Abgrenzung von AV-Verträgen
Geschrieben von Carolin Aßmann, veröffentlicht am 30.08.2018In diesem Beitrag erfahren Sie wann eine Auftragsverarbeitung vorliegt und wann nicht.
Mit Geltung der DS-GVO hat sich die Auftragsverarbeitung in vielen Bereichen Präsenz verschafft. Nunmehr schließen viele Unternehmen mit diversen Dienstleistern „Auftragsverarbeitungsverträge“, auch kurz „AVV“ oder „AV-Vertrag“ genannt. Diese Verträge sind grundsätzlich den Vereinbarungen über die Auftragsdatenverarbeitung aus dem BDSG a.F. sehr ähnlich. Aus Sicht der deutschen Gesetzgebung hat sich inhaltlich lediglich die Stellung der Auftragsverarbeiters geändert. Zudem ist Datenschutz nunmehr als ein Prozess fortlaufender Verbesserung ausgestaltet und nicht wie früher mit einer einmaligen Feststellung des Sicherheitsniveaus bei dem Auftragsverarbeiter durch den Verantwortlichen abgeschlossen. In der Praxis bereitet allerdings oftmals die Frage Probleme, wann und in welchem Vertragsverhältnis denn nun tatsächlich eine Auftragsverarbeitung im Sinne der DS-GVO vorliegt.
Am 20.07.2018 hat das Bayrische Landesamt für Datenschutzaufsicht hierfür eine Konkretisierung zur Abgrenzung von Auftragsverarbeitung veröffentlicht. Das LDA Bayern erweitert damit die Informationen, die bereits Anfang dieses Jahres von der Datenschutzkonferenz herausgegeben wurden.
Eine Auftragsverarbeitung soll nur dann vorliegen, wenn der Hauptinhalt des Vertragsverhältnisses auf die Datenverarbeitung abzielt. Ein paar Beispiele: Auslagerung der Backup-Speicherung, Datenträgerentsorgung durch Dienstleister, Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen).
Keine Auftragsverarbeitung liegt hingegen in der Inanspruchnahme einer fremden Fachdienstleistung bei einem eigenständig Verantwortlichen. Beispiele hierfür sind: Tätigkeiten der Berufsgeheimnisträger, Postdienste für den Brief- oder Pakettransport, Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern.
Hiervon grundsätzlich abzugrenzen sind noch diejenigen Tätigkeiten, die überhaupt keine beauftragte Verarbeitung von personenbezogenen Daten darstellen. Zum Beispiel: Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Übersetzung von Texten in/aus Fremdsprachen, Druck von Prospekten, Katalogen, mit Bildern von Beschäftigten oder Fotomodellen.
Den Link zu dem Dokument des LDA Bayern finden Sie hier: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf
Zu beachten ist noch, dass neben der Auftragsverarbeitung auch eine gemeinsame Verantwortlichkeit zweier oder mehrerer für die Verarbeitung Verantwortlicher vorliegen kann, genauso wie es eine Vielzahl von Konstellationen gibt, die eine Weitergabe von Daten an Dritte vorsehen. Bei Fragen zu diesen und anderen Problemstellungen der DS-GVO beraten unsere Fachkollegen Sie gerne. Erreichen können Sie uns unter: auftragsverarbeitung@ws-datenschutz.de.