Verantwortlicher oder Auftragsverarbeiter

Was ist ein Datenverantwortlicher?

Ein Verantwortlicher bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Mit anderen Worten, der Verantwortliche entscheidet über das Wie und Warum eines Datenverarbeitungsvorgangs. Ein Verantwortlicher kann eine juristische Person sein, zum Beispiel ein Unternehmen, ein KMU, eine Behörde, eine Agentur oder eine andere Stelle.

In bestimmten Fällen können die Zwecke und Mittel der Verarbeitung personenbezogener Daten sowie der für die Verarbeitung Verantwortliche durch das Recht der EU oder der Mitgliedstaaten bestimmt werden.

 

Was sind Gemeinsam Verantwortliche?

Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.

 

Was sind die Verantwortlichkeiten eines Verantwortlichen oder eines gemeinsamen Verantwortlichen?

Bei der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten muss der für die Verarbeitung Verantwortliche oder gemeinsam Verantwortliche sicherstellen, dass die personenbezogenen Daten von Personen geschützt werden. Um dies zu erreichen, muss der für die Verarbeitung Verantwortliche oder gemeinsam Verantwortliche Maßnahmen ergreifen, um personenbezogene Daten zu schützen und Einzelpersonen die Ausübung ihrer Rechte zu ermöglichen.

Weitere Informationen finden Sie in der Checkliste „Verantwortlicher / Gemeinsam Verantwortlicher“

 

Was ist ein Datenprozessor?

Ein Auftragsverarbeiter handelt nur auf Weisung des Verantwortlichen, indem er personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Ähnlich wie bei einem Datenverantwortlichen oder einem gemeinsamen Verantwortlichen kann ein Datenverarbeiter eine juristische Person sein, beispielsweise ein Unternehmen, ein KMU, eine Behörde, eine Agentur oder andere Stellen.

 

Was ist ein Unterauftragsverarbeiter?

Ein Unterauftragsverarbeiter handelt gemäß den Anweisungen des Auftragsverarbeiters, was bedeutet, dass er die personenbezogenen Daten von Einzelpersonen im Auftrag des Auftragsverarbeiters verarbeiten kann. Ein Unterauftragsverarbeiter kann eine juristische Person sein, zum Beispiel ein Unternehmen, ein KMU, eine Behörde, eine Agentur oder eine andere Stelle.

Zu beachten ist, dass ein Unterauftragsverarbeiter nur ernannt werden kann, wenn der für die Verarbeitung Verantwortliche oder der gemeinsame Verantwortliche ihn schriftlich genehmigt. Ist dies der Fall, muss der Auftragsverarbeiter mit dem Unterauftragsverarbeiter einen verbindlichen Vertrag abschließen, in dem die Verantwortlichkeiten des Unterauftragsverarbeiters aufgeführt sind. 

Dieser Vertrag über Auftragsverarbeiter und Unterauftragsverarbeiter muss den gleichen Schutz der personenbezogenen Daten natürlicher Personen bieten wie der ursprüngliche Vertrag über den Auftragsverarbeiter.

Was sind die Verantwortlichkeiten eines Auftragsverarbeiters?

Während die Gesamtverantwortung im Allgemeinen beim Verantwortlichen liegt, haben die Datenverarbeiter auch bestimmte Verantwortlichkeiten gemäß der DSGVO. Die Auftragsverarbeiter haben die Verarbeitungsvorgänge mit den entsprechenden technischen und organisatorischen Maßnahmen durchzuführen, die vom für die Verarbeitung Verantwortlichen oder gemeinsam Verantwortlichen angeordnet werden. Dabei unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Datenschutz-Grundverordnung.

Die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter, einschließlich der Verantwortlichkeiten des Auftragsverarbeiters, muss durch einen Vertrag geregelt werden, in dem die Verarbeitungsvorgänge und -mittel zur Verarbeitung personenbezogener Daten dokumentiert sind.
 

Weitere Informationen finden Sie in der Checkliste für die Verantwortlichkeiten des Auftragsverarbeiters

 

Was ist in einem Auftragsverarbeiter-Vertrag enthalten?

In dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen oder dem gemeinsamen Verantwortlichen und dem Auftragsverarbeiter muss festgelegt werden, dass der Datenverarbeiter

  • verarbeitet die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR;
  • stellt sicher, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
  • gewährleistet die Sicherheit der Verarbeitung;
  • nicht ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen, der eine aussagekräftige Möglichkeit hat, Widerspruch einzulegen, einen anderen Auftragsverarbeiter beauftragt;
  • unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen, den Anträgen des Einzelnen nach Ausübung seiner Rechte nachzukommen;
  • unterstützt den für die Verarbeitung Verantwortlichen bei der Sicherung der Verarbeitung, der Meldung von Datenschutzverletzungen und der Durchführung von DSFAs;
  • nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Verantwortlichen löscht oder zurückgibt;
  • dem für die Verarbeitung Verantwortlichen alle notwendigen Informationen zur Verfügung stellt, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen;
  • ermöglicht und trägt zu Audits bei, einschließlich Inspektionen, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.

Was ist in einen Unterauftragsverarbeiter-Vertrag einzuschließen?

Der Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter muss spezifische Klauseln enthalten, die gewährleisten, dass die zu verarbeitenden personenbezogenen Daten in der gleichen Weise geschützt werden, wie im Vertrag über die Verarbeitung Verantwortlicher und Auftragsverarbeiter vorgesehen.

 

Wer haftet wann?

Ein Verantwortlicher oder Mitverantwortlicher haftet sowohl für die eigene Einhaltung der DSGVO als auch für die Einhaltung des gewählten Auftragsverarbeiters. Konkret könnte, wenn der Auftragsverarbeiter gegen seine Verpflichtungen aus der DSGVO verstößt, der für die Verarbeitung Verantwortliche oder der gemeinsame Verantwortliche zur Verantwortung gezogen werden und gegebenenfalls mit Geldbußen und anderen Konsequenzen belegt werden.

Ein Auftragsverarbeiter haftet sowohl für die eigene Einhaltung der DSGVO als auch für die Verletzung des Auftragsverarbeitervertrags gegenüber dem Verantwortlichen. Ein Auftragsverarbeiter kann gegenüber dem Verantwortlichen auch für die vom Unterauftragsverarbeiter verursachten Verstöße haftbar gemacht werden. 

 

Checkliste der Verantwortlichkeiten

Checkliste der Verantwortlichkeiten des Verantwortlichen oder des gemeinsamen Verantwortlichen

  • Einhaltung der Datenschutzgrundsätze gemäß Art. 5 DSGVO
  • Wahrung der Datenschutzrechte des Einzelnen
  • Aufzeichnungen über Verarbeitungsvorgänge führen
  • Gewährleistung der Sicherheit der Verarbeitung
  • Auswahl eines geeigneten Datenverarbeiters
  • Detaillierung in einem verbindlichen Vertrag über die Verarbeiter-Auftragsverarbeiter-Beziehung
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständige Datenschutzbehörde des EWR und gegebenenfalls an Einzelpersonen
  • Verantwortlichkeit für die Verarbeitungsvorgänge, Ausübung des Datenschutzes durch Design & Ausfall, Durchführung von Datenschutz-Folgenabschätzungen bei Bedarf
  • Benennung eines Datenschutzbeauftragten bei Bedarf
  • Einhaltung der Datenschutzverpflichtungen bei der internationalen Übermittlung personenbezogener Daten
  • Zusammenarbeit mit Datenschutzbehörden

Checkliste der Verantwortlichkeiten des Auftragsverarbeiters
 

  • Folgen Sie den Anweisungen des Verantwortlichen
  • Aufzeichnungen über Verarbeitungsvorgänge führen
  • Gewährleistung der Sicherheit der Verarbeitung
  • Einhaltung und Aufrechterhaltung des verbindlichen Auftragsverarbeitervertrags
  • Holen Sie sich die Autorisierung des für die Verarbeitung Verantwortlichen ein, bevor Sie einen neuen Unterauftragsverarbeiter einsetzen (und geben Sie dem für die Verarbeitung Verantwortlichen die Möglichkeit, Widerspruch einzulegen). Gegebenenfalls muss ein Auftragsverarbeiter-Unterauftragnehmervertrag geschlossen werden, der dem ursprünglichen Auftragsverarbeiter-Auftragnehmervertrag gleichkommt.
  • Meldung von Verstößen gegen personenbezogene Daten an die für die Verarbeitung Verantwortliche
  • Meldung von DSGVO-Verstößen an den Verantwortlichen
  • Verantwortlichkeit für die Verarbeitungsvorgänge: z. B. Datenschutz durch Design & Default
  • Benennung eines Datenschutzbeauftragten bei Bedarf
  • Sicherstellen, dass internationale Übermittlungen vom für die Verarbeitung Verantwortlichen genehmigt werden und die DSGVO einhalten
  • Zusammenarbeit mit Datenschutzbehörden