Datenschutz – Wer ist Auftragsverarbeiter?
von Sebastian Treusch (Kommentare: 0)
Definition nach DSGVO und BDSG
Im Datenschutzrecht wird der Begriff des Auftragsverarbeiters im Artikel 4 Nr. 8 der europäischen Datenschutzgrundverordnung (DSGVO) sowie im § 46 Nr. 8 des Bundesdatenschutzgesetzes (BDSG neu) jeweils wie folgt definiert:
„Auftragsverarbeiter (ist) eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“
Demnach ist das entscheidende Merkmal die auftragsbezogene Verarbeitung von personenbezogenen Daten für einen Verantwortlichen. Hinzu kommt das Kriterium der Weisungsgebundenheit, das bei einem Auftragsverarbeiter gegeben sein muss.
Beispiele
Auftragsverarbeiter sind häufig IT- Dienstleister. Dies ist z.B. gegeben, wenn ein externes IT-Unternehmen automatisierte Verfahren oder Datenverarbeitungsanalgen prüft oder (fern-)wartet. Bei einem solchen externen Support, der weisungsgebunden erbracht wird, kann ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden. Auch Web-Dienstleister fungieren als Auftragsverarbeiter. Dies liegt vor, wenn Datendienste zu Webseiten, wie die E-Mail-Verwaltung oder die Betreuung von Kontaktformularen, ausgelagert werden. Auch Dienstleister, die im Auftrag Datenträger entsorgen bzw. vernichten, sind Auftragsverarbeiter. Weitere Dienstleistungen, die eine Auftragsverarbeitung darstellen, sind das (Cloud) Hosting und der Newsletter-Versand. Interessanterweise können auch Freelancer als Auftragsverarbeiter agieren. Wenn diese Arbeitsort und Arbeitszeit frei wählen können sowie Ihre Aufgaben nach Weisungen des Unternehmens auf eigener Hardware erbringen, sind Sie als Auftragsverarbeiter tätig.
Keine Auftragsverarbeiter sind Berufsgeheimnisträger wie Rechtsanwälte, Steuerberater und Wirtschaftsprüfer. Diese erbringen Fachleistungen unter eigener Verantwortlichkeit. Sie handeln nicht weisungsgebunden. Ebenfalls keine Auftragsverarbeiter sind Inkassobüros mit Forderungsübertragung, Bankinstitute für Geldtransfer sowie Postdienste für den Transport von Briefen. Auch Handwerker und Reinigungskräfte sind keine Auftragsverarbeiter, da diese keine personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten.
Funktion und Haftung
Auftragsverarbeiter sind Empfänger im Sinne von Artikel 4 Nr. 9 DSGVO. Demnach werden Ihnen personenbezogene Daten offengelegt; unabhängig davon, ob es sich bei Ihnen um Dritte handelt oder nicht.
Nach Artikel 28 DSGVO wird ein Auftragsverarbeiter im Auftrag eines Verantwortlichen bzw. Auftraggebers tätig. Dabei verarbeitet der Auftragsverarbeiter weisungsgebunden die personenbezogenen Daten des Verantwortlichen. Die Weisungsgebundenheit des Auftragsverarbeiters ist in Artikel 29 DSGVO festgelegt. Verstößt ein Auftragsverarbeiter gegen die Pflicht zur weisungsgebundenen Verarbeitung, indem er die Daten des Auftraggebers verordnungswidrig für eigene Zwecke oder Zwecke Dritter verarbeitet, gilt er nach Artikel 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher – mit allen rechtlichen Folgen, zum Beispiel auch der Pflicht zur Erfüllung der Betroffenenrechte.
Zudem unterliegt ein Auftragsverarbeiter bei Datenschutzverletzungen speziellen Haftungsregelungen, die in Artikel 82 der DSGVO festgelegt sind. Wenn ein Auftragsverarbeiter gegen seine Pflichten verstößt, drohen Ihm demnach Schadensersatzforderungen von betroffenen Personen.
Rechte und Pflichten
Der Auftragsverarbeiter wird seit der Einführung der DSGVO grundsätzlich stärker in die Pflicht genommen das Datenschutzrecht einzuhalten. Die DSGVO sieht eine Reihe von datenschutzrechtlichen Pflichten des Auftragsverarbeiters vor. So ist dieser nach Artikel 30 Abs. 2 DSGVO dazu verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage nach Artikel 30 Absatz 4 DSGVO, zum Beispiel bei Kontrollen, zur Verfügung gestellt werden.
Ein Auftragsverarbeiter darf zur Auftragserfüllung weitere Auftragsverarbeiter einsetzen. Dafür benötigt er allerdings die Zustimmung des Verantwortlichen in Form einer schriftlichen Genehmigung. Zudem muss der Auftragsverarbeiter eine Vereinbarung mit den jeweils eingesetzten weiteren Auftragsverarbeitern treffen, die den gleichen Datenschutzstandrads unterliegt, die zwischen Ihm und dem Verantwortlichen gelten. Dabei unterliegt er auch den Beschränkungen für Datentransfers in Drittländer aus dem Kapitel 5 der DSGVO.
Wenn der Auftragsverarbeiter der Ansicht ist, dass eine Weisung des Verantwortlichen gegen Datenschutzvorgaben verstößt, so muss er den Verantwortlichen darüber informieren.
Auch ist der Auftragsverarbeiter dazu verpflichtet, auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung Ihrer Aufgaben zusammen zu arbeiten. Diese Verpflichtung nach Artikel 31 DSGVO bezieht sich allerdings nur auf Sachverhaltsaufklärungen, die ausschließlich mithilfe des Auftragsverarbeiters erreicht werden können.
Zusätzlich hat ein Auftragsverarbeiter technische und organisatorische Maßnahmen nach Artikel 32 DSGVO zu ergreifen und diese im Rahmen einer Auftragsverarbeitung dem Verantwortlichen gegenüber nachzuweisen. Dies erfolgt zumeist über eine gesonderte Übersicht, die als Anlage zu dem Vertrag über eine Auftragsverarbeitung geführt wird.
Nach Artikel 33 Absatz 2 DSGVO muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen melden.
Des Weiteren hat ein Auftragsverarbeiter, bei Vorliegen bestimmter Voraussetzungen. gemäß Artikel 37 DSGVO einen Datenschutzbeauftragten zu bestellen.
Die Pflichten des Auftragsverarbeiters im Rahmen einer Auftragsverarbeitung sind in Artikel 28 Abs. 3 der DSGVO abschließend aufgelistet.
Die Kunden der dacuro können auch Auftragsverarbeiter sein
Die Kunden der dacuro GmbH sind Verantwortliche für Ihren Datenschutz. Manche von Ihnen fungieren als Dienstleister im Rahmen von Auftragsverarbeitungen. Dann sind Sie als Auftragsverarbeiter tätig und haben die vorgenannten Pflichten zu erfüllen.
Die dacuro GmbH wird als externer Datenschutzbeauftragter von Kunden bestellt und unterstützt auch interne Datenschutzbeauftragte. In beiden Funktionen berät die dacuro Ihre Kunden hinsichtlich der Umsetzung von datenschutzrechtlichen Anforderungen.
dacuro GmbH
Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben