EVENTFAQ News

aus dem Eventrecht
Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag

Von Thomas Waetke 6. August 2022

Man stelle sich vor, ein Veranstalter beauftragt eine Eventagentur mit der Planung und Durchführung einer Veranstaltung, dazu gehört u.a. auch das Teilnehmermanagement. Hier liegt auf der Hand, dass die Eventagentur Daten der Teilnehmer verarbeitet: Namen, Mailadressen, Postadressen usw.

Diese Daten verarbeitet die Eventagentur allerdings nicht aus Langeweile, sondern weil sie den Auftrag bekommen hat, sich um das Teilnehmermanagement zu kümmern. Aus Sicht der DSGVO gesprochen verarbeitet die Eventagentur also fremde Daten (nämlich die der Teilnehmer) im Auftrag des Veranstalters: Der Veranstalter hat mit seinem Auftrag entschieden, dass die Eventagentur das machen soll, und mehr oder weniger auch wie sie es machen soll.

Die Eventagentur ist dann ein sog. Auftragsverarbeiter. Jetzt treffen nicht nur die Agentur, sondern auch ihren Auftraggeber diverse Pflichten aus dem Datenschutz!

Veranstalter und Eventagentur müssen nun einen Vertrag über diese Auftragsverarbeitung schließen: Den AVV.

Eine Besonderheit, die oft übersehen wird: Bei den meisten Verträgen ist es so, dass die Vertragspartner frei entscheiden können, was sie darin regeln wollen, und auch ob sie explizit einen ausführlichen Vertrag überhaupt wollen (oder ob sie sich nicht einfach auf die gesetzlichen Regelungen stützen wollen). Nicht so im AVV.

Erste Besonderheit: Wenn eine Auftragsverarbeitung vorliegt, dann muss (!) ein AVV geschlossen werden. Das ist also kein Wahlrecht, sondern eine Pflicht.

Zweite Besonderheit: Beide Vertragspartner müssen sich proaktiv darum kümmern, dass der AVV geschlossen wird. Die Eventagentur kann sich nicht zurücklehnen, wenn der Veranstalter nicht selbst mit einem AVV kommt. Denn dann muss sich die Eventagentur darum bemühen, dass ein AVV geschlossen wird.

Merke: Solange der AVV nicht geschlossen ist, darf nicht mit der Auftragsverarbeitung angefangen werden! Also erst den Vertrag unter Dach und Fach bringen, dann fremde Daten verarbeiten.

In einem AVV werden u.a. die TOM´s geregelt: Die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter gewährleisten soll. Es muss auch geregelt werden, was konkret der Auftragsverarbeiter tun darf oder was nicht.

Und der Auftragsverarbeiter muss offenlegen, welche Unterauftragsverarbeiter er einsetzt.

Übrigens: Wenn wir beim Beispiel oben der Eventagentur bleiben, und die Eventagentur als Generalunternehmer weitere Dienstleister als Subunternehmer beauftragt, die ebenfalls die fremden Daten mit verarbeiten, dann muss die Eventagentur 2 AVV schließen:

  • Einen AVV mit dem Veranstalter als Auftraggeber,
  • und einen zweiten AVV mit den eigenen Subunternehmern.

Diese beiden AVV sind größtenteils durchaus ähnlich oder identisch, aber es kommt wie so oft auf die Details an, die unterschiedlich sein können.

Fehlt der AVV, droht ein Bußgeld. Außerdem kann es natürlich passieren, dass dieser Fehler dazu führt, dass die Untersuchung der Aufsichtsbehörde ausgeweitet wird auf weitere Datenverarbeitungsvorgänge im Unternehmen.

Wann kann so etwas überhaupt bekannt werden? Es gibt eine Reihe von potentiellen Auslösepunkten, ein eher harmloses Beispiel: Ein Teilnehmer bekommt bspw. mit, dass eine Eventagentur involviert ist, die er nicht kennt. Ein extremeres Beispiel: Die Eventagentur nutzt die Maildresse von Teilnehmern, um gleich noch Werbung über die eigenen Dienstleistungen zu verschicken.

In vielen Situationen kann sich ein Betroffener veranlasst sehen, auch direkt die Aufsichtsbehörden einzuschalten.

Grundsätzlich jedes Unternehmen, das ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt. Beispiele:

  • Der Veranstalter, der einen Anbieter für das Teilnehmermanagement beauftragt.
  • Der Veranstalter, der eine Agentur für das Einladungsmanagement beauftragt.
  • Der technische Dienstleister, der einen Provider für Streamingleistungen unterbeauftragt.
  • Ein Unternehmen, das eine Webseite beauftragt und die Webseite bei einem anderen Unternehmen hostet.
  • Ein Webseitenbetreiber, der mit Tools und Plugins arbeitet, die von Drittanbietern stammen und Daten der Webseitennutzer verwenden.

Grundsätzlich jedes Unternehmen, das für ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt wird. Beispiele:

  • Der Anbieter von Teilnehmermanagement, der vom Veranstalter beauftragt wird.
  • Die Agentur, die vom Veranstalter für das Einladungsmanagement beauftragt wird.
  • Der Provider für Streamingleistungen, der von einem technischen Dienstleister des Veranstalters unterbeauftragt wird.
  • Der Hoster einer Webseite eines Unternehmens.
  • Drittanbieter von Plugins und Tools, die ein Webseitenbetreiber in seine Webseite einbaut, damit der Drittanbieter fremde Daten verarbeitet (z.B. Newsletterversand, Tracking usw.).

Noch wenige Schritte zu Ihrem AVV:

Sie haben Interesse an einem Auftragsverarbeitungsvertrag?

Schreiben Sie uns gerne eine E-Mail an info@eventfaq.de, oder füllen Sie das Formular aus – wir melden uns so schnell wie möglich bei Ihnen, um ein paar Details zu klären, und damit wir Ihnen ein Angebot zukommen lassen können.

Warum macht eine kurze Besprechung vorher Sinn? Wir können mit unserer Erfahrung sicherlich leichter den wirklichen Bedarf und die passenden Vertragstypen identifizieren. Daher bieten wir gerne vorab ein unverbindliches Gespräch an.

Anfrage AVV

  • (wie wollen Sie kontaktiert werden?)
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Thomas-Waetke_Profil: © Sebastian Heck
  • Privacy blue: © Weissblick - Fotolia.com