Auftragsverarbeitungsverträge in der Praxis
Zwischen Überregulierung und tatsächlichem Bedarf
In der täglichen Praxis unserer Datenschutzberatung bei COARTIFACT begegnen uns regelmäßig umfangreiche Auftragsverarbeitungsverträge (AVV), die von Endkunden an unsere Klienten herangetragen werden. Diese Verträge sind oft bemerkenswert detailliert ausgearbeitet – manchmal sogar überraschend komplex für den eigentlichen Anwendungsfall.
„Auftragsverarbeitungsverträge sind kein bloßer Verwaltungsakt, sondern das Fundament einer rechtlich abgesicherten Datenverarbeitung zwischen Unternehmen."
Die Realität der Datenverarbeitung
Während COARTIFACT keine Rechtsberatung anbietet, unterstützt wir uns seine Klienten dabei, gemeinsam mit ihren Endkunden eine grundlegende Frage zu klären: Welche personenbezogenen Daten werden tatsächlich verarbeitet, und in welchem Umfang geschieht dies? Diese zunächst simpel erscheinende Analyse führt häufig zu überraschenden Erkenntnissen.
Weniger ist manchmal mehr
In mehreren Fällen hat eine gründliche Analyse durch die Vertragsparteien ergeben, dass ein AVV gar nicht erforderlich war. Die automatische Annahme, dass jede Form der Zusammenarbeit einen AVV benötigt, erweist sich in der Praxis als nicht zutreffend. Stattdessen wäre in manchen Fällen das Konzept der gemeinsamen Verantwortung angemessener – ein Modell, das in der Praxis erstaunlich selten zur Anwendung kommt.
Die übersehene Alternative: Gemeinsame Verantwortung
Die gemeinsame Verantwortung, wie sie in der DSGVO vorgesehen ist, wird häufig übersehen, obwohl sie in vielen Szenarien das passendere Konstrukt wäre. Dieses Modell berücksichtigt die Realität vieler moderner Geschäftsbeziehungen, in denen beide Parteien aktiv an der Festlegung der Zwecke und Mittel der Datenverarbeitung beteiligt sind.
Fazit
Eine pragmatische Herangehensweise an das Thema Auftragsverarbeitung ist essentiell. Statt vorschnell umfangreiche AVVs abzuschließen, empfiehlt COARTIFACT seinen Klienten, zunächst eine sorgfältige Analyse der tatsächlichen Datenverarbeitungsprozesse durchzuführen. Oft führt dieser Ansatz zu schlankeren, aber dafür präziseren Vereinbarungen – oder zur Erkenntnis, dass andere Formen der datenschutzrechtlichen Zusammenarbeit angemessener sind.
Weitere Beiträge