Früher noch Auftragsdatenvertrag genannt, heißt es heute "Auftragsverarbeitungsvereinbarung". Hinter diesem sperrigen Begriff versteckt sich ein Vertrag mit deinem Dienstleister, der "in deinem Auftrag" (=Auftrag) Daten verarbeitet. Und damit das alles seine Richtigkeit hat, soll das vertraglich bitte einmal geregelt sein. Was gehört in die Auftragsverarbeitungsvereinbarung (AVV) und warum ist diese wichtig?
Die DSGVO unterscheidet zwischen verschiedenen Akteuren.
Das ist zum einen die Rolle des Verantwortlichen, die des Auftragsverarbeiters und die Rolle der gemeinsamen Verantwortlichkeit.
Wenn ich mir einen Dienstleister nehme, der wie als mein verlängerter Arm für mich Daten verarbeitet, dann ist das häufig eine Auftragsverarbeitung.
Wie kann ich mir das merken?
-> Immer dann, wenn der Dienstleister im Auftrag tätig wird.
Es kommt darauf an, ob der Dienstleister hierbei einen eigenen Gestaltungsspielraum hat, oder ob er streng weisungsgebunden ist.
Dies kann der Hosting-Anbieter für die Website sein, der Newsletter-Dienstleister, eine Softwarefirma oder auch ein Call-Center. Die Abgrenzung kann mitunter schwierig sein.
Da stellen sich Fragen wie:
Zunächst einmal muss der Verantwortliche bei der Auswahl seines Dienstleisters erhöhte Sorgfalt walten lassen. Im Prinzip gilt hier in der digitalen Welt nichts anderes, als auch sonst in der analogen.
„Drum prüfe, wer sich binde“.
Binsenweisheit - passt hier trotzdem
Hierzu ein Beispiel zur Veranschaulichung:
Stell Dir vor Du planst eine Veranstaltung. Du bist also Veranstalter und damit auch Verantwortlicher. Am Eingang müssen die Leute mit einer Namensliste abgeglichen werden, weil nur diese Zugang zu der Veranstaltung erhalten sollen. Weil Dir hierzu das (geeignete) Personal fehlt, beauftragst Du hierfür einen professionellen Dienstleister, der das für dich am Eingang übernimmt.
Es versteht sich von selbst, dass das Verhalten dieser Firma auf dich, bzw. auf dein Unternehmen zurückfällt und damit auch dein Ruf beeinflusst. Geht alles gut, ist das wunderbar und alle sind happy. Aber was wenn was schief geht?
Das Personal am Einlass stellt sich als rabiate Schlägertypen raus, die die Kunden eher verschrecken.
Oder noch schlimmer:
Sie nutzen die Namenslisten um den Leuten später noch einen „Hausbesuch“ abzustatten…
Das darf natürlich nicht passieren.
Das Ganze auf die digital Welt übertragen:
Nehmen wir mal an Du hast für dein Business nun keine Türsteher beauftragt, sondern einen Newsletter-Anbieter für den Versand deiner Einladungen zum Event und bei diesem gab es eine Datenpanne. Die Daten deiner Kunden werden nun im Darknet verkauft.
Was nun?
Hier beginnt der Job für uns Juristen. Wir Juristen gucken typischerweise immer zuerst einmal nach, was im Vertrag steht. Das hat den Hintergrund, dass der Vertrag grundsätzlich dem Gesetzestext vorgeht.
In einem Vertrag kann man sehr viel regeln. Dadurch ist beiden Seiten von Anfang an klar, worauf sie sich einlassen und was im Zweifel gilt.
Jetzt könnte man sich denken: Was denn bitte für einen Vertrag? Hätte ich da einen Vertrag schließen müssen?
JA! Gemeint ist hier nicht der Vertrag in dem die Leistung definiert wird (zB 100 Mails im Monat für Summe XY) , sondern ein spezieller Vertrag zur Datenverarbeitung. Also wie der Dienstleister die personenbezogenen Daten für dich verarbeiten soll.
