Zur Navigation springen Zum Inhalt springen Zum Footer springen

Wann benötige ich eine Auftragsverarbeitungsvereinbarung (AVV)?

(4)

Was ist eine Auftragsverarbeitungsvereinbarung?

Der Art. 28 Datenschutzgrundverordnung (DSGVO), der seit dem 25.05.2018 unmittelbar gilt, gibt vor, dass eine Person, die für einen Verantwortlichen eine Verarbeitung von personenbezogenen Daten vornimmt, ein Auftragsverarbeiter ist.

Mit dem Verantwortlichen meint die Datenschutzgrundverordnung denjenigen, der Daten erhoben, gespeichert oder verarbeitet hat. Wenn sich der Verantwortliche nun einen „verlängerten Arm“ sucht, um eine Datenverarbeitung vornehmen zu lassen, weil er z. B. selbst nicht die Qualifikation, Ressourcen oder Zeit hat, die Verarbeitung selbst vorzunehmen, dann ist dieser „verlängerte Arm“ ein Auftragsverarbeiter. (z. B. IT-Dienstleister mit Datenzugriff, Cloud-Dienstleister, Letter-Shops oder Online-Targeting-Dienstleistern) Der Auftragsverarbeiter wird dabei nicht von selbst tätig, sondern nur auf dokumentierbare Weisung hin unter der Kontrolle des Verantwortlichen.

Der Kern der Tätigkeit des Auftragsverarbeiters besteht darin, personenbezogene Daten als „verlängerter Arm“ des Verantwortlichen in dessen Auftrag zu verarbeiten. Der Auftragsverarbeiter übt zwar die physische Herrschaft über den Verarbeitungsprozess aus, entscheidet aber nicht selbst über die Zwecke und Mittel der Verarbeitung. Er agiert vielmehr nach Weisung des Verantwortlichen, also ohne eigenen Wertungs- und Entscheidungsspielraum.“ (Martini Paal/Pauky, DSGVO BDSG, Rn.2.)

Der Art. 28 Abs.3 DSGVO gibt vor, dass zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein sogenannter Auftragsverarbeitungsvertrag /-vereinbarung zu schließen ist. In dieser soll u. A. geregelt werden, wie der Auftragsverarbeiter seine Tätigkeit zu verrichten hat, welche Sicherheitsvorkehrungen er für die betroffenen personenbezogenen Daten zu treffen hat und welche Kontrollrechte der Verantwortliche gegenüber dem Auftragsverarbeiter ausüben darf. Darüber hinaus sind weitere Details zu regeln, auf die hier aus Gründen der Übersichtlichkeit nicht aufgezählt werden.

Wann benötige ich eine Auftragsverarbeitungsvereinbarung?

Eine AVV benötige ich, wenn die eben genannten Voraussetzungen vorliegen, also der Verantwortliche seinen Einflussradius vergrößert, seinen Arm „verlängert“ und sich dazu eines Auftragsverarbeiters bedient.

Der Abschluss einer AVV ist dann nicht notwendig, wenn die Auftragsverarbeitung nicht Hauptleistung der Beziehung zwischen dem Auftraggeber und dem Auftragnehmer ist. So ist dies z. B. bei der Abwicklung von Bestellungen und der Lieferung der Waren. Dabei werden zwangsläufig zwar auch personenbezogene Daten verarbeitet, aber Hauptleistung ist dabei eben z. B. die Kommissionierung und Lieferung von Lebensmitteln. Die personenbezogenen Daten werden nur zur Erfüllung der Hauptpflicht, als „Beiwerk“, verarbeitet und im eigenen Ermessen des Vertragspartners verarbeitet. Die Abwicklung eines solchen Rechtsgeschäftes ist von Art. 6 Abs. 1 lit. b) DSGVO gedeckt. Der Vertragspartner möchte sich in diesem Verhältnis auch nicht Kontrollrechten seiner Kunden unterwerfen.


Rechtstipp vom 03.08.2018
aus der Themenwelt Datenschutz und DSGVO und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.