Ein AV-Vertrag (Abkürzung für Auftragsverarbeitungsvertrag) im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

In einem solchen Fall muss diese Auftragsverarbeitung schriftlich zwischen den Parteien vereinbart werden, Art. 4 Nr. 8 DSGVO.

Solche Leistungen sind z.B.

• Auslagerung der E-Mail-Verwaltung
• Lohnabrechnung über einen Anbieter der ein entsprechendes cloud-basiertes IT-System zur Abrechnung stellt
• Verarbeitung von Adressen in einem Lettershop
• Verarbeitung von Kundendaten durch ein Callcenter

Keine Auftragsverarbeitung, sondern eigene Verantwortlichkeit liegt vor, wenn eine Stelle für eine andere Stelle fachliche Dienstleistungen anderer Art erbringt. Das heißt, bei solchen Dienstleistungen steht nicht die Datenverarbeitung für einen anderen im Vordergrund und macht keinen Kernbestandteil der Leistung aus.

Abgrenzungshilfe des BayLDA – Auftragsverarbeitung

„Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.“

Somit sind keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO (sondern eigene Verantwortlichkeit):

• Leistungen von Banken für den Geldtransfer
• Postdienste für den Paket- oder Brieftransport
• Tätigkeiten von Ärzten, Steuerberatern und Rechtsanwälten
• WEG-Verwalter
• Plattformbetreiber im Internet, die zwischen Anbietern und Nachfragern vermitteln, wie z.B. E-Bay Kleinanzeigen

Ebenfalls keine Auftragsverarbeitung sind Aufträge, deren Inhalt im Wesentlichen auf eine andere Tätigkeit abzielt und nur nebenbei personenbezogene Daten verarbeitet werden, wie z.B. der Transport von Waren durch Speditionen.

Unter welchen Voraussetzungen muss man einen AV-Vertrag abschließen?

Um einen Auftragsverarbeitungsvertrag abschließen zu müssen, muss eine Verarbeitung im Auftrag des Verantwortlichen stattfinden, Art. 28 DSGVO.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Klassische Beispiele sind Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt; Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, etc.).

Abgrenzung zu einer eigenen Verantwortlichkeit in der Verarbeitung:

• Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, z.B. Tätigkeiten von Steuerberater, Rechtsanwälten und Wirtschaftsprüfer, Bankinstitute für den Geldtransfer, Postdienste für den Brief- oder Pakettransport;
• Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit, z.B. Bewachungsdienstleistungen, Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Transport von Unterlagen und Waren durch Kurierdienste oder Speditionen, etc.;

Sehr schöne Übersicht zur Abgrenzung der Auftragsverarbeitung mit den anderen Formen der Verarbeitung: Link zur pdf-Datei des BayLDA

Muss ein Auftragsdatenverarbeiter Auskunft erteilen?

Art. 15 DSGVO spricht ausdrücklich nur vom Verantwortlichen, der Auskunft zu erteilen hat.

„… Anspruchsverpflichtet ist stets der Verantwortliche iSv Art. 4 Nr. 7. …

Auftragsverarbeiter sind nicht selbst angesprochen, sondern gem. Art. 28 Abs. 3 S. 2 lit. e verpflichtet, den Verantwortlichen bei der Erfüllung des Anspruchs zu unterstützen. …“

Aus: Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 15 Rn. 29, 30

Fazit:

Wenn man im Namen von Kunden personenbezogene Daten verarbeitet, ist man nicht selbst verpflichtet Auskunft über Daten zu erteilen und kann die Auskunftsanfrage dem Verantwortlichen überlassen. Man muss ihn allerdings unterstützen, wenn man selbst die Verarbeitung der Daten vornimmt.

Vergleiche auch:

Übersicht des Landesbeauftragten für den Datenschutz Niedersachsen

„Bei einer Auftragsverarbeitung ist der Auftraggeber zur Auskunft verpflichtet, nicht der Auftragsverarbeiter. Bei gemeinsamer Verantwortung trifft die Pflicht zur Auskunft alle Verantwortlichen.“

Muss ein AV-Vertrag von beiden Vertragsparteien unterschrieben werden?