Nach der DSGVO ist es sogar verpflichtend einen Vertrag mit dem Dienstleister zu schließen. Egal ob Auftragsverarbeitung oder gemeinsame Verantwortlichkeit.
Im Falle der Auftragsverarbeitung ist dies die berühmte Vereinbarung zur Auftragsverarbeitung - auch Auftragsverarbeitungsvereinbarung (AVV) genannt.
Die DSGVO gibt in Art. 28 Abs. 3 vor, was alles darin enthalten sein muss. Vereinfacht sind das folgende Punkte:
a) die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen (…) verarbeitet,
b) es ist gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) der Auftragsverarbeiter ergreift alle gemäß Artikel 32 erforderlichen (technischen und organisatorischen) Maßnahmen;
d) (…) Bedingungen für die Inanspruchnahme (…) weiterer Subunternehmer einhält;
e) (…) den Verantwortlichen zu unterstützen, (…) seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der (…)(Betroffenen-) Rechte der betroffenen Person nachzukommen ;
f) (…) den Verantwortlichen bei der Einhaltung der (…) technischen und organisatorischen Maßnahmen unterstützen;
g) nach Abschluss (…) alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, (…)
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der (…) Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen (oder einem anderen von diesem beauftragten Prüfer durchgeführt werden), ermöglicht und dazu beiträgt.
Das Gesetz erlaubt hier einen gewissen Gestaltungsspielraum, sodass die Auftragsverarbeitungsvereinbarungen (AVV) je nach Ausgestaltung den Auftragsverarbeiter oder auch den Verantwortlichen bevorteilen können. Je nach Interessenlage sind die mal in die eine, mal in die andere Richtung ausgestaltet.
Einen solchen Vertrag blind zu unterschreiben kann für ein Unternehmen verheerende Folgen haben.
Hierzu ein Beispiel:
Der Softwarehersteller unterzeichnet eine AVV mit seinem Kunden, in der es garantiert, dass es mit dieser Software zu keinen DSGVO-Verstößen kommt.
Das ist ungefähr so als würde ein Automobilhersteller den Autokäufern garantieren, dass dieses Auto niemals zu schnell fährt oder im Halteverbot parkt.
Merkst Du selber, oder? Kein Automobilhersteller würde auf die Idee kommen und eine solche Klausel unterzeichnen.
Es kommt nämlich auf die konkrete Verwendung an. Das gilt für den Autofahrer als auch für den Benutzer einer Software. Was kann der Autohersteller dafür, wenn der Autofahrer mit 100 durch eine 50er Zone fährt oder falsch parkt? Nichts.
Ähnlich verhält es sich im Beispiel mit der Software.
Würde der Softwarehersteller aber durch die AVV eine solche Garantie abgeben, dass mit dieser NIEMALS ein Rechtsverstoß begangen wird, dann kann es unter Umständen teuer für ihn werden. Denn im Prinzip haftet er schlimmstenfalls dann für jeden begangenen Rechtsverstoß.
Um das mit dem obigen Beispiel auszuschmücken, stell dir vor der Einlass wird von einer Software unterstützt. Die in der Software gesammelten Daten werden nun von den Türstehern genutzt, um die „Hausbesuche“ durchzuführen. Kaum vorstellbar, dass der Softwarehersteller hierfür gerade stehen möchte.
Ein auf Vertragsgestaltung und auf Datenschutz spezialisierter Anwalt erkennt sofort, worauf es bei diesen Verträgen ankommt, an welchen Stellen ganz typische vorteilhafte Klauseln eingebaut werden und wie diese entschärft werden können.
Hierbei kann ich Ihnen helfen. Ich habe bereits unzählige AVV geprüft und sehe sofort, wo die Knackpunkte sind. Ich helfe dir, eine rechtsgültige AVV zu erstellen und bin auch gerne beim Verhandeln mit Geschäftspartnern behilflich.
Hier gehts zum Kontakt: