Hauptinhalt

Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters

Rechte und Pflichten des Verantwortlichen (= Auftraggeber)

Die Pflichten des Verantwortlichen bleiben im Vergleich zur bisherigen Rechtslage weitestgehend gleich.

Er hat auch im Rahmen der Auftragsverarbeitung die allgemeinen, in der Datenschutz-Grundverordnung festgelegten Pflichten zu erfüllen (wie z. B. die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung oder die Festlegung technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung nach Artikel 32 Datenschutz-Grundverordnung). Hinzu kommen insbesondere folgende spezielle Pflichten:

Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung der personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung erfolgt (vgl. Artikel 28 Absatz 1 Datenschutz-Grundverordnung). Daher muss er den Auftragsverarbeiter sorgfältig auswählen. Fachwissen, Zuverlässigkeit und Ressourcen können Maßstäbe für die Auswahl sein. Als Nachweis ausreichender Garantien können genehmigte Verhaltensregeln, denen der Auftragsverarbeiter unterliegt, oder Zertifizierungen herangezogen werden.

Aus den Anforderungen an die Auswahl des Auftragsverarbeiters ergibt sich auch, dass der Verantwortliche den Auftragsverarbeiter überwachen muss. Er muss sich wie bisher Gewissheit darüber verschaffen, dass der Auftragsverarbeiter alle technischen und organisatorischen Maßnahmen einhält, die zum Schutz der betroffenen personenbezogenen Daten getroffen wurden. Neu ist, dass der Verantwortliche hierfür Verhaltensregeln oder Zertifizierungen heranziehen kann und nicht mehr zwingend eine Vorort-Kontrolle erfolgen muss (vgl. bisher § 7 Absatz 2 Satz 3 Sächsisches Datenschutzgesetz). Sofern dies nicht ausreichend erscheint oder keine Verhaltensregeln oder Zertifizierungen vorliegen, muss der Verantwortliche die Kontrollen wie bisher durchführen, also insbesondere vor Ort gehen und die getroffenen technischen und organisatorischen Maßnahmen sowie deren Einhaltung überprüfen.

Nach Artikel 29 Datenschutz-Grundverordnung verarbeitet der Auftragsverarbeiter die personenbezogenen Daten auf Weisung des Verantwortlichen. Vertraglich zu regeln ist, dass die Verarbeitung nur auf der Grundlage dokumentierter Weisungen erfolgt. Damit besteht seitens des Verantwortlichen auch die Pflicht, die Weisungen in dokumentierbarer Form zu erteilen. Dies liegt auch im eigenen Interesse des Verantwortlichen. Insbesondere bei Datenschutzverstößen und daraus resultierenden Schadenersatzansprüchen betroffener Personen kann es für die Schadensverteilung im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter auf den Wortlaut einer Weisung und darauf ankommen, ob sich der Auftragsverarbeiter an die Weisung gehalten hat oder nicht.

Rechte und Pflichten des Auftragsverarbeiters

Die Datenschutz-Grundverordnung nimmt den Auftragsverarbeiter stärker in die Pflicht zur Einhaltung des Datenschutzrechts, als dies nach bisherigem Recht der Fall war. Sie begründet an mehreren Stellen selbständige datenschutzrechtliche Pflichten des Auftragsverarbeiters. Zu nennen sind insbesondere

  • die Pflicht zum Führen eines Verfahrensverzeichnisses (vgl. Artikel 30 Absatz 2 Datenschutz-Grundverordnung),
  • die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht (vgl. Artikel 31 Datenschutz-Grundverordnung),
  • das Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit (vgl. Artikel 32 Absatz 1 Datenschutz-Grundverordnung),
  • die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (vgl. Artikel 37 Absatz 1 Datenschutz-Grundverordnung) und
  • die Beschränkungen für den Datentransfer in Drittländer (vgl. Artikel 44 Datenschutz-Grundverordnung),
  • die Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die Datenschutz-Grundverordnung oder andere Datenschutzbestimmungen verstoßen (vgl. Artikel 28 Absatz 3 Satz 3 Datenschutz-Grundverordnung),
  • die Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (vgl. Artikel 33 Absatz 2 Datenschutz-Grundverordnung).

Möchte der Auftragsverarbeiter einen weiteren Auftragsverarbeiter in Anspruch nehmen, so darf er dies nur,

  • mit schriftlicher Genehmigung des Verantwortlichen (vgl. Artikel 28 Absatz 2 Datenschutz-Grundverordnung) und
  • unter Vereinbarung der gleichen Datenschutzstandards, die zwischen dem Verantwortlichen und ihm gelten.

Wenn ein Auftragsverarbeiter Mittel und Zweck der Verarbeitung entgegen der Datenschutz-Grundverordnung selbst bestimmt, gilt er als Verantwortlicher mit allen daraus erwachsenden Rechten und Pflichten (vgl. Artikel 28 Absatz 10 Datenschutz-Grundverordnung).

zurück zum Seitenanfang