Die Datenschutz-Grundverordnung (DSGVO) enthält spezielle Bestimmungen zum Umgang mit Auftragsverarbeitern. Ein Auftragsverarbeiter ist eine Organisation, die personenbezogene Daten im Auftrag eines anderen Unternehmens verarbeitet. Im Rahmen einer solchen Beziehung sind sowohl der datenverarbeitende Auftraggeber (Verantwortlicher) als auch der Auftragsverarbeiter gesetzlich verpflichtet, bestimmte Anforderungen zu erfüllen.
Im Umgang mit Auftragsverarbeitern sollten folgende Punkte beachtet werden:
- Vertrag zur Auftragsverarbeitung (AV-Vertrag)
Die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss in einem schriftlichen Vertrag oder einer anderen rechtlichen Vereinbarung festgehalten werden. Dieser Vertrag muss bestimmte Informationen enthalten, wie zum Beispiel den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen.
- Sicherheitsmaßnahmen
Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten und die Daten vor Verlust, Missbrauch und unberechtigtem Zugriff zu schützen.
- Unterauftragsverarbeiter
Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter einsetzen möchte, muss er dafür in der Regel die vorherige schriftliche Genehmigung des Verantwortlichen einholen. Auch in der Beziehung zwischen Auftragsverarbeiter und Unterauftragsverarbeiter ist ein AV-Vertrag erforderlich.
- Mitarbeiter des Auftragsverarbeiters
Der Auftragsverarbeiter muss sicherstellen, dass die Personen, die mit den Daten arbeiten, zur Vertraulichkeit verpflichtet sind.
- Unterstützung bei der Wahrung der Rechte betroffener Personen
Der Auftragsverarbeiter sollte den Verantwortlichen dabei unterstützen, Anfragen von betroffenen Personen nachzukommen, beispielsweise wenn diese ihr Recht auf Zugang, Berichtigung oder Löschung ihrer Daten geltend machen.
- Datenlöschung und -rückgabe
Am Ende der Auftragsverarbeitung muss der Auftragsverarbeiter die personenbezogenen Daten löschen oder zurückgeben, es sei denn, es besteht eine rechtliche Verpflichtung zur Speicherung.
- Unterstützung bei der Einhaltung der Pflichten
Der Auftragsverarbeiter sollte den Verantwortlichen dabei unterstützen, seine Pflichten nach der DSGVO einzuhalten, zum Beispiel bei der Durchführung einer Datenschutz-Folgenabschätzung oder der Meldung von Datenschutzverletzungen.
Es ist wichtig, dass Verantwortliche sorgfältig prüfen, ob potenzielle Auftragsverarbeiter die Anforderungen der DSGVO erfüllen, bevor sie mit ihnen zusammenarbeiten. Hierbei kann es auch hilfreich sein, regelmäßige Überprüfungen und Audits durchzuführen.