Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitung), Art. 28 DSGVO

Einem besonders strengen Maßstab unterliegt auch die Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitung), Art. 28 DSGVO. Eine Auftragsdatenverarbeitung liegt vor, wenn der Auftragnehmer für den Auftraggeber weisungsgebunden und ohne eigenes Interesse personenbezogene Daten verarbeitet. Sie ist auch im Konzernverbund zwischen konzernzugehörigen Unternehmen möglich.

Die Auftragserteilung muss stets schriftlich erfolgen. Darin sind Art und Umfang der Datenverarbeitung, die zu treffenden technischen und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse festzulegen. Einen umfassenden Katalog der zwischen Auftraggeber und Auftragnehmer zu treffenden Vereinbarungen enthält Art. 28 DSGVO selbst, insbesondere in Abs. 3 DSGVO.

Besonderes Augenmerk ist darauf zu richten, dass der Auftraggeber für die korrekte Durchführung der Datenverarbeitung beim Auftragnehmer verantwortlich ist und dem Betroffenen gegenüber haftet. Er hat deshalb den Auftragnehmer nicht nur sorgfältig auszuwählen, sondern er muss sich von der Einhaltung der vereinbarten Maßnahmen überzeugen. Diese Regelungen gelten ausdrücklich auch für die Fernwartung von EDV-Systemen durch beauftragte Unternehmen. Darüber hinaus besteht Einigkeit, dass die Bestimmungen zur Auftragsverarbeitung auch bei der Speicherung von Daten in von Dritten betriebenen Rechenzentren sowie in den Fällen des Cloud-Computing zur Anwendung gelangen.

Die Regelungen zur Auftragsdatenverarbeitung finden stets Anwendung, wenn Auftraggeber und Auftragnehmer im Geltungsbereich der DSGVO ansässig sind. Ansonsten gelten zusätzlich die Regelungen zur Übermittlung personenbezogener Daten ins Ausland.

Es ist stets eine Abgrenzung der Auftragsverarbeitung von der Funktionsübertragung erforderlich, da letztere nicht vom Art. 28 DSGVO erfasst wird.