Ist ein AVV zwischen Entleiher und Verleiher bei Leihstellungen von Geräten mit möglichen personenbezogenen Daten Dritter erforderlich?

Ob die Inanspruchnahme von Leistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, hängt von den Umständen ab. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist, ob der Dienstleister tatsächlich im Auftrag und nach Weisung des Verantwortlichen mit personenbezogenen Daten umgeht. **Wichtige Kriterien:** - **Tatsächlicher Zugriff:** Es reicht aus, dass der Dienstleister theoretisch Zugriff auf personenbezogene Daten haben könnte (z.B. bei Wartung, Hosting, IT-Support). Ein tatsächlicher Zugriff ist nicht zwingend erforderlich. - **Weisungsgebundenheit:** Der Dienstleister handelt nicht eigenverantwortlich, sondern ausschließlich nach Weisung des Verantwortlichen. - **Zweck der Datenverarbeitung:** Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Leistung. **Beispiel:** Ein IT-Dienstleister, der Wartungsarbeiten an einem System durchführt, in dem personenbezogene Daten gespeichert sind, gilt als Auftragsverarbeiter, auch wenn er im Regelfall nicht auf die Daten zugreift, dies aber technisch möglich wäre. **Fazit:** Ja, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann und dieser im Auftrag und nach Weisung des Verantwortlichen handelt, liegt in der Regel eine Auftragsverarbeitung vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html).

Der reine Transport von unverschlüsselten Festplatten mit personenbezogenen Daten – ohne dass der Transporteur selbst auf die Daten zugreift oder sie verarbeitet – gilt in der Regel **nicht** als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO). **Begründung:** Auftragsverarbeitung nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Der reine Transport (z.B. durch ein Kurierunternehmen), bei dem keine inhaltliche Kenntnisnahme oder Verarbeitung der Daten erfolgt, ist grundsätzlich keine Verarbeitung im Sinne der DSGVO, sondern eine reine Transportdienstleistung. **Wichtig:** - Der Transporteur darf keinen Zugriff auf die Daten nehmen. - Die Festplatten sollten idealerweise verschlüsselt sein, um das Risiko eines Datenverlusts oder -missbrauchs zu minimieren. - Es empfiehlt sich, mit dem Transporteur eine Vertraulichkeitsvereinbarung zu schließen und technische sowie organisatorische Maßnahmen zum Schutz der Daten zu treffen. **Quellen und weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe Auftragsverarbeitung](https://www.datenschutzkonferenz-online.de/media/oh/20180524_oh_auftragsverarbeitung.pdf) (siehe insbesondere S. 6, Punkt 2.2) - [BayLDA: FAQ zur Auftragsverarbeitung](https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung.pdf) **Fazit:** Der reine Transport unverschlüsselter Festplatten mit personenbezogenen Daten ist in der Regel keine Auftragsverarbeitung, solange keine Datenverarbeitung im Sinne der DSGVO erfolgt.

Der Ausdruck „Empfängern, denen personenbezogene Daten offengelegt werden“ bedeutet, dass bestimmte Personen, Unternehmen oder Organisationen („Empfänger“) Zugang zu personenbezogenen Daten erhalten oder diese Daten von einer anderen Stelle mitgeteilt bekommen. Im Kontext des Datenschutzes, insbesondere nach der Datenschutz-Grundverordnung (DSGVO), bezeichnet ein „Empfänger“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden – unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Beispiel: Wenn ein Unternehmen Kundendaten an einen externen Dienstleister weitergibt, ist dieser Dienstleister der „Empfänger“, dem personenbezogene Daten offengelegt werden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_empfaenger.pdf) oder direkt in der [DSGVO, Art. 4 Nr. 9](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).