Bei Abschluss von Verträgen mit externen Dienstleistern stellt sich regelmäßig die Frage, ob und ggf. welche datenschutzrechtliche Zusatzvereinbarung abgeschlossen werden muss oder sollte. Viele Unternehmen schließen »zur Sicherheit« eine Vereinbarung über Auftragsverarbeitung (AVV) ab. Davon ist allerdings abzuraten, da es zu rechtlichen Folgeproblemen führt.
Wenn die Rolle des Vertragspartners falsch eingestuft wird, kann dies bei Abschluss einer AVV mit einem Unternehmen, das tatsächlich unabhängig verantwortlich ist, zu (bußgeldbewehrten) Verstößen gegen die DSGVO und Nachteilen für den (vermeintlichen) Auftraggeber führen:
Zu empfehlen ist daher folgendes Vorgehen:
Zunächst ist die datenschutzrechtliche Rolle des Vertragspartners richtig zu identifizieren, nämlich als AlleinVerantwortlicher, GemeinsamVerantwortlicher, Auftragsverarbeiter oder NichtVerarbeiter. Verantwortlicher ist, wer »allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet« (Art. 4 Nr. 7 DSGVO), Auftragsverarbeiter, wer personenbezogene Daten (nur) im Auftrag eines Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Die Einstufung ist oft schwierig.
Soweit eine Auftragsverarbeitung oder eine Gemeinsame Verarbeitung vorliegt, muss ein Vertrag mit den gesetzlich vorgeschriebenen Regelungspunkten abgeschlossen werden.Soweit ein Vertrag zwischen zwei unabhängigen Verantwortlichen vorliegt, kann eine Vereinbarung abgeschlossen werden.
Ggf. ergibt sich sogar die Pflicht, eine solche Vereinbarung zu schließen, aus Art. 32 DSGVO. Bei einem externen Dienstleister, der keine Datenverarbeitung durchführt, aber ggf. Einsichtsmöglichkeiten in personenbezogene Daten hat (z.B. Reinigungskraft), ist ggf. eine Vertraulichkeitsvereinbarung abzuschließen.
FAZIT