Startseite

Who’s Who in der DSGVO: Verantwortlicher versus Auftragsverarbeiter

Um die Rechte der betroffenen Personen zu wahren ist es wesentlich, einen Verantwortlichen und einen Auftragsverarbeiter für den Datenverarbeitungsvorgang zu bestimmen, da diese Personen oder Teams für die Aktivitäten bezüglich der unterschiedlichen Phasen des Datenmanagements verantwortlich sind. Angesichts der komplexen Geschäftsstrukturen der heutigen Welt, können die rechtlichen Verpflichtungen dieser zwei Rollen leicht missinterpretiert werden. Obwohl sich die Rollen des Verantwortlichen und des Auftragsverarbeiters dem ersten Anschein nach ähnlich sind, haben beide in Wirklichkeit unterschiedliche Funktionen und rechtliche Verpflichtungen, welche beide durch den Einsatz einer effektiven DSGVO-Konformitäts-Software unterstützt werden können. Dieser Blogbeitrag fasst kurz diese zwei Konzepte zusammen und beschreibt die Unterschiede zwischen den Verpflichtungen der beiden Rollen.

Was ist ein Daten-Verantwortlicher unter der DSGVO?

Wie der Name bereits erahnen lässt, handelt es sich bei einem Daten-Verantwortlichen um eine natürliche oder eine rechtliche Person, öffentliche Behörde, Agentur oder andere Körperschaft, die alleine oder gemeinsam mit anderen den Zweck und die Mittel eines Verarbeitungsvorgangs bestimmt.

Was ist ein Daten-Auftragsverarbeiter unter der DSGVO?

Ein Daten-Auftragsverarbeiter ist eine natürliche oder eine rechtliche Person, die einen Verarbeitungsvorgang von personenbezogenen Daten im Auftrag des Verantwortlichen vornimmt. Der Auftragsverarbeiter darf nur auf Grundlage von dokumentierten Instruktionen personenbezogene Daten verarbeiten. Das bedeutet, dass für jeden einzelnen Verarbeitungsvorgang immer nur eine der beiden Rollen in Betracht kommt: entweder der Verantwortliche oder der Auftragsverarbeiter.

Trotzdem ist es gut möglich, dass Sie beide Rollen für unterschiedliche   Datenverarbeitungsvorgänge haben. Für die Lohnverwaltung der Angestellten wird beispielsweise Ihre Organisation der Verantwortliche sein. Bei Software-Dienstleistungen jedoch, die von anderen Organisationen angeboten werden, wird Ihre Organisation wahrscheinlich zum Auftragsverarbeiter. Übungen für datenschutzkonformes Datenmapping und eine DSGVO-Konformitäts-Software können je nach Firmen-Setup bei der Identifizierung und beim Management weiterer Unterschiedlichkeiten helfen.

Was sind die Unterschiede zwischen einem Verantwortlichen und einem Auftragsverarbeiter?

Erstens trägt der Verantwortliche die Hauptverantwortung über den konformgerechten Umgang mit Anfragen von betroffenen Personen. Der Verantwortliche vollzieht oder koordiniert die Ausführung der Rechte der betroffenen Person wie das Recht auf Zugang und Löschung (und viele weitere unter Artikel 15-22).

Zweitens bestimmt der Verantwortliche den Zweck des Verarbeitungsvorgangs. Der Daten-Verantwortliche ist der Hauptentscheidungsträger über die personenbezogene Daten. Ihm wurden die Verpflichtungen in bezug auf den rechtmäßigen Zweck des Verarbeitungsvorgangs aufgetragen, er muss sicherstellen, dass der Verarbeitungsvorgang ein gut definiertes, konkretes Ziel und eine solide rechtliche Grundlage aufweist.

Drittens ist der Daten-Verantwortliche dafür verantwortlich, dass nur ein Auftragsverarbeiter benannt wird, der über ausreichende technische und organisatorische Maßnahmen verfügt, damit der Verarbeitungsvorgang den Anforderungen der DSGVO entsprechen kann und somit die Rechte der betroffenen Person geschützt sind. Dies muss entweder durch einen Vertrag oder durch ein anderes Rechtsinstrument festgelegt sein. Weitere Anforderungen, die in diesen Vertrag aufgenommen werden müssen, werden ausführlich in Artikel 28 erwähnt.  

Gemäß Artikel 28(4) muss der Auftragsverarbeiter denselben Anforderungen hinsichtlich jener  Auftragsverarbeiter entsprechen, die von ihm ernannt werden - wir nennen diese Sub-Auftragsverarbeiter. Die Verpflichtungen, die für den Haupt-Auftragsverarbeiter von Gültigkeit sind, gelten auch für den Sub-Auftragsverarbeiter. Die Sub-Auftragsverarbeiter müssen ebenso entsprechende technische und organisatorische Maßnahmen treffen, damit der Verarbeitungsvorgang im Einklang mit der DSGVO stattfindet (inklusive der Gebrauch von Konformitäts-Software). Der Haupt-Auftragsverarbeiter behält jedoch die volle Haftung über den ernannten Sub-Auftragsverarbeiter (Art. 28(4)).

Viele Unterschiede zwischen Verantwortliche und Auftragsverarbeiter liegen in ihren administrativen Verpflichtungen innerhalb der DSGVO:

Art. 30 verlangt ein Verzeichnis von Datenverarbeitungsvorgängen. Die genau benötigte Data variiert zwischen dem Verantwortlichen und dem Auftragsverarbeiter, wobei  Auftragsverarbeiter in ihren Aufzeichnung weniger detailliert sein müssen. 

Art. 33 und 34 betreffen Verletzungen des Datenschutzes. Der Verantwortlicher ist für die Meldung an die Aufsichtsbehörde oder an die betroffene Person verantwortlich, der Auftragsverarbeiter muss eine Verletzung allerdings ohne Verzögerung an den Verantwortlichen mitteilen. 

Art. 35 und 36 betreffen Datenschutz-Folgenabschätzungen und vorherige Konsultation, die eng mit der Bestimmung von Mittel und Zweck des Verarbeitungsvorgangs verbunden sind und somit unter die Verpflichtungen des Verantwortlichen fallen.

Wie fügen sich Daten-Verantwortliche und Daten-Auftragsverarbeiter in das DSGVO System ein?

Die DSGVO erfordert ein starkes vertraglich gesichertes Zusammenspiel zwischen dem  Auftragsverarbeiter und dem Sub-Auftragsverarbeiter. Obwohl der Verantwortliche in den meisten Fällen die Führungsrolle übernimmt, verteilt das System der DSGVO die rechtlichen Verpflichtungen sowohl an den Daten-Auftragsverarbeiter als auch an den Sub-Auftragsverarbeiter, um ein ‘wasserdichtes System' zu schaffen und ein Verantwortungsleck zu verhindern.

Das System der DSGVO funktioniert wie eine 'Einschränkung': Der Verantwortliche überträgt gewisse Pflichten an den Auftragsverarbeiter, der diese wiederum an irgendeinen Sub-Auftragsverarbeiter überantwortet etc, ad infinitum. In der Verantwortliche-Auftragsverarbeiter-Kette gibt es kein Entrinnen - weder vor der Zuständigkeit noch vor der Verantwortlichkeit! Ihre Organisation muss sich diese zwei Konzepte bewusst machen, damit sie ihre gesetzlichen Verpflichtungen wahrnehmen und die Kontrolle über die zukünftigen Datenverarbeitungsvorgänge von personenbezogenen Daten übernehmen kann.

 
Laurens Mommers and Elif Kaya
PrivacyPerfect