Wie weit muss der Auftragsverarbeiter gehen?

Art. 28 Abs. 3 DSGVO normiert:

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

D.h. der Auftragsverarbeiter muss seinen Auftraggeber informieren, wenn der Auftrag oder zumindest einzelne Prozesse nicht datenschutzkonform sind.

Schon alleine das Informieren ist schon die erste Hürde. Der ein oder andere Auftraggeber wird dies vielleicht nicht tun, weil er den Auftrag nicht verlieren will, der ein oder Andere nicht, wenn sein ganzes Geschäftsmodell nicht datenschutzkonform ist, bzw. in der Kritik steht.

Aber auch wenn der Dienstleister seinen Auftraggeber informiert, dass die von ihm erteilten Weisungen gegen Datenschutzrecht verstoßen, muss es sich um einen objektiv nachweisbaren Verstoß handeln. Grauzonen können das nicht sein.

Aber der Auftragsverarbeiter sollte informieren, denn dies gehört zu seinen auferlegten Pflichten und damit steht er in der Haftung.

Der Auftragsverarbeiter haftet gemäß Art. 82 Abs. 3 DSGVO, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Wenn der Auftraggeber trotzdem weiter auf die datenschutzwidrige Verarbeitung besteht, sollte der Auftragnehmer die Infromation dokumentieren, um einer Haftung zu entgehen.

Stephanie Iraschko-Luscher

23.02.2022

MGDS – Ihre Unternehmensberatung für Datenschutz in Hamburg