Rz. 11
Bis zum 24.5.2018 legte § 80 Abs. 1 a. F. eindeutig fest, dass der Auftraggeber (Verantwortliche) auch im Fall einer Auftragsverarbeitung für die Einhaltung der Vorschriften über den Datenschutz verantwortlich bleibt und die betroffenen Personen ihre Rechte ihm gegenüber geltend machen müssen. Diese eindeutige Festlegung der Verantwortung ergibt sich seit dem 25.5.2018 weder aus der DSGVO noch wurde sie in das SGB X übernommen. Lediglich § 62 Abs. 1 BDSG hat die entsprechende Regelung des § 11 Abs. 1 BDSG a. F. übernommen (BT-Drs. 18/11325).
Aus dem Erwägungsgrund (EG) 81 DSGVO ergibt sich, dass der Auftragsverarbeiter die vorzunehmende Verarbeitung "im Namen des Verantwortlichen" durchführt.
Nach Art. 28 Abs. 3 Buchst. a (Rz. 25) und Art. 29 DSGVO hat der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person die personenbezogenen Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten. Der Verantwortliche entscheidet "über die Zwecke und Mittel der Verarbeitung personenbezogener Daten", Art. 4 Nr. 7 DSGVO (vgl. die Komm. zu § 67 Rz. 50).
Darüber hinaus gilt der Auftragsverarbeiter – unbeschadet der Art. 82, 83 und 84 DSGVO – nur dann als Verantwortlicher für eine Verarbeitung, wenn er unter Verstoß gegen die DSGVO die Zwecke und Mittel dieser Verarbeitung bestimmt (Art. 28 Abs. 10 DSGVO).
Daraus ergibt sich zusammengefasst weiterhin die Verantwortung des Verantwortlichen für die Einhaltung der Datenschutzvorschriften. Auch ihm gegenüber haben die betroffenen Personen weiterhin ihre Rechte geltend zu machen, wie sich unmittelbar aus den Art. 15 bis 21 DSGVO ergibt; auf die Komm. zu § 83 und § 84 wird ergänzend hingewiesen.
Das ist nur ein Ausschnitt aus dem Produkt SGB Office Professional . Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen