Unter welchen Voraussetzungen muss man einen AV-Vertrag abschließen?

Um einen Auftragsverarbeitungsvertrag abschließen zu müssen, muss eine Verarbeitung im Auftrag des Verantwortlichen stattfinden, Art. 28 DSGVO.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Klassische Beispiele sind Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt; Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, etc.).

Abgrenzung zu einer eigenen Verantwortlichkeit in der Verarbeitung:

Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, z.B. Tätigkeiten von Steuerberater, Rechtsanwälten und Wirtschaftsprüfer, Bankinstitute für den Geldtransfer, Postdienste für den Brief- oder Pakettransport;

Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit, z.B. Bewachungsdienstleistungen, Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Transport von Unterlagen und Waren durch Kurierdienste oder Speditionen, etc.;

Sehr schöne Übersicht zur Abgrenzung der Auftragsverarbeitung mit den anderen Formen der Verarbeitung: Link zur pdf-Datei des BayLDA

Stand: 23.03.2022