Die Datenschutz-Grundverordnung bietet europaweit einheitlich die Möglichkeit zur sog. Auftragsverarbeitung. Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.

Die entsprechenden Vorschriften zur Auftragsverarbeitung finden dabei schon dann Anwendung, wenn die Verarbeitung einen Zusammenhang mit Tätigkeiten einer Niederlassung in der Union aufweist. Das bedeutet, dass es ausreichend ist, wenn entweder der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union betreibt und die Verarbeitung mit der Arbeit in dieser zusammenhängt. Von der Konstellation der Auftragsverarbeitung ist die der gemeinsam Verantwortlichen (Art. 26 EU-DSGVO) zu unterscheiden, bei der zusammen die Zwecke und die Mittel der Datenverarbeitung festlegt werden und für diese auch gemeinsam eingestanden wird.

In den meisten Fällen erfolgt die Auftragsverarbeitung auf Grundlage eines Vertrags. Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. So muss dieser unter anderem unbedingt enthalten, welche Art von personenbezogenen Daten verarbeitet werden sowie was Gegenstand und was Zweck der Verarbeitung sind. Darüber hinaus bestehen für den Auftragsverarbeiter weitere Pflichten. Beispielweise muss er auch ein Verzeichnis über die Verarbeitungstätigkeiten führen, welche den Namen und die Kontaktdaten jedes Verantwortlichen umfasst, in dessen Auftrag er tätig ist sowie die Kategorien von Verarbeitungen, die dabei durchgeführt werden. Des Weiteren umfasst das Verzeichnis gegebenenfalls eine Übermittlung von personenbezogenen Daten in Drittländer und nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Dem Verantwortlichen hingegen obliegt die Pflicht, bei der Auswahl des Auftragsverarbeiters  sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert hat, so dass die Vorschriften der Verordnung bei der Verarbeitung eingehalten werden.

Grundsätzlich ist der Verantwortliche der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Passende Artikel der DSGVO

Art. 4 DSGVO Begriffsbestimmungen Art. 27 DSGVO Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern Art. 28 DSGVO Auftragsverarbeiter Art. 29 DSGVO Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten Art. 40 DSGVO Verhaltensregeln Art. 42 DSGVO Zertifizierung Art. 44 DSGVOAllgemeine Grundsätze der Datenübermittlung Art. 45 DSGVO Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses Art. 46 DSGVO Datenübermittlung vorbehaltlich geeigneter Garantien Art. 47 DSGVO Verbindliche interne Datenschutzvorschriften Art. 82 DSGVO Haftung und Recht auf Schadenersatz

Passende Erwägungsgründe

(24) Anwendung auf Verarbeiter außerhalb der Union bei Profilerstellung von Betroffenen innerhalb der Union(36) Festlegung der Hauptniederlassung (80) Benennung eines Vertreters (81) Heranziehung eines Auftragsverarbeiters (82) Verzeichnis der Verarbeitungstätigkeiten (98) Erstellung von Verhaltensregeln durch Verbände und Vereinigungen (99) Konsultation von Interessenträgern und Betroffenen bei der Ausarbeitung von Verhaltensregeln (101) Grundsätze des internationalen Datenverkehrs (108) Geeignete Garantien (109) Standard-Datenschutzklauseln (146) Schadenersatz (147) Gerichtsbarkeit