Jansen, SGB X § 80 Verarbeitung von Sozialdaten im Auftrag / 2.3 Auftragsverarbeitung nach Art. 28 DSGVO

Rz. 12

Art. 28 DSGVO enthält in Abs. 1, 2, 4 und 5 die konkreten Anforderungen an den Auftragsverarbeiter sowie die entsprechenden Pflichten des Verantwortlichen als "Auftraggeber" (Rz. 13 bis 18) und in Abs. 3 und 6 bis 9 die Modalitäten an die Auftragserteilung (Rz. 19 bis 27).

Art. 28 Abs. 10 DSGVO stellt den Auftragsverarbeiter in bestimmten Fällen an die Stelle des Verantwortlichen (Rz. 11).

2.3.1 Anforderungen an Auftragsverarbeiter und Verantwortliche

Rz. 13

Nach Art. 28 Abs. 1 DSGVO erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleisten.

Im Ergebnis entsprechen diese Anforderungen, den Pflichten und Verantwortungen wie sie sich aus Art. 24, 25 und Art. 32 DSGVO für den Verantwortlichen ergeben (vgl. hierzu die Komm. zu § 35 SGB I Rz. 49 ff.). Das Schutzniveau soll sich nicht verändern, nur weil der Verantwortliche Verarbeitungen von Auftragsverarbeitern erledigen lässt.

Rz. 14

Als Indiz für die Einhaltung der geforderten Garantien können auch hier – wie nach Art. 25 Abs. 3 DSGVO für den Verantwortlichen – genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO herangezogen werden. Damit kann auch der Verantwortliche die Erfüllung seiner Pflichten, hier die sorgfältige Auswahl des Auftragsverarbeiters, nachweisen (EG 81 DSGVO).

Rz. 15

Sog. Unterauftragsverhältnisse, also der Auftragsverarbeiter bedient sich selbst (weiterer) Auftragsverarbeiter, ist nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen zulässig (Art. 28 Abs. 2 Satz 1 DSGVO).

Sofern eine entsprechende allgemeine schriftliche Genehmigung des Verantwortlichen vorliegt, informiert der Auftragsverarbeiter den Verantwortlichen nach Art. 28 Abs. 2 Satz 2 DSGVO über jede beabsichtigte Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter. Der Verantwortliche hat dadurch die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

Rz. 16

Nach Art. 28 Abs. 4 Satz 1 DSGVO werden in Fällen von Unterauftragsverhältnissen (Rz. 15) den weiteren Auftragsverarbeitern dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO festgelegt wurden (vgl. Rz. 17 ff.). Auch diese weiteren Auftragsverarbeiter haben – wie der "Erstauftragsverarbeiter" gegenüber dem Verantwortlichen nach Art. 28 Abs. 1 DSGVO (Rz. 13) – hinreichende Garantien dafür zu bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt.

Rz. 17

Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der (erste) Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters (Art. 28 Abs. 4 Satz 2 DSGVO).

Rz. 18

Nach Beendigung der Auftragsverarbeitung hat der Auftragsverarbeiter die personenbezogenen Daten nach entsprechender Weisung des Verantwortlichen entweder zurückzugeben oder zu löschen, sofern nicht eine rechtliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht (EG 81 DSGVO).

2.3.2 Modalitäten für die Auftragsgestaltung

Rz. 19

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten. In diesem Vertrag oder in dem anderen Rechtsinstrument müssen Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein (Art. 28 Abs. 3 Satz 1 DSGVO).

Rz. 20

Die DSGVO enthält keine Definition von "einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten". Auch der deutsche Gesetzgeber hat keine Definition oder entsprechende Regelungen in Bezug auf Art. 28 DSGVO getroffen (vgl. DSAnpUG-EU), so dass im Ergebnis "andere Rechtsinstrumente" in der Bundesrepublik derzeit nicht bestehen.

2.3.2.1 Vertragsgestaltung

Rz. 21

Der Verantwortliche und der Auftragsverarbeiter können laut EG 81 DSGVO entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.

Rz. 22

Mit Kommission ist die Europäische Kommission gemeint. Die Europäische Kommission ist die politisch unabhängige Exekutive der Europäischen Union (EU). Sie ist allein zuständig für die Erarbeitung von Vorschlägen für neue europäische Rechtsvorschriften und setzt die Beschlüsse des Europäischen Parlaments und des Rates der EU um. Gemeinsam mit dem Gerichtshof wacht die Kommission über die ordnungsgemäße Anwendung...