AVV (Auftragsverarbeitungsvertrag)

Der AVV ist ein zentrales Instrument der DSGVO (Art. 28). In der modernen, digitalisierten Arbeitswelt lagern Unternehmen immer häufiger Datenverarbeitungsprozesse an externe Dienstleister aus. Ob Cloud-basierte Buchhaltungsprogramme, Zeiterfassungs-Apps für Monteure oder Bewerbermanagement-Systeme – sobald ein externer Dritter Zugriff auf personenbezogene Daten Ihrer Kunden oder Mitarbeiter hat, handelt es sich rechtlich um eine Auftragsverarbeitung. Der Zweck des AVV ist es, sicherzustellen, dass der Dienstleister dieselben hohen Datenschutzstandards einhält wie der Verantwortliche selbst. Der Auftraggeber bleibt 'Herr der Daten' und behält die Weisungsbefugnis. Ohne einen schriftlichen (oder elektronischen) AVV ist die Weitergabe von Daten an einen Dienstleister rechtswidrig und kann zu empfindlichen Bußgeldern führen. Der Vertrag muss spezifische Mindestinhalte haben, darunter den Gegenstand und die Dauer der Verarbeitung, die Art der Daten, den Kreis der Betroffenen sowie die technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten.

Für Arbeitgeber im Handwerk ist der AVV eine wichtige Versicherung gegen Haftungsrisiken. Wenn ein Software-Anbieter (z.B. für Ihr Recruiting) eine Datenpanne erleidet, haften Sie als Verantwortlicher gegenüber den Betroffenen (Bewerbern) zunächst voll. Haben Sie jedoch einen korrekten AVV abgeschlossen und den Dienstleister sorgfältig ausgewählt, können Sie Regressansprüche geltend machen und nachweisen, dass Sie Ihren organisatorischen Sorgfaltspflichten nachgekommen sind. Im Recruiting ist der AVV unverzichtbar, sobald Sie eine Software zur Verwaltung von Bewerbungen nutzen. Da Bewerberdaten (Lebensläufe, Zeugnisse, Gesundheitsdaten) besonders sensibel sind, ist das Risiko hier hoch. Ein Arbeitgeber, der proaktiv auf den Abschluss eines AVV achtet, zeigt Professionalität und schützt die Privatsphäre seiner (potenziellen) Mitarbeiter. Viele moderne SaaS-Anbieter (Software as a Service) stellen bereits vorgefertigte AVVs zur Verfügung, die oft online per Klick bestätigt werden können. Dennoch liegt es in der Verantwortung des Arbeitgebers, zu prüfen, ob der Vertrag die gesetzlichen Anforderungen erfüllt und ob der Dienstleister die Daten möglicherweise in Drittländer (außerhalb der EU) übermittelt, was zusätzliche rechtliche Hürden (wie Standardvertragsklauseln) erfordert.

Die größte Herausforderung ist oft die Unkenntnis darüber, für welche Dienstleistungen überhaupt ein AVV benötigt wird. Typische 'Fallen' im Handwerk sind: Externe Lohnabrechnungsbüros, IT-Wartungsdienste mit Fernzugriff auf den Server, Anbieter von GPS-Ortungssystemen in Firmenwagen oder eben Recruiting-Plattformen. Oft wird fälschlicherweise angenommen, dass ein einfacher Dienstleistungsvertrag ausreicht. Eine weitere Hürde ist die Prüfung der 'Technischen und Organisatorischen Maßnahmen' (TOM). Ein AVV ist nur so viel wert wie die tatsächliche Sicherheit beim Dienstleister. Handwerkschefs sind oft überfordert damit, zu beurteilen, ob die Verschlüsselung, die Zutrittskontrollen zum Rechenzentrum oder die Backup-Strategien eines Software-Anbieters wirklich dem Stand der Technik entsprechen. Hier ist man oft auf Zertifizierungen (z.B. ISO 27001) oder die Reputation des Anbieters angewiesen. Schließlich müssen AVVs auch aktuell gehalten werden: Ändert sich der Umfang der verarbeiteten Daten oder die eingesetzte Technologie, muss auch der Vertrag angepasst werden. Die Archivierung dieser Verträge über Jahre hinweg ist eine zusätzliche administrative Aufgabe, die in kleinen Betrieben oft vernachlässigt wird.