Auftragsverarbeiter
Home » DSGVO » Hauptakteure » Auftragsverarbeiter

Wer ist dieser Akteur?

Ein Auftragsverarbeiter ist gemäß Art. 4 Absatz 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.” Dies zeigt, dass eine Vielzahl von Einrichtungen als Auftragsverarbeiter angesehen werden kann, sofern es sich um eine von dem Verantwortlichen getrennte Einrichtung handelt und die Verarbeitung im Auftrag des Verantwortlichen erfolgt. Die Verantwortlichen können natürlich auch selbst personenbezogene Daten verarbeiten. Sie bleiben jedoch als Verantwortliche bestehen, wenn sie nicht nur personenbezogene Daten verarbeiten, sondern auch die Mittel und Zwecke der Verarbeitung bestimmen.

Was sind seine Aufgaben?

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Der Auftragsverarbeiter muss geeignete organisatorische und technische Maßnahmen ergreifen, um den Datenschutz zu gewährleisten. Bei der eigentlichen Verarbeitung kann es sich sowohl um eine spezifische und detaillierte Aufgabe als auch um eine allgemeinere Verarbeitung handeln. Ein Verantwortlicher kann daher auch beschließen, nur einen bestimmten Teil der Verarbeitung an einen externen Auftragsverarbeiter zu delegieren und Teile der eigentlichen Verarbeitung durchzuführen.

Die Verarbeitung personenbezogener Daten erfolgt nach den Anweisungen des Verantwortlichen. Daher sollten personenbezogene Daten nicht auf andere Weise verarbeitet werden als mit dem Verantwortlichen vereinbart.

Ein Auftragsverarbeiter kann Unterauftragsverarbeiter benennen, benötigt dafür aber die schriftliche Zustimmung des Verantwortlichen. Der/die Unterauftragsverarbeiter sollte/n die Daten zu denselben Bedingungen verarbeiten wie der ursprüngliche Auftragsverarbeiter.

Was sind seine Rechte und Pflichten?

Der Auftragsverarbeiter handelt nach den Anweisungen und Bedingungen des Verantwortlichen. Der Auftragsverarbeiter kann jedoch bis zu einem gewissen Grad die technischen und organisatorischen Mittel einsetzen und auswählen, die ihm für die Verarbeitung am geeignetsten erscheinen. Dieser Grad der Einflussnahme[1] des Auftragsverarbeiters ist jedoch nicht definiert, was bedeutet, dass die sicherste Option darin besteht, eine Reihe von Mitteln zwischen Auftragsverarbeiter und Verantwortlichem vertraglich zu vereinbaren. Es kann auch zwischen wesentlichen (welche Daten, von wem, wie lange, wer soll darauf zugreifen) und nicht wesentlichen (praktische, technische Aspekte der Verarbeitung) Mitteln der Verarbeitung unterschieden werden. Die wesentlichen Mittel sind eindeutig von dem Verantwortlichen bereitzustellen, da sie mit den Zwecken der Verarbeitung verbunden sind. Die nicht wesentlichen Mittel können vom Auftragsverarbeiter erörtert werden, um die Verarbeitung zu implementieren und durchzuführen. Wie bereits erörtert, muss diese Frage jedoch von Fall zu Fall entschieden werden.

Im Hinblick auf die Verantwortlichkeiten muss der Auftragsverarbeiter „hinreichende Garantien“(Artikel 28 Absatz 1 DSGVO) dafür bieten, dass die Verarbeitung den Anforderungen der Datenschutz-Grundverordnung entspricht. Diese Garantien sind von wesentlicher Bedeutung, da der Verantwortliche verpflichtet ist, nur Auftragsverarbeiter einzusetzen, die solche Garantien bieten und die Einhaltung der DSGVO und den Schutz der betroffenen Personen nachweisen können. In Artikel 28 Absatz 3 Buchstaben a–h der DSGVO sind alle Informationen aufgeführt, die in einem schriftlichen Vertrag zwischen dem Auftragsverarbeiter und dem Verantwortlichen enthalten sein müssen, bevor Daten verarbeitet werden. Das bedeutet, dass der Auftragsverarbeiter nur nach den schriftlichen Anweisungen des Verantwortlichen handeln darf und die Sicherheit und Vertraulichkeit der Daten sowie die Dokumentation aller Verarbeitungstätigkeiten gewährleistet. In Artikel 30 Absatz 2 DSGVO heißt es, dass jeder Auftragsverarbeiter „ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“ führenmuss.

Beispiel:

Die Forschungseinrichtung A hat mithilfe eines Fragebogens eine große Datenbank mit personenbezogenen Daten der betroffenen Personen erfasst. Einrichtung A beauftragt das Datenanalyseunternehmen B mit der Analyse der Daten, um in den Daten verborgene Zusammenhänge zu finden. In diesem Beispiel handelt A als Verantwortlicher, da A die Zwecke und Mittel der Verarbeitung festlegt, während B als Auftragsverarbeiter handelt, der die Verarbeitung im Auftrag des Verantwortlichen durchführt. Das Datenanalyseunternehmen B beschließt nun, die personenbezogenen Daten für seine eigenen Zwecke zu verwenden, die nicht vertraglich vereinbart wurden.

Mit dieser Weiterverarbeitung der personenbezogenen Daten wird B zum Verantwortlichen für diese neue Art der Verarbeitung. Mit diesen Handlungen verstößt B auch gegen die Datenschutz-Grundverordnung.[2] Folglich kann gegen Einrichtung B ein Bußgeld wegen eines Verstoßes gegen die DSGVO verhängt werden, der sich aus der neuen Verarbeitung einschließlich einer möglichen Verletzung des Schutzes personenbezogener Daten ergeben könnte. Auch in diesem Fall trägt Einrichtung A keine Verantwortung für den genannten Vorfall. Einrichtung A hätte einen geeigneteren Auftragsverarbeiter wählen und sich im Vorfeld Garantien für eine konforme Verarbeitung der Daten geben lassen sollen. Vertragliche Vereinbarungen dienen dazu, die Rollen, Rechte und Pflichten/Zuständigkeiten aller Parteien bei der Verarbeitung personenbezogener Daten klar zu definieren.

 

 

Quellenangaben

1Weitere Informationen über dieses Kompetenzniveau und eine Unterscheidung zwischen wesentlichen und nicht wesentlichen Mitteln finden Sie unter: EDBP. https://edpb.europa.eu/sites/edpb/files/consultation/EDSA_guidelines_202007_controllerprocessor_en.pdf S.14

2 https://edpb.europa.eu/sites/edpb/files/consultation/EDSA_guidelines_202007_controllerprocessor_en.pdf S.25

 

Skip to content