Rz. 1
Die automatisierte Datenverarbeitung wird häufig nicht von der für die Aufgabenerfüllung zuständigen Stelle (ausschließlich) selbst erledigt, sondern extern vergeben. Bereits im Jahre 2010 hatte die Art. 29-Datenschutzgruppe festgestellt, dass dies "in erster Linie auf eine wachsende Tendenz hin zu einer organisatorischen Differenzierung […] zurückzuführen ist", die dahin geht, "zur Entwicklung von Lieferketten oder zur Erbringung von Dienstleistungen zwischen verschiedenen Organisationen sowie zur Auslagerung (Outsourcing) und Fremdvergabe von Dienstleistungen in dem Bestreben, die Vorteile der Spezialisierung und mögliche Skaleneffekte zu nutzen. Daher werden verschiedene Dienstleistungen immer häufiger von Dienstleistern angeboten, die ihre Rolle nicht unbedingt als Verantwortungs- oder Haftungsträger sehen." Zahlreiche Unternehmen greifen im Rahmen ihrer Personalverwaltung auf externe Dienstleister zurück, die neben der Lohnbuchhaltung auch das restliche Personalwesen verantworten. Auch diejenigen Unternehmen, die im Rahmen des Direktvertriebs versuchen, ihre Waren am Markt zu platzieren, tun dies in aller Regel nicht mit eigenen hierfür vorgehaltenen Ressourcen (z.B. Call-Centern), sondern greifen für die Durchführung einer Direktmarketingaktion auf spezialisierte Dienstleister zurück. Vom virtuellen Sekretariat bis hin zum vollkommen virtuellen "Büro ohne Büro" bieten sich für Unternehmen jeder Branche zahlreiche Möglichkeiten des Outsourcings. Die mit derartigen Maßnahmen verbundene Flexibilität wird dort datenschutzrechtlich relevant, wo Vorgänge im Zusammenhang mit personenbezogenen Daten betroffen sind.
Rz. 2
Das Datenschutzrecht sperrt sich nicht generell gegen derartige Maßnahmen, sondern lässt diese vielmehr einem besonderen Regelungsregime unterfallen, der sog. Auftragsverarbeitung, die in der Bundesrepublik Deutschland bislang als Auftragsdatenverarbeitung bezeichnet und in § 11 BDSG geregelt war. Die Besonderheit der Auftragsverarbeitung lag in einer partiellen Außerkraftsetzung des datenschutzrechtlichen Offenlegungs- und Übermittlungsbegriffs, die dadurch erreicht wurde, dass in die Verarbeitung eingebundene Dienstleister, die sich über eine den Vorgaben des § 11 BDSG genügende vertragliche Vereinbarung (sog. Auftragsdatenverarbeitungsvereinbarung) gegenüber dem Verantwortlichen verpflichtet hatten, nicht als "Dritte", sondern weitgehend "wie ein Teil des Verantwortlichen" selbst behandelt wurden. Entsprechende Vorgaben fanden sich auch in Art. 17 Abs. 2 und 3 der Datenschutzrichtlinie.
Rz. 3
Die DSGVO behält dies im Grundsatz bei, nimmt den Auftragsverarbeiter jedoch weit mehr in die (Mit-)Verantwortung als bisher. Die Kernregelung zur Auftragsverarbeitung findet sich in Art. 28 DSGVO, der Auftragsverarbeiter ist jedoch auch in zahlreichen anderen Normen adressiert, weswegen der Auftragsverarbeitung nach der DSGVO an dieser Stelle ein eigener zusammenhängender Abschnitt gewidmet wird.