Nicht wirklich neu, schon im alten BDSG verankert gewesen, und unter der DSGVO noch einmal deutlich verstärkt: Die Datenverarbeitung im Auftrag (nach DSGVO = Auftragsverarbeitung).
Durch die Verarbeitung im Auftrag wird der Dienstleister (Auftragnehmer) datenschutzrechtlich „ingesourced“, während die eigentliche Dienstleistung „outgesourced“ wird. Dadurch handelt es sich nicht mehr um eine Datenübermittlung an Dritte und der Auftraggeber bleibt (datenschutzrechtlich) weiterhin verantwortlich. Aus dem Grund sollte der Auftraggeber immer genau prüfen, wem er „seine“ Daten für welche Verarbeitungszwecke anvertraut und wie er die Anforderungen aus Artikel 28 der DSGVO nachweisbar umsetzen kann.
Neu geregelt ist der Punkt Haftung und Recht auf Schadenersatz (Artikel 82 DSGVO). Denn gegenüber dem Betroffenen haften alle an der Verarbeitung Beteiligten, wenn diese nicht nachweisen können, dass sie für den Schaden NICHT verantwortlich sind. Als Auftragnehmer ist ein Vertrag auch deshalb schon erforderlich, um überhaupt auf eine Rechtsgrundlage für die Verarbeitung zurückgreifen zu können.
Verarbeitung im Auftrag - ja oder nein?
Trotzdem handelt es sich nicht immer um eine Verarbeitung im Auftrag. Auch die Rechtsgründe für eine Übermittlung oder gar eine gemeinsame Verantwortung (Joint Controller nach Artikel 26 DSGVO) sollten geprüft und als sinnvolle Alternative betrachtet werden. Wichtig sind in allen Fällen die sorgfältige und nachweisbare Auswahl und die vertragliche Gestaltung (Rechenschaftspflicht) bei der Auslagerung von Verarbeitungen an Dienstleister. Dann klappt es auch mit der Datenverarbeitung im Auftrag!