Antwort: Jemand anders (eine natürliche oder juristische Person oder sonstige Stelle) darf personenbezogene Daten in Ihrem Auftrag verarbeiten, sofern ein Vertrag oder sonstiger Rechtsakt dies vorsieht. Es ist wichtig, dass der von Ihnen ernannte Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Massnahmen getroffen werden, die den Anforderungen der Datenschutz-Grundverordnung genügen und den Schutz der Rechte von Personen gewährleisten.
Der ernannte Auftragsverarbeiter kann ohne Ihre vorherige, gesonderte oder allgemeine schriftliche Genehmigung keinen weiteren Auftragsverarbeiter in Anspruch nehmen. Der Vertrag oder Rechtsakt zwischen Ihrem Unternehmen/Ihrer Organisation und dem Auftragsverarbeiter sollte unter anderem die folgenden Elemente umfassen:
- die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;
- der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- der Auftragsverarbeiter bietet ein vom Verantwortlichen festgelegtes Mindestschutzniveau;
- der Auftragsverarbeiter unterstützt Sie bei der Gewährleistung der Einhaltung der Datenschutz-Grundverordnung.
Beispiele:
Ein Bauunternehmen nutzt einen Unterauftragnehmer für bestimmte Bauarbeiten und stellt diesem die Kontaktdaten der Kunden zur Verfügung, bei denen die Bauarbeiten stattfinden. Der Unterauftragnehmer verarbeitet die Daten weiter, um den Kunden Werbematerial zu schicken. Der Unterauftragnehmer gilt hier nicht nur als „Auftragsverarbeiter“ gemäss der Datenschutz-Grundverordnung, da er die personenbezogenen Daten nicht ausschliesslich im Auftrag des Bauunternehmens verarbeitet, sondern auch für eigene Zwecke weiterverarbeitet. Der Unterauftragnehmer handelt daher als „Verantwortlicher“.
Sie sind ein Einzelhandelsunternehmen, das sich dazu entschliesst, eine Sicherungsdatei seiner Kundendatenbank auf einem Cloud-Server zu speichern. Zu diesem Zweck gehen Sie einen Vertrag mit einem Cloud-Anbieter ein, der für seine Datenschutzstandards bekannt ist und zusätzlich über ein zertifiziertes System zur Verschlüsselung von Daten verfügt. Der Cloud-Anbieter ist Ihr Auftragsverarbeiter, da er durch die Speicherung der personenbezogenen Daten Ihrer Kunden auf seinen Servern in Ihrem Auftrag personenbezogene Daten verarbeitet.
Europäische Kommission; 28.02.2018; bow