Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?

Und warum braucht man ihn?

Was ist ein Auftragsverarbeitungsvertrag

Ein AV-Vertrag (Abkürzung für Auftragsverarbeitungsvertrag) im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

In einem solchen Fall muss diese Auftragsverarbeitung schriftlich zwischen den Parteien vereinbart werden, Art. 4 Nr. 8 DSGVO.

Solche Leistungen sind z.B.

  • Auslagerung der E-Mail-Verwaltung
  • Lohnabrechnung über einen Anbieter der ein entsprechendes cloud-basiertes IT-System zur Abrechnung stellt
  • Verarbeitung von Adressen in einem Lettershop
  • Verarbeitung von Kundendaten durch ein Callcenter

Keine Auftragsverarbeitung, sondern eigene Verantwortlichkeit liegt vor, wenn eine Stelle für eine andere Stelle fachliche Dienstleistungen anderer Art erbringt. Das heißt, bei solchen Dienstleistungen steht nicht die Datenverarbeitung für einen anderen im Vordergrund und macht keinen Kernbestandteil der Leistung aus.

Somit sind keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO (sondern eigene Verantwortlichkeit):

  • Leistungen von Banken für den Geldtransfer
  • Postdienste für den Paket- oder Brieftransport
  • Tätigkeiten von Ärzten, Steuerberatern und Rechtsanwälten
  • WEG-Verwalter
  • Plattformbetreiber im Internet, die zwischen Anbietern und Nachfragern vermitteln, wie z.B. E-Bay Kleinanzeigen

Ebenfalls keine Auftragsverarbeitung sind Aufträge, deren Inhalt im Wesentlichen auf eine andere Tätigkeit abzielt und nur nebenbei personenbezogene Daten verarbeitet werden, wie z.B. der Transport von Waren durch Speditionen.

Unter welchen Voraussetzungen muss man einen AV-Vertrag abschließen?

Um einen Auftragsverarbeitungsvertrag abschließen zu müssen, muss eine Verarbeitung im Auftrag des Verantwortlichen stattfinden, Art. 28 DSGVO.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Klassische Beispiele sind Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), DatenerfassungDatenkonvertierung oder Einscannen von Dokumenten, Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt; Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, etc.).

Abgrenzung zu einer eigenen Verantwortlichkeit in der Verarbeitung:

  • Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, z.B. Tätigkeiten von Steuerberater, Rechtsanwälten und Wirtschaftsprüfer, Bankinstitute für den Geldtransfer, Postdienste für den Brief- oder Pakettransport;
  • Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit, z.B. Bewachungsdienstleistungen, Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Transport von Unterlagen und Waren durch Kurierdienste oder Speditionen, etc.;

Sehr schöne Übersicht zur Abgrenzung der Auftragsverarbeitung mit den anderen Formen der Verarbeitung: Link zur pdf-Datei des BayLDA

Wann ist ein Abschluss eines AVV nötig?

Bei produzierenden Gewerben braucht man keinen AV-Vertrag, da im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern der Auftrag zielt auf eine andere Tätigkeit.

Ausführlich dazu mit vielen Beispielen das BayLDA in einem Merkblatt

Angenommen, es wurde nun (leider unnötigerweise) ein AV mit den Kunden geschlossen: ist dann das produzierende Unternehmen Auftragsverarbeiter aus Sicht des Kunden?

Der AV-Vertrag alleine stellt kein Auftragsverarbeitungsverhältnis her.

Hauptargument: ein AV-Vertrag soll nach dem Willen des Gesetzgebers bei Auftragsverarbeitung abgeschlossen werden. Die u.a. schuldrechtlichen Regelungen folgen also der tatsächlichen Situation („Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags…“, vgl. Art. 28 Abs. 3 DSGVO).

Dennoch sollte die vertragsrechtliche Situation korrigiert werden, wenn de facto keine Auftragsverarbeitung stattfindet. Wir würden hier eine einvernehmliche Aufhebung empfehlen, aufgrund offensichtlich falscher Anwendung der Vertragsart.

Greift hier der Zwang zum Abschluss von SCCs?

Nein, wenn schon kein AV-Vertrag notwendig ist, müssen auch keine SCC abgeschlossen werden.

Was sagt der EDSA/EDPD zum Thema AV-Vertrag?

