th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Pflichten des Auftragsverarbeiters

Wofür ist der Auftragsverarbeiter haftbar?

Hinweis:
Die Bestimmungen der DSGVO gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Überblick – Was ist neu?

Mit der DSGVO wird der Begriff des datenschutzrechtlichen Dienstleisters auf „Auftragsverarbeiter“ geändert. Dieser wird definiert als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. 

Pflichten

Allgemein:

  • Er muss Datensicherheitsmaßnahmen implementieren. (Siehe dazu „Datensicherheit und privacy by design/privacy by default“).

  • Jeder Auftragsverarbeiter (und seine Vertreter) führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.

  • Er ist verpflichtet mit der Aufsichtsbehörde auf Anfrage zusammen zu arbeiten.

  • Der Auftragsverarbeiter hat Risikoanalysen der Datenanwendungen durchzuführen und den Verantwortlichen bei Erfüllung seiner Pflichten nach der DSGVO zu unterstützen.

  • Es ist ein Datenschutzbeauftragter verpflichtend zu bestellen, wenn die Kerntätigkeit des Unternehmers eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Sub-Auftragsverarbeiter

Der Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter (Subunternehmer) ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen. Liegt nur eine allgemeine schriftliche Genehmigung vor, muss der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren. Der Verantwortliche hat die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. 

Weiters hat er ebenso wie der Verantwortliche auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen zu arbeiten. 

Vertragliche Bindung

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags. Dieser kann auf Standardvertragsklauseln beruhen, welche entweder die Europäische Kommission oder die Aufsichtsbehörde festlegen kann. Der Vertrag ist schriftlich abzuschließen, wobei elektronisch auch als schriftlich gilt und hat Folgendes zu beinhalten:

  • Bindung an den Verantwortlichen,
  • Gegenstand und Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien betroffener Personen und
  • die Pflichten und Rechte des Verantwortlichen.

Dieser Vertrag sieht insbesondere vor, dass der Auftragsverarbeiter:

  • die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet (auch bei Übermittlung an ein Drittland oder eine internationale Organisation), sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet,

  • gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichenVerschwiegenheitspflicht unterliegen,

  • alle erforderlichen Sicherheitsmaßnahmen ergreift,

  • eine vorherige schriftliche Genehmigung des Verantwortlichen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters (Sub-Auftragsverarbeiter) einhält,

  • den Verantwortlichen bei der Beantwortung von Anträgen von Betroffenen unterstützt (unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen),

  • den Verantwortlichen bei der Einhaltung der Sicherheitsmaßnahmen und Meldeverpflichtungen unterstützt (unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen),

  • nach Vertragserfüllung alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt (sofern keine anderweitige gesetzliche Verpflichtung besteht),

  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Pflichtgemäßheit zur Verfügung stellt und Überprüfungen durch den Verantwortlichen ermöglicht und dazu beiträgt.

Nimmt der Auftragsverarbeiter einen Sub-Auftragsverarbeiters in Anspruch, werden auch diesem dieselben Datenschutzpflichten auferlegt. 

Warnpflicht

Der Auftragsverarbeiter unterliegt einer besonderen Warnpflicht, dh er hat den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt. 

Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten nur auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie aufgrund einer gesetzlichen Vorschrift zur Verarbeitung verpflichtet sind. 

Vertreter von nicht in der Union niedergelassenen Auftragsverarbeitern

Für Auftragsverarbeiter, deren Sitz sich außerhalb der Europäischen Union befindet, die sich aber dennoch im Geltungsbereich der DSGVO befinden benennt der Auftragsverarbeiter schriftlich einen Vertreter. Dieser Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden. Der Vertreter fungiert zusätzlich oder an Stelle des Auftragsverarbeiters als Anlaufstelle insbesondere für Aufsichtsbehörden und Betroffene. 

Ausnahmen von der Pflicht zur Benennung eines Vertreters bestehen nur bei:

  • einer Verarbeitung, die gelegentlich erfolgt, keine umfangreiche Verarbeitung besonderer Datenkategorien („sensible Daten“) oder  umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
  • Behörden oder öffentlichen Stellen.

Der Auftragsverarbeiter haftet weiterhin selbst. 

Haftung

Betroffene Personen haben neben verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfen auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Auftragsverarbeiter im Falle einer Rechtsverletzung durch den Auftragsverarbeiter. 

Betroffene Personen können auf materiellen oder immateriellen Schadenersatz klagen. Jeder an einer Verarbeitung Beteiligte haftet für den Schaden, der durch eine unrechtmäßige Verarbeitung verursacht wurde. Die Haftung entfällt, wenn die fehlende Verantwortung für den Umstand, durch den der Schaden eingetreten ist, nachgewiesen werden kann.

Ist mehr als ein Auftragsverarbeiter (oder mehr als ein Verantwortlicher) oder sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie für einen Schaden verantwortlich, haftet jeder Auftragsverarbeiter (oder jeder Verantwortliche) für den gesamten Schaden. Es ist jedoch möglich, von den übrigen an derselben Verarbeitung Beteiligten den Teil des Schadenersatzes zurückzufordern, der ihrem Anteil an der Verantwortung für den Schaden entspricht, also Regress zu nehmen. 

Relevante Artikel der DSGVO: 28, 30, 31,

Relevante Erwägungsgründe: 13, 22-24, 77, 95,146

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.