Die Datenschutz-Grundverordnung bietet europaweit einheitlich die Möglichkeit zur sog. Auftragsverarbeitung (ehemals in Deutschland als Auftragsdatenverarbeitung bekannt). Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.
Die entsprechenden Vorschriften zur Auftragsverarbeitung finden dabei schon dann Anwendung, wenn die Verarbeitung einen Zusammenhang mit Tätigkeiten einer Niederlassung in der Union aufweist. Das bedeutet, dass es ausreichend ist, wenn entweder der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union betreibt und die Verarbeitung mit der Arbeit in dieser zusammenhängt. Von der Konstellation der Auftragsverarbeitung ist die der gemeinsam Verantwortlichen (Art. 26 EU-DSGVO) zu unterscheiden, bei der zusammen die Zwecke und die Mittel der Datenverarbeitung festlegt werden und für diese auch gemeinsam eingestanden wird.
In den meisten Fällen erfolgt die Auftragsverarbeitung auf Grundlage eines Vertrags. Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. So muss dieser unter anderem unbedingt enthalten, welche Art von personenbezogenen Daten verarbeitet werden sowie was Gegenstand und was Zweck der Verarbeitung sind. Darüber hinaus bestehen für den Auftragsverarbeiter weitere Pflichten. Beispielweise muss er auch ein Verzeichnis über die Verarbeitungstätigkeiten führen, welche den Namen und die Kontaktdaten jedes Verantwortlichen umfasst, in dessen Auftrag er tätig ist sowie die Kategorien von Verarbeitungen, die dabei durchgeführt werden. Des Weiteren umfasst das Verzeichnis gegebenenfalls eine Übermittlung von personenbezogenen Daten in Drittländer und nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Dem Verantwortlichen hingegen obliegt die Pflicht, bei der Auswahl des Auftragsverarbeiters sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert hat, so dass die Vorschriften der Verordnung bei der Verarbeitung eingehalten werden.
Grundsätzlich ist der Verantwortliche der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.
Passende Artikel der DSGVO
Art. 4 DSGVO Begriffsbestimmungen Art. 27 DSGVO Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern Art. 28 DSGVO Auftragsverarbeiter Art. 29 DSGVO Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten Art. 40 DSGVO Verhaltensregeln Art. 42 DSGVO Zertifizierung Art. 44 DSGVO Allgemeine Grundsätze der Datenübermittlung Art. 45 DSGVO Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses Art. 46 DSGVO Datenübermittlung vorbehaltlich geeigneter Garantien Art. 47 DSGVO Verbindliche interne Datenschutzvorschriften Art. 82 DSGVO Haftung und Recht auf SchadenersatzPassende Erwägungsgründe
(24) Anwendung auf Verarbeiter/Auftragsverarbeiter außerhalb der Union bei Profilerstellung von Betroffenen innerhalb der Union (36) Festlegung der Hauptniederlassung (80) Benennung eines Vertreters (81) Heranziehung eines Auftragsverarbeiters (82) Verzeichnis der Verarbeitungstätigkeiten (98) Erstellung von Verhaltensregeln durch Verbände und Vereinigungen (99) Konsultation von Interessenträgern und Betroffenen bei der Ausarbeitung von Verhaltensregeln (101) Grundsätze des internationalen Datenverkehrs (108) Geeignete Garantien (109) Standard-Datenschutzklauseln (146) Schadenersatz (147) GerichtsbarkeitExterne Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO (Link)
- Datenschutzbehörde Bayern ► Auftragsverarbeitung nach der DS-GVO (Link)
- Datenschutzbehörde Baden Württemberg ► Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO (Link)
- EU-Kommission ► Verantwortlicher/Auftragsverarbeiter (Link)
- Datenschutzbehörde Bayern ► FAQ zur Abgrenzung bei Auftragsverarbeitungen (Link)
- Article 29 Data Protection Working Party ► WP 244 – Guidelines on the Lead Supervisory Authority (Link)
- Article 29 Data Protection Working Party ► WP 169 – Opinion on the concepts of „controller“ and „processor“ (2010!) (Link)
- Data Protection Authority UK ► Contracts and liabilities between controllers and processors (Link)
- Data Protection Authority Isle of Man ► Processors (Link)
- Data Protection Authority France ► General Data Protection Regulation: a guide to assist processors (Link)
- Data Protection Authority Luxembourg ► Data Protection Basics: The obligations of controllers and processors (Link)
Fachbeiträge
- GDD ► Praxishilfe – Vertragsmuster zur Auftragsverarbeitung (Link)
- Bitkom ► Mustervertragsanlage Auftragsverarbeitung (Link)
- Bitkom ► Begleitende Hinweise zu der Anlage Auftragsverarbeitung (Link)
- Dr. Thomas Hoeren ► Skriptum Internetrecht – Auftragsdatenverarbeitung, Seite 426 (Link)
- BvD-News ► Auftragsverarbeiterhaftung nach der DS-GVO – Was ändert sich in der Praxis, Seite 27 (Link)
- Datenschutz Notizen ► Wartung und Prüfung von IT-Systemen ist und bleibt Auftragsverarbeitung (Link)
- IHK Saarland ► Auftragsverarbeitung nach der DSGVO (Link)
- a.s.k. Datenschutz ► Checkliste TOM Auftragsverarbeitung nach Art. 28 DSGVO – technische und organisatorische Maßnahmen (Link)
- CR-Online ► Schaut auf die “Verantwortlichkeit” – neue Wege bei der Vertragsgestaltung im Datenschutzrecht (Link)
- Dr. Datenschutz ► Ist die Methodik zur Risikobewertung im ADV festzulegen? (Link)
- Dr. Thomas Helbing ► Die Datenschutzgrundverordnung umsetzen als Auftragsverarbeiter (Link)
- intersoft consulting services AG ► Auftragsverarbeitung – Das Wichtigste übersichtlich aufbereitet (Link)