jura-basic (Auftragsverarbeiter) - Grundwissen
   
 jura-basic
 Juristisches
      Basiswissen


Grundwissen:


Informationen:

Inhalt

DSGVO (Verantwortlicher und Auftragsverarbeiter)

Auftragsverarbeiter

Rz. 4

a) Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO, § 46 Nr. 8 BDSG@).

Die Datenverarbeitung durch den Auftragsverarbeiter erfolgt im Rahmen eines Auftrags. Das Auftragsverhältnis regelt die Rechte und Pflichten der beiden Beteiligten.

Der Auftragsverarbeiter nimmt die Verarbeitung

  • im Namen des Verantwortlichen (Erwägungsgrund 81) und

  • auf Weisung des Verantwortlichen (Art. 28 Abs. 3 DSGVO, Art. 29 DSGVO)

vor, d.h. der Auftragsverarbeiter (Auftragnehmer) macht die ihm übertragene Datenverarbeitung für den Verantwortlichen. Der Auftragsverarbeiter hilft dem Verantwortlichen (Auftraggeber) bei der Datenverarbeitung. Der Auftragsverarbeiter hat die Daten in seinem Machbereich, ist aber weisungsabhängig.

Der Verantwortliche bestimmt den Umgang mit den Daten. Er bestimmt Zweck und Mittel der Verarbeitung. Er erteilt dem Auftragsverarbeiter Weisungen hinsichtlich der Datenverarbeitung. Der Auftragsverarbeiter hat keine eigene Entscheidungsbefugnis hinsichtlich des Umgangs mit den Daten. Er darf die Daten nicht zu eigenen Zwecken verwenden. Der Auftragsverarbeiter ist weisungsabhängig (siehe Weisungsabhängigkeit, Rz.6).

Der Auftrag bildet die rechtliche Grundlage für die Datenverarbeitung durch den Auftragsverarbeiter.

Auftragsverarbeiter sind insbesondere Call-Center, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, insbesondere die Kunden des Verantwortlichen betreuen. Auftragsverarbeiter sind auch Unternehmen, die im Auftrag des Verantwortlichen die Daten von Kunden des Verantwortlichen speichern (sog. Online-Speicherung), z.B. Webhoster, E-Mail-Hoster, Cloud-Computing-Anbieter, Anbieter von Homepage-Baukästen (insbesondere WordPress). In diesen Fällen legt der Verantwortliche den Zweck und die Mittel der Verarbeitung fest und der Auftragsverarbeiter wird weisungsgebunden tätig, als Helfer des Verantwortlichen hinsichtlich der Datenverarbeitung.

Teilweise ist die Abgrenzung zwischen einem Auftragsverarbeiter und Dritten sehr schwierig. Eine Orientierungshilfe ist die Prüfung, ob die Verarbeitung der personenbezogenen Daten als Haupttätigkeit geschuldet wird und der Verantwortliche gerade wegen der Datenverarbeitung Geld bezahlt. In diesem Fall liegt Auftragsverwaltung vor, sonst regelmäßig nicht. Davon gibt es aber Ausnahmen. Diejenigen, die Datenverarbeitung gegen Geld machen und eigene Geheimhaltungsregelungen und Datenschutzregelungen unterliegen, sind keine Auftragsverarbeiter, z.B. Banken, Steuerberater, Rechtsanwälte (sog. Berufsgeheimnisträger). Da diese eigenen Geheimhaltungsregelungen unterliegen, darf der Verantwortliche z.B. nicht im Haus einer Bank oder eines Steuerberaters datenschutzrechtliche Schutzmaßnahmen überprüfen und Weisungen erteilen, wozu der Verantwortliche bei einem Auftragsverarbeiter berechtigt ist (vgl. Art. 29 DSGVO).

Ein Berufsgeheimnisträger ist hinsichtlich der Datenverarbeitung nicht weisungsabhängig, er verarbeitet die überlassenen Daten nicht unter Aufsicht des Auftraggebers (Verantwortlichen). Wegen den eigenen Geheimhaltungsregelungen hat ein Berufsgeheimnisträger eigene Entscheidungen zu treffen, wie er Daten verarbeitet und den Auftrag abwickelt. Ein Berufsgeheimnisträger ist kein Auftragsverarbeiter.

Kein Auftragsverarbeiter ist auch die Post. Sie transportiert Briefe wofür sie bezahlt wird. Sie unterliegt dem Postwesen und zugleich dem Postgeheimnis nach dem Postgesetz. Aber auch der Warenlieferant, der im Auftrag des Verkäufers verkaufte Waren zum Käufer bringt, ist kein Auftragsverarbeiter.

Der Warenlieferant (Frachtführer) erhält Geld für den Warentransport zum Käufer. Der Frachtführer ist Herr des eigenen logistischen Prozesses (z.B. Transportzeit und Transportweg). Daten des Käufers (Namen und Anschrift) werden im Rahmen des logistischen Prozesses eigenverantwortlich vom Frachtführer verarbeitet. Die Datenübergabe vom Verkäufer an den Frachtführer erfolgt nicht im Rahmen eines Auftrags zur Datenverarbeitung, sondern im Rahmen eines Auftrags zum Warentransport.

