Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

F.A.Q. zur Auftragsverarbeitung

Übersicht,     Unterschiede BDSG/DS-GVO,     Wirksamkeit Altverträge,     Jede Verarbeitung = ADV?,     Verarbeitungsarten,     Unterschiede Verarbeitungsarten,     Unterauftragnehmer,     Verantwortlichkeiten,     Pflichten Auftragsverarbeiter,     Besondere Fragestellungen,,     Fragen aus der Praxis:

7) Verantwortlichkeit

7.1) Wer ist für die Verarbeitung verantwortlich?

Auch in der DS-GVO ist grundsätzlich – wie im BDSG – der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Insbesondere ist der Verantwortliche dafür zuständig, zu gewährleisten, dass eine Verarbeitung personenbezogener Daten nur aufgrund eines legitimen Erlaubnistatbestandes erfolgt (vgl. auch die Grundsätze in Art. 5 Abs. 1 DS-GVO, für deren Einhaltung entsprechend Art. 5 Abs. 2 DS-GVO der Verantwortliche verantwortlich und rechenschaftspflichtig ist).

7.2) Wer entscheidet über die Verarbeitung?

Die Definition des Auftragsverarbeiters in Art. 4 Ziff. 8 DS-GVO stellt lediglich auf ein Auftragsverhältnis zwischen Verantwortlichen und Auftragsverarbeiter ab. Durch die Legaldefinition ist damit grundsätzlich ein gewisses eigenverantwortliches Handeln und ein angemessener Entscheidungsspielraum des Auftragsverarbeiters möglich, solange sich diese Verarbeitung noch in den Grenzen des Art. 28 DS-GVO bewegt. Eine zulässige Auftragsverarbeitung ist deshalb nur unter Einhaltung der Vorgaben dieses Artikels möglich.
So verlangt bspw. Art. 28 Abs. 3 S. 2 lit. a DS-GVO, dass " die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen" durch den Auftragsverarbeiter verarbeitet werden dürfen. Auch Art. 29 DS-GVO, der sich mit den Pflichten der vom Auftragsverarbeiter zur Auftragserfüllung eingesetzten Personen auseinandersetzt, stellt deutlich heraus, dass eine Verarbeitung nur auf Weisung des Verantwortlichen erfolgen darf.
Dieses wiederum hat zur Konsequenz, dass ein eigenverantwortliches Handeln des Auftragsverarbeiters bzw. der von ihm im Rahmen des Auftragsverarbeitungsverhältnisses eingesetzten Personen, nur im Rahmen der Vorgaben des Verantwortlichen möglich ist. Der Auftragsverarbeiter ist somit wie eine beschäftigte Person des Verantwortlichen anzusehen, die auch nur im Rahmen ihres Dienstverhältnisses tätig werden darf, in diesem aber einen gewissen Entscheidungsspielraum zur Verfügung hat.

7.3) Wer haftet bei Datenschutzverstößen?

Im Gegensatz zum BDSG haften entsprechend Art. 82 DS-GVO sowohl Verantwortlicher als auch Auftragsverarbeiter für Verstöße gegen die Vorgaben der DS-GVO. So kann sich dieser Regelung folgend eine betroffene Person, welcher durch einen Verstoß gegen die DS-GVO ein materieller oder immaterieller Schaden entsteht, hinsichtlich etwaiger Schadensersatzansprüche gemäß Art. 82 Abs. 1 DS-GVO sowohl an den Verantwortlichen wie auch an den Auftragsverarbeiter wenden.
Wie in Kapitel 1.3 angesprochen können gemäß Art. 83 Abs. 3 DS-GVO Aufsichtsbehörden bei Datenschutzverstößen Bußgelder sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter verhängen.