Page contents Page contents Antwort Jemand anders (eine natürliche oder juristische Person oder sonstige Stelle) darf personenbezogene Daten in Ihrem Auftrag verarbeiten, sofern ein Vertrag oder sonstiger Rechtsakt dies vorsieht. Es ist wichtig, dass der von Ihnen ernannte Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen getroffen werden, die den Anforderungen der Datenschutz-Grundverordnung genügen und den Schutz der Rechte von Personen gewährleisten. Der ernannte Auftragsverarbeiter kann ohne Ihre vorherige, gesonderte oder allgemeine schriftliche Genehmigung keinen weiteren Auftragsverarbeiter in Anspruch nehmen. Der Vertrag oder Rechtsakt zwischen Ihrem Unternehmen/Ihrer Organisation und dem Auftragsverarbeiter sollte unter anderem die folgenden Elemente umfassen: die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen verarbeitet; der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; der Auftragsverarbeiter bietet ein vom Verantwortlichen festgelegtes Mindestschutzniveau; der Auftragsverarbeiter unterstützt Sie bei der Gewährleistung der Einhaltung der Datenschutz-Grundverordnung. Beispiele Ein Bauunternehmen nutzt einen Unterauftragnehmer für bestimmte Bauarbeiten und stellt diesem die Kontaktdaten der Kunden zur Verfügung, bei denen die Bauarbeiten stattfinden. Der Unterauftragnehmer verarbeitet die Daten weiter, um den Kunden Werbematerial zu schicken. Der Unterauftragnehmer gilt hier nicht nur als „Auftragsverarbeiter“ gemäß der Datenschutz-Grundverordnung, da er die personenbezogenen Daten nicht ausschließlich im Auftrag des Bauunternehmens verarbeitet, sondern auch für eigene Zwecke weiterverarbeitet. Der Unterauftragnehmer handelt daher als „Verantwortlicher“. Sie sind ein Einzelhandelsunternehmen, das sich dazu entschließt, eine Sicherungsdatei seiner Kundendatenbank auf einem Cloud-Server zu speichern. Zu diesem Zweck gehen Sie einen Vertrag mit einem Cloud-Anbieter ein, der für seine Datenschutzstandards bekannt ist und zusätzlich über ein zertifiziertes System zur Verschlüsselung von Daten verfügt. Der Cloud-Anbieter ist Ihr Auftragsverarbeiter, da er durch die Speicherung der personenbezogenen Daten Ihrer Kunden auf seinen Servern in Ihrem Auftrag personenbezogene Daten verarbeitet. Referenzen Artikel 28; Erwägungsgrund 81 Examples A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’. You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf. References Article 28 and Recital (81) of the GDPR
