Herzlich Willkommen zu einer neuen Folge aus dem DSGVO-Urwald! Heute möchten wir uns der Frage widmen, wann genau man eigentlich einen dieser ominösen AV-Verträge abschließen muss. AV-Verträge (“Auftragsverarbeitungsvertrag”) sind ein bisschen wie böse Herbidize: Keiner kann sie leiden, viele müssen sie trotzdem nutzen und wer sie falsch verwendet, bekommt Ausschlag und eine Menge Ärger. Keiner weiß, was sie in der Praxis wirklich bringen und man verwendet lieber ein bisschen zu viel als zu wenig – nicht, dass am Schluss der Landesdatenschutzbeauftragte auf der Matte steht und lässig im Bußgeldkatalog blättert!
Und wie bei fast allen Themen aus dem Datenschutz ranken sich die wildesten Mythen um AV-Verträge und fragt man 10 Menschen danach, wann es denn nun eigentlich einen AV-Vertrag braucht, bekommt man 11 Meinungen. Webhoster bräuchten auf jeden Fall einen, Cloud-Computing-Anbieter auch, E-Mail-Dienstanbieter manchmal, Druckereien auf jeden Fall, Mobilfunkprovider eher nicht, bei Office 365 ist man sich nicht so ganz sicher, Apple bietet dafür gar nicht erst einen an. TKG-Anbieter bräuchten keinen, außer sie betreiben zusätzlich eine Cloudspeicherlösung, Steuerberater auch nicht, Banken auch nicht, zahnärztliche Verrechnungsstellen aber schon. Und Airlines – die ja seit 9/11 quasi eine Standleitung zu US-Geheimdiensten haben – kommen in den meisten Betrachtungen noch nicht einmal vor.
Ein bisschen drängt sich der Eindruck auf, dass alles, was mit diesem Internet zu tun hat – Webhoster, Die böse Cloud, Backups – eher einen AV-Vertrag brauchen und alles, was nicht mit dem Internet zu tun hat – Steuerberater (Schreibmaschine), Banken (Überweisungsträger), Mobilfunkprovider (ist ja Telefon und kein Internet), Airlines (Papierticket) – eher davon befreit ist. So deutsch, so gut.
klassische Kriterien
Da uns das aber alle nicht so ganz glücklich macht, begeben wir uns doch mal auf die Suche nach geeigneten Kriterien:
Ein in der Literatur gerne genutztes Kriterium ist das der Weisungsbefugnis. Immer dann, wenn eine Firma nur genau das tut, was ich von ihm oder ihr möchte und ich dieser Firma dazu auch noch personenbezogene Daten übermittle, liegt eine Auftragsverarbeitung vor. Das funktioniert häufig, hat allerdings seine Schwächen und das fängt schon beim Begriff der Weisungsbefugnis an. Wann bin ich denn zu Weisungen befugt? Bei der kleinen Druckerei um die Ecke fühlt sich das noch ganz gut an, beim externen Lohnbüro auch. Aber kann ich meinem Cloudprovider Weisungen erteilen? Und bin ich Microsoft gegenüber zu Weisungen befugt? Häufig fühlt es sich eher an, als ob Microsoft marktmachtbedingt eher mir Weisungen übermittelt. Und bin ich einem Hotel gegenüber, dem ich jede Woche Mitarbeiterdaten für Kollegen auf Montage schicke nicht auch irgendwie weisungsbefugt? So recht überzeugen kann das Kriterium nicht.
Zweites, häufig genanntes Kriterium ist die Menge der personenbezogenen Daten. Je mehr Daten übermittelt werden, desto höher die Wahrscheinlichkeit für einen AV-Vertrag. Finde ich persönlich schwierig als Kriterium, denn wer sagt denn, ab wann “viel” auch tatsächlich “viel” ist? Und was passiert mit den zehn Menschen, deren Daten leider nicht durch einen AV-Vertrag geschützt waren, weil zehn zu wenig war – haben die dann leider einfach Pech gehabt?
