Verhältnis: Auftragsverarbeiter und Verantwortlicher

Die Karten werden neu gemischt, könnte man sagen. Die Verantwortlichkeit gegenüber den Betroffenen wird unter der DSGVO nicht mehr alleinig dem Verantwortlichen zugeordnet, sondern dem Verantwortlichen und seinen Auftragsverarbeiter. Das betrifft aber nur zwei Bereiche, und zwar dann

1. wenn ein Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung bestimmt (also er letztlich vertragsbrüchig wird und die ihm übergebenen Daten für eigene Zwecke nutzt)

2. wenn ein Auftragsverarbeiter seinen speziell den Auftragsverarbeitern auferlegten Pflichten nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat (bspw. Emails unverschlüsselt an Kunden versandt hat, obwohl es hier eine klare anderweitige Anwesiung vom Verantwortlichen gab).

In allen anderen Fällen haftet der Verantwortliche wie bisher.

Stephanie Iraschko-Luscher

13.12.2017

MGDS – Ihre Unternehmensberatung für Datenschutz in Hamburg