In der täglichen DSGVO-Praxis ist die Anforderung zur Regelung der Auftragsverarbeitung mit dem sog. Auftragsverarbeitungsvertrag (kurz AVV) häufig eine komplexe Herausforderung, die nicht einfach zu bewältigen ist. Nachdem ich einige Diskussionen mit Dienstleistern und deren Datenschutzbeauftragten zu diesem Thema hatte, möchte ich meine Einschätzung der Anwendung mit diesen Post veröffentlichen.
Die Komplexität liegt mittlerweile nicht mehr in der Bereitstellung der Verträge, sondern in der Vorarbeit ob ein AVV zur Anwendung kommt oder ob die Tätigkeit des Dienstleisters doch mit einer Datenschutzvereinbarung ausreichend geregelt ist. Die Aufsichtsbehörde Bayern hat vor einigen Wochen ein Schreiben als Hilfestellung dazu unter "https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf" veröffentlicht.
Kern dieser Prüfung ist die "Schwerpunktmethode", die ich hiermit kurz darstellen möchte: Neben der Anforderungen, dass der Auftraggeber einer Datenverarbeitung an den Auftragnehmer über Mittel und Zweck der Verarbeitung entscheiden kann, ist es meiner Einschätzung nach auch erforderlich, ob der Schwerpunkt der Tätigkeit in der elektronischen Verarbeitung von Daten liegt. Als Beispiel können hierzu der Betrieb (das sog. "Hosting") eines Webservers oder einer ganzen Serverinfrastruktur genannt werden. Der Kern und der Schwerpunkt liegt hier bei der Verarbeitung der Daten. Dagegen steht bspw. die Tätigkeit eines Handwerkers, der zwar auch Daten (Namen, Adressen, E-Mail etc.) zur Erfüllung seines Auftrags verarbeitet, jedoch aber der Schwerpunkt auf der Ausführung handwerklicher Tätigkeiten liegt. Meiner Erfahrung nach liefert die Veröffentlichung des LDA Bayern eine gute Hilfe, um diese komplexe Einstufung anhand von einigen Beispielen gut treffen zu können.
