Wer ist Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO?

Datenverarbeitungen werden immer komplexer – kaum eine Stelle, die personenbezogene Daten erhebt, verarbeitet diese heute noch vollständig allein. In der Regel werden externe Dienstleister eingebunden, etwa für das Hosting der Website, die Verarbeitung von Lohndaten oder die Abwicklung von Bestellungen im Online-Shop.

Die Stelle, die die personenbezogenen Daten ursprünglich erhoben hat, ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Sie bleibt über den gesamten Verarbeitungszeitraum „Herr der Daten“ und trägt die Verantwortung für eine rechtmäßige und sichere Verarbeitung. Der externe Dienstleister, der die Daten im Auftrag bearbeitet, wird Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO genannt.

Rechtsgrundlage: Art. 4 Nr. 8 DSGVO

Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Daraus ergibt sich eine Weisungsgebundenheit des Auftragsverarbeiters. Er handelt nicht in eigener Verantwortung, sondern ausschließlich nach den Weisungen der verantwortlichen Stelle, welche die Daten erhoben hat, und darf diese Daten auch nur für den vorher vereinbarten Zweck verarbeiten.

Wer ist nicht Auftragsverarbeiter?

Nicht jeder, der Daten verarbeitet, ist automatisch ein Auftragsverarbeiter. Entscheidend ist, ob der Dritte streng nach Weisung handelt oder selbst über Zweck und Mittel der Datenverarbeitung entscheidet. Banken und die Post sind typische Beispiele: Die Bank entscheidet selbst, wie Konten geführt oder Kredite geprüft werden, die Post, wie Zustellungen organisiert werden. Sie handeln also eigenverantwortlich und sind keine Auftragsverarbeiter.

Muss die betroffene Person zustimmen?

Wenn ein Auftragsverarbeiter Daten im Auftrag verarbeitet, braucht es keine extra Zustimmung der Betroffenen. Wichtig ist ein klarer Auftragsverarbeitungsvertrag zwischen Verantwortlichem und Auftragsverarbeiter, der die Vorschriften der DSGVO einhält, insbesondere zu Art. 28 DSGVO. Nur wenn die Daten für einen anderen Zweck genutzt werden oder keine gesetzliche Grundlage vorliegt, wäre eine Zustimmung nötig.

Datenschutz bei der ausgelagerten Datenverarbeitung

Um eine Zweckentfremdung zu verhindern und andere Gefahren eines Kontrollverlusts über die personenbezogenen Daten zu verringern, werden Verträge zwischen Auftragsverarbeiter und Verantwortlichen geschlossen. Dieser Vertrag nennt sich dann Auftragsverarbeitungsvertrag und muss inhaltlich den katalogartigen Bedingungen gemäß Art. 28 DSGVO folgen, um die Pflichten, Sicherheitsmaßnahmen und Kontrollrechte zwischen den Parteien zu gewährleisten.

Er enthält unter anderem Regelungen zu:

• Kategorien der betroffenen Personen und Daten
• Zweck der Datenverarbeitung
• Zeitraum/Dauer der Auftragsverarbeitung
• Technische und organisatorische Maßnahmen der Verantwortlichen zum Schutz der Daten
• Meldepflichten, Löschungsvorgänge und Unterstützungsgebote nach der DSGVO
• Weisungsgebundenheit des Auftragsverarbeiters

Die stillen Daten-Helfer im Hintergrund

Ein Auftragsverarbeiter agiert im Hintergrund. Er verarbeitet personenbezogene Daten nicht für eigene Zwecke, sondern im Auftrag und unter Kontrolle des Verantwortlichen.

Haben Sie Fragen zu diesem Thema? Unser Team steht Ihnen gerne zur Verfügung. Als Datenschutzexperten kennen wir die Abläufe von Auftragsverarbeitern genau und beraten Sie kompetent.