Inna Gendelman und Alexander Lembke über AVV-Prüfungen

Ein wichtiges Element des Datenschutzes in Unternehmen ist der Auftragsverarbeitungsvertrag, kurz AVV. Dabei handelt es sich um eine vertragliche Regelung über die Verarbeitung personenbezogener Daten zwischen Unternehmen und ihren Dienstleistern. Gute Auftragsverarbeitungsverträge sind die Basis für die Beziehung der beiden Parteien. Sie bilden Verarbeitungstätigkeiten rechtssicher ab und gewährleisten ein lückenloses Datenschutzniveau bei der Zusammenarbeit.

Doch warum sind AVV-Prüfungen so wichtig und was muss bei der Durchführung beachtet werden? Wir haben mit zwei Personen gesprochen, zu deren täglichen Aufgaben die Prüfung von AVVs gehört.

Inna Gendelman ist seit 2015 Rechtsanwältin bei der Kanzlei Schürmann Rosenthal Dreyer. Daneben arbeitet sie bei der Tochter ISiCO Datenschutz GmbH als Management Consultant. Dabei ist sie mit zahlreichen Aufgaben betraut – die Prüfung von Auftragsverarbeitungsverträgen europäischer und internationaler Mandanten ist eine davon. Unterstützt wird sie dabei von Alexander Lembke, wissenschaftlicher Mitarbeiter der ISiCO Datenschutz GmbH.

Frau Gendelman, Herr Lembke, herzlichen Dank für Ihre Zeit. Die Prüfung von Auftragsverarbeitungsverträgen gehört zu Ihren täglichen Aufgaben – doch bevor wir ins Detail gehen: Brauche ich als Unternehmen für jeden Dienstleister einen AVV?

Inna Gendelman: Das kommt ganz auf den Beziehungstyp an [lacht]. Tatsächlich lassen sich zwischenmenschliche Beziehungen auf das Verhältnis von Unternehmen und Dienstleistern innerhalb der DSGVO übertragen. Liegt beispielsweise eine Co-Abhängigkeit vor, befinden wir uns nach der DSGVO im Bereich des AVV. Bedeutet: Wenn 1. der Dienstleister für die Hauptdienstleistung personenbezogene Daten nutzt, die von mir als Unternehmen zur Verfügung gestellt werden und unterliegt er dabei 2. meinem Weisungsrecht, ist ein AVV Pflicht.

Und der AVV ist quasi der Ehevertrag. Warum ist das so wichtig?

Inna Gendelman: Ganz klar, weil es das Gesetz fordert. Die Bedingungen für den AVV sind im Art. 28 DSGVO geregelt, der diese bestimmte eben angesprochene Dienstleistungskonstellation darstellt und ganz klar vorgibt, welche Mindestinhalte der Vertrag enthalten muss. Betrachtet man den Sinn und Zweck des AVV in einem größeren Kontext, wird die Bedeutung auch unabhängig davon deutlich. Unternehmen haben sich geändert und gerade im Zuge der Digitalisierung ist Outsourcing von Dienstleistungen und Teilaufgaben in der Wirtschaft mittlerweile gang und gäbe. Allround-Dienstleister sind selten geworden, viele Firmen spezialisieren sich und erweitern ihr Leistungsspektrum durch Sub-Dienstleister. Das gilt vor allem für Software as a Service, Cloud-Anbieter oder externe Server. Und an dieser Stelle kommen AVV und DSGVO ins Spiel, um den Schutz der personenbezogenen Daten einer Betroffenen Person weiterhin sicherzustellen.

Warum? Der Betroffene hat meist nur einen Vertragspartner, dem er in einer bewussten Entscheidung seine personenbezogenen Daten zur Verfügung stellt. Das können Name und Adresse sein, aber je nach Verhältnis auch Gesundheitsdaten, religiöse Zugehörigkeit und mehr. Damit sich dieser Betroffene selbst im Falle von Outsourcing keine Sorgen um seine Daten machen muss, hat der Gesetzgeber das Instrument des AVV geschaffen. Allgemeinsprachlich sagt das Gesetz dem verantwortlichen Vertragspartner des Betroffenen: „Wenn du Arbeitsschritte in einem eng weisungsgebundenen Verhältnis auslagerst, dann musst du dem Dienstleister ganz genau sagen, was er für Rechte und Pflichten hat, und prüfen, welche TOM er hat.“ Der Vertragspartner bleibt dabei gegenüber dem Betroffenen für die Sicherheit der Daten verantwortlich.

…und da kommt die AVV-Prüfung ins Spiel!

Inna Gendelman: Genau. Die DSGVO regelt nämlich nicht nur, dass ein AVV an sich abgeschlossen werden muss. Sie definiert auch, wie dieser auszusehen hat und welche Klauseln enthalten sein müssen. Bei der Prüfung ist es dann interessant zu schauen, welche Punkte ich vielleicht einbauen kann, die für mich als Auftragsverarbeiter oder Verantwortlicher besonders günstig sind. Das gibt Spielraum für Verhandlungen. Aber: Verstößt man gegen Art. 28 DSGVO, droht ein Bußgeld. Ein Verstoß kann sowohl bei Nichtabschluss eines AVV als auch bei einer mangelhaften Regelung vorliegen.

Daneben ist eine AVV-Prüfung auch für das eigene Datenschutzmanagementsystem wichtig. Denn der Auftragsverarbeiter hat zahlreiche Pflichten, für deren Erfüllung er intern die nötigen Prozesse braucht. Es muss beispielsweise klar sein, was im Falle eines Datenschutzvorfalls zu tun ist. Das wird deutlich, wenn der AVV geprüft wird.

