Die Auslagerung von Rechenprozessen an unternehmensfremde (externe) Dienstleister ist ein Vorgang, der datenschutzrechtlich einer Überprüfung nach dem Erfordernis einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO oder eines Vertrags gemeinsamer Verantwortlicher nach Art. 26 DSGVO bedarf. Der Zuständigkeitsbereich eines externen Datenschutzbeauftragten umfasst die Überprüfung von Auftragsverhältnissen von Verantwortlichen (Auftraggebern), die sich externer Dienstleister zur Auftragsdurchführung bedienen. Der Gesetzgeber hat in Art. 28 DSGVO die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters (Auftragnehmer) bei Vorliegen einer Auftragsverarbeitung geregelt. Unter anderem ist zwischen der verantwortlichen Stelle (Verantwortlicher) und dem Auftragsverarbeiter eine Vereinbarung zur Auftragsverarbeitung zwingend vorgesehen. Die Missachtung der Rechtspflicht zum Abschluss der notwendigen Vereinbarung ist gemäß Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt. Außerdem besteht eine gesamtschuldnerische Haftung zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Art. 82 Abs. 4 DSGVO. Kennzeichnend für eine Vereinbarung zur Auftragsverarbeitung sind gesetzlich verankerte Kontrollbefugnisse des Verantwortlichen, die sicherstellen, dass dieser sich regelmäßig vom Bestand und der Einhaltung technisch-organisatorischer Maßnahmen beim Auftragsverarbeiter vergewissern kann. Der Gesetzgeber trägt hierdurch dem Umstand Rechnung, dass die für die Erhebung der personenbezogenen Daten verantwortliche Stelle, auch bei Durchführung einer Datenverarbeitung im Auftrag durch einen Dritten weiterhin verantwortlich für diese personenbezogenen Daten bleibt und Sorge dafür trägt, dass die Verarbeitung in datenschutzrechtlich zulässiger Weise stattfindet. Weitere Besonderheiten einer Auftragsverarbeitung müssen stets vorab geklärt und in der entsprechenden Vereinbarung gem. Art. 28 DSGVO berücksichtigt werden. Bei Vereinbarungen mit ausländischen Auftragsverarbeitern ist zusätzlich das Datenschutzniveau des Staates, in dem der Auftragsverarbeiter die Datenverarbeitung durchführt, für die datenschutzrechtliche Einordnung von großer Bedeutung. Unvermeidbar sind auch datenschutzkonforme Regelungen über einzelne Rechte und Pflichten beider an der Auftragsverarbeitung beteiligten Unternehmen, die Kontrollrechte, Unterauftragsverhältnisse, Weisungsbefugnisse und Umgang mit den personenbezogenen Daten nach Beendigung des Vertragsverhältnisses zum Inhalt haben. Bei konzerninterner Verarbeitung von personenbezogenen Daten kommen oft Verträge von gemeinsam Verantwortlichen zu Anwendung, da neben den Tochtergesellschaften auch die Muttergesellschaft ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten der Töchter hat und diese für eigene Zwecke nutzt. Tochtergesellschaften und Muttergesellschaften entscheiden als gemeinsam Verantwortliche über Zwecke und Mittel der Datenverarbeitung.
Unsere Kanzlei berät im Bereich der Auftragsverarbeitung zu folgenden Themengebieten:
