Herzlich Willkommen zu einer neuen Folge aus dem DSGVO-Urwald! Heute m\u00f6chten wir uns der Frage widmen, wann genau man eigentlich einen dieser omin\u00f6sen AV-Vertr\u00e4ge abschlie\u00dfen muss. AV-Vertr\u00e4ge (\u201cAuftragsverarbeitungsvertrag\u201d) sind ein bisschen wie b\u00f6se Herbidize: Keiner kann sie leiden, viele m\u00fcssen sie trotzdem nutzen und wer sie falsch verwendet, bekommt Ausschlag und eine Menge \u00c4rger.<\/p>\n\n\n\n
Keiner wei\u00df, was sie in der Praxis wirklich bringen und man verwendet lieber ein bisschen zu viel als zu wenig \u2013 nicht, dass am Schluss der Landesdatenschutzbeauftragte auf der Matte steht und l\u00e4ssig im Bu\u00dfgeldkatalog bl\u00e4ttert!<\/p>\n\n\n\n
Und wie bei fast allen Themen aus dem Datenschutz ranken sich die wildesten Mythen um AV-Vertr\u00e4ge und fragt man 10 Menschen danach, wann es denn nun eigentlich einen AV-Vertrag braucht, bekommt man 11 Meinungen. Webhoster br\u00e4uchten auf jeden Fall einen, Cloud-Computing-Anbieter auch, E-Mail-Dienstanbieter manchmal, Druckereien auf jeden Fall, Mobilfunkprovider eher nicht, bei Office 365 ist man sich nicht so ganz sicher, Apple bietet daf\u00fcr gar nicht erst einen an. <\/p>\n\n\n\n
TKG-Anbieter br\u00e4uchten keinen, au\u00dfer sie betreiben zus\u00e4tzlich eine Cloudspeicherl\u00f6sung, Steuerberater auch nicht, Banken auch nicht, zahn\u00e4rztliche Verrechnungsstellen aber schon. Und Airlines \u2013 die ja seit 9\/11 quasi eine Standleitung zu US-Geheimdiensten haben \u2013 kommen in den meisten Betrachtungen noch nicht einmal vor.<\/p>\n\n\n\n
Ein bisschen dr\u00e4ngt sich der Eindruck auf, dass alles, was mit diesem Internet zu tun hat \u2013 Webhoster, Die b\u00f6se Cloud, Backups \u2013 eher einen AV-Vertrag brauchen und alles, was nicht mit dem Internet zu tun hat \u2013 Steuerberater (Schreibmaschine), Banken (\u00dcberweisungstr\u00e4ger), Mobilfunkprovider (ist ja Telefon und kein Internet), Airlines (Papierticket) \u2013 eher davon befreit ist. So deutsch, so gut.<\/p>\n\n\n\n
Da uns das aber alle nicht so ganz gl\u00fccklich macht, begeben wir uns doch mal auf die Suche nach geeigneten Kriterien:<\/p>\n\n\n\n
Ein in der Literatur gerne genutztes Kriterium ist das der Weisungsbefugnis. Immer dann, wenn eine Firma nur genau das tut, was ich von ihm oder ihr m\u00f6chte und ich dieser Firma dazu auch noch personenbezogene Daten \u00fcbermittle, liegt eine Auftragsverarbeitung vor. Das funktioniert h\u00e4ufig, hat allerdings seine Schw\u00e4chen und das f\u00e4ngt schon beim Begriff der Weisungsbefugnis an. Wann bin ich denn zu Weisungen befugt? Bei der kleinen Druckerei um die Ecke f\u00fchlt sich das noch ganz gut an, beim externen Lohnb\u00fcro auch. <\/p>\n\n\n\n
Aber kann ich meinem Cloudprovider Weisungen erteilen? Und bin ich Microsoft gegen\u00fcber zu Weisungen befugt? H\u00e4ufig f\u00fchlt es sich eher an, als ob Microsoft marktmachtbedingt eher mir Weisungen \u00fcbermittelt. Und bin ich einem Hotel gegen\u00fcber, dem ich jede Woche Mitarbeiterdaten f\u00fcr Kollegen auf Montage schicke nicht auch irgendwie weisungsbefugt? So recht \u00fcberzeugen kann das Kriterium nicht.<\/p>\n\n\n\n
Zweites, h\u00e4ufig genanntes Kriterium ist die Menge der personenbezogenen Daten. Je mehr Daten \u00fcbermittelt werden, desto h\u00f6her die Wahrscheinlichkeit f\u00fcr einen AV-Vertrag. Finde ich pers\u00f6nlich schwierig als Kriterium, denn wer sagt denn, ab wann \u201cviel\u201d auch tats\u00e4chlich \u201cviel\u201d ist? Und was passiert mit den zehn Menschen, deren Daten leider nicht durch einen AV-Vertrag gesch\u00fctzt waren, weil zehn zu wenig war \u2013 haben die dann leider einfach Pech gehabt?<\/p>\n\n\n\n
Ebenso gerne genutzt ist das Kriterium, ob denn die Verarbeitung personenbezogener Daten den \u00fcberwiegenden Anteil eines Vertrags darstellt oder eher beil\u00e4ufig geschieht. Ein wunderbar dehnbares Argument! Steht beim Druck einer Visitenkarte das physische Produkt im Vordergrund oder die \u00fcbermittelten Daten? Und welcher Anteil der Daten\u00fcbermittlung an Microsoft ist bei der Nutzung von Office 365 denn personenbezogen?<\/p>\n\n\n\n
Bleibt also zu hoffen, dass ein Blick in die DSGVO Klarheit bringt. Artikel 28 regelt das Verh\u00e4ltnis des Auftragsverarbeiters, eine Legaldefinition liefert Artikel 4 Nummer 8: Auftragsverarbeiter sind alle nat\u00fcrlichen oder juristischen Personen, Beh\u00f6rden, Einrichtungen oder andere Stellen, die personenbezogene Daten \u201cim Auftrag des Verantwortlichen\u201d verarbeiten. <\/p>\n\n\n\n
Herzlichen Gl\u00fcckwunsch \u2013 ein Auftragsverarbeiter verarbeitet im Auftrag, gro\u00dfartig. Und dass Art. 4 Nr. 2 DSGVO \u201cVerarbeitung\u201d als alles von Erheben bis Verbreiten und Vernichten definiert, macht die Sache auch nicht einfacher \u2013 ein \u201cAuftragsverarbeiter\u201d kann also sowohl ein \u201cAuftragserheber\u201d, als auch ein \u201cAuftragsweitergeber\u201d oder ein \u201cAuftragsvernichter\u201d sein\u2026 Immerhin der Kontext hilft ein wenig weiter: Art. 4 Nr. 10 DSGVO unterscheidet ausschlie\u00dflich zwischen:<\/p>\n\n\n\n
Rechnet man die betroffene Person und die verantwortliche Stelle raus, bleiben also nur noch Auftragsverarbeiter und Dritte. Hei\u00dft im Umkehrschluss: Jeder an einer Datenverarbeitung beteiligte, der nicht direkt betroffen und nicht verantwortlich ist, ist demzufolge also entweder Auftragsverarbeiter oder Dritter. <\/p>\n\n\n\n
Die Definition des Dritten gibt leider nicht mehr her \u2013 bleibt nur die w\u00f6rtliche Bedeutung, der zufolge Dritte solche Parteien sind, die \u00fcblicherweise nicht zu den klassischen zwei Parteien eines Vertrags geh\u00f6rt aber davon beeinflusst mit eigenen Rechten und Pflichten involviert sein kann. Streng genommen k\u00f6nnte das zu dem Schluss f\u00fchren, dass alle, mit denen die verantwortliche Stelle ein direktes Vertragsverh\u00e4ltnis hat keine Dritten sein k\u00f6nnen \u2013 da in diesem Moment aber eigentlich die betroffene Person und die verantwortliche Stelle als Erste und Zweite gemeint sind, ist diese Argumentation vermutlich wenig stichhaltig.<\/p>\n\n\n\n
Werfen wir noch einen tieferen Blick in den Art. 28 DSGVO: Nr. 3 legt die Inhalte des AV-Vertrags zwischen verantwortlicher Stelle und Auftragsverarbeiter fest \u2013 ggf. l\u00e4sst der Inhalt ja R\u00fcckschl\u00fcsse auf die Beschaffenheit eines Auftragsverarbeiters zu. Und in der Tat wird u.a. festgelegt, dass im Vertrag neben Gegenstand und Dauer u.a. \u201cArt und Zweck der Verarbeitung\u201d festgelegt sein muss und dass der Auftragsverarbeiter an den Verantwortlichen \u201cgebunden\u201d sein muss. <\/p>\n\n\n\n
Im Umkehrschluss bedeutet das ja immerhin, dass sich beide Vertragsparteien zu Beginn \u00fcber die konkrete Art der Verarbeitung einig sein m\u00fcssen. Man k\u00f6nnte an dieser Stelle ggf. eine Weisungsbefugnis des Verantwortlichen erkennen \u2013 in Zeiten, in denen gro\u00dfe Konzerne einen AV-Vertrag einseitig zum Download anbieten (ob das legal ist, sei mal dahingestellt), f\u00fchlt sich diese Argumentation jedoch etwas d\u00fcnn an.<\/p>\n\n\n\n
Bleibt zuletzt also nur noch zu \u00fcberlegen, was der Gesetzgeber gewollt haben k\u00f6nnte, als er die DSGVO geschaffen hat. Dem Grundcharakter des Gesetzes zufolge wollte man einerseits insbesondere Datenfl\u00fcsse durch Unternehmen und \u00fcber Unternehmensgrenzen hinweg transparent und nachvollziehbar gestalten und andererseits der betroffenen Person maximale Transparenz und Kontrolle \u00fcber die Verwendung und Weitergabe seiner personenbezogenen Daten gew\u00e4hren. Dazu geh\u00f6ren alle Arten der Datenschutzerkl\u00e4rungen, aber auch Verzeichnisse der Verarbeitungst\u00e4tigkeiten und meines Erachtens nach eben auch AV-Vertr\u00e4ge. <\/p>\n\n\n\n
Man hat sich Daten offenbar ein wenig wie digitale Waren vorgestellt, die durch eine Produktion flie\u00dfen, dabei ggf. mal von einen Zulieferer empfangen, bearbeitet und zur\u00fcckgegeben werden und von denen man jederzeit sehen kann, wo sie sich gerade befinden. Und genauso, wie die Einhaltung interne Prozesse durch ein Verzeichnis der Verarbeitungst\u00e4tigkeiten sichergestellt werden soll, zielen AV-Vertr\u00e4ge darauf ab, das eigene Schutzniveau auch bei weiteren Firmen zu erhalten, die personenbezogenen Daten von Betroffenen verarbeiten, mit denen ich ein Vertragsverh\u00e4ltnis pflege. <\/p>\n\n\n\n
Das h\u00e4tte dann ungef\u00e4hr folgende Kriterien zur Folge:<\/p>\n\n\n\n
Diese Kriterien kollidieren sicherlich mit ein paar g\u00e4ngigen Interpretationen: Ein Mobilfunkprovider verarbeitet m.E. eine gro\u00dfe Menge kritischer personenbezogener Daten (Bewegungsprofile, wer telefoniert mit wem, \u2026) in regelm\u00e4\u00dfigen Prozessen \u2013 wenn es sich dabei um Mitarbeiterdaten der verantwortlichen Stelle handelt, w\u00e4re durchaus ein AV-Vertrag angebracht. <\/p>\n\n\n\n
Ein IT-Systemhaus, das sich bei Fragen per VPN verbindet, kommt hingegen zwar mit personenbezogenen Daten in Kontakt, verarbeitet diese jedoch nicht regelm\u00e4\u00dfig nach denselben Prozessen. Hier w\u00e4re statt eines AV-Vertrags also eher ein NDA hilfreich.<\/p>\n\n\n\n
Zusammenfassend k\u00f6nnte man also vorsichtig folgende Liste aufstellen:<\/p>\n\n\n\n
Grunds\u00e4tzlich gilt aber \u2013 wie hoffentlich deutlich geworden ist \u2013 dass die Materie insgesamt sehr schwammig ist und kaum klare Definitionen existieren. Diese Kategorisierung stellt daher den Versuch einer Differenzierung dar \u2013 wie so h\u00e4ufig unterliegt der Einzelfall dann im Streitfall aber immer noch der konkreten Auslegung. \u00dcber Anmerkungen und Kommentare w\u00fcrde ich mich nat\u00fcrlich wie immer sehr freuen!<\/p>\n\n\n\n
Die meisten der \u00fcblichen Auslegungen zu AV-Vertr\u00e4gen passen irgendwie nicht so recht mit der Wirklichkeit zusammen. Die DSGVO macht insgesamt leider recht wenige klare Aussagen \u2013 es bleibt also nur die Frage, was der Gesetzgeber gewollt haben k\u00f6nnte. Das f\u00fchrt m.E. zu den folgenden Fragen, ob ein AV-Vertrag im Einzelfall notwendig ist:<\/p>\n\n\n\n