Die Verantwortlichen können ihre Verarbeitungstätigkeiten an andere Unternehmen auslagern; sie können jedoch nur Verarbeiter beauftragen, die ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen im Einklang mit dem DSGVO bieten (Art. 28 Abs. 1 DSGVO). Die Beauftragung muss durch einen schriftlichen Vertrag (oder einen anderen Rechtsakt nach EU- oder MS-Recht) dokumentiert werden, der alle folgenden Verpflichtungen des Verarbeiters festlegt:
- Datenverarbeitung nur nach den dokumentierten Anweisungen des Verantwortlichen
- Sicherstellung, dass sich die zur Datenverarbeitung berechtigten Personen zur Vertraulichkeit verpflichtet haben
- Ergreifen aller erforderlichen Datensicherheitsmaßnahmen (siehe 32 DSGVO)
- Einhaltung der Bedingungen für die Beauftragung anderer Unterverarbeiter
- Unterstützung des Verantwortlichen bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der Rechte der betroffenen Personen durch geeignete technische und organisatorische Maßnahmen zu reagieren
- Unterstützung des Verantwortlichen bei der Einhaltung der Verpflichtungen zur Datensicherheit, Meldung von Verstößen an die Aufsichtsbehörde, Mitteilung von Verstößen an die betroffene Person, Folgenabschätzung zum Datenschutz und vorherige Konsultation der Aufsichtsbehörde (siehe 32–36 DSGVO)
- Löschen/Rücksenden (nach Wahl des Verantwortlichen) aller personenbezogenen Daten an den Verantwortlichen, nachdem die Dienstleistung erbracht wurde, und Löschen bestehender Kopien (sofern das EU/MS-Gesetz nichts anderes vorsieht)
- dem Verantwortlichen alle Informationen zur Verfügung stellen, die für den Nachweis der Einhaltung der oben genannten Verpflichtungen erforderlich sind, und die Audits, einschließlich der Inspektionen, zu ermöglichen und dazu beizutragen
Ein Verarbeiter ist auch verpflichtet, den Verantwortlichen unverzüglich zu informieren, wenn er feststellt, dass die Anweisungen des Verantwortlichen nicht den datenschutzrechtlichen Bestimmungen entsprechen.
Ein Verarbeiter darf nur dann einen anderen Verarbeiter (Unterverarbeiter) weiter ernennen, wenn der Verantwortliche ihn schriftlich autorisiert hat. Im Falle einer allgemeinen schriftlichen Genehmigung ist der Verarbeiter verpflichtet, den Verantwortliche über die diesbezüglichen Änderungen zu informieren, so dass der Verantwortliche die Möglichkeit hat, diesen Änderungen zu widersprechen (Art. 28 Abs. 2 DSGVO). Darüber hinaus muss die Bestellung von Unterverarbeitern zu den gleichen Bedingungen erfolgen, wie durch den Auftragsverarbeitungsvertrag (AV-Vertrag) zwischen dem Verantwortlichen und dem Verarbeiter und Art. 28(1-2) DSGVO.
Weitere Informationen finden Sie in unserem Whitepaper zur Datenverarbeitung im Rahmen der DSGVO, das hier verfügbar ist: https://www.activemind.legal/legal-advice/whitepaper-data-processing/
