Grundbegriffe

    Seit Inkrafttreten der neuen EU-Datenschutzgrundverordnung wird begrifflich zwischen dem Verantwortlichen (früher Auftraggeber) und dem Auftragsverarbeiter (früher Dienstleister) unterschieden.

    Beide Begriffe sind in Artikel 4 Ziff. 7, 8 DSGVO legaldefiniert: Verantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

    Auftragsverarbeiter sind demgegenüber natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

    Grundsätzlich hat der Verantwortliche dafür Sorge zu tragen, dass bei der Verarbeitung personenbezogener Daten die datenschutzrechtlichen Regelungen eingehalten werden. Dies ergibt sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO.

    Soll jedoch der Datenverarbeitungsprozess durch einen externen Dienstleister, also einen Auftragsverarbeiter, wahrgenommen werden, kommt es darüber hinaus auch zu einer Mitverantwortung des Auftragsverarbeiters. Zudem stellt die DSGVO bestimmte Anforderungen an Auftragsdatenverarbeitungen an.

    Ob eine Auftragsdatenverarbeitung innerhalb oder außerhalb der Europäischen Union stattfindet, ist nach Art. 3 DSGVO unerheblich. Maßgeblich für die Geltung der Bestimmungen der DSGVO ist allein der EU-Bezug.

    Anforderungen an die Auftragsdatenverarbeitung

    Zunächst hat der Verantwortliche nach § 28 Abs. 1 DSGVO ausschließlich Auftragsverarbeiter auszuwählen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgt.

    Zwingend ist bei der Auftragsdatenverarbeitung zwischen den Beteiligten eine vertragliche Grundlage in schriftlicher oder elektronischer Form zu schaffen, um die Durchsetzung datenschutzrechtlicher Bestimmungen zu gewährleisten. Hierbei können auch Standardverträge verwendet werden. Auf den Seiten des Hessischen Datenschutzbeauftragten finden sich Beispiele und Formulierungshilfen zur Gestaltung solcher Verträge (https://datenschutz.hessen.de/datenschutz/auftragsverarbeitung   verlinken?).

    Die inhaltlichen Anforderungen der Verträge ergeben sich aus Art. 28 Abs. 3 DSGVO. Es sind darin u.a. Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen.

    Außerdem ist vertraglich zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

    Die Verarbeitung darf entsprechend Art. 29 DSGVO ausschließlich auf Weisung des Verantwortlichen erfolgen. Dem Verantwortlichen obliegen deshalb um-fassende Kontrollrechte; für den Auftragsverarbeiter bestehen entsprechende Duldungspflichten. Zu beachten ist in diesem Zusammenhang, dass für den Auftragsverarbeiter, falls ersterer zu der Einschätzung gelangt, eine Weisung verletze datenschutzrechtliche Bestimmungen, die unverzügliche Informationspflicht gegenüber dem Verantwortlichen besteht.

    Nach Art. 30 DSGVO sind nun sowohl Verantwortlicher also auch Auftragsverarbeiter zur Führung eines Verarbeitungsverzeichnisses verpflichtet. Dies betraf in der Vergangenheit lediglich den Verantwortlichen (Auftraggeber).

    Ist die Erbringung der Verarbeitungsleistungen abgeschlossen, sind alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern keine gesetzliche Pflicht zur Speicherung besteht.

    Hinzuziehung von Subunternehmern

    Sollen weitere Auftragsverarbeiter, sog. Unterauftragsverarbeiter eingeschaltet werden, ist dies immer von der Genehmigung des Verantwortlichen abhängig. Näheres regelt § 28 Abs. 2 DSGVO.  Es ist zu sicherzustellen, dass dem Unterauftragsverarbeiter dieselben datenschutzrechtlichen Pflichten auferlegt werden, die bereits vertraglich zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt worden sind (Art. 28 Abs. 4 DSGVO).

    Haftung

    Nach Art. 82 DSGVO besteht grundsätzlich sowohl eine Haftung des Verantwortlichen als auch des Auftragsverarbeiters gegenüber dem Betroffenen. Allerdings können sich beide Seiten exkulpieren, wenn sie nachweisen, dass der Verstoß nicht in ihren Verantwortungsbereich fällt.

    Der Verantwortliche haftet dann für Verletzungen bei der Verarbeitung, wenn der Auftragsverarbeiter den ihm auferlegten Pflichten vollständig nachkam.

    Handelt hingegen der Auftragsverarbeiter bei der Ausführung gegen Weisungen des Verantwortlichen, gilt er im Bezug auf diese Verarbeitung bei Verstößen als Verantwortlicher. Dies stellt Art. 28 Abs. 10 DSGVO ausdrücklich klar. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen auch für Pflichtverletzungen des Unterauftragsverarbeiters.

    Neben Schadensersatzansprüchen der Betroffenen drohen zudem gemäß Art. 83 DSGVO Geldbußen der Aufsichtsbehörden.