Ausgangspunkt zum Thema Schriftlichkeit bei AV-Verträgen“ ist Art. 28. Abs. 9 DSGVO:

„Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“

Hierzu der Auszug aus dem Kommentar Paal/Pauly/Martini DS-GVO zu Art. 28:

„Der Vertrag (bzw. das andere Rechtsinstrument) muss schriftlich abgefasst sein. Das gilt sowohl für die rechtliche Absicherung der Auftragsverarbeitung zwischen Verantwortlichem und Auftragsverarbeiter nach Abs. 3 als auch für das Verhältnis zwischen Auftragsverarbeiter und Unterauftragnehmer nach Abs. 4. Die Verschriftlichung darf nach dem ausdr. Willen des Normgebers – anders als im Falle der Genehmigung einer Unterauftragserteilung (→ Rn. 62) – „auch in einem elektronischen Format“ (Hervorhebung d. Verf.), etwa als PDF, erfolgen; einer Verkörperung in Gestalt eines Ausdrucks bedarf es somit nicht. Die elektronische Form iSd § 126a BGB müssen die Parteien nicht einhalten (vgl. insoweit auch Bertermann in Ehmann/Selmayr DS-GVO Art. 28 Rn. 12; Hartung in Kühling/Buchner DS-GVO Art. 28 Rn. 94 ff.).

Gleichwohl genügt nicht jede elektronische Form den Anforderungen des Abs. 9. Denn der Normgeber verfolgt mit dem Formerfordernis – anders als Art. 17 Abs. 4 DSRL, der explizit nur auf „Zwecke der Beweissicherung“ abhob, dafür aber jede „andere Form“ genügen ließ – Dokumentations-, Beweissicherungs- und Authentizitätssicherungszwecke. Er will damit die Rechtssicherheit stärken. Die Form soll verbürgen, dass sich die Parteien, die in dem Dokument genannt sind, zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekannt haben. Nur wenn das elektronische Format diesen Anforderungen genügt, insbes. die Echtheit der in dem Dokument genannten Verpflichtungen – gerade mit Blick auf die Gefahr späterer Änd. oder Fälschungen – sicherstellt, ist die Schriftform iSd Abs. 9 gewahrt. Eine einfache E-Mail genügt dem regelmäßig nicht (da sie die Authentizität des Erklärten nicht belegt) – anders aber der Einsatz elektronischer Signaturen (vgl. auch Art. 32 Rn. 36b).“

Das BayLDA schreibt dazu:

„Nach Art. 28 Abs. 9 DS-GVO ist der Vertrag zur Auftragsverarbeitung schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. Was mit dem elektronischen Format genau gemeint ist und auf welchen Wegen solche Verträge geschlossen werden können, wird derzeit unterschiedlich diskutiert.

Jedenfalls ist es dabei aber Sache der Vertragspartner, den elektronischen Vertragsabschluss (per übereinstimmender Willenserklärungen) für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden sowie anderer Aufsichtsinstanzen (bei den Kreditinstituten: BaFin, Prüfungsverband, Bundesbank etc.) hinreichend und beweiskräftig zu dokumentieren, z. B. durch unterschriebene und eingescannte Texte mit Protokollierung des dazu geführten E-Mail-Verkehrs, durch eine Verfahrensweise nach § 126a BGB mit einer qualifizierten elektronische Signatur usw. Eine qualifizierte elektronische Signatur ist also nicht zwingend, sondern nur eine der denkbaren elektronischen Möglichkeiten, so zumindest die herrschende Auffassung in Deutschland.“

Fazit:

Unserer Ansicht nach ist somit mittels einer elektronischen Signatur und der Einbeziehung als AGB durchaus eine rechtmäßige AV-Vereinbarung möglich. Wichtig ist die beweiskräftige Dokumentation. Eine beidseitige Unterschrift braucht es damit nicht.

• Verantwortliche müssen AV-Verträge nicht persönlich unterschreiben
• Geschäftsführer/Vorstände/Bürgermeister/Landräte etc. müssen die AV-Verträge nicht persönlich gegenzeichnen, es muss vonUnterzeichner aber die Befugnis bestehen, das zu tun.
• Es braucht nicht zwingend eine beidseitige handschriftliche Unterschrift
• Wichtig ist eine beweiskräftige Dokumentation --> die Rechtssicherheit des Dokuments muss gewahrt sein.

Wann ist ein Abschluss eines AVV nötig?

Bei produzierenden Gewerben braucht man keinen AV-Vertrag, da im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern der Auftrag zielt auf eine andere Tätigkeit.

Wann müssen neue AVV abgeschlossen werden oder über Änderungen informiert werden?

Der Auftragsverarbeiter ist in der Regel eine natürliche oder juristische Person, Letztere z.B. eine GmbH. Eine GmbH hat v.a. die Geschäftsführung und die Gesellschafter als Organe der GmbH eingerichtet. Eine Geschäftsführung muss immer vorhanden sein. Wie sie personell besetzt ist, spielt im Rahmen von Verträgen keine Rolle. Daher muss auch kein neuer AV-Vertrag bei Änderungen in der Geschäftsführung abgeschlossen werden. Auch eine Information ab die Vertragspartner braucht es in aller Regel nicht. Durch die Publizität des Handelsregisters werden solche Informationen öffentlich bekannt gemacht.

Gleiches gilt bei Sitzänderung des Unternehmens.

Angenommen, es wurde nun (leider unnötigerweise) ein AV mit den Kunden geschlossen: ist dann das produzierende Unternehmen Auftragsverarbeiter aus Sicht des Kunden?

Der AV-Vertrag alleine stellt kein Auftragsverarbeitungsverhältnis her.

Hauptargument: ein AV-Vertrag soll nach dem Willen des Gesetzgebers bei Auftragsverarbeitung abgeschlossen werden. Die u.a. schuldrechtlichen Regelungen folgen also der tatsächlichen Situation („Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags…“, vgl. Art. 28 Abs. 3 DSGVO).

Dennoch sollte die vertragsrechtliche Situation korrigiert werden, wenn de facto keine Auftragsverarbeitung stattfindet. Wir würden hier eine einvernehmliche Aufhebung empfehlen, aufgrund offensichtlich falscher Anwendung der Vertragsart.

Greift hier der Zwang zum Abschluss von SCCs?

Nein, wenn schon kein AV-Vertrag notwendig ist, müssen auch keine SCC abgeschlossen werden.

Ist es Auftragsverarbeitern erlaubt, Daten zu anonymisieren bzw. zu pseudonymisieren?

Art. 28 DSGVO – Auftragsverarbeiter

Der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Verantwortlichen bearbeiten, Art. 28 Abs. 3 lit. a) DSGVO. Daher müssen Verantwortliche ihren Auftragsverarbeitern Weisungen zu jeder Verarbeitungstätigkeit erteilen. Der Auftragsverarbeiter darf nicht über die Weisungen des Verantwortlichen hinausgehen.

Begründung: Der BfDI vertritt die Auffassung, dass es sich bei der Anonymisierung um eine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO handelt, denn die Daten verlieren durch die Anonymisierung ihren Personenbezug und somit tritt eine tatsächliche „Veränderung“ ein.

Eine Anonymisierung der Kundendaten bedarf einer Anweisung des Auftraggebers. Sie muss schriftlich im AV-Vertrag vereinbart werden.

Agiert AWS als Unterauftragsverarbeiter, wenn die Daten auf der Plattform pseudonymisiert, aber nicht anonymisiert werden?

Sachverhalt:

Bei kundenspezifischen KI-Modellen, die jeweils nur auf den Daten eines einzelnen Kunden basieren und auch nur für diesen Kunden Ergebnisse liefern, stellt sich die Frage der Rolle von Public-Cloud-Anbietern wie AWS oder Microsoft. Wenn die Daten auf deren Plattform pseudonymisiert, aber nicht anonymisiert werden, agieren diese Anbieter dann als Unterauftragsverarbeiter? Aus der Perspektive des Public-Cloud-Anbieters sind die Daten relativ anonym; nur für mich als Auftragsverarbeiter ist eine Zuordnung möglich.

Public-Cloud-Anbieter wie AWS oder Microsoft sind meistens Auftragsverarbeiter oder Unterauftragsverarbeiter (hier kommt es darauf an, ob sie der Verantwortliche direkt nutzt, oder über einen Vertragspartner).

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, ist regelmäßig Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO.

Was sagt der EDSA/EDPD zum Thema AV-Vertrag?

Ausführliche Informationen zur EDSA Leitlinie 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO finden Sie hier. 

Urteile zum Thema Auftragsverarbeitung

Urteil des OLG Dresden vom 15.Oktober 2024 (Az: 4 U 940/24)

Aus dem Sachverhalt:

Die Beklagte betreibt einen Online-Musikstreamingdienst und nutzte einen externen Datenverarbeiter, dessen Vertrag 2019 endete. Daten wurden nach einem Hack 2022 im Darknet angeboten.

Der Kläger verlangt Schadensersatz, Auskunft, Unterlassung und die Feststellung der Haftung der Beklagten für zukünftige Schäden aufgrund eines behaupteten Verstoßes gegen Datenschutzvorschriften infolge eines Hacking-Angriffs auf Kundendaten der Beklagten.

Der Kläger wirft der Beklagten vor, unzureichende Schutzmaßnahmen nach DSGVO ergriffen und betroffene Kunden nicht rechtzeitig informiert zu haben. Er befürchtet Missbrauch seiner gestohlenen Daten wie Identitätsdiebstahl und Spam. Die Beklagte bestreitet dies und argumentiert, dass der Hack erst 2022 stattfand.

Das Landgericht wies die Klage ab. Mit der Berufung verfolgt der Kläger Schadensersatz und weitere Ansprüche, kritisiert die Rechtsanwendung des Landgerichts und sieht einen Verstoß gegen DSGVO-Vorgaben.

Der Kläger beantragt, die Beklagte zur Zahlung eines immateriellen Schadensersatzes von mindestens 1.000 € nebst Zinsen und zur Erstattung vorgerichtlicher Anwaltskosten in Höhe von 527,05 € zu verpflichten. Zudem soll festgestellt werden, dass die Beklagte für zukünftige Schäden aus dem unbefugten Datenzugriff von 2019 haftet. Weiterhin verlangt der Kläger ein Unterlassungsgebot zur Verarbeitung seiner personenbezogenen Daten ohne ausreichende Schutzmaßnahmen gemäß Art. 32 DSGVO sowie umfassende Auskunft über die von der Beklagten verarbeiteten und im Zuge des Datenvorfalls betroffenen personenbezogenen Daten. Schließlich soll die Beklagte die Kosten des Rechtsstreits tragen.

Aus den Entscheidungsgründen:

Die Beklagte beantragt, die Berufung des Klägers zurückzuweisen und verteidigt die erstinstanzliche Entscheidung. Sie zweifelt die Zulässigkeit der Berufung wegen mangelnder Einzelfallbezogenheit an, die Berufungsbegründung erfüllt jedoch die gesetzlichen Anforderungen. In der Sache bleibt die Berufung unbegründet.

Entscheidungsgründe:

1. Schadensersatz: Der Kläger hat keinen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO, da kein kausaler, konkret nachweisbarer Schaden vorliegt. Der bloße Kontrollverlust über Daten ohne nachweisbare negative Auswirkungen auf den Kläger reicht nicht aus.
2. Feststellungsantrag: Der Antrag auf Feststellung der Haftung für zukünftige Schäden ist mangels hinreichender Wahrscheinlichkeit eines Schadenseintritts unzulässig.
3. Unterlassungsantrag: Der Unterlassungsantrag ist zu unbestimmt, da keine konkreten technischen Maßnahmen benannt werden, die die Beklagte ergreifen soll.
4. Auskunftsanspruch: Die Beklagte hat ihre Auskunftspflichten nach Art. 15 DSGVO erfüllt, indem sie relevante Informationen zur Verfügung stellte. Eine weitergehende Auskunft ist der Beklagten mangels Kenntnis der Identitäten der Hacker unmöglich.
5. Pflichtverletzung: Die Beklagte hat gegen ihre Überwachungs- und Kontrollpflichten gegenüber dem Auftragsdatenverarbeiter verstoßen. Dies begründet jedoch keinen Schadenersatzanspruch, da der Kläger keinen kausalen Schaden darlegen konnte.

Die Berufung wird daher zurückgewiesen, da keine der Ansprüche des Klägers Erfolg haben.

Sonderfälle

Ein Unternehmen beauftragt ein Softwarehaus  Aktualisierungen und/oder Umprogrammierungen an eigener Software bzw. deren Software, welche im Hause genutzt wird, vorzunehmen.
Muss hier ein AV-Vertrag geschlossen werden?

Die Mitarbeiter des Softwarehauses arbeiten entweder auf den Systemen des Unternehmens oder mittels Citrix Verbindung (getunnelt) auf der virtuellen Maschine des Unternehmens. Ein Herunterladen von Daten ist ausgeschlossen. Es kann maximal der Bildschirm abgefilmt werden, bzw. Daten werden dem Mitarbeiter des Softwarehause auf dem Endgerät des Softwarehauses angezeigt. Verschwiegenheitserklärungen wurden abgeschlossen.

Auch hier gilt, dass ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO dann notwendig, wenn eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar, vgl. BayLDA in seiner Auslegungshilfe zu AV-Verträgen

Es muss also die Frage beantwortet werden, ob die Leistung des Unternehmens im Kern  darin besteht, personenbezogen Daten zu verarbeiten.

Ist die reine Erstellung von Software oder das Customizing der zu erbringende Auftrag, ist kein AV-Vertrag notwendig.

Wird allerdings eine der folgenden Leistungen erbracht, ist von einer Auftragsverarbeitung auszugehen, sofern personenbezogene Daten betroffen sind:

• Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten (v.a. auch Verwenden von Testdaten)
• Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Muss mit dem Webhoster einer Website immer ein AV-Vertrag abgeschlossen werden?

Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist immer dann notwendig, wenn eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar, vgl. BayLDA in seiner Auslegungshilfe zu AV-Verträgen

Beim Webhosting wird in jedem Fall weisungsgebunden gearbeitet. Fraglich ist aber, ob hier die Datenverarbeitung der personenbezogenen Daten einen wichtigen Kernbestandteil der Leistung ausmacht.

1. Ansicht: LfD Niedersachsen ordnet Webhosting generell als Auftragsverarbeitung ein:

„Viele Unternehmen und Organisationen betreiben ihre Internetseite über einen externen Dienstleister (Webhoster). Dabei werden personenbezogene Daten von Besucherinnen und Besuchern der Seite verarbeitet. Häufig findet diese Datenverarbeitung im Auftrag des Verantwortlichen, also des Seitenbetreibers, statt. Das heißt, der Webhoster ist ein Auftragsverarbeiter. Um einen konkreten Rahmen für diese weisungsgebundene Tätigkeit festzulegen, müssen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung (AVV) schließen. Die Datenschutz-Grundverordnung (DS-GVO) beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.“

2. Ansicht: BayLDA differenziert:

„Das Hosting von rein statischen Websites (zur Selbstdarstellung) z.B. von Vereinen oder Kleinunternehmen, ist, wenn keine personenbezogenen Daten über die Seitenaufrufe an den Verein oder das Kleinunternehmen fließen und auch kein Nutzer-Tracking stattfindet, keine Auftragsverarbeitung.

Die Tatsache, dass auch beim Hosting von statischen Webseiten zwangsläufig IP-Adressen, d.h. personenbezogene Daten, verarbeitet werden müssen, führt nicht zur Annahme einer Auftragsverarbeitung. Das wäre nicht sachgerecht. Die (kurzfristige) IP-Adressenspeicherung ist vielmehr noch der TK-Zugangsvermittlung des Website-Hosters nach dem TKG zuzurechnen und dient in erster Linie Sicherheitszwecken des Hosters.

Ist die rechtliche Unterstützung der Tochtergesellschaften durch Juristen der Muttergesellschaft als Auftragsverarbeitung anzusehen?

Ob ein Datenaustausch zwischen Mutter- und Tochtergesellschaften stattfinden darf,  muss daher immer im Einzelfall geprüft werden

Unsere Einschätzung:

Rechtsberatung ist, auch bei Weisungsabhängigkeit vom Arbeitgeber, eine eigenständige fachliche Dienstleistung --> keine Auftragsverarbeitung

Ist Darknet-Monitoring als eine Auftragsverarbeitung durch den Dienstleister anzusehen?

