AVV oder nicht? In diesen 5 Fällen ist KEINE Auftragsverarbeitungsvereinbarung nötig

28.1.19 - Die Arbeit mit sensiblen, personenbezogenen Daten bedarf einer gewissen Feinfühligkeit. Dank der DSGVO sind die Verantwortungsbereiche im Hinblick auf die technisch-organisatorischen Fragen mehr oder weniger klar abgegrenzt. Zwar gibt es eine Reihe von Reglungen bezüglich Auftragsverarbeitungsvereinbarungen. Diese sind jedoch in einem theoretischen Rahmen formuliert. In der Praxis können einige Punkte strittig sein. Haben Sie sich bei Ihrer Arbeit je gefragt, ob nun eine AVV nötig ist?
Wir stellen Ihnen fünf Fälle vor, in denen eine AVV nicht notwendig ist, obwohl es zunächst den Anschein machen könnte.

Was deckt eine AVV ab?

Der Vertrag sollte unbedingt vor der Verarbeitung geschlossen werden. Für folgende Tätigkeitsfelder ist eine AVV generell notwendig:

  • Datenverarbeitungs-technische Leistungen für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung.
    Praxisbeispiel: Sie lagern in Ihrem Unternehmen die Finanzbuchhaltung (teilweise) aus. Der Dienstleister erhält Einblick in die personenbezogenen Daten Ihrer Kunden.
  • die Werbeadressenverarbeitung
    Praxisbeispiel: Sie lassen eine Werbeaktion von einem Dienstleister durchführen. Im Laufe des Projekts erhält dieser Zugriff auf personenbezogene Daten Ihrer Kunden, wie etwa Post- oder E-Mail-Adressen.
  • die Auslagerung der E-Mail-Verwaltung
    Praxisbeispiel: Ihr Unternehmen gibt die E-Mail-Verwaltung in fremde Hände. Dazu zählen auch die Betreuung von Nutzeranfragen oder Kontaktformularen. Durch den E-Mail-Verkehr werden personenbezogene Daten übermittelt. Der Dienstleister kann auf diese zugreifen.
  • die Datenerfassung, Mikroverfilmung oder Datenkonvertierung
    Praxisbeispiel: In Ihrem Unternehmen werden Archive digitalisiert. Aufgrund fehlender Kapazitäten beauftragen Sie einen externen Dienstleister. Auch wenn die Daten nicht mehr aktuell sind, ist eine AVV unverzichtbar, um abgesichert zu sein.
  • die Backup-Sicherheitsspeicherung
    Praxisbeispiel: Um Datenverluste zu vermeiden, beauftragen Sie einen Dienstleister, der Sicherheitsspeicherungen Ihrer Daten durchführt. Da der Dienstleister Zugriff auf die gespeicherten Daten hat, muss eine AVV unterzeichnet werden. Selbstverständlich gilt dies auch für Backup-Speicherungen in Clouds.
  • die Datenträgerentsorgung
    Praxisbeispiel: Sie möchten alte Hardware entsorgen. Ohne AVV ist dies nicht datenschutzkonform möglich, da der Entsorgungsdienstleister theoretisch Zugriff auf die gespeicherten Daten erwerben kann.

Also grundsätzlich für alle Tätigkeiten, bei denen Sie sich externe Kompetenzen ins Boot holen, um auf Qualifikationen oder Ressourcen zurückzugreifen.
Um umfassend abgesichert zu sein, sind die Pflichtangaben einer AVV in der DSGVO klar festgelegt. Dieser muss etliche Punkte abdecken. Von Art, Dauer und Zweck der Verarbeitung, über den Umfang der Weisungsbedürfnisse bis hin zu Kontrollrechten und Pflichten der Verantwortlichen.

Auftragsverarbeitung oder keine Auftragsverarbeitung – das ist hier die Frage

Generell muss unterschieden werden zwischen einer Auftragsverarbeitungsvereinbarung und der Inanspruchnahme fremder Fachleistungen. Denn hier greifen andere Bestimmungen, die eine AVV obsolet machen. In den folgenden fünf Fällen sind AVVs nicht nötig, da auch ohne entsprechende Vereinbarungen datenschutzkonformes Handeln sichergestellt ist.

1. Berufsgeheimnisträger müssen keine AVV unterzeichnen

Bei der Zusammenarbeit mit Berufsgruppen, die einer Schweigepflicht unterliegen, ist eine AVV nicht notwendig. Diese Dienstleister können zwar an personenbezogene Daten gelangen, ihre Schweigepflicht befreit sie jedoch von der AVV-Reglung.
Zu den Jobs, die sich von beruflicher Natur aus mit vertraulichen Angaben beschäftigen, zählen zum Beispiel Steuerberater, Rechtsanwälte oder Wirtschaftsprüfer, die im Rahmen ihrer selbstständigen Tätigkeiten mit personenbezogenen Daten umgehen. Auch die Dienste von externen Betriebsärzten zählen zu den fremden Fachleistungen eigenständiger Verantwortliche, für dessen Durchführung keine AVV von Nöten ist.

2. Inkassobüros mit Forderungsübertragung sind von AVV-Reglungen nicht betroffen

Bei Inkassobüros, die nach einer Forderungsübertragung handeln, um die ausstehenden Forderungen zu begleichen, liegt selbstverständlich eine Verarbeitung von Daten vor . Zwar werden hier die Daten der Schuldner sowie der ausstehende Forderungsbetrag, an das Inkassobüro übermittelt, jedoch bearbeitet das Inkassobüro die Forderung nicht im Auftrag des ursprünglichen Gläubigers, sondern im eigenen Interesse. Die Übertragung der Forderung macht eine AVV überflüssig.

3. Anbieter von Matching-Diensten benötigen keine AVV

Als Betreiber eines Portals, dessen Hauptanliegen es ist, Anbieter und Nachfragende zusammenzuführen, brauchen Sie keine AVV. Es werden personenbezogene Daten ausgetauscht, allerdings ist eine AVV nicht notwendig, da die Nutzer des Portals die Fachleistungen des Portalbetreibers in Anspruch nehmen. Somit sind sie als Portalbetreiber auf der sicheren Seite. Dasselbe gilt auch für Personalvermittler, die personenbezogene Daten an Unternehmen weiterreichen.

4. Klinische Studien erfordern keine AVV

Weitere Szenarien, die von der Auftragsdatenverarbeitungsvereinbarung befreit sind, sind groß angelegte klinische Arzneimittelstudien, die von mehreren Mitwirkenden organisiert und durchgeführt werden. Hier haben oft mehrere Einflussnehmer Zugriff auf die erhobenen Daten, die für jeweils unterschiedliche Zwecke verwendet werden können. So entscheiden zum Beispiel Sponsoren, Studienzentren und Ärzte in ihren Teilbereichen über die Verarbeitung der erhobenen Daten.

5. Keine AVVs innerhalb großer Konzerne

Auch bei der gemeinsamen Verwaltung von Stammdaten, beziehungsweise bestimmten Datenkategorien, von zum Beispiel betrieblich relevanten Objekten wie Produkten, Lieferanten, Kunden und Mitarbeitern, die für parallel laufende Geschäftszwecke von mehreren Konzernunternehmen verwendet werden, ist eine AVV nicht zwingend notwendig.

AVV-Verwaltung mit dem IITR Compliance-Kit

Die Verwaltung der Auftragsverarbeitungsvereinbarungen ist sehr aufwändig und kann schnell unübersichtlich werden, wenn man sie händisch angeht. Um diesem Problem entgegen zu wirken, kann das IITR Compliance-Kit verwendet werden. Das Tool stellt Ihnen rechtssichere Vertragsvorlagen bereit.
Darüber hinaus können Sie die AVVs, die Sie mit verschiedenen Dienstleistern treffen, an einem zentralen Ort speichern. Zum einen bietet diese Vorgehensweise besondere Übersichtlichkeit für Sie, zum anderen sind Sie so auch für eine Revision seitens der zuständigen Behörden bestens vorbereitet.

JETZT INFORMIEREN

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren