Auftragsverarbeitungsvertrag (AVV) –
Warum er nicht erforderlich ist
Rechtliche Einordnung gemäß DSGVO · Stand: März 2025
Rechtliche Einordnung
Die IDentity Center GmbH verarbeitet im Rahmen des Dienstes MeinDatensatz keine personenbezogenen Daten der Endkunden der Unternehmenskunden. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist daher zwischen der IDentity Center GmbH und dem Unternehmenskunden für die Datensatz-Escrow-Funktion nicht erforderlich. Die nachfolgende Begründung legt dar, wie sich diese Einordnung aus dem Systemdesign und den anwendbaren datenschutzrechtlichen Grundsätzen ergibt.
1. Anwendungsbereich der DSGVO
Die DSGVO findet gemäß Art. 2 Abs. 1 DSGVO nur auf die Verarbeitung personenbezogener Daten Anwendung. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist dabei, ob das verarbeitende Unternehmen mit den ihm zur Verfügung stehenden Mitteln eine Identifizierung vornehmen kann.
Erwägungsgrund 26 DSGVO stellt klar:
„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Informationen."
Die AVV-Pflicht nach Art. 28 DSGVO setzt zwingend voraus, dass ein Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Fehlt es an der Verarbeitung personenbezogener Daten, entsteht diese Pflicht nicht.
2. Technisches System von MeinDatensatz
Das Systemdesign von MeinDatensatz stellt sicher, dass die IDentity Center GmbH als Betreiberin zu keinem Zeitpunkt Zugang zu identifizierbaren personenbezogenen Daten der Endkunden hat. Dies ergibt sich aus folgenden technischen Gegebenheiten:
Ende-zu-Ende-Verschlüsselung des Datensatz-Payloads
Alle von Unternehmenskunden übermittelten Datensatz-Inhalte werden ausschließlich
als Chiffrat (payload_cipher) gespeichert.
Die Verschlüsselung erfolgt mit AES-256-GCM
über die Bibliothek libsodium. Der dazu notwendige Datensatz-Schlüssel
(key_cipher) ist seinerseits mit einem
aus der Passphrase des Endkunden abgeleiteten Schlüssel
(Argon2id / libsodium pwhash)
verschlüsselt. Die Passphrase des Endkunden wird zu keinem Zeitpunkt
gespeichert und ist der IDentity Center GmbH unbekannt.
Export-Passwort: ausschließlich beim Unternehmen und Endkunden
Das beim Erstellen einer Exportdatei generierte Passwort ist ausschließlich dem Unternehmenskunden zugänglich. Der Endkunde erhält das Passwort nur dann, wenn das Unternehmen es ihm auf einem separaten Kanal mitteilt. Die IDentity Center GmbH speichert dieses Passwort in keinem Fall und hat keinen Zugang dazu.
Automatische Bereinigung der Logdateien
Logdateien werden vor dem Schreiben automatisch um die per Parameter übergebenen Daten bereinigt. Inhalte, die personenbezogene oder anderweitig schützenswerte Informationen enthalten könnten, erscheinen in keinem Log-Eintrag. Die Logs enthalten ausschließlich technische Identifikatoren (Tenant-ID, Datensatz-ID, Ereignistyp, Zeitstempel).
Audit-Logs ohne personenbeziehbare Inhalte
Das Audit-Log enthält ausschließlich technische Identifikatoren (Tenant-ID, Datensatz-ID, Ereignistyp, Zeitstempel) und keine Klartext-PII der Endkunden. IP-Adressen von Endkunden werden nicht in Audit-Logs gespeichert.
3. Rechtliche Schlussfolgerung
Die vorstehend beschriebene technische Architektur hat folgende datenschutzrechtliche Konsequenz:
Die IDentity Center GmbH speichert und verarbeitet im Rahmen der Escrow-Funktion ausschließlich Daten, die ihr gegenüber keinen Personenbezug aufweisen. Das Chiffrat ist ohne den dem System unbekannten Schlüssel – nach dem Stand der Technik und mit vertretbarem Aufwand – nicht zu entschlüsseln. Dritte Referenzinformationen, die eine Identifizierung der hinter einem Datensatz stehenden natürlichen Person erlauben würden (insbesondere die E-Mail-Adresse), sind im System nicht vorhanden.
Diese Einordnung steht im Einklang mit Erwägungsgrund 26 DSGVO, der festlegt, dass die datenschutzrechtlichen Grundsätze nicht für Informationen gelten sollen, die so anonymisiert wurden, dass eine Identifizierung der betroffenen Person nicht mehr möglich ist, sowie mit der einschlägigen Rechtsprechung und den Stellungnahmen der Datenschutzaufsichtsbehörden zur Bewertung verschlüsselter Daten (vgl. u. a. WP 136 der Art.-29-Gruppe; EDPB-Leitlinien zur Pseudonymisierung).
Da die IDentity Center GmbH für die Unternehmenskunden somit keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO verarbeitet, ist sie in dieser Funktion kein Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO setzt eine solche Auftragsverarbeitung personenbezogener Daten jedoch zwingend voraus. Sie entsteht daher im Verhältnis zwischen der IDentity Center GmbH und dem Unternehmenskunden für die Escrow-Funktion nicht.
Zusammenfassung der Rechtsgrundlagen
- Art. 4 Nr. 1 DSGVODefinition personenbezogener Daten – nur anwendbar, wenn die verarbeitende Stelle eine Person identifizieren kann.
- Art. 4 Nr. 5 DSGVOPseudonymisierung – vorliegend über Pseudonymisierung hinausgehend: ohne Passphrase keine Entschlüsselung möglich.
- Erw.-Gr. 26 DSGVOAnonyme Informationen fallen nicht in den Anwendungsbereich der DSGVO.
- Art. 28 DSGVOAVV-Pflicht setzt Auftragsverarbeitung personenbezogener Daten voraus – diese liegt nicht vor.
4. Abgrenzung: Daten der Unternehmenskunden selbst
Davon zu unterscheiden sind die Registrierungs- und Zugangsdaten der Unternehmenskunden selbst (insbesondere Name und E-Mail-Adresse der Admin-Nutzer), die MeinDatensatz im Rahmen der Bereitstellung des Dienstes verarbeitet. Diese Daten verarbeitet die IDentity Center GmbH als Verantwortliche auf Grundlage des Nutzungsvertrages (Art. 6 Abs. 1 lit. b DSGVO). Hierzu bedarf es keines AVV, da keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vorliegt. Die Einzelheiten regelt die Datenschutzerklärung.
5. Datenschutzrechtliche Pflichten des Unternehmenskunden
Obwohl kein AVV zwischen dem Unternehmenskunden und der IDentity Center GmbH erforderlich ist, verbleiben beim Unternehmenskunden als Verantwortlichem umfassende datenschutzrechtliche Pflichten gegenüber seinen Endkunden:
- Sicherstellung einer Rechtsgrundlage für die Verarbeitung der Endkundendaten vor dem Upload (Art. 6 DSGVO)
- Information der Endkunden über die Nutzung des Escrow-Dienstes im Rahmen der eigenen Datenschutzerklärung
- Datenschutzkonforme Übermittlung der Passphrase an den Endkunden (außerhalb des Systems, z. B. postalisch oder über einen separaten Kanal)
- Sicherstellung, dass nur solche Daten hochgeladen werden, für die die Verarbeitung rechtlich zulässig ist
6. Kontakt bei Datenschutzfragen
Für Fragen zur datenschutzrechtlichen Einordnung des Dienstes oder zur Erstellung einer eigenen Dokumentation (z. B. Verzeichnis der Verarbeitungstätigkeiten, Datenschutzerklärung des Unternehmenskunden) stehen wir gerne zur Verfügung: