top of page
  • Redaktion

Stichwort des Monats: Genehmigung von Unterauftragnehmern durch den Verantwortlichen


​​

Die Auftragsverarbeitung (Art. 28 DSGVO) soll dem Verantwortlichen die Datenschutzarbeit erleichtern. Fast jeder Auftragsverarbeiter erledigt seine Aufgaben wiederum nicht vollständig selbst, sondern hat seinerseits Dienstleister, die ihm dabei helfen, seine Aufgaben zu erfüllen. So kann es beispielsweise sein, dass ein Aktenvernichtungsunternehmen das zu vernichtende Material mit personenbezogenen Daten nicht selbst abholt, sondern ein Transportunternehmen beauftragt. Oder ein Inkassounternehmen lässt die Rückfragen der Schuldner über ein Service Center erledigen.

1. Unbegrenzte Befugnis zur Einschaltung von Unterauftragnehmern nur mit Genehmigung

Die DSGVO erkennt ausdrücklich an, dass ein solcher Bedarf für (Unter-)Dienstleister bestehen kann. Es gibt grundsätzlich keine Begrenzung auf wenige Unterauftragnehmer. Damit der Verantwortliche die Steuerung der Datenverarbeitung nicht verliert und damit seine Haftung für die Verarbeitung für jeden Verarbeitungsschritt gerechtfertigt bleibt, verpflichtet die DSGVO den Verantwortlichen dazu, jeden (Unter-)Dienstleister, der personenbezogene Daten des Verantwortlichen verarbeitet, freizugeben. Diese Freigabe nennt man Genehmigung (Art. 28 Abs. 2 DSGVO).

2. Einzelgenehmigung und Generelle Genehmigung

Die Genehmigung kann vom Verantwortlichen für jeden (Unter-)Dienstleister erteilt werden. Bei einer großen Zahl von (Unter-)Dienstleistern wird das jedoch mühsam. Daher lässt es die Grundverordnung auch zu, die Genehmigung zur Einschaltung von (Unter-)Dienstleistern generell zu erteilen (Art. 28 Abs. 2 Satz 2 DSGVO). Im Ausgleich ist dann allerdings der (Haupt-)Dienstleister verpflichtet, den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von (Unter-)Dienstleistern zu informieren.

3. Form der Genehmigung

Die Genehmigung kann – wie auch die Auftragsverarbeitung selbst – in einer elektronischen Form erfolgen. Es genügt daher, wenn die Genehmigung in Textform (lesbare Erklärung, dauerhaft gespeichert) erfolgt (beispielsweise pdf-Dokument mit erkennbarer Person des Erklärenden, zum Beispiel Signatur).

(Dieses "Stichwort des Monats" ist in der Ausgabe 07-08/2018 des Datenschutz-Berater erschienen)


DSB_aufgeschlagen_streifen.png

Aktuelle Beiträge

Anzeige

Banner_Freund_Online_300x250 (003).jpg
>>  Ihr zuverlässiger Partner für Datenschutz und Datensicherheit
bottom of page