Die Verwaltung und Prüfung von Auftragsverarbeitungsverträgen (AVV) ist in der Datenschutzberatung unerlässlich. Ob ein AVV notwendig ist, bedarf oft einer umfassenden rechtlichen Prüfung.
In diesem Beitrag werde ich die Vor- und Nachteile eines AVV erläutern.
Ein praktischer Überblick zu Auftragsverarbeitung und typischen Konstellationen zeigt, dass der Abschluss eines AVV in vielen Fällen erforderlich ist. Wird ein notwendiger AVV nicht abgeschlossen, drohen Bußgelder. Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DSGVO definiert: "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet".
Wann ist ein AVV nötig?
Ein AVV ist notwendig, wenn der Auftrag konkrete Weisungen zur Datenverarbeitung enthält oder der Dienstleister Daten im Auftrag verarbeitet. Ohne Weisungsgebundenheit handelt es sich um fremde Fachleistungen, die keine Auftragsverarbeitung darstellen.
Schwierigkeiten bei der Abgrenzung
Die Abgrenzung zwischen eigener Verantwortlichkeit und Auftragsverarbeitung ist oft fließend. Beispielslisten, wie Anhang A und B des Kurzpapiers Nr. 13 der DSK und FAQs des BayLDA, bieten Hilfe, jedoch bleibt die Abgrenzung im Einzelfall oft schwierig.