Dienstleister beschreibt in seinem AV folgenden Punkt:

7.3 im AVV
Durch Kontrollen entstehende Kosten trägt der Auftraggeber, dies umfasst auch eine Aufwandsentschädigung für die Arbeitszeit des vom Auftragnehmer beanspruchten Personals.

_______________________________________________________

Nach unserer Auffassung muss dieser Punkt aus dem AV gestrichen werden. Begründung: Aus der Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Anforderungen ergibt sich die Pflicht des Verantwortlichen, den Auftragsverarbeiter im erforderlichen Umfang zu überprüfen. Er muss sich grundsätzlich fortlaufend von der Einhaltung der zugesagten technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter überzeugen. Dementsprechend muss der Auftragsverarbeiter Überprüfungen ermöglichen und dazu beitragen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO). Diese gesetzlich vorgeschriebene Mitwirkungspflicht darf grundsätzlich nicht von einem gesonderten Entgelt abhängig gemacht werden.

Was regelt die DSGVO zum Thema Auftragsverarbeiter?

Art. 28 DSGVO Auftragsverarbeiter

„...

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. …“

Ist eine solche Vergütungsklausel im AV-Vertrag zulässig?

Wir teilen Ihre Meinung!

Ein weiters Argument für diese Auffassung: Die Vergütungsklausel könnte eine unangemessene Benachteiligung nach § 307 Abs. 2 BGB darstellen, womit die Klausel auch AGB-rechtlich unzulässig wäre.

Begründung:

Bei Auftragsverarbeitungsverträgen nach Art. 28 DSGVO handelt es sich fast immer um vorformulierte Vertragsbedingungen. Es gibt im AGB-Recht nur enge Grenzen, innerhalb derer von den gesetzlichen Regelungen abgewichen werden dürfen. Da nach Art. 28 DSGVO grundsätzlich dem Auftraggeber das Recht zusteht, seine Kontrollmaßnahmen durchzuführen, kann ihm die Ausübung dieses Rechts nur in sehr engen Grenzen erschwert werden. Insbesondere die Übernahme der Personalkosten des Auftragsverarbeiters ist daher aus unserer Sicht mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB. Damit wäre diese Klausel unwirksam.

Wie ist nun in so einem Fall vorzugehen?

Drei Möglichkeiten:

  1. In einem Standardvertrag kann die Klausel eventuell stillschweigend angenommen – und später dann AGB-rechtlich angegriffen werden, wenn sich der Auftragsverarbeiter bei einer Rechnungstellung darauf stützen möchte.
  2. Klausel aus dem Vertrag rausverhandeln, damit Klarheit herrscht (beste Lösung!)
  3. Falls 2. nicht möglich ist, weil sich Vertragspartner widersetzt oder ein großer Player ist, der AV-Verträge generell nicht verhandelt: Vertrag annehmen, aber dieser einen Klausel konkret widersprechen.

Stand: 20.07.2022