In seinen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO äußert der EDSA auf S. 43 (Rn. 126) unter dem Punkt „1.3.3 Der Auftragsverarbeiter muss alle nach Artikel 32 erforderlichen Maßnahmen ergreifen (Artikel 28 Absatz 3 Buchstabe c DSGVO).“ folgende Auffassung:

„Der Vertrag (Anm.: Gemeint ist der AV-Vertrag) muss Informationen zu folgenden Punkten enthalten oder auf solche Informationen verweisen(Herv. der Autorin): die zu ergreifenden Sicherheitsmaßnahmen, eine Verpflichtung des Auftragsverarbeiters, die Zustimmung des Verantwortlichen einzuholen, bevor er Änderungen vornimmt, und eine regelmäßige Überprüfung der Sicherheitsmaßnahmen, um deren Angemessenheit im Hinblick auf Risiken, die sich im Laufe der Zeit entwickeln können, zu gewährleisten.“ 

Erst einmal ist festzuhalten, dass der EDSA davon ausgeht, dass Verweise im AV möglich sind. D.h. einem Verweis auf externe Dokumente dürften die Leitlinien nicht entgegenstehen. Außerdem sehen die Leitlinien in der zitierten Passage vor, dass der AV eine Verpflichtung enthalten muss, dass der Auftragsverarbeiter die Zustimmung des Verantwortlichen einholt, bevor er Änderungen (an den Sicherheitsmaßnahmen) vornimmt.

Mit „Änderungen“ sind dabei wohl nur wesentliche Änderungen gemeint. Denn die Pflicht zur Einholung bezüglich jeder kleinen Änderung, z.B. Einstellung eines neuen Mitarbeiters, kleine Änderung in Keycard-System o.ä., wäre realitätsfern und unwirtschaftlich. Dass dies wohl auch im Sinne des EDSA ist, lässt sich aus dem letzten Satz in Abschnitt 1.3.3 auf S. 44 (Rn. 127) folgern, in dem der EDSA ausführt:
„Der Verantwortliche übt seine Entscheidungsbefugnis über die wesentlichen Merkmale (Herv. der Autorin) der Sicherheitsmaßnahmen aus, sei es durch eine explizite Auflistung der Maßnahmen oder durch Genehmigung der vom Auftragsverarbeiter vorgeschlagenen Maßnahmen.“

Was bedeutet dies nun für Auftragsverarbeiter und Verantwortlichen?

Hier muss zuerst klargestellt werden, dass der EDSA davon spricht, dass der AV-Vertrag eine „Zustimmungseinholungspflicht“ bei Änderungen vorsehen muss, nicht dass eine Änderung durch den Auftragsverarbeiter gesetzlich durch die DSGVO untersagt ist. Sieht der AV-Vertrag keine solche Zustimmungseinholungspflicht vor, hält den Auftragsverarbeiter unserer Ansicht nach erst einmal rechtlich nichts davon ab, die TOMs selbstständig – ohne Genehmigung durch den Verantwortlichen – zu ändern. Denn eine Pflicht bei Änderungen der TOMs die Zustimmung des Verantwortlichen einzuholen, sieht die DSGVO – anders als in Art. 28 Abs. 2 DSGVO für die Einschaltung eines Unterauftragsverarbeiters – gerade nicht vor.

Dies folgt unseres Erachtens auch aus Art. 28 Abs. 1, Abs. 3 lit. c und f DSGVO. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden.

Nach Art. 28 Abs. 3 lit. c DSGVO muss der AV-Vertrag (nur) die Pflicht festlegen, dass der Auftragsverarbeiter alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift.

Art. 28 Abs. 3 lit. f DSGVO sieht die Verpflichtung des Auftragsverarbeiters vor, den Verantwortlichen bei der Einhaltung bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten zu unterstützen.

Aus diesen Regelungen lässt sich unseres Erachtens damit herleiten, dass es dem Auftragsverarbeiter obliegt, welche TOMs er ergreift, um seine Verpflichtung aus Artikel 32 zu erfüllen. Dies bedeutet aber nicht, dass dem Verantwortlichen dahingehend keinerlei Verpflichtungen mehr treffen. Dem Verantwortlichen trifft nach Art. 28 Abs. 1 DSGVO erst einmal die Pflicht einen geeigneten Auftragsverarbeiter auszuwählen. Gleichzeitig lässt sich aus Art. 24Art. 28 Abs. 1 und Artikel 32 auch eine gewisse Überwachungspflicht ableiten. Denn hiernach hat der Verantwortliche eine eigene Pflicht sicherzustellen, dass die Verarbeitung der DSGVO entspricht.

Was wenn der Vertrag keine Zustimmungsklausel vorsieht?

Auftragsverarbeiter:

Wie bereits gesagt, verstößt der Auftragsverarbeiter, wenn er die TOMs einseitig ändert, in diesem Moment weder gegen Vertrag noch gegen irgendwelche Verpflichtungen ggü. dem Verantwortlichen aus der DSGVO, soweit er ihm die notwendigen Informationen zu den TOMs bereitstellt (Art. 28 Abs. 3 lit. f DSGVO).

Ein Verstoß tritt dann ein, wenn die TOMs nicht den Anforderungen von Artikel 32 gerecht werden. In diesem Moment haftet er dem Verantwortlichen im Innenverhältnis, da er entsprechend Art. 28 Abs. 3 lit. c DSGVO die Verpflichtung eingegangen ist, alle erforderlichen Maßnahmen zu treffen, und entsprechend Art. 28 Abs. 3 lit. f DSGVO den Verantwortlichen bei Einhaltung von Artikel 32 zu unterstützen.

Verantwortlicher:

Interessant ist die Situation des Verantwortlichen. Art. 28 Abs. 3 DSGVO ist vor allem an den Verantwortlichen gerichtet. Der Gesetzgeber will damit erreichen, dass Verantwortliche mit ihren Auftragsverarbeitern AV-Verträge schließen, die geeignet sind, dem Datenschutz zu dienen, indem sie datenschutzrechtliche Mindestpflichten des Auftragsverarbeiters vorsehen. Enthält der AV-Vertrag nicht alle notwendigen Bestandteile liegt eine Verletzung der DSGVO durch den Verantwortlichen vor. 

Der EDSA scheint diesbezüglich der Auffassung zu sein, dass Art. 28 Abs. 3 DSGVO eine Plicht statuiert, eine Zustimmungsklausel im AVV-Vertrag vorzusehen.

In der Konsequenz würde der Verantwortliche die DSGVO verletzen und sich ggf. bußgeldpflichtig nach Art. 83 DSGVO machen, wenn seine AV-Verträge eine solche Klausel nicht vorsähen.

Unseres Erachtens ist die Gefahr eines Bußgeldes aber sehr gering. Insbesondere deshalb weil Art. 28 Abs. 3 DSGVO keine Pflicht zur Aufnahme einer Zustimmungsklausel in den AV-Vertrag explizit vorsieht (und daher auch die Rechtsauffassung des EDSA auf wackligen Beinen steht). Die (implizite) Pflicht eine Zustimmungsklausel in den AV-Vertrag aufzunehmen, leitet das EDSA nicht wirklich nachvollziehbar herbei. Dass dem Verantwortlichen ein Verschulden trifft, wenn ein Vertrag eine Zustimmungsklausel nicht vorsieht, ist damit (ebenfalls) zu bezweifeln.

Zusammenfassung

Die EDSA äußert hier eine Auslegungshilfe, sie ist aber nicht der Gesetzgeber und auch kein Gericht.

Unserer Ansicht nach verstößt ein Auftragsverarbeiter nicht gegen die DSGVO oder den AV-Vertrag, wenn er die TOMs einseitig ändert, solange er seine Informations- und Unterstützungsverpflichtung nach Art. 28 Abs. 3 lit. f DSGVO einhält, die geänderten TOMs Artikel 32 nicht widersprechen und der AV-Vertrag keine Zustimmungsklausel vorsieht.

Die EDSA meint, dass AV-Verträge (wohl) eine Zustimmungsklausel enthalten müssen, um Art. 28 Abs. 3 DSGVO gerecht zu werden (was jedoch stark zu bezweifeln ist). Enthält ein AV-Vertrag eine solche Klausel nicht, würde dies konsequent weitergedacht eine Verletzung der DSGVO darstellen. Dieser Auffassung folgen wir nicht.

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation