Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.[1] Zu beachten ist, dass § 62 BDSG und § 63 BDSG zu den ergänzenden Bestimmungen über die Verordnung (EU) 2016/680 gehören, die für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden gilt.
Ein Verantwortlicher darf nur Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird. Betroffene Personen können ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz gegenüber dem Verantwortlichen geltend machen.
Wenn der Auftragsverarbeiter Subunternehmer einschaltet, muss er für diese die gleichen Vertragsbedingungen festlegen, denen er selbst gegenüber dem Auftraggeber unterliegt. Der Subunternehmer muss Garantien bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.[2]
Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben[3] Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags.[4]
Zu beachten ist in solchen Fällen auch Art. 26 DSGVO über gemeinsam für die Verarbeitung Verantwortliche, also wenn 2 oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dafür ist eine transparente Form vorgeschrieben. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Vereinbart wird, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13, 14 DSGVO nachkommt. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
Die betroffenen Personen erhalten Informationen über die wesentlichen Punkte der Vereinbarung und diese können ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen.
Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gem. der Verordnung erfolgt. Regelmäßige Aktualisierung und Überprüfung ist notwendig.[5]
Wenn die Verwendung neuer Technologien voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine sog. Datenschutz-Folgenabschätzung vorzunehmen.[6] Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Finance Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen