Auftragsverarbeiter

Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) verarbeitet personenbezogene Daten im Auftrag eines Verantwortlichen, etwa als Cloud-Anbieter, Lohnabrechnungsdienst, Newsletter-Versender oder externes Rechenzentrum. Maßgebliches Abgrenzungskriterium ist die fehlende Entscheidungsmacht über Zweck und Mittel der Verarbeitung: Wer über das 'Warum' und 'Wie' bestimmt, ist Verantwortlicher; wer lediglich weisungsgebunden ausführt, ist Auftragsverarbeiter. Trifft ein Dienstleister hingegen wesentliche eigene Entscheidungen, kann er zum eigenen Verantwortlichen oder zum gemeinsam Verantwortlichen werden.

Die Pflichten des Auftragsverarbeiters ergeben sich vor allem aus Art. 28 bis 33 DSGVO. Er darf nur auf dokumentierte Weisung des Verantwortlichen tätig werden, muss die Vertraulichkeit der mit der Verarbeitung befassten Personen sicherstellen und geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO treffen. Weitere Unterauftragsverarbeiter dürfen nur mit Genehmigung eingebunden werden, wobei die Pflichten vertraglich weiterzureichen sind. Der Verarbeiter unterstützt den Verantwortlichen bei Betroffenenanfragen, Meldepflichten und Datenschutz-Folgenabschätzungen, führt ein eigenes Verarbeitungsverzeichnis nach Art. 30 Abs. 2 DSGVO und löscht oder gibt die Daten nach Auftragsende zurück.

Rechtsgrundlage des Verhältnisses ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DSGVO mit den dort verlangten Mindestinhalten. Haftungsrechtlich ist der Auftragsverarbeiter kein bloßes Werkzeug: Nach Art. 82 Abs. 2 DSGVO haftet er gegenüber Betroffenen für Schäden, wenn er seinen spezifischen Verarbeiterpflichten nicht nachgekommen ist oder einer rechtmäßigen Weisung zuwidergehandelt hat. Verstöße können zudem mit Bußgeldern nach Art. 83 DSGVO geahndet werden. Überschreitet ein Verarbeiter seine Weisungen und bestimmt Zweck und Mittel selbst, gilt er nach Art. 28 Abs. 10 DSGVO insoweit als Verantwortlicher und trägt dessen volle Verantwortung.