Datenschutz-Beratung AVV Checkliste DSGVO

Liegt eine Auftragsverarbeitung vor?

Drei Fragen bestimmen, ob Sie einen AVV nach Art. 28 DSGVO, eine Vereinbarung nach Art. 26 DSGVO oder keins von beiden benötigen.

Auftragsverarbeitungsvertrag, gemeinsame Verantwortlichkeit oder eigenverantwortliche Verarbeitung?

Nicht jeder Dienstleister mit Datenzugang ist automatisch ein Auftragsverarbeiter. Die DSGVO kennt drei grundlegend verschiedene Konstellationen: Auftragsverarbeitung nach Art. 28, gemeinsame Verantwortlichkeit nach Art. 26 und eigenverantwortliche Verarbeitung durch einen Dritten. Jede verlangt ein anderes Vorgehen.

Die folgende Prüfung führt Sie in drei Schritten zum richtigen Ergebnis. Rechtskenntnisse sind nicht erforderlich.

AVV-Prüfung

Schritt für Schritt zum richtigen Ergebnis

Hat der Dienstleister Zugang zu personenbezogenen Daten?

Gemeint ist jeder Zugang: lesend, schreibend, speichernd oder weiterleitend. Personenbezogene Daten sind alle Informationen, die eine Person identifizieren oder identifizierbar machen, etwa Name, E-Mail-Adresse, Kundennummer, Personalakte oder IP-Adresse.

Beispiele

Ja, z.B.

Cloud-Dienste mit Kundendaten
Externer IT-Dienstleister
HR-Software-Anbieter
E-Mail-Marketing-Dienst

Nein, z.B.

Lieferant von Büromaterial
Stromanbieter oder Versorger
Catering- oder Kantinenbetrieb

Verarbeitet der Dienstleister die Daten ausschließlich nach Ihren Vorgaben?

Der Dienstleister handelt ausschließlich nach Ihren Vorgaben, wenn er keinen eigenen gesetzlichen oder berufsrechtlichen Spielraum bei der Verarbeitung hat. Steuerberater, Rechtsanwälte und Wirtschaftsprüfer fallen nicht darunter: Sie handeln aufgrund eigener Berufspflichten.

Typische Beispiele

Ja, z.B.

Cloud-Anbieter, Rechenzentrum
Externer IT-Support
Callcenter
Externe Lohnbuchhaltung

In der Regel nein

Steuerberater
Rechtsanwalt
Wirtschaftsprüfer
Bank
Paket- und Versanddienstleister

Die Einordnung hängt immer von der konkreten Dienstleistung ab. Auch ein Steuerberater oder eine Bank kann in einzelnen Konstellationen Auftragsverarbeiter sein.

Nutzt der Dienstleister die Daten auch für eigene Zwecke?

Gemeint sind eigene Geschäftszwecke: Werbung, Profiling, eigene Analysen oder Produktverbesserung. Dass der Dienstleister ein Honorar erhält, reicht nicht. Entscheidend ist, ob er die Daten für eigene Interessen einsetzt.

Typische Beispiele

Ja, z.B.

Facebook- oder Instagram-Fanpage
LinkedIn-Unternehmensseite
Analytics-Anbieter mit eigener Datennutzung
Gemeinsame Marketingplattform

In der Regel nein

Steuerberater
Rechtsanwalt
Wirtschaftsprüfer
Paket- und Versanddienstleister

Was bedeuten die drei Ergebnisse?

Auftragsverarbeitung (Art. 28 DSGVO)

Verarbeitet ein Dienstleister personenbezogene Daten ausschließlich nach Ihren Vorgaben, liegt eine Auftragsverarbeitung vor. Sie bleiben als Auftraggeber datenschutzrechtlich verantwortlich. Ohne AVV liegt ein eigenständiger Datenschutzverstoß vor, auch wenn kein Schaden entsteht.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Bestimmen zwei Parteien gemeinsam die Zwecke und Mittel der Verarbeitung, liegt gemeinsame Verantwortlichkeit vor. Das kann auch ohne formelle Absprache entstehen, allein durch die tatsächliche Ausgestaltung der Zusammenarbeit. Der EuGH hat 2018 entschieden (C-210/16), dass Betreiber einer Facebook-Fanpage gemeinsam mit Meta für die Verarbeitung von Besucherdaten verantwortlich sind. Dieses Prinzip gilt analog für LinkedIn, Instagram und jede andere Plattform, die auf Basis Ihrer Unternehmenspräsenz eigenes Targeting betreibt.

Eigenverantwortliche Verarbeitung

Verarbeitet ein Dienstleister Daten aufgrund eigener gesetzlicher oder berufsrechtlicher Pflichten, ist er datenschutzrechtlich selbst Verantwortlicher. Ein AVV wäre hier falsch. Die Übermittlung der Daten braucht aber eine eigene Rechtsgrundlage und sollte im Verarbeitungsverzeichnis dokumentiert sein.

FAQ

Häufige Fragen zur Abgrenzung.

Verwandte Themen

Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?+

Bei der Auftragsverarbeitung verarbeitet ein Dienstleister Daten ausschließlich nach Weisung des Auftraggebers. Der Auftraggeber bleibt datenschutzrechtlich allein verantwortlich. Bei der gemeinsamen Verantwortlichkeit bestimmen beide Parteien die Zwecke und Mittel der Verarbeitung gemeinsam. Das kann auch durch die tatsächliche Ausgestaltung der Zusammenarbeit entstehen, ohne dass eine formelle Vereinbarung getroffen wurde.

Muss ich mit dem Betreiber einer Social-Media-Plattform einen Vertrag schließen?+

Wer eine Facebook-Fanpage, eine LinkedIn-Unternehmensseite oder ein Instagram-Profil betreibt, ist nach dem EuGH-Urteil vom 5. Juni 2018 (C-210/16) gemeinsam mit dem Plattformbetreiber für die Verarbeitung der Besucherdaten verantwortlich. Meta, LinkedIn und andere Plattformbetreiber stellen dafür in der Regel vorkonfigurierte Vereinbarungen nach Art. 26 DSGVO bereit, die angenommen werden müssen.

Brauche ich mit meinem Steuerberater einen AVV?+

Nein. Steuerberater sind keine Auftragsverarbeiter. Sie verarbeiten Daten aufgrund eigener gesetzlicher und berufsrechtlicher Pflichten und entscheiden selbst, wie sie diesen nachkommen. Sie sind datenschutzrechtlich eigenverantwortliche Dritte. Dasselbe gilt für Rechtsanwälte und Wirtschaftsprüfer.

Muss ich meinen Cloud-Anbieter als Auftragsverarbeiter behandeln?+

In der Regel ja. Wer personenbezogene Daten in einer Cloud speichert oder verarbeitet, schließt typischerweise eine Auftragsverarbeitung ab. Der Anbieter verarbeitet die Daten weisungsgebunden nach den Konfigurationen des Kunden. Die meisten großen Cloud-Anbieter stellen standardisierte AVVs bereit.

Was ist, wenn ein Dienstleister sowohl als Auftragsverarbeiter als auch eigenverantwortlich tätig ist?+

Das kommt in der Praxis vor. Ein Zahlungsdienstleister kann Transaktionsdaten einerseits im Auftrag des Händlers verarbeiten und andererseits eigenverantwortlich für eigene Compliance-Zwecke, etwa zur Geldwäscheprävention. In diesem Fall brauchen Sie für den einen Teil einen AVV und für den anderen Teil eine klare Grundlage für die Übermittlung.

Leistung Datenschutz-Beratung Zur Leistung Leistung Datenschutz-Audits Zur Leistung Tool AVV nach Art. 28 DSGVO Zur Checkliste

Unsicher bei einem konkreten Dienstleister?

Wir unterstützen Sie bei der datenschutzkonformen Einordnung Ihrer Dienstleister und begleiten den Abschluss der erforderlichen Vereinbarungen.

Erstgespräch buchen