Auftrags-
verarbeitungsvertrag

Veranstalter beauftragen Eventagenturen, die Eventagentur (unter-)beauftragt einen Dienstleister für das Ticketing und Teilnehmermanagement usw. und schon gibt es zwei sog. Auftragsverarbeiter für den Veranstalter.

Die Folge

Veranstalter und Agentur müssen nun einen Vertrag über diese Auftragsverarbeitung schließen: Den AVV.

Der Auftragsverarbeiter (hier die Agentur) benötigt keine eigene Rechtsgrundlage zur Verarbeitung, sondern stützt sich auf die Rechtsgrundlage, die ihrem Auftraggeber zur Verfügung steht. Der Auftragsverarbeiter muss auch nicht selbst informieren (Datenschutzerklärung), sondern kann sich auf die Informationen des Auftraggebers stützen.

Die Besonderheiten

Eine Besonderheit, die oft übersehen wird: Bei den meisten Verträgen ist es so, dass die Vertragspartner frei entscheiden können, was sie darin regeln wollen, und auch ob sie explizit einen ausführlichen Vertrag überhaupt wollen (oder ob sie sich nicht einfach auf die gesetzlichen Regelungen stützen wollen). Nicht so im AVV.

Erste Besonderheit: Wenn eine Auftragsverarbeitung vorliegt, dann muss (!) ein AVV geschlossen werden. Das ist also kein Wahlrecht, sondern eine Pflicht.

Zweite Besonderheit: Beide Vertragspartner müssen sich proaktiv darum kümmern, dass der AVV geschlossen wird. Die Eventagentur kann sich nicht zurücklehnen, wenn der Veranstalter nicht selbst mit einem AVV kommt. Denn dann muss sich die Eventagentur darum bemühen, dass ein AVV geschlossen wird.

Merke: Solange der AVV nicht geschlossen ist, darf nicht mit der Auftragsverarbeitung angefangen werden! Also erst den Vertrag unter Dach und Fach bringen, dann fremde Daten verarbeiten.

Die Notwendigkeiten

In einem AVV werden u.a. die TOM´s geregelt: Die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter gewährleisten soll. Es muss auch geregelt werden, was konkret der Auftragsverarbeiter tun darf oder was nicht.

Und der Auftragsverarbeiter muss offenlegen, welche Unterauftragsverarbeiter er einsetzt.

Übrigens: Wenn wir beim Beispiel oben der Eventagentur bleiben, und die Eventagentur als Generalunternehmer weitere Dienstleister als Subunternehmer beauftragt, die ebenfalls die fremden Daten mit verarbeiten, dann muss die Eventagentur 2 AVV schließen:

• Einen AVV mit dem Veranstalter als Auftraggeber,
• und einen (anderen) AVV mit den eigenen Subunternehmern. „Anders“ deshalb, weil dieser AVV ja eine andere Stoßrichtung hat als der Vertrag mit dem Auftraggeber.

Bspw. die Eventagentur oder der technische Dienstleister, der als Generalunternehmer auftritt, sitzt sprichwörtlich zwischen zwei Stühlen: In der einen Richtung hat er seinen Kunden, in die andere Richtung ggf. noch Subunternehmer. Der General muss darauf achten, dass er alle Sicherheitsmaßnahmen, die er seinem Kunden verspricht, auch von seinem Subunternehmer bekommt.

Die Risiken

Fehlt der AVV, droht ein Bußgeld. Außerdem kann es natürlich passieren, dass dieser Fehler dazu führt, dass die Untersuchung der Aufsichtsbehörde ausgeweitet wird auf weitere Datenverarbeitungsvorgänge im Unternehmen.

Wann kann so etwas überhaupt bekannt werden? Es gibt eine Reihe von potentiellen Auslösepunkten, ein eher harmloses Beispiel: Ein Teilnehmer bekommt bspw. mit, dass eine Eventagentur involviert ist, die er nicht kennt. Ein extremeres Beispiel: Die Eventagentur nutzt die Maildresse von Teilnehmern, um gleich noch Werbung über die eigenen Dienstleistungen zu verschicken.

In vielen Situationen kann sich ein Betroffener veranlasst sehen, auch direkt die Aufsichtsbehörden einzuschalten.

Weiterführende Links:

Auftragsverarbeitung ÜBERSICHT DER Vertragstypen Datenschutzrecht