Auftragsverarbeitung - Auftragsverarbeiter unterstützt Verantwortlichen …
… bei der Erfüllung seiner Pflichten
Die Auftragsverarbeiter haben, so Art. 28 Abs. 3 Datenschutzgrundverordnung, die Verantwortlichen dabei zu unterstützen, ihren in Art. 32 bis 36 definierten Pflichten gerecht zu werden. Auch hier reicht es bei der Gestaltung des Vertrags nicht aus, die Pflicht zur Unterstützung aus der Datenschutzgrundverordnung zu repetieren. Vielmehr wird eine detaillierte Beschreibung davon gefordert, auf welche Weise Auftragsverarbeiter angewiesen werden, Verantwortliche bei der Pflichterfüllung zu unterstützen. Musterformulare oder Vorgaben für Verfahren können zum Beispiel in die Anhänge des Vertrags integriert werden. So kann der Auftragsverarbeiter sämtliche nötigen Informationen an den Verantwortlichen geben.
Umfang und Art der Unterstützung
Berücksichtigt man die Verarbeitungsart und die Information, über die der Auftragsverarbeiter verfügt, ist nachvollziehbar, dass zum einen der Umfang, zum anderen die Art der Unterstützung durch den Auftragsverarbeiter von ganz unterschiedlicher Ausprägung sein kann. Der Auftragsverarbeiter ist vom Verantwortlichen adäquat über das Risiko, das mit der Verarbeitung einhergeht, und auch über die weiteren Umstände, die dem Auftragsverarbeiter helfen können, seinen Verpflichtungen gerecht zu werden, in Kenntnis zu setzen.
Besondere Pflichten des Auftragsverarbeiters
Auftragsverarbeiter sind verpflichtet, Verantwortliche zu unterstützen, wenn es darum geht, dass diese für adäquate organisatorische und technische Maßnahmen sorgen müssen, um die Verarbeitungssicherheit zu gewährleisten. Dies kann sich möglicherweise teilweise mit der Forderung an den Auftragsverarbeiter überschneiden, dass dieser auch selbst adäquate Sicherheitsmaßnahmen umsetzt, sofern die Verarbeitung aufseiten des Auftragsverarbeiters unter die Datenschutzgrundverordnung fällt. Dennoch liegen hier zwei verschiedene Verpflichtungen vor, von denen sich eine auf die Maßnahmen bezieht, die der Auftragsverarbeiter umsetzt, und eine weitere auf die Maßnahmen des Verantwortlichen.
Unterstützung bei der Meldung von Datenschutzverletzungen
Des Weiteren haben Auftragsverarbeiter Verantwortliche zu unterstützen, wenn es darum geht, ihre Pflicht zu erfüllen, die Aufsichtsbehörde sowie betroffene Personen über Datenschutzverletzungen zu informieren, bei denen es um personenbezogene Daten geht. Stellt der Auftragsverarbeiter eine solche Datenschutzverletzung fest, die personenbezogene Daten und die die IT-Systeme oder andere Einrichtungen aufseiten des Auftragsverarbeiters oder eines von diesem beauftragten Unterauftragsverarbeiters betrifft, hat er den Verantwortlichen hierüber zu informieren und ihm zu helfen, die für die Meldung an die Behörden nötigen Informationen zu erlangen.
Entsprechend der Datenschutzgrundverordnung haben Verantwortliche datenschutzrechtliche Verstöße ohne Verzug zu melden, damit zum einen der Schaden für die Betroffenen so weit wie möglich reduziert werden kann und um zum anderen die Möglichkeiten zu erhöhen, dass die Verletzung adäquat behoben werden kann. Aus diesem Grund ist es wichtig, dass ein Auftragsverarbeiter den Verantwortlichen ohne Verzug informiert. Entsprechend den jeweiligen Besonderheiten der Verarbeitungstätigkeit, die dem Auftragsverarbeiter übertragen wurde, ist es oft sinnvoll, dass im Auftragsverarbeitungsvertrag ein zeitlicher Rahmen festgelegt wird, der bestimmt, bis wann der Auftragsverarbeiter die nötigen Informationen an den Verantwortlichen übergibt. Außerdem sollte die Kontaktstelle für die Meldung benannt werden, zudem über die näheren Modalitäten und die Informationen informiert werden, die der Verantwortliche mindestens erwartet.
Direkte Meldung an die Aufsichtsbehörde
Ist der Auftragsverarbeiter laut Auftragsverarbeitungsvertrag ermächtigt beziehungsweise dazu verpflichtet, Verletzungen der datenschutzrechtlichen Vorgaben nach Art. 33 und 34 Datenschutzgrundverordnung direkt zu melden, verbleibt die juristische Verantwortung dafür dennoch weiterhin beim Verantwortlichen. Wenn der Auftragsverarbeiter direkt an die Behörde meldet, dass der Schutz von personenbezogenen Daten verletzt wurde, und übernimmt er zugleich die Unterrichtung der betroffenen Personen wie es Art. 33 und 34 Datenschutzgrundverordnung vorsehen, dann muss er den Verantwortlichen ebenfalls informieren, indem er diesem sowohl von der Meldung als auch von der Info an den Betroffenen Kopien zukommen lässt.
Datenschutz-Folgenabschätzung
Weiterhin hat der Auftragsverarbeiter – sofern dafür ein Bedarf besteht – den oder die Verantwortlichen dabei zu unterstützen, eine Datenschutz-Folgenabschätzung zu erstellen. Ergibt sich daraus, dass das Risiko hoch ist und nicht abgemildert werden kann, hat der Auftragsarbeiter den Verantwortlichen auch dabei zu unterstützen, die Aufsichtsbehörde zu konsultieren.
Verantwortung wird nicht an Auftragsverarbeiter übertragen
Die Verpflichtung, den Verantwortlichen zu unterstützen, bedeutet nicht, dass die Verantwortung auf den Auftragsverarbeiter übertragen wird. Denn diese liegt weiterhin beim Verantwortlichen. Ein Beispiel: Zwar kann der Auftragsverarbeiter eine Datenschutz-Folgenabschätzung vornehmen, doch die Pflicht, diese Abschätzung vorzunehmen, obliegt weiterhin dem Verantwortlichen. Die Verpflichtung des Auftragsverarbeiters beschränkt sich darauf, dass er – sofern dies erforderlich ist und der Verantwortliche es anfragt – den Verantwortlichen zu unterstützen hat. Es ist also der Verantwortliche, der den Anstoß dazu geben muss, dass eine Datenschutz-Folgenabschätzung erstellt wird.
Unterstützung des Verantwortlichen
Wenn Sie im Einzelfall wissen möchten, wie der Auftragsverarbeiter einen Verantwortlichen zu unterstützen hat, rufen Sie uns an unter Telefon 09122 6937302 oder schicken Sie uns Ihre Nachricht. Wir beraten Sie sehr gern!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Zusammenarbeit mit Unterauftragsverarbeitern
- Von der Vertraulichkeit bis zu organisatorischen und technischen Sicherheitsmaßnahmen
- Beantwortung von Anträgen
- Personenbezogene Daten auch nach Auftragsverarbeitung schützen
- Prüfungen und Inspektionen
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
