EU DSGVO Verantwortlicher vs. Auftragsverarbeiter – Was sind die Unterschiede?

Seit dem 14. April 2016 existiert die neue Verordnung namens Europäische Datenschutz-Grundverordnung, welche vom europäischen Parlament und dem Europarat begründet wurde. In jedem Land, in dem personenbezogene Daten europäischer Bürger gespeichert werden, greift diese Regelung. Es spielt dabei keine Rolle, ob sich das Land, in dem sich dieser Bürger aufhält, sich nun in der EU befindet oder nicht. Diese einheitliche Regelung soll jedem betroffenen EU-Mitglied die gleichen Rechte auf Privatsphäre ermöglichen.

Laut Datenschutz-Grundverordnung (DSGVO) sind alle Personen, Organisationen und Unternehmen, welche mit personenbezogenen Datenarbeiten, dazu verpflichtet, gewisse Sicherheitsmaßnahmen einzuhalten. Der Verantwortliche und der Auftragsverarbeiter sind die zwei zentralen Posten im Bereich Datenschutzrecht. Sie legen fest, wer von datenschutzrechtlichen Pflichten hinsichtlich einer bestimmten Datenverarbeitung betroffen ist.

Im Folgenden spezifizieren wir die Begriffe Verantwortlicher und Auftragsverarbeiter.

Gemäß der Definition des Art. 4 Nr. 7 DSGVO handelt es sich bei dem Verantwortlichen um die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Als Verantwortliche gelten also die Organisationen, welche über die Zwecke und Mittel zur Verarbeitung personenbezogener Daten bestimmen, jedoch unabhängig davon, ob die Daten der betroffenen Personen direkt erfasst werden.

Der Verantwortliche bestimmt also über Schlüsselelemente, welche wiederum die Mittel und Zwecke der Datenverarbeitung anordnen. Das heißt er entscheidet darüber, warum und wie genau verarbeitet wird. Er kontrolliert die zur Verfügung gestellten Daten in Bezug auf die Sammlung, Verwaltung, Zugriff und die Löschung. Dem Verantwortlichen kommt also eine große Verantwortung zu, die im Sinne der DSGVO stattfinden soll. Er ist also der Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten unterlegen. Dies muss er nachweisen können. Diese Grundsätze umfassen die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit von personenbezogenen Daten. Bis auf wenige Ausnahmen muss der Verantwortliche die ausdrückliche Einwilligung der Person erhalten, deren Daten er erfasst. Die Einwilligungsdokumente müssen unbedingt aufbewahrt werden. Sollte eine Person den Zugriff auf Ihre persönlichen Daten nachträglich verwehren wollen, muss der Verantwortliche dem nachgehen.

Für den Fall, dass der Zugriff von personenbezogenen Daten in irgendeiner Art und Weise gefährdet oder verletzt wurde, ist er verpflichtet, diesen Vorfall innerhalb von 72 Stunden aufzuklären. Der Verantwortliche prüft unter anderem die Einhaltung der DSGVO der Auftragsverarbeiter und die erforderlichen Zertifikate. Handelt es sich bei den Verantwortlichen, die die Verantwortung für die Verarbeitung personenbezogener Daten teilen, um mehrere Organisationen, spricht man von gemeinsam Verantwortlichen. Wer welche Zuständigkeit übernimmt, muss durch Vereinbarungen festgelegt werden.

Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.

Laut Art. 28 der EU DSGVO erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsbearbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Das heißt, um als Verantwortliche oder Auftraggeber fungieren zu können, müssen die EU DSGVO Regelungen eingehalten werden, da mögliche Strafen sowohl Verantwortliche als auch Auftragsverarbeiter betreffen können. Die Verwendung der Daten darf ausschließlich dem vom Verantwortlichen aufgetragenen Zweck dienen. Der Auftragsverarbeiter übernimmt die Löschung oder Rückgabe der persönlichen Daten, sofern der Verantwortliche dies verordnet. Dieser Vorgang findet mithilfe eines DSGVO festgelegten Verfahren statt. Im Falle, dass der Zugriff von personenbezogenen Daten in irgendeiner Art und Weise gefährdet oder verletzt wurde, muss der Auftragsverarbeiter den Verantwortlichen sofort kontaktieren.

Nach Art. 82 DSGVO haften Verantwortlicher und Auftragsverarbeiter für einen durch die Datenverarbeitung entstandenen Schaden als Gesamtschuldner. Für das Außenverhältnis haftet jeder auf die gesamte Summe. Wer für das Innenverhältnis, also für die Verteilung untereinander haftet, muss im vorne herein selbst ausgehandelt werden. Jedoch kann nicht jede beliebige Regelung getroffen werden.

Das Verhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter ist durch einen Vertrag oder einen einseitigen Rechtsakt geregelt. Dieser Vertrag muss die Anweisungen des Verantwortlichen, die Geheimhaltungspflicht, die Sicherheitsmaßnahmen, die Regelung der Unterauftragsvergabe, das Datenziel am Ende des Dienstes und die Rechte der betroffenen Person beinhalten. Außerdem muss die Zusammenarbeit in Übereinstimmung mit Verpflichtungen des Verantwortlichen sowie die Zusammenarbeit mit dem Verantwortlichen zum Beweis der Einhaltung genannt werden. Der Vertrag muss schriftlich und in elektronischer Form festgehalten werden. Die Einwilligung der betroffenen Person ist nicht notwendig, wenn der Auftragsverarbeiter gemäß eines Arbeitsauftrages darauf zugreifen muss. Ist der Auftrag erfüllt, müssen die Daten wieder an den Verantwortlichen gegeben oder zerstört werden. Die Zerstörung der Daten muss dann genau nach den Bestimmungen der DSGVO erfolgen.

Haben sich noch Fragen? Als externe Datenschutzbeauftragte helfen wir Ihnen weiter.