EU DSGVO Verantwortlicher vs. Auftragsverarbeiter – was sind die Unterschiede?

Seit dem 25. Mai 2018 existiert die Europäische Datenschutz-Grundverordnung, kurz DSGVO, welche vom europäischen Parlament und dem Europarat begründet wurde. In jedem Land, in dem personenbezogene Daten europäischer Bürger gespeichert werden, greift diese Regelung. 

Es spielt dabei keine Rolle, ob sich das Land, in dem sich dieser Bürger aufhält, sich nun in der EU befindet oder nicht. Diese einheitliche Regelung soll jedem betroffenen EU-Mitglied die gleichen Rechte auf Privatsphäre ermöglichen.

Laut Datenschutz-Grundverordnung (DSGVO) sind alle Personen, Organisationen und Unternehmen, welche mit personenbezogenen Daten arbeiten, dazu verpflichtet, gewisse Sicherheitsmaßnahmen einzuhalten.

Der Verantwortliche und der Auftragsverarbeiter sind die zwei zentralen Posten im Bereich Datenschutzrecht. Sie legen fest, wer von datenschutzrechtlichen Pflichten hinsichtlich einer bestimmten Datenverarbeitung betroffen ist.

Im Folgenden spezifizieren wir die Begriffe Verantwortlicher und Auftragsverarbeiter.

Gemäß der Definition des Art. 4 Nr. 7 DSGVO handelt es sich bei dem Verantwortlichen um die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Als Verantwortlicher gelten also die Organisationen, welche über die Zwecke und Mittel zur Verarbeitung personenbezogener Daten bestimmen, jedoch unabhängig davon, ob die Daten der betroffenen Personen direkt erfasst werden.

Der Verantwortliche bestimmt also über Schlüsselelemente, welche wiederum die Mittel und Zwecke der Datenverarbeitung anordnen. Das heißt er entscheidet darüber, warum und wie genau verarbeitet wird. Er kontrolliert die zur Verfügung gestellten Daten in Bezug auf die Sammlung, Verwaltung, Zugriff und die Löschung.

Dem Verantwortlichen kommt also eine große Verantwortung zu, die im Sinne der DSGVO stattfinden soll. Er ist also der Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten unterlegen. Dies muss er nachweisen können.

Diese Grundsätze umfassen die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit von personenbezogenen Daten. Bis auf wenige Ausnahmen muss der Verantwortliche die ausdrückliche Einwilligung der Person erhalten, deren Daten er erfasst.

Die Einwilligungsdokumente müssen unbedingt aufbewahrt werden. Sollte eine Person den Zugriff auf Ihre persönlichen Daten nachträglich verwehren wollen, muss der Verantwortliche dem nachgehen.

Für den Fall, dass der Zugriff von personenbezogenen Daten in irgendeiner Art und Weise gefährdet oder verletzt wurde, ist er verpflichtet, diesen Vorfall innerhalb von 72 Stunden aufzuklären.

Der Verantwortliche prüft unter anderem die Einhaltung der Datenschutz Grundverordnung (DSGVO( der Auftragsverarbeiter und die erforderlichen Zertifikate.

Handelt es sich bei den Verantwortlichen, die die Verantwortung für die Verarbeitung personenbezogener Daten teilen, um mehrere Organisationen, spricht man von gemeinsam Verantwortlichen. Wer welche Zuständigkeit übernimmt, muss durch Vereinbarungen festgelegt werden.

Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Ab dem 25. Mai 2018 wurde der Begriff "Auftragsdatenverarbeitung" durch "Auftragsverarbeitung" ersetzt.

Laut Art. 28 der EU DSGVO erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsbearbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Das heißt, um als Verantwortliche oder Auftraggeber fungieren zu können, müssen die EU DSGVO Regelungen eingehalten werden, da mögliche Strafen sowohl Verantwortliche als auch Auftragsverarbeiter betreffen können.

Die Verwendung der Daten darf ausschließlich dem vom Verantwortlichen aufgetragenen Zweck dienen. Der Auftragsverarbeiter übernimmt die Löschung oder Rückgabe der persönlichen Daten, sofern der Verantwortliche dies verordnet. 

Dieser Vorgang findet mithilfe eines DSGVO festgelegten Verfahren statt. Im Falle, dass der Zugriff von personenbezogenen Daten in irgendeiner Art und Weise gefährdet oder verletzt wurde, muss der Auftragsverarbeiter den Verantwortlichen sofort kontaktieren.

Das Verhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter ist durch einen Vertrag oder einen einseitigen Rechtsakt geregelt. Dieser Vertrag muss die Anweisungen des Verantwortlichen, die Geheimhaltungspflicht, die Sicherheitsmaßnahmen, die Regelung der Unterauftragsvergabe, das Datenziel am Ende des Dienstes und die Rechte der betroffenen Person beinhalten.

Außerdem muss die Zusammenarbeit in Übereinstimmung mit Verpflichtungen des Verantwortlichen sowie die Zusammenarbeit mit dem Verantwortlichen zum Beweis der Einhaltung genannt werden.

Der Vertrag muss schriftlich und in elektronischer Form festgehalten werden. Die Einwilligung der betroffenen Person ist nicht notwendig, wenn der Auftragsverarbeiter gemäß eines Arbeitsauftrages darauf zugreifen muss. Ist der Auftrag erfüllt, müssen die Daten wieder an den Verantwortlichen gegeben oder zerstört werden. Die Zerstörung der Daten muss dann genau nach den Bestimmungen der DSGVO erfolgen.

Haben sich noch Fragen? Als externe Datenschutzbeauftragte helfen wir Ihnen weiter.

Gemäß Artikel 26 Absatz 1 Satz 1 der Datenschutz-Grundverordnung (DSGVO) besteht eine gemeinsame Verantwortlichkeit, wenn zwei oder mehr Verantwortliche gemeinsam die Ziele und Methoden für die Datenverarbeitung festlegen.

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“

Der Begriff "Verantwortlicher" gemäß Artikel 4 Nummer 7 bezieht sich auf eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Organisation, die alleine oder zusammen mit anderen über die Ziele und Methoden der Verarbeitung personenbezogener Daten entscheidet.

Entscheidend ist also, ob die Festlegung der Ziele und Methoden zur Verarbeitung personenbezogener Daten in Zusammenarbeit erfolgt.

Wichtigste Voraussetzung für die gemeinsame Verantwortlichkeit ist also die gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. 

Die prominentesten Beispiele der letzten Zeit sind die bereits erwähnte Facebook-Fanpage oder die Social-Plugins. Beide machen darüber hinaus deutlich, dass es nicht immer um eine gleichwertige Verantwortlichkeit bei der gemeinsamen Verantwortlichkeit geht.

Vielmehr können die Verantwortlichen in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Im Gesamtbild gibt es dann jedoch eine gemeinsame Festlegung der Zwecke und Mittel.

Bereits jetzt ist erkennbar, dass ähnlich wie bei der Auftragsverarbeitung auch hier nicht immer sofort ersichtlich ist, wer welche Rolle innehat. Es stellt sich die Frage, wer eigentlich als verantwortliche Stelle gilt und wann von einer gemeinsamen Verantwortlichkeit oder von zwei nebeneinander agierenden Verantwortlichen gesprochen werden kann. Die Bewertung des Ausmaßes der Verantwortlichkeit hängt stets von den individuellen Umständen ab.

Man könnte argumentieren, dass es das Wichtigste ist, dass die beteiligten Parteien, Verantwortlicher und Auftragsverarbeiter, wissen, wie sie zueinander stehen. Doch aus Sicht des Datenschutzes wäre dies zu oberflächlich gedacht.

Der Zweck der DSGVO besteht nach wie vor darin, die informationelle Selbstbestimmung jedes Einzelnen zu schützen. Im Mittelpunkt steht also die Person, deren personenbezogene Daten von den Verantwortlichen verarbeitet werden.

Um den Schutz dieser Daten zu gewährleisten, wurde bereits in Erwägungsgrund 79 der Datenschutz-Grundverordnung (DSGVO) eine klare Zuweisung von Verantwortlichkeiten festgelegt.

Ein Schlüsselaspekt hierbei ist die Transparenz für die betroffenen Personen. Es ist wichtig, dass diese die Strukturen der Verantwortlichkeiten erkennen und nachvollziehen können.

Selbst bei komplexeren Situationen, in denen viele Personen und Stellen an der Verarbeitung personenbezogener Daten beteiligt sind, sollte auf jeden Fall vermieden werden, dass ein Raum entsteht, in dem keine klar definierte Verantwortlichkeit besteht.

Die Vereinbarung über die Gemeinsame Verantwortlichkeit wird allgemein als eine gute Möglichkeit angesehen, um die Prinzipien der DSGVO zu wahren.

Für jene, die jedoch noch Zweifel haben, sei darauf hingewiesen: Eine unvollständige Vereinbarung verstößt gegen Artikel 83 Absatz 4 Buchstabe a) der DSGVO und kann mit Bußgeldern belegt werden. Ähnlich wie bei der Auftragsverarbeitungsvereinbarung nach Artikel 28 sollte auch hier keine Lücke gelassen werden.

• Cloud Anbieter,
• Website/Hosting,
• Lohn- und Gehaltsabrechnungen,
• IT-Wartung,
• Callcenter-Tätigkeiten