Auftragsverarbeiter

Der Auftragsverarbeiter ist ein zentraler Begriff im Datenschutzrecht, insbesondere im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO). Er spielt eine wesentliche Rolle bei der Verarbeitung personenbezogener Daten im Auftrag des Datenverantwortlichen. In diesem Artikel erklären wir, was ein Auftragsverarbeiter ist, welche Pflichten er hat, welche rechtlichen Anforderungen er erfüllen muss und wie sich seine Rolle vom Datenverantwortlichen unterscheidet.

Was ist ein Auftragsverarbeiter?

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die im Auftrag des Datenverantwortlichen personenbezogene Daten verarbeitet. Er handelt dabei ausschließlich nach den Anweisungen des Datenverantwortlichen und darf keine eigenen Entscheidungen über die Zwecke und Mittel der Datenverarbeitung treffen.

Ein klassisches Beispiel ist ein IT-Dienstleister, der die Speicherung und Verwaltung von Kundendaten für ein Unternehmen übernimmt. Weitere Beispiele sind Cloud-Hosting-Anbieter, externe Buchhaltungsfirmen oder Marketingagenturen, die Kundendaten im Auftrag eines Unternehmens verarbeiten.

Pflichten des Auftragsverarbeiters

Auch wenn der Auftragsverarbeiter im Auftrag des Datenverantwortlichen handelt, hat er laut DSGVO bestimmte Pflichten, um den Schutz der personenbezogenen Daten sicherzustellen:

1. Weisungsgebundenheit: Der Auftragsverarbeiter darf die personenbezogenen Daten nur im Rahmen der Anweisungen des Datenverantwortlichen verarbeiten. Er darf keine eigenen Entscheidungen über die Datenverarbeitung treffen.
2. Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört der Schutz vor unbefugtem Zugriff, Datenverlust oder Manipulation.
3. Vertraulichkeit: Der Auftragsverarbeiter muss sicherstellen, dass alle Personen, die Zugang zu den personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet sind. Dies betrifft insbesondere Mitarbeiter und Subunternehmer.
4. Meldung von Datenschutzverletzungen: Im Falle einer Datenschutzverletzung muss er den Datenverantwortlichen unverzüglich zu informieren, damit dieser entsprechende Maßnahmen ergreifen und gegebenenfalls die Aufsichtsbehörden benachrichtigen kann.
5. Unterstützung des Datenverantwortlichen: Der Auftragsverarbeiter muss den Datenverantwortlichen bei der Erfüllung seiner Pflichten unterstützen. Dazu gehört unter anderem die Erfüllung von Betroffenenrechten, wie dem Recht auf Auskunft, Löschung oder Datenübertragbarkeit.
6. Subauftragsverarbeiter: Wenn der Auftragsverarbeiter die Verarbeitung personenbezogener Daten an einen Dritten (Subauftragsverarbeiter) weitergibt, muss er sicherstellen, dass dieser ebenfalls die Anforderungen der DSGVO erfüllt. Dies erfordert die Zustimmung des Datenverantwortlichen und den Abschluss eines Vertrags mit dem Subunternehmer.

Auftragsverarbeitungsvertrag (AVV)

Ein zentraler Bestandteil der Zusammenarbeit zwischen Datenverantwortlichen und Auftragsverarbeitern ist der Auftragsverarbeitungsvertrag (AVV). Dieser Vertrag regelt die Rechte und Pflichten beider Parteien und stellt sicher, dass die Verarbeitung der Daten im Einklang mit der DSGVO erfolgt.

Der AVV muss bestimmte Inhalte umfassen, wie:

• Den Gegenstand und die Dauer der Verarbeitung.
• Die Art der verarbeiteten personenbezogenen Daten.
• Die Zwecke, für die die Daten verarbeitet werden.
• Die Pflichten und Rechte des Datenverantwortlichen.
• Die Verpflichtung des Auftragsverarbeiters zur Umsetzung geeigneter Sicherheitsmaßnahmen.

Ohne einen solchen Vertrag ist die Zusammenarbeit zwischen einem Datenverantwortlichen und einem Auftragsverarbeiter nicht zulässig.

Unterschiede zwischen Datenverantwortlichem und Auftragsverarbeiter

Während der Datenverantwortliche die Zwecke und Mittel der Datenverarbeitung bestimmt, führt der Auftragsverarbeiter die Verarbeitung im Auftrag des Verantwortlichen durch. Diese Trennung ist wichtig, da der Auftragsverarbeiter keine eigenen Rechte an den Daten hat und ausschließlich im Auftrag des Verantwortlichen handelt.

Es ist auch entscheidend zu wissen, dass der Datenverantwortliche letztlich für die Einhaltung der Datenschutzvorschriften verantwortlich bleibt. Der Auftragsverarbeiter kann jedoch bei Verstößen ebenfalls haftbar gemacht werden, insbesondere wenn er gegen die Anweisungen des Datenverantwortlichen verstößt oder keine ausreichenden Sicherheitsmaßnahmen ergreift.

Haftung des Auftragsverarbeiters

Auch wenn der Auftragsverarbeiter nach den Anweisungen des Datenverantwortlichen handelt, kann er im Falle von Datenschutzverstößen haftbar gemacht werden. Wenn er gegen die DSGVO verstößt oder seine Pflichten vernachlässigt, können Bußgelder verhängt werden, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens betragen können.

Fazit

Der Auftragsverarbeiter ist eine zentrale Rolle im Datenschutzrecht, da er die personenbezogenen Daten im Auftrag des Datenverantwortlichen verarbeitet. Unternehmen müssen sicherstellen, dass ein Auftragsverarbeitungsvertrag (AVV) vorliegt und dass der Auftragsverarbeiter die Anforderungen der DSGVO einhält. Eine sorgfältige Auswahl und Überwachung ist unerlässlich, um rechtliche Risiken zu minimieren und die Einhaltung der Datenschutzvorschriften sicherzustellen.