Voraussetzungen
Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen (Auftraggeber) verarbeitet. Der Auftragsverarbeiter darf die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Der Auftragsverarbeiter muss hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleisten.
Vertrag
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags (Vertrag zur Auftragsverarbeitung). Im Vertrag wird Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt.
Konkret muss vereinbart werden
- Daten dürfen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden
- Vertraulichkeit; der Auftragsverarbeiter wird verpflichtet oder unterliegt angemessenen gesetzlichen Verschwiegenheitspflichten
- Geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung
- Regelung zu Unterauftragsverhältnisse (siehe nächster Absatz)
- Pflicht zur Beantwortung von Anträgen zu Betroffenenrechte, die der Auftraggeber erhält
- Mitwirkungs- und Mitteilungspflichten zu Datenschutzvorfällen und Datenschutzfolgeabschätzungen
- Lösch- oder Rückgabepflicht nach Auftragsende
- Überprüfungen, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt
Sub-Auftragsverarbeiter
Grundsätzlich darf der Auftragsverarbeiter keine Unterauftragsverhältnisse (Sub-Auftragsverarbeiter) begründen, außer es wird eine gesonderte oder allgemeine schriftliche Genehmigung erteilt. Das bedeutet, im Vertrag zur Auftragsverarbeitung kann vereinbart werden, dass Sub-Auftragsverarbeiter generell zulässig sind oder diese im Einzelfall freigegeben werden müssen durch den Auftraggeber. Allerdings informiert der Auftragsverarbeiter im Fall einer allgemeinen schriftlichen Genehmigung den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. Der Auftraggeber erhält die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. Inwieweit das zu einem Kündigungsanspruch führt, ist derzeit noch nicht geklärt. Es empfiehlt sich, im Vertrag zu regeln, welche Folgen ein Einspruch hat. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, werden diesem dieselben Datenschutzpflichten auferlegt, die in dem Vertrag geregelt sind.
Haftung
Der Auftragsverarbeitet haftet für die Verarbeitung, auch er gilt als Verantwortlicher. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch und kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters. Kurz, der Auftragsverarbeiter kann zwar Sub-Auftragsverarbeiter beauftragen, er haftet aber auch für diesen.
Rechtsgrundlagen: Art. 28, 29 DSGVO
Erwägungsgründe: 81