DSGVOAuftragsverarbeitung

Die Datenschutz-Grundverordnung bietet europaweit einheitlich die Möglichkeit zur sog. Auftragsverarbeitung. Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.

Die entsprechenden Vorschriften zur Auftragsverarbeitung finden dabei schon dann Anwendung, wenn die Verarbeitung einen Zusammenhang mit Tätigkeiten einer Niederlassung in der Union aufweist. Das bedeutet, dass es ausreichend ist, wenn entweder der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union betreibt und die Verarbeitung mit der Arbeit in dieser zusammenhängt. Von der Konstellation der Auftragsverarbeitung ist die der gemeinsam Verantwortlichen (Art. 26 EU-DSGVO) zu unterscheiden, bei der zusammen die Zwecke und die Mittel der Datenverarbeitung festlegt werden und für diese auch gemeinsam eingestanden wird.

In den meisten Fällen erfolgt die Auftragsverarbeitung auf Grundlage eines Vertrags. Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. So muss dieser unter anderem unbedingt enthalten, welche Art von personenbezogenen Daten verarbeitet werden sowie was Gegenstand und was Zweck der Verarbeitung sind. Darüber hinaus bestehen für den Auftragsverarbeiter weitere Pflichten. Beispielweise muss er auch ein Verzeichnis über die Verarbeitungstätigkeiten führen, welche den Namen und die Kontaktdaten jedes Verantwortlichen umfasst, in dessen Auftrag er tätig ist sowie die Kategorien von Verarbeitungen, die dabei durchgeführt werden. Des Weiteren umfasst das Verzeichnis gegebenenfalls eine Übermittlung von personenbezogenen Daten in Drittländer und nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Dem Verantwortlichen hingegen obliegt die Pflicht, bei der Auswahl des Auftragsverarbeiters  sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert hat, so dass die Vorschriften der Verordnung bei der Verarbeitung eingehalten werden.

Grundsätzlich ist der Verantwortliche der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.