Ich weiß nicht genau, woran es liegt. Aber von überall her kriege ich aktuell Anfragen zum Abschluss von Vereinbarungen zur Auftragsverarbeitung (AVV). Entweder kriegen meine Kunden diese von Auftragsverarbeitern (deren Auftragnehmer), die keine sind. Oder Auftraggeber – die keine „Verantwortlichen“ nach DSGVO sind – fordern von meinen Kunden den Abschluss einer AVV.

Häufig sollen AVV abgeschlossen werden zu Tätigkeiten, die keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO sind. Bisher untergekommen sind mir die beauftragte Warenzusendung, Tätigkeiten von Berufsgeheimnisträgern, Materialuntersuchungen im Auftrag oder die Fertigung individueller medizinischer Produkte.

Ein anderes Negativ-Beispiel sind AVV zu Tätigkeiten, die im Kern keine Verarbeitung personenbezogener Daten darstellen. Hier zielt der Auftrag auf eine andere Tätigkeit, wie z. B. Bewachungsdienstleistungen, vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten, Druck von Prospekten oder Katalogen mit Bildern von Beschäftigten oder Fotomodellen und sogar die Reinigung von Berufskleidung mit Namensschildern(!).

Wie gesagt, ich weiß nicht wie die Panik herrührt. Es könnte das Bußgeld in Höhe von 5.000 Euro wegen einer nicht abgeschlossenen Vereinbarung zur Auftragsverarbeitung gewesen sein. Es könnte auch die bloße Unwissenheit sein, wann eine AVV abzuschließen ist. Hier kann ich nur an meine Kollegen in ihrer Rolle als Datenschutzbeauftragter appellieren, jeden Auftrag im Detail nach Art. 4 Nr. 8 DSGVO i. V. m. Art 28 DSGVO zu überprüfen.

Nur, es kommt noch schlimmer. Die AVV, die mich erreichen, genügen häufig nicht mal minimalsten Qualitätsansprüchen. Folgend eine Übersicht meiner Lieblingsaufreger:

• Es werden Vorlagen aus Zeiten des BDSG genutzt (Stichwort „Auftragsdatenverarbeitungsvereinbarung“).
• Gegenstand und Zweck der AVV sind entweder gar nicht oder sehr allgemein beschrieben. Mein Appell: Passt die BITKOM-Vorlage bitte an, bevor ihr sie mit Firmenlogo rausschickt.
• Die technisch-organisatorischen Maßnahmen wurden 1:1 von den kursierenden Vorlage abgeschrieben und haben mit der Realität nichts zu tun.
• Vereinbarungen werden einseitig unterschrieben, obwohl es sich um zweiseitige Rechtsgeschäfte handelt.
• Lediglich der externe Datenschutzbeauftragte unterschreibt die Vereinbarung zur Auftragsverarbeitung. Ich gehe nicht davon aus, dass Datenschutzbeauftragte Vertretungsvollmacht haben, sonst wäre hier der Interessenkonflikt vorprogrammiert.
  
• Es sollen als AVV „getarnte“ Verschwiegenheitserklärungen abgeschlossen werden.

Jetzt könnte die Frage aufkommen: Wieso regst du dich auf, Ingo? Chill mal!

Nein, ich kann nicht „chillen“ und das hat mehrere Gründe:

1. Jeder sollte zu seiner Verantwortung stehen:
   1. Der falsche Auftragnehmer soll wissen, dass er aus einer eigenen Verantwortlichkeit heraus Daten verarbeitet (meistens weiß er das auch).
   2. Der falsche Auftraggeber soll wissen, dass er keine Daten im Auftrag verarbeiten lässt (meistens sagt ihm sein Datenschutzbeauftragter was anderes).
2. AVV zu prüfen, zu verbessern, zu verhandeln, abzuschließen und zu verwalten kostet viel Geld. Es kostet sowohl dem vermeidlichen Auftraggeber als auch dem Auftragnehmer Geld. Geld, welches gespart werden könnte, wenn nur im relevanten Fall AVV abgeschlossen werden.
3. Bereits abgeschlossene AVV müssen gekündigt werden .Dies ist eine sehr beratungsintensive Angelegenheit, weil beide Vertragspartner bis zum Zeitpunkt der Kündigung der AVV von ihrem rechtmäßigen Handeln überzeugt waren.

Und vor allem: Verhältnisse zur (Sub-)Auftragsverarbeitung müssen durch den Auftragnehmer wiederum anderen Auftraggebern angezeigt werden. Und Auftragnehmer müssen neue (Kategorien von) Auftragsverarbeiter nach Art. 13 DSGVO allen Betroffenen einzeln mitteilen. Himmel! Aus jeder neuen AVV ergeben sich also für Auftraggeber und Auftragnehmer umfangreiche Pflichten.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen

Post Scriptum: Ich könnte noch einen anderen Artikel zu meiner Blog-Serie „Aus gegebenem Anlass„ machen zu „Auftragsverarbeiter, die welche sind, es aber nicht wahr haben wollen“. Hierzu gehören meist uneinsichtige Dienstleister für Fernwartung oder externen Support, Apothekenrechenzentren nach § 300 SGB V (mit verschiedenen Kö-Anwaltbüros im Hintergrund), ärztliche/zahnärztliche Verrechnungsstellen (mit denselben Anwälten) oder kleinere Lettershops, die Werbeadressen verarbeiten sollen. Dazu ein anderes Mal gerne mehr - ich habe jetzt genug Frust von der Seele geschrieben.