Ebenso gerne genutzt ist das Kriterium, ob denn die Verarbeitung personenbezogener Daten den überwiegenden Anteil eines Vertrags darstellt oder eher beiläufig geschieht. Ein wunderbar dehnbares Argument! Steht beim Druck einer Visitenkarte das physische Produkt im Vordergrund oder die übermittelten Daten? Und welcher Anteil der Datenübermittlung an Microsoft ist bei der Nutzung von Office 365 denn personenbezogen?
Ein Blick ins Gesetz
Bleibt also zu hoffen, dass ein Blick in die DSGVO Klarheit bringt. Artikel 28 regelt das Verhältnis des Auftragsverarbeiters, eine Legaldefinition liefert Artikel 4 Nummer 8: Auftragsverarbeiter sind alle natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten “im Auftrag des Verantwortlichen” verarbeiten. Herzlichen Glückwunsch – ein Auftragsverarbeiter verarbeitet im Auftrag, großartig. Und dass Art. 4 Nr. 2 DSGVO “Verarbeitung” als alles von Erheben bis Verbreiten und Vernichten definiert, macht die Sache auch nicht einfacher – ein “Auftragsverarbeiter” kann also sowohl ein “Auftragserheber”, als auch ein “Auftragsweitergeber” oder ein “Auftragsvernichter” sein…
Immerhin der Kontext hilft ein wenig weiter: Art. 4 Nr. 10 DSGVO unterscheidet ausschließlich zwischen:
- betroffener Person
- Verantwortlichen (und Personen in unmittelbarer Verantwortung)
- Auftragsverarbeitern (und Personen in unmittelbarer Verantwortung)
- Dritten
Rechnet man die betroffene Person und die verantwortliche Stelle raus, bleiben also nur noch Auftragsverarbeiter und Dritte. Heißt im Umkehrschluss: Jeder an einer Datenverarbeitung beteiligte, der nicht direkt betroffen und nicht verantwortlich ist, ist demzufolge also entweder Auftragsverarbeiter oder Dritter. Die Definition des Dritten gibt leider nicht mehr her – bleibt nur die wörtliche Bedeutung, der zufolge Dritte solche Parteien sind, die üblicherweise nicht zu den klassischen zwei Parteien eines Vertrags gehört aber davon beeinflusst mit eigenen Rechten und Pflichten involviert sein kann. Streng genommen könnte das zu dem Schluss führen, dass alle, mit denen die verantwortliche Stelle ein direktes Vertragsverhältnis hat keine Dritten sein können – da in diesem Moment aber eigentlich die betroffene Person und die verantwortliche Stelle als Erste und Zweite gemeint sind, ist diese Argumentation vermutlich wenig stichhaltig.
Werfen wir noch einen tieferen Blick in den Art. 28 DSGVO: Nr. 3 legt die Inhalte des AV-Vertrags zwischen verantwortlicher Stelle und Auftragsverarbeiter fest – ggf. lässt der Inhalt ja Rückschlüsse auf die Beschaffenheit eines Auftragsverarbeiters zu. Und in der Tat wird u.a. festgelegt, dass im Vertrag neben Gegenstand und Dauer u.a. “Art und Zweck der Verarbeitung” festgelegt sein muss und dass der Auftragsverarbeiter an den Verantwortlichen “gebunden” sein muss. Im Umkehrschluss bedeutet das ja immerhin, dass sich beide Vertragsparteien zu Beginn über die konkrete Art der Verarbeitung einig sein müssen. Man könnte an dieser Stelle ggf. eine Weisungsbefugnis des Verantwortlichen erkennen – in Zeiten, in denen große Konzerne einen AV-Vertrag einseitig zum Download anbieten (ob das legal ist, sei mal dahingestellt), fühlt sich diese Argumentation jedoch etwas dünn an.
Und nun?
Bleibt zuletzt also nur noch zu überlegen, was der Gesetzgeber gewollt haben könnte, als er die DSGVO geschaffen hat. Dem Grundcharakter des Gesetzes zufolge wollte man einerseits insbesondere Datenflüsse durch Unternehmen und über Unternehmensgrenzen hinweg transparent und nachvollziehbar gestalten und andererseits der betroffenen Person maximale Tranparenz und Kontrolle über die Verwendung und Weitergabe seiner personenbezogenen Daten gewähren. Dazu gehören alle Arten der Datenschutzerklärungen, aber auch Verzeichnisse der Verarbeitungstätigkeiten und meines Erachtens nach eben auch AV-Verträge. Man hat sich Daten offenbar ein wenig wie digitale Waren vorgestellt, die durch eine Produktion fließen, dabei ggf. mal von einen Zulieferer empfangen, bearbeitet und zurückgegeben werden und von denen man jederzeit sehen kann, wo sie sich gerade befinden. Und genauso, wie die Einhaltung interne Prozesse durch ein Verzeichnis der Verarbeitungstätigkeiten sichergestellt werden soll, zielen AV-Verträge darauf ab, das eigene Schutzniveau auch bei weiteren Firmen zu erhalten, die personenbezogenen Daten von Betroffenen verarbeiten, mit denen ich ein Vertragsverhältnis pflege. Das hätte dann ungefähr folgende Kriterien zur Folge:
- Der Auftragsverarbeiter muss Daten verarbeiten, für welche der Vertragspartner tatsächlich verantwortliche Stelle ist (das würde auf eine externe Lohnbuchhaltung zutreffen, jedoch nicht auf eine Agentur, die eine eigene Marktstudie durchführt)
- Die Daten müssen den eigenen Verantwortungsbereich verlassen und in die Verantwortung des Auftragsverarbeiters übergehen (sonst wäre man selbst weiterhin Verarbeiter)
- Es muss ein Prozess der Datenverarbeitung existieren, den es abzusichern gilt (das wäre bei einer Datenvernichtung der Fall, nicht jedoch bei einem Detektiv, der im Auftrag arbeitet)
- Die Verarbeitung muss regelmäßig nach demselben Muster laufen (sonst ließen sich nicht Art und Zweck der Verarbeitung im Voraus definieren – so zum Beispiel bei einm externen E-Mail-Anbieter, nicht jedoch bei einer Unternehmensberatung)
- Man könnte mutmaßen, dass der Gesetzgeber im Sinn hatte, ein hohes Missbrauchspotential durch den Verarbeiter zu begrenzen, ein Vertrag also umso erforderlicher wird, je größer das Potential wird (das wäre z.B. bei großen Cloudanbietern der Fall, weniger jedoch bei externen Betriebsärzten, die ohnehin schon gesetzlich gebunden sind)
Diese Kriterien kollidieren sicherlich mit ein paar gängigen Interpretationen: Ein Mobilfunkprovider verarbeitet m.E. eine große Menge kritischer personenbezogener Daten (Bewegungsprofile, wer telefoniert mit wem, …) in regelmäßigen Prozessen – wenn es sich dabei um Mitarbeiterdaten der verantwortlichen Stelle handelt, wäre durchaus ein AV-Vertrag angebracht. Ein IT-Systemhaus, das sich bei Fragen per VPN verbindet, kommt hingegen zwar mit personenbezogenen Daten in Kontakt, verarbeitet diese jedoch nicht regelmäßig nach denselben Prozessen. Hier wäre statt eines AV-Vertrags also eher ein NDA hilfreich.
Zusammenfassend könnte man also vorsichtig folgende Liste aufstellen:
- Banken: AV-Vertrag notwendig, da regelmäßige Prozesse durchlaufen werden
- Beratungsfirmen: kein AV-Vertrag notwendig, wenn keine regelmäßige Verarbeitung nach demselben Muster abläuft und die Daten den eigenen Verantwortungsbereich nicht verlassen
- Bonusprogramme: AV-Vertrag notwendig, wenn personenbezogene Daten übergeben werden
- CDN-Netzwerke (z.B. Cloudflare): AV-Vertrag nur dann notwendig, wenn Daten von Besuchern verarbeitet werden (z.B. Webshop), kein Vertrag bei rein statischer Website notwendig
- Detektive: kein AV-Vertrag notwendig, da keine gleichmäßigen Prozesse
- Druckereien: Vertrag nur notwendig, wenn regelmäßig nach denselben Mustern personenbezogene Daten verarbeitet werden (z.B. Visitenkarten)
- externe Betriebsärzte: kein AV-Vertrag notwendig, da selbst verantwortliche Stelle
- externe Trainer: kein AV-Vertrag notwendig
- externe Webentwickler: kein AV-Vertrag notwendig, wenn keine regelmäßige Verarbeitung nach demselben Muster abläuft und keine personenbezogenen Daten verarbeitet werden
- Hotels, Fluggesellschaften, Deutsche Bahn, Autovermietungen: AV-Vertrag nur notwendig, wenn Regelmäßigkeit vorliegt (z.B. direkter Vertrag mit Verrechnung, auf Basis dessen Mitarbeitende buchen können)
- Inkassobüros: AV-Vertrag notwendig, wenn regelmäßige Prozesse durchlaufen werden
- IT-Systemhäuser: AV-Vertrag nur notwendig, wenn regelmäßige Prozesse ausgeführt werden (z.B. Backups auf eigene Server), sonst NDA
- Kanzleien: kein AV-Vertrag notwendig, wenn keine regelmäßige Verarbeitung nach demselben Muster abläuft
- Mobilfunkprovider: AV-Vertrag notwendig
- Newsletter-Dienste: AV-Vertrag notwendig, da regelmäßige Prozesse durchlaufen werden
- Reinigungsdienste: kein AV-Vertrag notwendig, da keine Verarbeitung stattfindet (ggf. ist aber ein NDA sinnvoll!)
- SaaS-Provider: AV-Vertrag notwendig, wenn personenbezogene Daten verarbeitet werden
- Sicherheitsdienste/Pförtner: kein AV-Vertrag notwendig, da keine Prozesse durchgeführt werden
- Steuerberater: AV-Vertrag notwendig, wenn Lohnbuchhaltung durchgeführt wird; kein AV-Vertrag aber für Durchführung eines Jahresabschlusses ohne personenbezogene Daten
- Strom- und Gas-Lieferanten: kein AV-Vertrag notwendig
- Webhoster: AV-Vertrag nur dann notwendig, wenn Daten von Besuchern verarbeitet werden (z.B. Webshop), kein Vertrag bei rein statischer Website notwendig
- Zahlungsdienstleister (z.B. Stripe): AV-Vertrag notwendig, da regelmäßige Prozesse durchlaufen werden
- Zoom und andere externe Videodienste: AV-Vertrag notwendig, da regelmäßig Daten nach demselben Muster verarbeitet werden
Grundsätzlich gilt aber – wie hoffentlich deutlich geworden ist – dass die Materie insgesamt sehr schwammig ist und kaum klare Definitionen existieren. Diese Kategorisierung stellt daher den Versuch einer Differenzierung dar – wie so häufig unterliegt der Einzelfall dann im Streitfall aber immer noch der konkreten Auslegung. Über Anmerkungen und Kommentare würde ich mich natürlich wie immer sehr freuen!
TL;DR
Die meisten der üblichen Auslegungen zu AV-Verträgen passen irgendwie nicht so recht mit der Wirklichkeit zusammen. Die DSGVO macht insgesamt leider recht wenige klare Aussagen – es bleibt also nur die Frage, was der Gesetzgeber gewollt haben könnte. Das führt m.E. zu den folgenden Fragen, ob ein AV-Vertrag im Einzelfall notwendig ist:
- verarbeitet der Auftragsverarbeiter Daten der verantwortlichen Stelle?
- verlassen die Daten den Bereich der verantwortlichen Stelle?
- gibt es Seitens des Auftragsverarbeiters definierte Prozesse?
- verläuft die Verarbeitung regelmäßig nach demselben Muster?
- gibt es ein Missbrauchspotential seitens des Auftragsverarbeiters?
Falls diese Fragen mit Ja beantwortet werden können, ist ein AV-Vertrag meistens eine gute Wahl – bei Nein haben wir es vermutlich eher mit einen Dritten zu tun und mit der Frage, ob z.B. ein NDA eine gute Wahl wäre.
Hinweis: Diese Liste wird regelmäßig angepasst, erweitert und korrigiert, zuletzt am 01.10.2023