Wir sind schon immer sorgsam und behutsam mit Ihren Daten umgegangen. Daher schockiert uns die Vorgaben der DS-GVO vom 25.05.2018 nicht ernsthaft, wenn sie uns jedoch allen auch sehr viel mehr Arbeit verschaffen. Letztendlich muss nun „nur“ das zu Papier gebracht werden, was zumindest wir schon immer gemacht haben: der Schutz Ihrer Daten.

Doch was ist eigentlich ein AV-Vertrag und wann brauche ich einen?

Durch die DS-GVO wurde am 25.05.2018 aus dem bisherigen ADV-Vertrag (Auftrags-Daten-Verarbeitung) der AV-Vertrag (Auftrags-Verarbeitung). Dieser regelt nach den aktuellen Richtlinien der DS-GVO (Datenschutz-GrundVerOrdnung) den Schutz personenbezogener Daten und definiert die Verarbeitung sowie Schutzmechanismen und weitere Maßnahmen. Weitere Vorgaben werden im Jahr 2019 mit der „privacy policy“ erwartet.

Kein AV-Vertrag erforderlich:

Zugegeben, ein rein theoretischer Fall, der in der Praxis kaum eintreten wird, aber der Verdeutlichung dient:

Auftraggeber (Sie) beauftragen den Auftragnehmer (mich) etwas Umzusetzen, bei dem ich keinen Zugriff auf personenbezogene Daten von Dritten habe. Das wäre zum Beispiel der Fall, wenn Sie mich beauftragen Ihnen eine Datei zu erstellen, die beim Aufruf ein „Hallo Welt“ anzeigt und ich Ihnen diese Datei übergebe und Sie diese selbst an gewünschter Stelle einbauen.

AV-Vertrag erforderlich:

Sobald ich oder einer meiner Dienstleister personenbezogenen Daten Dritter verarbeiten (die Möglichkeit diese zu lesen ist bereits eine Verarbeitung) benötigen Sie als Auftraggeber mit mir als Auftragnehmer einen AV-Vertrag nach DS-GVO. Daraus ergeben sich drei Fragen:

  1. Was bedeutet Verarbeitung?
  2. Was sind personenbezogene Daten?
  3. Wer ist der Dritte?

Begriffsdefinitionen:

1. Verarbeitung:

Die DS-GVO versteht unter „Verarbeitung“ letztendlich alles, was mit Daten gemacht werden kann:

  • erfassen
  • speichern
  • verwenden
  • verändern
  • sortieren
  • übermitteln
  • verbreiten
  • veröffentlichen
  • löschen
  • . . .

2. personenbezogene Daten:

Sind Daten, wie mit einer Person in Verbindung gebracht werden können. Artikel 4 Abs. 1 der DS-GVO:

  • Name
  • Geburtsdatum / Alter
  • Anschrift
  • Email-Adresse
  • Telefonnummer
  • Ausweißnummer
  • KFZ-Kennzeichen
  • Bankverbindung
  • Foto
  • Unterschrift
  • IP-Adresse (wenn nicht anonymisiert)
  • . . .

3. Dritter:

Bei der DS-GVO geht es in erster Linie um den Datenschutz von „Unbeteiligten“ an dem eigentlichen Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer. Also zum Beispiel Wenn Sie von Ihren Besuchern Daten erfassen (Kontaktformular, Newsletter, Gewinnspiel, …) und diese Daten zur Verarbeitung weitergeben. Diese „Verarbeitung“ kann auch indirekt erfolgen, zum Beispiel wenn Sie (Auftraggeber) mich (Auftragnehmer) beauftragen Fehler auf Ihrer Seite zu beheben und mir dazu einen Zugang zum BackEnd Ihrer Anwendung geben wodurch ich die personenbezogenen Daten lesen kann, die ein Seitenbesucher eingegeben hat. Da das Lesen von Daten bereits zur Verarbeitung gehört, benötigen Sie als Auftraggeber mit mit als Auftragnehmer (Auftragsverarbeiter) eine Datenschutzvereinbarung (AV-Vertrag).

Reicht ein AV-Vertrag für alles?

Nein! Ein AV-Vertrag ist Bestandteil eines Auftrages. Daher besteht ein direkter Zusammenhang zwischen dem jeweiligen Auftrag und dem zu diesem gehörende Datenschutzvereinbarung.

Ein Beispiel:
Auftrag 1: Sie beauftragen mich mit einer Fehlerbehebung in Ihrem WordPress.
Auftrag 2: Sie beauftragen mich eine Rechnungssoftware für Sie einzurichten.

Wie an diesem Beispiel gut zu erkennen ist, erhalte ich Zugriff auf zwei ganz unterschiedliche Systeme mit ganz unterschiedlichen Inhalten von personenbezogenen Daten. Im ersten Auftrag sehe ich eventuell Newsletterregistrierungen (Name und EMail-Adresse) und im zweiten Auftrag sehe ich komplette Anschriften und Rechnungspositionen mit geleisteten oder offenen Zahlungen. Somit wird verständlich, dass jeder Auftrag unterschiedliche Daten zur Verarbeitung beinhaltet und somit auch unterschiedliche AV-Verträge erforderlich sind. Über kurz oder lang wird jeder von uns somit eine Fülle von AV-Verträgen mit unterschiedlichen Partnern haben. Würde jeder Partner alle Verträge immer auf Papier ausdrucken, hätten wir in kurzer Zeit keine Bäume mehr. Daher sollte man schon aus Umweltschutzgründen auf eine elektronische Verarbeitung achten, die auch explizit gestattet ist.

Wer benötigt mit wem welchen Vertrag?

Grundsätzlich gilt noch immer der „Handschlag“ als Vertrag, problematisch wird hierbei nur die Beweisbarkeit und die Dokumentation. Daher wird es sicherlich weiterhin Unterschiede in dem jeweiligen Gewerbe geben. Es ist jedoch nicht auszuschließen, dass Sie auch beim Bäcker zukünftig erst einen Vertrag unterschreiben müssen, wenn zum Beispiel der Bäcker an Sie liefert. Das folgende Schema bezieht sich bewusst auf den Betrieb von Internetseiten:

RoundAboutWEB

Die Waren und Dienstleistungen von RoundAboutWEB stehen ausschließlich Unternehmern im Sinne von § 14 BGB zur Verfügung.
Ein Vertragsschluss mit Verbrauchern im Sinne von §13 BGB ist ausgeschlossen.