Rz. 2
Seit dem 25.5.2018 gelten unmittelbar und europaweit einheitlich die Regelungen der DSGVO. Der Inhalt und die Ausgestaltung der Auftragsverarbeitung wird seit dem 25.5.2018 unmittelbar durch Art. 28 DSGVO geregelt.
Laut Erwägungsgrund (EG) 81 DSGVO sollte die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter "auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind".
In Anwendung der Öffnungsklausel des Art. 6 Abs. 1 Buchst. e i. V. m. Abs. 2 und Abs. 3 Satz 3 DSGVO hat der deutsche Gesetzgeber mit § 80 entsprechende Vorgaben zu den Voraussetzungen für eine Auftragverarbeitung von Sozialdaten gemacht. § 80 trägt zusätzlich dem Umstand Rechnung, dass auch die Stellen nach § 35 SGB I vermehrt aus Zweckmäßigkeits- oder Kostengründen bestimmte Arbeiten nicht selbst erledigen.
Rz. 3
Die betroffene Person muss ihre Rechte aus den Art. 15 bis Art. 21 DSGVO und §§ 83 und 84(vgl. die Komm. zu § 83 und § 84) ggf. gegenüber dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) geltend machen.
Rz. 4
Der Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet"; erist nicht "Dritter" (Art. 4 Nr. 10 DSGVO). Es liegt daher keine Übermittlung vor, wenn ihm die zur Auftragserfüllung notwendigen Sozialdaten zur Verfügung gestellt werden.
Rz. 5
§ 80 unterscheidet, ob der Auftragsverarbeiter eine öffentliche oder eine nicht-öffentliche Stelle ist; auf die Umdeutung gemäß § 81 Abs. 3 wird besonders hingewiesen (vgl. die Komm. zu § 81).
Vorrang hat die Beauftragung öffentlicher Stellen. Wird eine nicht-öffentliche Stelle beauftragt, gelten verschärfte Voraussetzungen.
Rz. 6
Die datenschutzrechtlichen Begriffsbestimmungen, z. B. von Auftragsverarbeiter, Dritter und Verarbeitung, ergeben sich seit 25.5.2018 europaweit einheitlich und unmittelbar geltend aus Art. 4 DSGVO. Auf nationaler Ebene wurden sie für den Umgang mit Sozialdaten in § 67 ergänzt. Die Komm. zu § 67 enthält auch Ausführungen zu Art. 4 DSGVO.