- Redaktion
Stichwort des Monats: Genehmigung von Unterauftragnehmern durch den Verantwortlichen
Die Auftragsverarbeitung (Art. 28 DSGVO) soll dem Verantwortlichen die Datenschutzarbeit erleichtern. Fast jeder Auftragsverarbeiter erledigt seine Aufgaben wiederum nicht vollständig selbst, sondern hat seinerseits Dienstleister, die ihm dabei helfen, seine Aufgaben zu erfüllen. So kann es beispielsweise sein, dass ein Aktenvernichtungsunternehmen das zu vernichtende Material mit personenbezogenen Daten nicht selbst abholt, sondern ein Transportunternehmen beauftragt. Oder ein Inkassounternehmen lässt die Rückfragen der Schuldner über ein Service Center erledigen.
1. Unbegrenzte Befugnis zur Einschaltung von Unterauftragnehmern nur mit Genehmigung
Die DSGVO erkennt ausdrücklich an, dass ein solcher Bedarf für (Unter-)Dienstleister bestehen kann. Es gibt grundsätzlich keine Begrenzung auf wenige Unterauftragnehmer. Damit der Verantwortliche die Steuerung der Datenverarbeitung nicht verliert und damit seine Haftung für die Verarbeitung für jeden Verarbeitungsschritt gerechtfertigt bleibt, verpflichtet die DSGVO den Verantwortlichen dazu, jeden (Unter-)Dienstleister, der personenbezogene Daten des Verantwortlichen verarbeitet, freizugeben. Diese Freigabe nennt man Genehmigung (Art. 28 Abs. 2 DSGVO).
2. Einzelgenehmigung und Generelle Genehmigung
Die Genehmigung kann vom Verantwortlichen für jeden (Unter-)Dienstleister erteilt werden. Bei einer großen Zahl von (Unter-)Dienstleistern wird das jedoch mühsam. Daher lässt es die Grundverordnung auch zu, die Genehmigung zur Einschaltung von (Unter-)Dienstleistern generell zu erteilen (Art. 28 Abs. 2 Satz 2 DSGVO). Im Ausgleich ist dann allerdings der (Haupt-)Dienstleister verpflichtet, den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von (Unter-)Dienstleistern zu informieren.
3. Form der Genehmigung
Die Genehmigung kann – wie auch die Auftragsverarbeitung selbst – in einer elektronischen Form erfolgen. Es genügt daher, wenn die Genehmigung in Textform (lesbare Erklärung, dauerhaft gespeichert) erfolgt (beispielsweise pdf-Dokument mit erkennbarer Person des Erklärenden, zum Beispiel Signatur).
(Dieses "Stichwort des Monats" ist in der Ausgabe 07-08/2018 des Datenschutz-Berater erschienen)