DSGVO: Auftragsverarbeitungsvertrag auch ohne Auftragsverarbeitung?

Auftragsverarbeitungsvertrag ohne AuftragsverarbeitungDie DSGVO hat so manche gute Aspekte. Aber mangels klarer Formulierungen, die sie selbst fordert, sind auch Schreckgespenster entstanden. Eines heißt Auftragsverarbeitungsvertrag, kurz AV-Vertrag oder auch AVV. So ein AV-Vertrag beginnt laut der Muster, die vielerorts zur Verfügung stehen, mit den Worten:

»Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers…«

So weit so gut. Wenn ein Auftragnehmer denn tatsächlich personenbezogene Daten im Auftrag seines Auftraggebers verarbeitet, sollte dies sicherlich auch gut geregelt sein. Doch was ist, wenn gar kein entsprechender Auftrag besteht? Durch die extrem weite Definition der Begriffe Verarbeitung und personenbezogene Daten sollen nun offenbar Menschen einen solchen Auftragsverarbeitungsvertrag auch ohne Auftragsverarbeitung miteinander schließen. Bitte, das kann doch nicht im Sinne des Gesetzgebers sein!

Fest im Griff der DSGVO

Eigentlich wollte ich mir dieser Tage über ganz andere Dinge Gedanken machen. Zum Beispiel die WM: Holt das deutsche Team den fünften Stern? Oder spielt es wenigstens im ungeliebten kleinen Finale um Platz 3? Oder auch: Was kann/muss ich tun, damit meine Katze nicht immer wieder ihr Futter ausspuckt? Aber nein, noch immer beschäftigt mich ununterbrochen die DSGVO. Die hatte mich schon das ganze Frühjahr in ihrem Griff. Im Allgemeinen fand ich die Fragestellungen immerhin noch irgendwie interessant. Meist hatten sie zumindest irgendwas mit meiner eigentlichen Arbeit zu tun. IP-Adressen von Kommentierenden nicht mehr aufzuzeichnen oder Verbindungen zu externen Servern zu kappen. Solche Sachen.

Nun betrifft das Ganze aber auch reichlich Aspekte, die mit meiner Tätigkeit bestenfalls bedingt zu tun haben. Damit unterscheide ich mich nicht von allen anderen (Klein)-Unternehmer/innen, denen ich das Arbeiten mit WordPress näherzubringen versuche oder deren Website ich betreue. Mit dem Unterschied allerdings, dass von jemandem wie mir erwartet wird, dass ich genau wüsste, was die DSGVO von uns will. Immerhin hätten meine Kunden das Recht, eine (auch in Datenschutzfragen?) tadellose Website zu bekommen.

Grundsätzlich ist dagegen ja auch nichts zu sagen. Wenn meine Kunden alles selbst könnten und wüssten, bräuchten sie mich nicht. Sie sollen sich auf meinen Rat und die entsprechende Tat verlassen können, das erwarte ich von mir selbst. Doch wie verkaufe ich nun, dass sie mit mir einen Vertrag abschließen sollen über einen Auftrag, den es gar nicht gibt, weshalb ich die im Vertrag geregelte Tätigkeit gar nicht ausübe? Und was passiert, wenn wir diesen Vertrag nicht abschließen? Werde ich dann zur Alleinverantwortlichen der Websites meiner Kunden? Bin ich das nicht vielleicht sogar schon, weil ich ihnen dazu geraten habe, alles abzuschalten, was mit personenbezogenen Daten zu tun haben könnte? Oder bin ich damit gar zu ihrer Datenschutzbeauftragten in Sachen Website mutiert?

Auftragsverarbeitungsvertrag ohne Auftrag zur Verarbeitung

Was zum Beispiel will die DSGVO von uns, wenn sie einen Auftragsverarbeitungsvertrag über das Verarbeiten von personenbezogenen Daten fordert, obwohl

  1. der Kunde mich dafür gar nicht beauftragt hat und
  2. ich entsprechend in dieser Hinsicht für den Kunden gar nicht tätig bin?

Der Grund für diese Absurdität liegt in dem sehr weit gefassten Verständnis der Verarbeitung. Dies umfasst so ziemlich alles, was man mit Daten machen oder eben auch nicht machen kann. Sprich: Es reicht, dass schlicht die Möglichkeit besteht, mit ihnen etwas machen zu können. Zum Beispiel sie anzusehen. Und das könnte ich, wenn ich denn wollte: Ich wäre in der Lage, bei jedem meiner Kunden die Logfiles zu studieren. Allein diese Logfiles sind ja auch für so manchen Websitebetreiber der einzige Grund, weshalb sie einen Auftragsverarbeitungsvertrag mit ihrem Hostinganbieter geschlossen haben. Denn: IP-Adressen gelten als personenbezogene Daten. Immerhin macht der Hoster tatsächlich etwas mit diesen IP-Adressen: Er speichert und anonymisiert sie. Ich hingegen mache mit diesen IP-Adressen… nichts.

Dabei kann die Website doch gar nichts

Für die meisten meiner Kunden, deren Websites ich betreue, gilt genau dies: Als einziges personenbezogenes Datum liegen die IP-Adressen der Websitebesucher vor. Kein Name, keine Adresse, keine E-Mail oder sonst auf nur irgendwas, das auf ihre Identität rückschließen ließe. Und sollten diese Websites auf Basis von WordPress funktionieren: Es gibt keine Kontaktformulare oder Kommentar- oder Registrierungsmöglichkeiten. Noch nicht mal weitere Benutzer. Auch gibt es keinen Austausch mit externen Servern, also kein Google Analytics, noch nicht mal Google Fonts oder jQuery Bibliotheken.

Mit anderen Worten: Ich weiß nichts über ihre Websitebesucher oder gar ihre Kunden. Aber das ist auch nicht mein Job. Mein Job ist die inhaltliche und gestalterische Bearbeitung ihrer Website. Texte zu schreiben oder zu überarbeiten und diese zu veröffentlichen. Manchmal Bearbeitung und Veröffentlichung von Fotos. Oftmals Änderungen an HTML- und/oder CSS-Dateien. Vielleicht bearbeite ich auch mal ein Template. Oder aktualisiere die WordPress-Installation mit ihren Komponenten. Selbst wenn ich dabei ihre Dateien und die Datenbank vorher sichere, lade ich mir damit nichts auf den Rechner, was zu einer Datenpanne führen könnte.

Und doch soll ich einen Auftragsverarbeitungsvertrag zeichnen? Und dann auch noch ein Verarbeitungsverzeichnis für Auftragsverarbeiter führen?

Verarbeitungsverzeichnis als Dokumentation des Nichtstuns

Jeder Auftragsverarbeiter muss ein Verarbeitungsverzeichnis führen. Was auch in Ordnung ist, wenn der Auftrag die Verarbeitung personenbezogener Daten betrifft. Doch wie soll ich etwas dokumentieren, das ich nicht mache?

Meinem Verarbeitungsverzeichnis als Verantwortliche hatte ich das Muster zugrundegelegt, das die Aufsichtsbehörden veröffentlicht haben. In der Tat fand ich es durchaus hilfreich, um mir über meine Kategorien betroffener Personen und betroffener Daten klar zu werden. Aber wie soll ich im Verzeichnis als Auftragsverarbeiterin dokumentieren, dass ich nicht die IP-Adressen (Datenkategorie) der Websitebesucher meiner Kunden (Kategorie der betroffenen Personen) verarbeite?

Nun könnte ich mich bei allem dafür entscheiden, dass ich für solche Fälle einfach keinen AV-Vertrag anbiete. Aber diese Entscheidung kann ich leider nicht nur für mich selbst treffen. Im Zweifel sind meine Kunden, die darüber noch weniger wissen als ich, mit betroffen. Von selbst kommen sie jedenfalls kaum auf die Idee, dass solch ein Vertragswerk nötig sein könnte. Und selbst wenn ich auf die Idee käme, dem Datenschutz-Guru zu folgen und dessen Datenschutzvereinbarung Wartung und Pflege von IT-Systemen zur Datenschutzvereinbarung Wartung und Pflege von Websites umzufunktionieren, hängt daran immer noch das Verarbeitungsverzeichnis. Über eine Tätigkeit, die bei der Wartung und Pflege von IT-Systemen auch nicht Teil des Auftrags ist.

Mit allem stehe ich wahrlich nicht alleine da. Ich haben so einige Kolleginnen, denen geht es mit ihren Kunden nicht anders. Wir sind weder beauftragt, für unsere Kunden personenbezogene Daten zu verarbeiten, noch tun wir dies aus Jux und Tollerei. Und doch scheint es nicht zu reichen, dass wir mit unseren Kunden eine Datenschutzvereinbarung im Sinne der Verschwiegenheitserklärung unterzeichnen.


Beitragsbild: Britta Kretschmer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.