Wann wird ein AVV benötigt?

Wann wird ein AVV benötigt?

Auftragsverarbeiter ist wer Zugriff auf personenbezogene Daten hat oder haben könnte.

Ein AVV wird zum Beispiel in folgenden Fällen benötigt:

  • Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools
  • Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp)
  • Cloudbasierte CRM-Tools
  • Externe Callcenter oder Kundenservices, die Kundendaten ohne wesentliche eigene Entscheidungsspielräume verarbeiten
  • Lettershop, der Werbeadressen verarbeitet
  • Externe Lohnbuchhaltung (Ausnahme: Steuerberater)
  • Externe Wartung von Servern und Computern (Fernwartung)
  • Externer Akten- und Datenträgervernichtungsdienstleister
  • Hosting-Services
  • Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben
  • Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
  • Outsourcing des Rechenzentrums
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen

Konkrete Beispiele, wo ein AVV benötigt wird:

AnbieterAuftragsverarbeiterErläuterung
DropboxJaCloud
GMXNeinsofern nur E-Mail Service genutzt wird
GoogleJaGSuite und andere Cloud-Services
HetznerJaServer, Webhosting, Cloud..
IonosJaServer, Webhosting, Cloud..
JimdoJaOnline-CMS
LinkedinNeinEine Unternehmensseite ist keine Auftragsverarbeitung
LohnbüroJaWenn kein Steuerberater
MicrosoftJa
NewsletterdienstleisterJa
SendinBlueJaNewsletterdienstleister
ReinigungsfirmaNein
StratoJaServer, Webhosting, Cloud..
wordpress.orgJaOnline CMS (nicht ein eigenes installiertes WordPress)
Quelle Tabelle: https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/, 7.1.24

In folgenden Fällen wird z.B. KEIN AVV benötigt:

  • wenn die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
  • E-Mail Provider, die nur die E-Mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
  • Wachdienste, Reinigungspersonal, d.h. bei ausgelagerten Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist

Quellen: https://www.dataguard.de/blog/der-auftragsverarbeitungsvertrag-avv; https://www.dr-datenschutz.de/auftragsverarbeitung-nach-dsgvo-definition-und-beispiele/; https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/