Person mit hellblauem Hemd sitzt mit einem Laptop an einem Schreibtisch und arbeitet, während im Hintergrund eine Pflanze bei einer offenen Fensterfront steht
© Drobot Dean | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Verantwortlicher und Auftragsverarbeiter - (Überblick)

Wesentliche Pflichten des Verantwortlichen und des Auftragsverarbeiters

Lesedauer: 2 Minuten

Verantwortlicherist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.  

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.  

Die DSGVO sieht Pflichten bei einer Datenverarbeitung für den Verantwortlichen – teilweise auch für Auftragsverarbeiter – vor:

Datensicherheitsmaßnahmen müssen sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter vorgesehen werden.   

Den Verantwortlichen treffen weiters Informationspflichten bei Erhebung von personenbezogenen Daten und er ist Adressat der Betroffenenrechte (vor allem Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung – „Recht auf Vergessenwerden“, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht). 

Was ist bei der Heranziehung eines Auftragsverarbeiters zu beachten? 

  • Es dürfen nur solche Auftragsverarbeiter herangezogen werden, die (insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen) hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen getroffen werden, die den Anforderungen der DSGVO genügen.
  • Es ist ein schriftlicher Vertrag abzuschließen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. In diesem Vertrag müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Dieser Vertrag muss insbesondere Folgendes vorsehen:
    • Der Auftragsverarbeiter darf die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
    • Der Auftragsverarbeiter verpflichtet sich zur Vertraulichkeit oder unterliegt einer angemessenen gesetzlichen Verschwiegenheitspflicht.
    • Der Auftragsverarbeiter ergreift alle erforderlichen Datensicherheitsmaßnahmen.
    • Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.
    • Der Auftragsverarbeiter unterstützt den Verantwortlichen in seiner Pflicht zur Erfüllung der Betroffenenrechte und sonstiger Verpflichtungen nach der DSGVO.
    • Nach Abschluss der Erbringung der Verarbeitungsleistungen werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben.
    • Der Auftragsverarbeiter stellt alle Informationen zum Nachweis der Einhaltung seiner Verpflichtungen zur Verfügung und ermöglicht diesbezügliche Prüfungen.   

Geldstrafen  

Bei Verstoß gegen die genannten Pflichten sind Geldbußen von bis zu 10 Mio EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen. 

Relevante Artikel der DSGVO: Art 4, Art 24 – 43
Relevante Erwägungsgründe: 74ff

Stand: 01.05.2024

Weitere interessante Artikel
  • Person mit Brille im Fokus arbeitet an einem Laptop und versucht sich mit einem Passwort einzuloggen
    Die Aufsichtspflicht des Arbeitgebers bei der Datenverarbeitung durch seine Mitarbeiter
    Weiterlesen
  • Zwei Personen in Businesskleidung besprechen Unterlagen in einem Büro, eine Person trägt eine Brille sowie einen Bart
    Muster zur Er­füllung der Informations­pflichten für postalisch zugestellte, adressierte Werbung
    Weiterlesen