AVV-Verträge, Behörden

AVV-Verträge: Behörden kämpfen gegen Transparenz-Offensive

22.11.2025 - 06:50:12

AVV-Verträge: Behörden kämpfen gegen Transparenz-Offensive - Foto: über boerse-global.de
AVV-Verträge: Behörden kämpfen gegen Transparenz-Offensive - Foto: über boerse-global.de

Die schwarze Box der öffentlichen IT-Beschaffung wird aufgebrochen – doch die Verwaltung schlägt zurück. Eine Welle von Informationsfreiheitsanfragen offenbart den Konflikt zwischen digitaler Transparenz und IT-Sicherheit.

Die letzten 72 Stunden markieren einen Wendepunkt für Datenschutz-Transparenz in Deutschland: Auf der Transparenzplattform Rheinland-Pfalz häufen sich veröffentlichte Antworten auf Anfragen nach Auftragsverarbeitungsverträgen (AVV) gemäß Artikel 28 DSGVO. Bürger und Datenschutzaktivisten fordern systematisch Einblick in Verträge, die Behörden mit IT-Dienstleistern geschlossen haben.

Doch statt voller Transparenz zeigt sich ein juristisches Kräftemessen: Während die Existenz der Verträge bestätigt wird, schwärzen die Behörden kritische Abschnitte massiv – insbesondere technische und organisatorische Maßnahmen (TOMs) sowie Listen der Subunternehmer. Als Begründung dienen Sicherheitsbedenken. Die Anfragen-Welle folgt nur Tage nach einem Grundsatzurteil des Thüringer Oberlandesgerichts zur biometrischen Überwachung.

Anzeige

Passend zum Thema Auftragsverarbeitung und öffentliche AVV-Veröffentlichungen: Wenn Verträge plötzlich öffentlich werden, drohen Dienstleistern und Behörden erhebliche Haftungs- und Reputationsrisiken. Unser kostenloses E‑Book erklärt praxisnah, wie Sie Auftragsverarbeitungsverträge nach Art. 28 DSGVO rechtssicher formulieren, kritische Subunternehmer-Ketten korrekt behandeln und technische sowie organisatorische Maßnahmen transparent, aber sicher dokumentieren. Inklusive fertiger Vertragsvorlagen, Haftungshinweisen und praktischen Checklisten für Behörden und private Auftragnehmer. Jetzt kostenloses E‑Book zur Auftragsverarbeitung herunterladen

Zwischen dem 20. und 21. November 2025 erschienen auf der Plattform Open.rlp zahlreiche neue Datensätze mit dem Titel “IFG-Anfrage: Auftragsverarbeitungsvertrag, Art. 28 DSGVO & Weiteres”. Ziele waren verschiedene Gerichts- und Verwaltungsstellen, darunter die Amtsgerichte Bad Neuenahr-Ahrweiler und Sankt Goar.

Zeitpunkt und Koordination der Anfragen deuten auf eine systematische Kampagne zur Überprüfung der DSGVO-Konformität im öffentlichen Sektor hin. Die Aktivisten wollen prüfen:

  1. Ob ein gültiger AVV existiert
  2. Welche Subunternehmer (etwa Cloud-Anbieter wie AWS oder Microsoft) involviert sind
  3. Welche konkreten Sicherheitsmaßnahmen (TOMs) Bürgerdaten schützen

Die Schwärz-Mauer

Die Antworten zeichnen ein Bild des Widerstands. Eine Durchsicht der am 20. und 21. November veröffentlichten Dokumente zeigt: Behörden berufen sich häufig auf Paragraf 3 des Landestransparenzgesetzes (LIT RLP) und ähnliche Sicherheitsausnahmen im Bundesrecht.

Das Kernargument: Die Offenlegung detaillierter TOMs – etwa Firewall-Konfigurationen, Verschlüsselungsstandards oder konkrete Serverstandorte – liefere Cyber-Angreifern eine Blaupause. Folglich wird oft nur die “Hülle” des AVV freigegeben, während die Anhänge mit den sensibelsten Compliance-Daten geschwärzt oder komplett zurückgehalten werden.

Ein Transparenz-Paradoxon entsteht: Die Öffentlichkeit weiß nun, dass die Verträge existieren – doch die Mechanismen zur Datensicherheit bleiben hinter schwarzen Balken verborgen.

Proctoring-Urteil befeuert die Bewegung

Die Dringlichkeit hinter den Anfragen ist keine Theorie. Am 18. November 2025 erklärte das Thüringer Oberlandesgericht (Az. 3 U 885/24) den Einsatz biometrischer “Proctoring”-Software durch die Universität Erfurt für rechtswidrig.

Die Universität hatte Software zur Gesichtserkennung bei Online-Prüfungen eingesetzt und dabei sensible biometrische Daten verarbeitet (Art. 9 DSGVO). Das Gericht stellte fest: Die Rechtsbasis fehlte, die Verarbeitungskette war mangelhaft. Besonders brisant: Die Einbindung externer Cloud-Anbieter – in diesem Fall Amazon Web Services über den Software-Lieferanten.

Warum das wichtig ist

Das Thüringer OLG-Urteil bestätigt die Strategie der IFG-Aktivisten. Ohne Einblick in AVV und Subunternehmer-Liste hätten Studierende nie erfahren, dass ihre biometrischen Daten durch bestimmte Cloud-Umgebungen geleitet wurden. Das Urteil verwandelt Art. 28 DSGVO von einer bürokratischen Pflichtübung in eine potenzielle “rauchende Pistole” für illegale staatliche Überwachung.

Kein Wunder also, dass die Anfragen sprunghaft zunehmen: Bürger suchen nach ähnlichen rechtswidrigen Verarbeitungsketten in anderen öffentlichen Institutionen.

Dienstleister in der Haftungsfalle

Für private Unternehmen im öffentlichen Auftrag signalisiert diese Woche ein erhöhtes Compliance-Risiko. Die Zeiten, in denen ein AVV ein privates Dokument zwischen Anbieter und Kunde blieb, sind vorbei. Unternehmen müssen davon ausgehen, dass ihre Vertragsbedingungen, Haftungsklauseln und Subunternehmer-Ketten jederzeit Gegenstand einer IFG-Anfrage werden können.

Verschärft wird die Lage durch die sich wandelnde Rechtsdefinition von “Verantwortlichkeit”. Das Verwaltungsgericht Berlin klärte diese Woche in einer Entscheidung zu “Lettershop”-Verfahren die Grenzen zwischen gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) und regulärer Auftragsverarbeitung (Art. 28 DSGVO).

Das Gericht stellte fest: Ein Unternehmen, das einen Werbeversand beauftragt, ist nicht automatisch gemeinsam verantwortlich mit dem Adresshändler – sofern es die Verarbeitungsmittel nicht beeinflusst. Diese Unterscheidung ist entscheidend:

  • Bei Art. 28 (Auftragsverarbeiter): Die Behörde trägt volle Verantwortung, der Vertrag ist Hauptziel von IFG-Anfragen
  • Bei Art. 26 (gemeinsame Verantwortlichkeit): Der private Anbieter teilt direkte Haftung und Transparenzpflichten

Für Dienstleister bedeutet das: Die konkrete Formulierung des AVV wird zur Reputationsfrage. Ein Vertrag, der schwache Sicherheitsstandards oder kontroverse Subunternehmer offenbart (etwa außereuropäische Anbieter mit unzureichenden Transfer-Folgenabschätzungen), birgt direktes Geschäftsrisiko.

Der österreichische Domino-Effekt

Die deutschen Transparenzanfragen müssen auch im DACH-Kontext gesehen werden. Am 1. September 2025 trat Österreichs lange erwartetes Informationsfreiheitsgesetz (IFG) in Kraft und beendete das historische “Amtsgeheimnis”.

Während die deutschen Anfragen auf Landes- und Bundesgesetzen basieren, hat der österreichische Paradigmenwechsel die Open-Data-Bewegung im gesamten deutschsprachigen Raum gestärkt. Das österreichische Gesetz fordert die proaktive Veröffentlichung von Informationen von allgemeinem Interesse – eine höhere Messlatte als das in Deutschland teils noch übliche “Antrag-und-Warten”-Modell.

Analysten vermuten: Der “österreichische Standard” erzeugt Druck auf deutsche Bundesländer, Schwärzungen zu reduzieren. Wenn eine österreichische Kommune einen Beschaffungsvertrag proaktiv veröffentlichen muss, wirkt eine deutsche Behörde zunehmend defensiv, wenn sie dasselbe Dokument auf Anfrage verweigert.

Ausblick: Der Rechtsstreit um “Geheimnisse”

Wir betreten die Phase der “Schwärzungs-Prozesse”. Die erste Phase – das Stellen der Anfragen – gelingt, wie die Open.rlp-Aktivität zeigt. Die nächste Phase werden rechtliche Angriffe auf den Umfang der Schwärzungen sein.

Datenschutzaktivisten werden argumentieren: TOMs sind keine Geschäftsgeheimnisse, sondern öffentliche Sicherheitsgarantien. Wenn eine Behörde behauptet, ihre IT-Sicherheit sei “auf dem neuesten Stand”, hat die Öffentlichkeit das Recht, diese Behauptung zu überprüfen – ohne dass konkrete Passwörter oder IP-Adressen offengelegt werden müssen.

Was als Nächstes kommt:

  • Verwaltungsgerichtsurteile: Klagen gegen die pauschale Anwendung von “IT-Sicherheits”-Ausnahmen (§ 3 LIT RLP) auf allgemeine Compliance-Beschreibungen sind zu erwarten
  • Anbieter-Gegenwehr: IT-Dienstleister könnten in IFG-Verfahren intervenieren, um ihre “Betriebsgeheimnisse” (Preise, proprietäre Architektur) vor Konkurrenten zu schützen
  • Standardisierung: Der Markt könnte sich zu “publikationsfertigen” AVVs bewegen – standardisierte Vorlagen für die Veröffentlichung, die sensible technische Details in vertrauliche, hochsichere Anhänge auslagern

Die Botschaft an Behörden und ihre privaten Vertragspartner ist eindeutig: Der Vertrag ist nicht länger eine Akte im Schrank. Er ist ein öffentliches Dokument auf Abruf.

Anzeige

Übrigens: Die Öffentlichkeit fordert Einsicht in TOMs, doch Sicherheitsdetails müssen geschützt bleiben. Unser praktischer Leitfaden zeigt Schritt für Schritt, wie Sie standardisierte, publikationsfähige AVV‑Anhänge erstellen: Welche Informationen offen gelegt werden können, wie sensible Details in gesicherte Anhänge ausgelagert werden und welche juristischen Formulierungen vor Gericht Bestand haben. Enthalten sind Muster‑Vorlagen und eine Checkliste zur Veröffentlichungspraxis – ideal für IT‑Dienstleister und Verwaltungen. Kostenloses Muster‑E‑Book mit Vorlagen jetzt herunterladen

@ boerse-global.de
Die besten Black Friday Angebote für