AVV (Auftragsverarbeitungsvertrag)

Was bedeutet AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein datenschutzrechtlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Er ist in Art. 28 der Datenschutz-Grundverordnung (DSGVO) geregelt und seit dem 25. Mai 2018 verpflichtend, wenn personenbezogene Daten im Auftrag eines anderen verarbeitet werden.

Der Verantwortliche ist diejenige natürliche oder juristische Person, die über Zweck und Mittel der Datenverarbeitung entscheidet. Der Auftragsverarbeiter handelt ausschließlich nach dessen Weisung. Genau diese Weisungsgebundenheit und die formale Absicherung durch einen schriftlichen Vertrag sind das Kernmerkmal der Auftragsverarbeitung — und machen sie von einer gemeinsamen Verantwortlichkeit (Joint Controllership nach Art. 26 DSGVO) abgrenzbar.

Ohne einen gültigen AVV verstößt die Datenübermittlung an den Dienstleister gegen die DSGVO, auch wenn die Verarbeitung technisch korrekt erfolgt. Aufsichtsbehörden können das Fehlen eines AVV eigenständig als Ordnungswidrigkeit ahnden, unabhängig davon, ob ein konkreter Datenschutzverstoß aufgetreten ist.

Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Der Vertrag muss mindestens folgende Punkte regeln:

• Gegenstand, Dauer, Art und Zweck der Verarbeitung
• Kategorien betroffener Personen und Arten der verarbeiteten Daten
• Weisungsbindung des Auftragsverarbeiters
• Verpflichtung zur Vertraulichkeit der verarbeitenden Personen
• Umsetzung technisch-organisatorischer Maßnahmen nach Art. 32 DSGVO
• Bedingungen für den Einsatz von Unterauftragsverarbeitern
• Unterstützungspflichten bei Betroffenenanfragen und Behördenanfragen
• Rückgabe oder Löschung der Daten nach Auftragsende
• Recht des Verantwortlichen auf Kontrolle und Nachweis der Einhaltung

Der AVV muss in schriftlicher oder elektronischer Form geschlossen werden. Eine mündliche Vereinbarung genügt nicht.

Abgrenzung zur eigenverantwortlichen Verarbeitung

Nicht jede Datenübermittlung an einen Dritten begründet eine Auftragsverarbeitung. Wenn der externe Dienstleister eigenverantwortlich über Zweck und Mittel der Verarbeitung entscheidet — zum Beispiel ein Steuerberater, der eigene fachliche Urteile trifft — handelt es sich um eine eigenverantwortliche Stelle, für die kein AVV, sondern eine andere Rechtsgrundlage nach Art. 6 DSGVO erforderlich ist.

Im Personalbereich ist die Abgrenzung besonders relevant: Personaldienstleister, die Beschäftigtendaten (z. B. Gehaltsabrechnungen, Sozialversicherungsdaten) im strikten Auftrag des Kundenunternehmens verarbeiten, agieren als Auftragsverarbeiter. Personaldienstleister, die im Rahmen der Arbeitnehmerüberlassung eigene Arbeitgeber-Pflichten erfüllen und selbst über Teile der Verarbeitung entscheiden, sind dagegen teilweise eigenverantwortliche Stellen — hier ist eine genaue rechtliche Einordnung notwendig.

AVV in der Praxis bei Railo

Railo betreibt ausschließlich Arbeitnehmerüberlassung nach dem AÜG. Im Rahmen dieser Tätigkeit werden personenbezogene Daten der überlassenen Triebfahrzeugführerinnen und Triebfahrzeugführer zwischen Railo und den Entleiher-EVU ausgetauscht — etwa zur Einsatzkoordination oder zum Nachweis von Qualifikationen. Für Leistungen, bei denen Railo als Auftragsverarbeiter im Sinne der DSGVO handelt, schließt Railo einen AVV nach Art. 28 DSGVO ab. Die Rahmenvereinbarung mit den Entleiher-EVU enthält entsprechende datenschutzrechtliche Regelungen, sodass die Zusammenarbeit auf einer DSGVO-konformen Grundlage steht.