Unternehmen beauftragen häufig ein externes Rechenzentrum oder lassen Wartungen von externen technischen Dienstleistern durchführen. In solchen Fällen findet nicht nur in dem Unternehmen selbst, sondern auch bei den externen Dienstleistern eine Verarbeitung personenbezogener Daten statt.
Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine Person, die personenbezogene Daten im Auftrag verarbeitet. Das kann eine natürliche Person, eine juristische Person, eine Behörde, Einrichtung oder andere Stelle sein.
Die DSGVO verlangt bei Vorliegen einer Auftragsverarbeitung den Abschluss eines Auftragsverarbeitungsvertrages. Es handelt sich bei dem Auftragsverarbeitungsvertrag um einen datenschutzrechtlichen Zusatz zu einem schuldrechtlichen Hauptvertrag, grundsätzlich ohne Vergütungsanspruch.
Die Rolle des Verantwortlichen bei der Auftragsverarbeitung
Auch im Rahmen der Auftragsverarbeitung ist der Verantwortliche weiterhin dazu verpflichtet, die allgemeinen, in der DSGVO festgelegten Pflichten zu erfüllen, insbesondere die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 2 DSGVO und die Gewährleistung technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung nach Art. 32 DSGVO.
Zusätzlich ist der Verantwortliche für die Auswahl und Kontrolle des Auftragsverarbeiters zuständig. Dabei muss stets sichergestellt werden, dass der Auftragsverarbeiter über geeignete technische und organisatorische Maßnahmen verfügt und eine Verarbeitung der personenbezogenen Daten gemäß der DSGVO erfolgt. Im Auftragsverarbeitungsvertrag ist zu regeln, dass die Verarbeitung nur auf der Grundlage dokumentierter Weisungen erfolgt.
Pflichten des Auftragsverarbeiters
Die Pflichten des Auftragsverarbeiters werden in Art. 30 ff. DSGVO näher normiert. Der Auftragsverarbeiter ist beispielsweise nach Art. 30 Abs. 2 DSGVO dazu verpflichtet, ein Verfahrensverzeichnis zu führen. Zudem unterliegt er der Verpflichtung zur Zusammenarbeit mit der Datenschutzaufsicht. Gemäß Art. 32 Abs. 1 DSGVO muss er technische und organisatorische Maßnahmen der Datensicherheit ergreifen. Darunter versteht man beispielsweise eine Weitergabekontrolle und eine Zugriffskontrolle der personenbezogenen Daten. Zudem ist der Auftragsverarbeiter dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, welcher im Unternehmen bezüglich stattfindender Datenverarbeitungen für die Einhaltung der Vorschriften der DSGVO verantwortlich ist. Auch die Beschränkungen für den Datentransfer in Drittländer nach Art. 44 DSGVO müssen von dem Auftragsverarbeiter eingehalten werden. Sollten Weisungen des Verantwortlichen nach Ansicht des Auftragsverarbeiters gegen die DSGVO verstoßen, ist dieser dazu verpflichtet, den Verantwortlichen darauf hinzuweisen. Des Weiteren muss der Auftragsverarbeiter gemäß Art. 33 Abs. 2 DSGVO-Datenschutzverstöße an den Verantwortlichen melden.
Haftung aus dem AVV
Sowohl der Verantwortliche als auch der Auftragsverarbeiter haften für einen Schaden, für den sie mitverantwortlich sind, gegenüber der betroffenen Person in voller Höhe als Gesamtschuldner, Art. 82 DSGVO. Das Innenverhältnis der Haftung können der Auftragsverarbeiter und Verantwortliche selbst ausgestalten.