Zudem können AVVs versteckte Kostentragungspflichten enthalten. Oder andere nachteilige Klauseln, beispielsweise zur Ausgestaltung von Auditrechten. Und auch bei der Vereinbarung von Fristen ist besondere Aufmerksamkeit gefragt. Um dies alles zu erkennen und gegebenenfalls nachzuverhandeln, muss man eine detaillierte AVV-Prüfung durchführen.

Das ist sicher eine mühsame Arbeit. Haben Sie Praxistipps für andere AVV-Prüfer:innen?

Alexander Lembke: Das wichtigste ist, den Vertrag gründlich und mehrfach zu lesen. Das mag banal klingen, ist aber unerlässlich, um gegebenenfalls versteckte Klauseln zu entdecken oder Verbindungen zwischen Klauseln zu erkennen und zu verstehen. Wenn man in einer versteckten Klausel zum Beispiel Kostenregelungen oder einen umfassenden Haftungsausschluss übersieht, kann es für das eigene Unternehmen schnell teuer werden.

Außerdem sollte man ein gutes Verständnis dafür haben, für welchen Dienstleister und welchen Service der AVV aufgesetzt wird. Damit kann bereits eingegrenzt werden, welche Klauseln überhaupt relevant sind und welche Daten Gegenstand des AVV sein müssen. Der AVV sollte dies alles möglichst konkret bezeichnen und festhalten.

Es ist außerdem von Vorteil, alle neuen Entwicklungen bei Rechtsprechung, Kommentierung und Behördenmeinungen zu verfolgen sowie die Empfehlungen des Europäischen Datenschutzausschuss‘ zu beachten. Nur so bleibt man auf dem neuesten rechtlichen Stand. Schon Verträge aus 2018 entsprechen häufig nicht mehr den Standards, die mittlerweile angewendet werden müssen.

Inna Gendelman: Guter Punkt, Altverträge sind wirklich ein großes Thema aufgrund der sich schnell wandelnden Rechtsprechung. Im vergangenen Jahr gab es zum Beispiel umfangreiche Neuerungen beim Drittstaatentransfer von Daten, woraufhin die betroffenen AVVs aktualisiert werden mussten. Unternehmen müssen hier aufmerksam sein und mögliche Übergangsfristen im Blick behalten. Das gleiche gilt, wenn Unternehmen verschmelzen und sich der Name des Vertragspartners ändert. Bei all diesen Angelegenheiten müssen die AVVs immer mitgedacht werden.

Das sind spannende Tipps. Muss man im Umkehrschluss bei der Arbeit mit AVVs etwas unbedingt vermeiden?

Inna Gendelman: Prüfer sollten den AVV nicht als in Stein gemeißelt betrachten, sondern sich mit dem Vertragspartner unterhalten und Klauseln gegebenenfalls nachverhandeln, bis man gemeinsam zu einer guten Lösung gefunden hat. Dabei darf man jedoch nicht immer einen guten Willen des Vertragspartners voraussetzen. Stattdessen sollte man mögliche Bedenken direkt äußern und Unklarheiten ausräumen. Möglichkeiten zum Nachverhandeln werden oft erst bei der AVV-Prüfung erkennbar.

Sie prüfen regelmäßig AVVs und sind mit allen Facetten rund um das Thema AVVs vertraut – was macht Ihnen an dieser Arbeit besonders Spaß?

Alexander Lembke: Zum einen sind AVV-Prüfungen eine ‚dankbare‘ Arbeit, weil es dabei einen konkreten Gegenstand und ein konkretes Ziel gibt – den Vertrag, der genau geprüft werden muss. Zum anderen erhält man als externer AVV-Prüfer einen guten Überblick über die zahlreichen spezialisierten Unternehmen auf dem Markt und welche spannenden Dienstleistungen sie anbieten.

Außerdem finde ich das Rechtsgebiet persönlich sehr interessant. Es bedeutet für die Unternehmen eine große Verantwortung, die Daten von betroffenen Personen zu verarbeiten. Diese Verarbeitung muss daher sicher gestaltet sein und die Daten dürfen nicht fahrlässig behandelt werden. Dafür existieren AVVs in unserem Datenschutzrecht – und das ist auch gut so!

Inna Gendelman: Dem kann ich nur zustimmen. Darüber hinaus sind AVV-Prüfungen auch handwerklich schön. Es gibt nämlich wenig Spielraum, da AVVs gesetzlich klar geregelt sind. Dadurch existieren kaum Grauzonen im AVV-spezifischen Datenschutzrecht und wir können mit klaren Gesetzen arbeiten.

Vielen Dank für diese spannenden Einblicke, Inna Gendelman und Alexander Lembke.

Um das Ganze in wenigen Sätzen zusammenzufassen: Auftragsverarbeitungsverträge zwischen Unternehmen und Dienstleistern sind essenziell für den korrekten Umgang mit Personendaten – und müssen daher mit der entsprechenden Sorgfalt geprüft werden. Das erkennt auch der Gesetzgeber, weshalb er Verstöße und Versäumnisse teils mit hohen Bußgeldern belegt. Trotzdem kann die Arbeit mit AVVs auch Spaß machen.

Am meisten Spaß macht eine AVV-Prüfung sicherlich, wenn eine Software sie vollautomatisch und rechtssicher erledigt. Daher entwickeln wir von caralegal eine auf Künstlicher Intelligenz (KI) basierte Software, die AVV-Prüfungen auf Mausklick durchführt. Für den Feinschliff der KI brauchen wir im letzten Prozessschritt die Hilfe von Beta-Tester:innen. Melden Sie sich jetzt an, um aus schwergängigen AVV-Prüfungen einen leichtgängigen Prozess zu machen.