Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, handelt es sich um Auftragsverarbeitung. Das trifft z. B. auf zahlreiche Softwaredienstleister, aber auch auf Aktenvernichter oder Clouddienste zu. Dabei gelten einige Besonderheiten, die vor allem haftungsrelevant sind.
Verpflichtung zum Abschluss eines Vertrags zur Auftragsverarbeitung
In dem Fall muss ein Vertrag zur Auftragsverarbeitung geschlossen werden, der genau regelt, was der Auftragsverarbeiter mit den Daten tun darf und was nicht. Die genauen Inhalte sind in Artikel 28 DSGVO vorgegeben. Ein kostenloses Muster stellt beispielsweise die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) zur Verfügung: https://www.gdd.de/service/publikationen-und-aktionen/
Sie sind für die Datenverarbeitung durch den Dienstleister verantwortlich
Ein wichtiger Punkt dabei ist, dass der Auftragsverarbeiter die Daten ausschließlich gemäß Ihrer Weisung und auf keinen Fall zu eigenen Zwecken verarbeiten darf. Dies ist häufig bei Softwareanbietern problematisch, die gerne das Nutzerverhalten auswerten möchten, um ihre Produkte weiterzuentwickeln.
Ein weiterer zentraler Punkt ist, dass der Auftragsverarbeiter Ihnen mitteilen muss, welche Subunternehmer er einsetzt und welche (technischen und organisatorischen) Maßnahmen er zum Schutz Ihrer Daten ergreift.
Der Hintergrund liegt darin, dass Sie weiterhin für die Datenverarbeitungen verantwortlich bleiben, sofern der Auftragsverarbeiter Ihre Weisungen korrekt umsetzt. Der Dienstleister ist nur Ihr verlängerter Arm und tut genau das, was Sie ihm sagen. Deswegen ist es für Sie wichtig, den Dienstleister sorgfältig auszuwählen und zu prüfen, mit welchem Maßnahmen er Ihre Daten schützt und welche Subunternehmer er einsetzt.
Denn im Zweifelsfall werden Sie zur Verantwortung gezogen, wenn die Maßnahmen nicht ausreichend sind oder unrechtmäßige Datenverarbeitungen stattfinden ... Besondere Vorsicht ist beim Einsatz von Dienstleistern außerhalb der EU geboten, denn hier gelten verschärfte Anforderungen.
Rechtlicher Hinweis: Ich beschäftige mich zwar regelmäßig mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.