Auftragsverarbeitungsvertrag

Veranstalter und Agentur müssen nun einen Vertrag über diese Auftragsverarbeitung schließen: Den AVV.

Der Auftragsverarbeiter (hier die Agentur) benötigt keine eigene Rechtsgrundlage zur Verarbeitung, sondern stützt sich auf die Rechtsgrundlage, die ihrem Auftraggeber zur Verfügung steht. Der Auftragsverarbeiter muss auch nicht selbst informieren (Datenschutzerklärung), sondern kann sich auf die Informationen des Auftraggebers stützen.

Eine Besonderheit, die oft übersehen wird: Bei den meisten Verträgen ist es so, dass die Vertragspartner frei entscheiden können, was sie darin regeln wollen, und auch ob sie explizit einen ausführlichen Vertrag überhaupt wollen (oder ob sie sich nicht einfach auf die gesetzlichen Regelungen stützen wollen). Nicht so im AVV.

Erste Besonderheit: Wenn eine Auftragsverarbeitung vorliegt, dann muss (!) ein AVV geschlossen werden. Das ist also kein Wahlrecht, sondern eine Pflicht.

Zweite Besonderheit: Beide Vertragspartner müssen sich proaktiv darum kümmern, dass der AVV geschlossen wird. Die Eventagentur kann sich nicht zurücklehnen, wenn der Veranstalter nicht selbst mit einem AVV kommt. Denn dann muss sich die Eventagentur darum bemühen, dass ein AVV geschlossen wird.

Merke: Solange der AVV nicht geschlossen ist, darf nicht mit der Auftragsverarbeitung angefangen werden! Also erst den Vertrag unter Dach und Fach bringen, dann fremde Daten verarbeiten.

In einem AVV werden u.a. die TOM´s geregelt: Die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter gewährleisten soll. Es muss auch geregelt werden, was konkret der Auftragsverarbeiter tun darf oder was nicht.

Und der Auftragsverarbeiter muss offenlegen, welche Unterauftragsverarbeiter er einsetzt.

Übrigens: Wenn wir beim Beispiel oben der Eventagentur bleiben, und die Eventagentur als Generalunternehmer weitere Dienstleister als Subunternehmer beauftragt, die ebenfalls die fremden Daten mit verarbeiten, dann muss die Eventagentur 2 AVV schließen:

• Einen AVV mit dem Veranstalter als Auftraggeber,
• und einen zweiten AVV mit den eigenen Subunternehmern.

Diese beiden AVV sind größtenteils durchaus ähnlich oder identisch, aber es kommt wie so oft auf die Details an, die unterschiedlich sein können.

Fehlt der AVV, droht ein Bußgeld. Außerdem kann es natürlich passieren, dass dieser Fehler dazu führt, dass die Untersuchung der Aufsichtsbehörde ausgeweitet wird auf weitere Datenverarbeitungsvorgänge im Unternehmen.

Wann kann so etwas überhaupt bekannt werden? Es gibt eine Reihe von potentiellen Auslösepunkten, ein eher harmloses Beispiel: Ein Teilnehmer bekommt bspw. mit, dass eine Eventagentur involviert ist, die er nicht kennt. Ein extremeres Beispiel: Die Eventagentur nutzt die Maildresse von Teilnehmern, um gleich noch Werbung über die eigenen Dienstleistungen zu verschicken.

In vielen Situationen kann sich ein Betroffener veranlasst sehen, auch direkt die Aufsichtsbehörden einzuschalten.

Grundsätzlich jedes Unternehmen, das ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt. Beispiele:

• Der Veranstalter, der einen Anbieter für das Teilnehmermanagement beauftragt.
• Der Veranstalter, der eine Agentur für das Einladungsmanagement beauftragt.
• Der technische Dienstleister, der einen Provider für Streamingleistungen unterbeauftragt.
• Ein Unternehmen, das eine Webseite beauftragt und die Webseite bei einem anderen Unternehmen hostet.
• Ein Webseitenbetreiber, der mit Tools und Plugins arbeitet, die von Drittanbietern stammen und Daten der Webseitennutzer verwenden.

Grundsätzlich jedes Unternehmen, das für ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt wird. Beispiele:

• Der Anbieter von Teilnehmermanagement, der vom Veranstalter beauftragt wird.
• Die Agentur, die vom Veranstalter für das Einladungsmanagement beauftragt wird.
• Der Provider für Streamingleistungen, der von einem technischen Dienstleister des Veranstalters unterbeauftragt wird.
• Der Hoster einer Webseite eines Unternehmens.
• Drittanbieter von Plugins und Tools, die ein Webseitenbetreiber in seine Webseite einbaut, damit der Drittanbieter fremde Daten verarbeitet (z.B. Newsletterversand, Tracking usw.),
• ein Fotograf, jedenfalls wenn es um Personenbilder geht. Hier ist die Abgrenzung oft schwierig, üblicherweise sagt man: Je weniger Gestaltungsspielraum der Fotograf hat, desto eher handelt es sich um eine Auftragsverarbeitung.