Wann wird ein AVV benötigt?
Auftragsverarbeiter ist wer Zugriff auf personenbezogene Daten hat oder haben könnte.
Ein AVV wird zum Beispiel in folgenden Fällen benötigt:
- Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools
- Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp)
- Cloudbasierte CRM-Tools
- Externe Callcenter oder Kundenservices, die Kundendaten ohne wesentliche eigene Entscheidungsspielräume verarbeiten
- Lettershop, der Werbeadressen verarbeitet
- Externe Lohnbuchhaltung (Ausnahme: Steuerberater)
- Externe Wartung von Servern und Computern (Fernwartung)
- Externer Akten- und Datenträgervernichtungsdienstleister
- Hosting-Services
- Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben
- Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
- Outsourcing des Rechenzentrums
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
Konkrete Beispiele, wo ein AVV benötigt wird:
| Anbieter | Auftragsverarbeiter | Erläuterung | |
|---|---|---|---|
| Dropbox | Ja | Cloud | |
| GMX | Nein | sofern nur E-Mail Service genutzt wird | |
| Ja | GSuite und andere Cloud-Services | ||
| Hetzner | Ja | Server, Webhosting, Cloud.. | |
| Ionos | Ja | Server, Webhosting, Cloud.. | |
| Jimdo | Ja | Online-CMS | |
| Nein | Eine Unternehmensseite ist keine Auftragsverarbeitung | ||
| Lohnbüro | Ja | Wenn kein Steuerberater | |
| Microsoft | Ja | ||
| Newsletterdienstleister | Ja | ||
| SendinBlue | Ja | Newsletterdienstleister | |
| Reinigungsfirma | Nein | ||
| Strato | Ja | Server, Webhosting, Cloud.. | |
| wordpress.org | Ja | Online CMS (nicht ein eigenes installiertes WordPress) |
In folgenden Fällen wird z.B. KEIN AVV benötigt:
- wenn die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
- E-Mail Provider, die nur die E-Mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
- Wachdienste, Reinigungspersonal, d.h. bei ausgelagerten Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist
Quellen: https://www.dataguard.de/blog/der-auftragsverarbeitungsvertrag-avv; https://www.dr-datenschutz.de/auftragsverarbeitung-nach-dsgvo-definition-und-beispiele/; https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/