Fraglich ist, ob Facebook als Auftragsverarbeiter eingestuft werden kann, da das Unternehmen eigene Interessen an den personenbezogenen Daten hat und über die Zwecke und Mittel der Verarbeitung selbst entscheidet. Der klassische Auftragsverarbeiter verarbeitet die überlassenen Daten im Auftrag des Verantwortlichen (vgl. Art. 28 DSGVO), weisungsabhängig und unter Aufsicht des Verantwortlichen (vgl. Art. 29 DSGVO). Der EuGH sieht Facebook nicht als Auftragsverarbeiter, sondern als Verantwortlicher, da das soziale Netzwerk über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer selbst entscheidet (siehe Verantwortlicher, Rz.3).

Will der Auftragnehmer selbst über die Verarbeitung der personenbezogenen Daten entscheiden (z.B. Zwecke und Mittel der Verarbeitung der personenbezogenen Daten selbst bestimmen, um eigene wirtschaftliche Ziele mit den Daten zu verfolgen), dann scheidet eine Auftragsverarbeitung aus. In diesem Fall ist er ein Verantwortlicher, insbesondere wenn er alleine Zwecke und Mittel der Verarbeitung bestimmen will. Möglicherweise liegen die Voraussetzungen für gemeinsam Verantwortliche vor, wenn er Zwecke und Mittel der Verarbeitung mit anderen (gemeinsam) bestimmen will (siehe Gemeinsam Verantwortliche, Rz.5).

Der Auftragnehmer wird nicht als Auftragsverarbeiter, sondern wie ein Verantwortlicher behandelt, wenn er die ihm zugewiesenen Befugnisse überschreitet und sich selbst zum Herrn der Verarbeitung macht. In diesem Fall gilt der Auftragsverarbeiter in Bezug auf diese Verarbeitung als Verantwortlicher (vgl. Art. 28 Abs. 10 DSGVO).

b) Der Verantwortliche darf nur mit Auftragsverarbeiter zusammenarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DSGVO). Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch (Art. 28 Abs. 2 DSGVO).

c) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Rechtsinstruments (z.B. eines Vertrag) das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem

  • Gegenstand und Dauer der Verarbeitung,

  • Art und Zweck der Verarbeitung,

  • die Art der personenbezogenen Daten,

  • die Kategorien betroffener Personen und

  • die Pflichten und Rechte des Verantwortlichen

festgelegt sind (Art. 28 Abs. 3 DSGVO).

Der konkrete Inhalt des Rechtsinstruments ergibt sich aus Art. 28 Abs. 3a ff DSGVO. Der Auftragsverarbeiter verpflichtet sich z.B. a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, b) dass die zur Verarbeitung der personenbezogenen Daten befugten Personen einer angemessenen Verschwiegenheitspflicht unterliegen, c) alle erforderlichen Sicherheitsmaßnahmen gemäß Art. 32 DSGVO zu ergreifen.

Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO).

Der Auftrag bildet die rechtliche Grundlage für die Datenverarbeitung durch den Auftragsverarbeiter.

d) Nimmt der Auftragsverarbeiter für seine Dienste, die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Rechtsinstrument (z.B. eines Vertrags) dieselben Datenschutzpflichten auferlegt, die in dem Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind (Art. 28 Abs. 4 DSGVO).

e) Der Auftragsverarbeiter ist für den Datenschutz mitverantwortlich, z.B. hat er ein Verarbeitungsverzeichnis zu führen (Art. 30 Abs. 2 DSGVO), mit den Aufsichtsbehörden zusammenzuarbeiten (Art. 31 DSGVO) und die Sicherheit der Verarbeitung (Art. 32 Abs. 1 DSGVO) zu beachten.

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist. Dies gilt nicht, wenn der Auftragsverarbeiter unter Verstoß gegen die DSGVO die Zwecke und Mittel der Verarbeitung sebst bestimmt hat. In diesem Fall gilt der Auftragsverarbeiter in Bezug auf diese Verarbeitung als Verantwortlicher (siehe Haftung, Rz.10).

f) Der Auftragsverarbeiter kann seinen Sitz außerhalb der EU haben, wenn die zusätzlichen Anforderungen der Art. 44 - 50 DSGVO für Verarbeitungen in Drittstaaten eingehalten werden, z.B. angemessenes Schutzniveau im Drittstaat (vgl. Art. 44 DSGVO).

g) Auftragsverarbeiter sind Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht (vgl. Art. 4 Nr. 9 DSGVO). Hat der Verantwortliche einen Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten beauftragt, dann hat der Verantwortliche dies im Rahmen der Informationspflichten (Art. 13 Abs. 1e DSGVO) und den Mitteilungspflichten (Art. 19 DSGVO) sowie bei der Auskunft nach Art. 15 DSGVO zu berücksichtigen.

h) Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Erwägungsgrund 81).


<< Rz. 3 || Rz. 5 >>

Inhaltsübersicht ...    (jura-basic)


Dokument-Nr. 0001916 (Details, unten bei Hinweise), © jura-basic 2021

Weitere Themen...

Hier können Sie weitere Themen lesen, die von jura-basic bereitgestellt werden.

Weitere Fragen zum Arbeitsverhältnis?

Haben Sie weitere Fragen zum Arbeitsverhältnis, insbesondere zum Urlaub und Urlaubsabgeltung, zur Krankheit, zur Kündigung, zur Arbeitszeit (insbesondere Bereitschaftsdienst, Überstunden), dann siehe Details.


Hinweise

jura-basic.de, © Copyright 2021...