AV-Vertrag oder besser doch nicht?

Auftrags­ver­ar­bei­tungs­ver­träge: Wann sind sie notwendig und was sind die Vor– und Nachteile?

In der heutigen Daten­schutz­praxis gehört die Prüfung und das Management von Auftrags­ver­ar­bei­tungs­ver­trägen (AVV) zum Alltag. Unter­nehmen stehen regel­mäßig vor der Frage, ob ein AVV für bestimmte Dienst­leis­tungs­be­zie­hungen erfor­derlich ist. Diese Entscheidung erfordert oft eine genaue recht­liche Betrachtung, da die Grenzen zwischen Auftrags­ver­ar­beitung und eigen­ver­ant­wort­licher Daten­ver­ar­beitung nicht immer eindeutig sind.

Wann ist ein AVV erfor­derlich?

Ein AVV ist immer dann notwendig, wenn ein Unter­nehmen einen Dienst­leister beauf­tragt, perso­nen­be­zogene Daten im Auftrag zu verar­beiten, wobei das Unter­nehmen die Zwecke und Mittel der Verar­beitung bestimmt. Typische Beispiele sind IT-​​Dienstleistungen, bei denen Daten gespei­chert oder bearbeitet werden, wie etwa Cloud-​​Services oder E-​​Mail-​​Marketing. Werden konkrete Weisungen an den Dienst­leister erteilt, die festlegen, wie und zu welchem Zweck die Daten verar­beitet werden sollen, ist der Abschluss eines AVV unerlässlich.

Wann ist ein AVV nicht erfor­derlich?

Kein AVV ist notwendig, wenn der Dienst­leister eigen­ver­ant­wortlich handelt und keine konkreten Weisungen des Auftrag­gebers erhält. Beispiele hierfür sind externe Rechts­be­ra­tungen oder Steuer­be­ra­tungs­dienste, bei denen der Dienst­leister seine Fachleis­tungen eigen­ständig und ohne detail­lierte Anwei­sungen erbringt.

Die Heraus­for­derung der Abgrenzung

In der Praxis zeigt sich oft, dass die Abgrenzung zwischen eigener Verant­wort­lichkeit und Auftrags­ver­ar­beitung fließend ist. Zwar gibt es Hilfs­mittel wie Beispiels­listen oder FAQ-​​Dokumente, die Orien­tierung bieten, doch im Einzelfall bleibt die Entscheidung komplex. In Graube­reichen könnte es vorteilhaft sein, zur Sicherheit einen AVV abzuschließen, um mögliche recht­liche Risiken zu minimieren.

Was, wenn nur in geringem Umfang perso­nen­be­zogene Daten übermittelt werden?

Auch bei minimalem Umfang der Daten­ver­ar­beitung, wie etwa bei der Eingabe einer E-​​Mail-​​Adresse zur Regis­trierung, kann ein AVV erfor­derlich sein, wenn das Unter­nehmen die Verar­beitung steuert. Hierbei gilt es abzuwägen, ob die Verar­beitung einen Kernbe­standteil der Dienst­leistung darstellt oder nur eine unter­ge­ordnete Rolle spielt. Das BayLDA verweist in diesem Zusam­menhang auf die sogenannte Kern-​​Bestandteil-​​Theorie, die besagt, dass ein AVV nicht notwendig ist, wenn die Daten­ver­ar­beitung nicht der Haupt­zweck der Dienst­leistung ist.

Im Zweifel lieber zu viel als zu wenig?

In der Praxis stellt sich die Frage, ob es nicht sicherer ist, in Zweifels­fällen lieber einen AVV abzuschließen. Schließlich kann die Prüfung, ob ein AVV erfor­derlich ist, mehr Zeit in Anspruch nehmen als der Abschluss des Vertrages selbst. Ein vorschnelles Handeln kann jedoch auch Nachteile mit sich bringen.

Vorteile eines AVV

• Recht­liche Absicherung: Ein AVV schafft Sicherheit für den Fall, dass unerwartet perso­nen­be­zogene Daten verar­beitet werden. Besonders in Bereichen, in denen Mitar­bei­tende Daten eingeben, kann dies hilfreich sein.
• Vertrag­liche Sorgfalt: Der Dienst­leister wird vertraglich verpflichtet, sorgfältig mit den Daten umzugehen, was insbe­sondere bei der Verar­beitung von Mitar­bei­ter­daten von Bedeutung ist.
• Einfache Lösung: Oftmals haben Unter­nehmen bereits AVV-​​Templates, die schnell angepasst und einge­setzt werden können.

Nachteile eines AVV

• Übernahme von Verant­wortung: Ein AVV kann dazu führen, dass das beauf­tra­gende Unter­nehmen Verant­wortung für die Tätig­keiten des Dienst­leisters übernimmt, was insbe­sondere im Haftungsfall proble­ma­tisch sein kann.
• Dokumen­ta­tions– und Überprü­fungs­pflichten: Mit einem AVV gehen zusätz­liche Pflichten einher, wie die regel­mäßige Überprüfung und Dokumen­tation der techni­schen und organi­sa­to­ri­schen Maßnahmen (TOM) des Dienst­leisters.

Fazit:

Einzelfall entscheidet

Ob ein AVV notwendig ist, bleibt eine Einzel­fall­ent­scheidung. In vielen Fällen ist es ratsam, auf Nummer sicher zu gehen und einen AVV abzuschließen. Dennoch sollten die damit verbun­denen Pflichten und die Übernahme von Verant­wortung nicht unter­schätzt werden. Die Entscheidung für oder gegen einen AVV sollte daher sorgfältig abgewogen werden, um den Daten­schutz effektiv zu gewähr­leisten, ohne unnötige Risiken einzu­gehen.

Unsere Empfehlung:            

• Prüfen Sie die Notwen­digkeit eines AVV: Analy­sieren Sie genau, ob die Daten­ver­ar­beitung durch einen Dienst­leister eine Auftrags­ver­ar­beitung darstellt. Nutzen Sie dafür vorhandene Check­listen und Hilfs­mittel, wie z.B. die Beispiels­listen von Daten­schutz­be­hörden.
• Setzen Sie auf recht­liche Sicherheit: Wenn Sie unsicher sind, ob ein AVV notwendig ist, schließen Sie lieber einen solchen Vertrag ab. Dies schafft Klarheit und reduziert das Risiko von Bußgeldern.
• Überprüfen und dokumen­tieren Sie regel­mäßig: Stellen Sie sicher, dass Sie die techni­schen und organi­sa­to­ri­schen Maßnahmen (TOM) Ihres Dienst­leisters regel­mäßig überprüfen und dokumen­tieren um im Falle einer Prüfung vorbe­reitet zu sein.
• Holen Sie externe Expertise ein: Bei komplexen Fällen oder Unsicher­heiten kann es sinnvoll sein, eine Daten­schutz­be­ratung hinzu­zu­ziehen, um recht­liche Fallstricke zu vermeiden.
• Vermeiden Sie unnötige Verpflich­tungen: Schließen Sie nur dann einen AVV ab, wenn es wirklich notwendig ist, um nicht unnötig Verant­wortung und Dokumen­ta­ti­ons­pflichten zu übernehmen.

Und wie immer gilt: Melden Sie sich gerne bei Fragen, dafür sind wir da.