Die Antwort lautet ganz eindeutig: JA! Genau genommen handelt es sich dabei um eine zentrale Anforderung der DSGVO. Das bedeutet, sobald ein Unternehmen vorhat, personenbezogene Daten im Rahmen eines weisungsgebundenen Auftrags an einen Dienstleister zu übergeben, damit der diese Daten verarbeiten kann – analog oder digital – ist ein Auftragsverarbeitungsvertrag (AVV oder auch AV-Vertrag) abzuschließen. Durch diesen Vertrag stellt der Auftraggeber nämlich sicher, dass der Auftragnehmer die geeigneten technischen und organisatorischen Maßnahmen (TOM) im Sinne der DSGVO ergreift – nur dann dürfen die Daten weitergegeben werden. Rechtlich ist nämlich immer noch der Auftraggeber für die personenbezogenen Daten verantwortlich. Daher ist es auch zwingend erforderlich, dass dieser Vertrag geschlossen wird, bevor mit der eigentlichen Arbeit begonnen wird.
Ein klassisches Beispiel für eine Auftragsverarbeitung ist der Druckauftrag, der an eine Druckerei übergeben wird, wenn ein Unternehmen Kataloge an Kunden oder personalisierte Einladungen versenden möchte. Der AVV regelt unter anderem die Rechte und Pflichten von Auftraggeber und Auftragnehmer. Dazu gehört, wie die personenbezogenen Daten übergeben, verarbeitet und im Anschluss vernichtet werden. Weitere Beispiele, die einen Auftragsverarbeitungsvertrag erfordern, sind:
- Beauftragung eines Callcenters, um Bestandskunden anzurufen oder für die Rufannahme
- Externe Buchhaltung (kein Steuerberater)
- Einsatz von cloudbasierten CRM-Tools
- Externe Akten- oder Datenvernichtung
- Beauftragung eines externen IT-Dienstleisters
- u. v. m.
Ausnahmen bestätigen die Regel
Es gibt allerdings auch Ausnahmen, in denen zwar personenbezogene Daten extern verarbeitet werden, aber dennoch kein AVV abgeschlossen werden muss. Diese Ausnahmen betreffen zum Beispiel:
- Steuerberater,
- Wirtschaftsprüfer,
- Rechtsanwälte,
also alle Berufe, die weisungsfrei agieren. Selbstverständlich unterliegen sie trotzdem der DSGVO, aber sie arbeiten selbstbestimmt und müssen daher keinen AVV mit ihren Mandanten schließen.
Haben Sie alle erforderlichen AVV geschlossen?
Wann beginnt eine weisungsgebundene Auftragsverarbeitung und wo endet sie? Die Grenzen sind manchmal fließend. Im Unternehmensalltag kann es daher schnell mal passieren, dass übersehen wird, dass ein AVV geschlossen werden muss. Eine Einschätzung ist außerdem schwierig, wenn die erforderlichen Fachkenntnisse oder die Erfahrung fehlen – wie es bei internen Datenschutzbeauftragten der Fall sein kann, deren Hauptaufgabe nicht der Datenschutz ist. Die Folgen können allerdings gravierend sein – vom Imageverlust bis zu einer Überprüfung durch die zuständige Datenschutzbehörde mit anschließender Strafe. Wir empfehlen Ihnen eine umfassende Überprüfung und Beratung durch das Team von HUBIT Datenschutz. Dann sind Sie auf der sicheren Seite. Vereinbaren Sie gerne einen unverbindlichen Kennenlerntermin.
Mehr zum Thema: Wer ist eigentlich für den Auftragsverarbeitungsvertrag (AVV) zuständig?