Leserbrief

Auftragsverarbeitung in der DSGVO

„Der Beitrag kann nicht unwidersprochen bleiben. Es gibt in der DS-GVO – anders als nach dem BDSG – kein Privileg der Auftrags(daten)verarbeitung (mehr). Die Datenweitergabe an den Auftragsverarbeiter muss – und kann – durch einen Erlaubnistatbestand nach Art. 6 (1) DS-GVO gerechtfertigt werden. Die Bezugnahme auf Art. 4 Nr. 10 DS-GVO (Definition des „Dritten“) – ein missverständlich formuliertes Relikt aus einer Zeit, als es im Verordnungsentwurf noch ein Privileg gab – führt in die Irre.

Der Auftragsverarbeiter ist nunmehr eigenständiger Adressat der Pflichten nach der DS-GVO. Er haftet (neben dem Auftraggeber) dem Betroffenen auf Schadensersatz (Art. 82 (1) DS-GVO), wenn er den speziell ihn betreffenden Vorschriften der DS-GVO (Art. 8, 11, 25 bis 39, 42 und 43 DS-GVO) nicht nachgekommen ist oder gegen die (rechtmäßigen) Anweisungen des Auftraggebers verstoßen hat.

Die bisherige über den Wortlaut des BDSG hinaus entwickelte Abgrenzung zwischen einer Auftrags(daten)verarbeitung und einer Funktionsübertragung, bei der dem Auftragsverarbeiter ein Entscheidungsspielraum zu Art und Weise der Datenerhebung oder -verarbeitung zukommt, entfällt. Es lohnt nicht, sich weiter an einer Abgrenzung abzuarbeiten, da dieses Rechtsinstitut ab dem 25. Mai 2018 nicht mehr existiert.

Bei der Auftragsverarbeitung kommt es nach der DS-GVO allein auf das Bestehen eines Auftragsverhältnisses an (Art. 4 Nr. 8 DS-GVO), wobei der Auftragsverarbeiter weiterhin nur auf Weisung des Auftraggebers – jetzt im erweiterten Rahmen – handeln darf (Art. 29 DS-GVO). Der Auftragsverarbeiter kann im Rahmen des Auftrags die Zwecke und Mittel der Verarbeitung bestimmen; er gilt nur dann als Verantwortlicher dieser Verarbeitung, wenn er hierbei gegen die DS-GVO verstößt (Art. 28 (10) DS-GVO). Die DS-GVO ist für alle Dienstleister in der EU neu und muss mit ganz neuen Augen gesehen werden."

Ralf Rösler, Herford.