Dark Web Monitoring ist ein wichtiger Prozess zur Überwachung von Unternehmensdaten im Darknet, dem versteckten Bereich des Internets, um frühzeitig potenzielle Bedrohungen zu erkennen. Unternehmen speichern immer mehr Daten online, was die Flexibilität erhöht, jedoch auch die Gefahr birgt, dass sensible Informationen durch Datenlecks im Darknet landen, wo sie missbraucht werden könnten.

Dark Web Monitoring-Tools scannen Dark-Web-Seiten kontinuierlich nach gestohlenen Unternehmensdaten wie Zugangsdaten, Bankinformationen und sensiblen Mitarbeiterdaten. Durch die frühzeitige Identifizierung von Leaks können IT-Verantwortliche schneller reagieren, z. B. Passwörter ändern oder betroffene Personen informieren, um finanzielle und reputative Schäden zu vermeiden. Zusätzlich lassen sich durch das Monitoring auch Hinweise auf potenzielle Cyber-Bedrohungen und neue Angriffsmethoden erkennen, was eine frühzeitige Anpassung der Sicherheitsstrategie ermöglicht.

Die Überwachung erfolgt mithilfe spezialisierter Software, die Künstliche Intelligenz und Bedrohungsinformationen nutzt. Software-Lösungen suchen nach kompromittierten Unternehmensdaten und können darüber hinaus Aktivitäten wie Phishing und Markenimitation erkennen.

Obwohl das Darknet häufig illegale Inhalte enthält, ist die Überwachung legal, solange sie nicht zu kriminellen Zwecken genutzt wird. Dark Web Monitoring ermöglicht Unternehmen eine proaktive Verteidigung gegen Cyberangriffe und verbessert den Schutz von Stakeholdern und der Unternehmensreputation.

Unsere Einschätzung:

Werden personenbezogene Daten über einen Darknet-Monitoring Dienstleister verarbeitet, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden (sowohl für Tochter- als auch Muttergesellschaften)

Mehr Infos

Muss zwischen dem Arbeitgeber und der Leasinggesellschaft für Jobräder eine Auftragsverarbeitungsvereinbarung abgeschlossen werden?

Beim Jobrad least der Arbeitgeber ein Fahrrad, das er dann seinem Mitarbeiter überlassen kann (ähnlich wie bei einem Dienstwagen). Die Fahrräder können von den Mitarbeitern dann privat und geschäftlich genutzt werden. Die Kosten können entweder komplett vom Arbeitgeber getragen werden, oder es gibt auch die Möglichkeit, dass der Arbeitnehmer die Leasingrate von seinem Bruttomonatsentgelt bestreitet und dadurch einen Steuervorteil ggü. dem Kauf des Fahrrads erhält.

Beim Abschluss des Leasingvertrags muss der Arbeitnehmer seine Daten in das JobRad-Portal eingeben.

Der Leasing-Vertrag kommt dann zwischen der Leasing-Firma und dem Arbeitgeber zustande.

Die Jobrad-Leasing GmbH erbringt eigenständige Dienstleistungen anderer Art, wie ein Kreditinstitut (von BaFin zugelassen!), vgl. Jobrad

Ergebnis: Hier ist kein AV-Vertrag erforderlich!

Braucht man mit Cookie-Banner-Anbietern einen AV-Vertrag?

Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Im Internet werden damit vor allem HTTP-Cookies bezeichnet. Das sind Datenpakete, mit denen Webanwendungen personenbezogene Daten sammeln, um beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (z.B. Warenkörbe in Webshops) zu speichern.

Ein Cookie-Banner wird auf Webseiten bspw. dann benötigt, wenn eine Erhebung, Verarbeitung oder Auswertung personenbezogener Daten (v.a. IP-Adressen) technisch nicht notwendig ist (vgl. § 25 TDDDG) und z.B. für Tracking-Analysen vorgenommen wird. Für diese Verarbeitung personenbezogener Daten braucht es eine ausdrückliche Einwilligung des Nutzers, die  z.B. mittels eines Cookie-Banners eingeholt werden kann. 

Alles zum Thema Cookies: siehe FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit BW

Verarbeitet nun die Anwendung „Cookie-Banner-Tool“ eines Anbieters selbst personenbezogene Daten im Auftrag?

Falls ja, ist der Webseitenbetreiber gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Die DSGVO schreibt vor,  dass gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, sobald ein Auftragsverarbeitungsverhältnis vorliegt.

Wie wird laut Art. 4 Abs. 8 DSGVO ein Auftragsverarbeiter definiert?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Das dürfte bei Cookie-Banner-Anwendungen regelmäßig der Fall sein!

Begründung:

Beispiel Cookiebot: Bindet eine Webseite ein Cookiebot-Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet, vgl. Ausführungen dazu bei Dr. DSGVO.

Was muss im AV-Vertrag laut Art. 28 DSGVO geregelt werden?

Im Vertrag werden u.a. die jeweiligen Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. Des weiteren wird auch der konkrete Gegenstand, die Art und der Zweck der Verarbeitung definiert. Zudem können noch weitere Regelungen, wie z.B. die Dauer des Auftrags, Regelungen zu Informationspflichten und zum Weisungsrecht oder auch Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung festgehalten werden.

Ergebnis: In aller Regel braucht man einen AV-Vertrag mit dem Cookie-Banner-Anbieter.

Muss ich es einem Auftraggeber erlauben Einsicht in die Verträge mit Subunternehmern zu nehmen oder diese zu kontrollieren?

Grundsätzlich gilt nach Art. 28 DSGVO, dass der Verantwortliche verantwortlich bleibt, dass alle Auftragsverarbeiter technisch-organisatorische Maßnahmen erbringen, damit die Verarbeitung im Einklang mit der DSGVO erfolgt. 

Dies steht auch in der EDSA Leitlinie 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO (S. 49)

„Obwohl die Kette recht lang sein mag, behält der Verantwortliche seine zentrale Rolle bei der Bestimmung des Zwecks und der Mittel der Verarbeitung. Gemäß Artikel 28 Absatz 2 DSGVO darf der Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen (auch in elektronischer Form) keinen weiteren Auftragsverarbeiter in Anspruch nehmen. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen stets über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. In beiden Fällen muss der Auftragsverarbeiter die schriftliche Genehmigung des Verantwortlichen einholen, bevor der Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten betraut wird. Zum Zweck der Prüfung und Entscheidung über die Genehmigung einer Unterauftragsvergabe muss der Auftragsverarbeiter dem Verantwortlichen eine Liste potenzieller Unterauftragsverarbeiter (jeweils mit Angabe des Standorts, ihrer künftigen Aufgabe und einem Nachweis für die von ihnen durchgeführten Sicherheitsmaßnahmen) vorlegen.“

Fazit:

• Der Verantwortliche muss seine Auftragsverarbeiter (und auch die Subauftragnehmer) dahingehend auswählen, dass diese alle Anforderungen der DSGVO einhalten
  --> Rechenschaftspflicht entlang der gesamten Verarbeiterkette (Kontrolle + Dokumentation)

Aber:

nach der Ansicht der EDA ist eine Einsicht in die Verträge mit Subunternehmern ausdrücklich nicht nötig!

Dazu gibt es ein sehr gutes Papier der EDSA vom 07.10.2024 (22/2024) zur Auslegung bestimmter Verpflichtungen, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern ergeben:

EDSA Leitlinie Randnummer 66 bis 71:

• „Allerdings ist der Verantwortliche nicht verpflichtet, systematisch Aufträge zur Unterauftragsverarbeitung anzufordern, um zu prüfen, ob die im ursprünglichen Vertrag vorgesehenen Datenschutzpflichten eingehalten und in der Verarbeitungskette weitergegeben wurden“.

Fazit:
Wenn vertraglich vereinbart ist, dass die Verträge zur Kontrolle vorgelegt werden, besteht eine schuldrechtliche Verpflichtung dazu, auch wenn es datenschutzrechtlich dazu keinen Grund gibt.