Auftragsverarbeitung
Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
Auswahl des Auftragsverarbeiters: nach Eignung zur Verarbeitung gem. EU-DSGVO
Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete technische und organisatorische Maßnahmen notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
- Verarbeitung nur aufgrund dokumentierter Weisung
- Vertraulichkeitsverpflichtung
- Sicherheit
- weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
- Support des Verantwortlichen
- Löschung aller Daten nach dem Ende der Auftragsverarbeitung
- Inspektionen
- Weisungsprüfung
Weitere Informationen
- Inkassounternehmen sind keine Auftragsverarbeiter.
- Beispiel eines Auftragsverarbeitungsvertrages.