Rz. 13
Nach Art. 28 Abs. 1 DSGVO erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleisten.
Im Ergebnis entsprechen diese Anforderungen, den Pflichten und Verantwortungen wie sie sich aus Art. 24, 25 und Art. 32 DSGVO für den Verantwortlichen ergeben (vgl. hierzu die Komm. zu § 35 SGB I Rz. 49 ff.). Das Schutzniveau soll sich nicht verändern, nur weil der Verantwortliche Verarbeitungen von Auftragsverarbeitern erledigen lässt.
Rz. 14
Als Indiz für die Einhaltung der geforderten Garantien können auch hier – wie nach Art. 25 Abs. 3 DSGVO für den Verantwortlichen – genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO herangezogen werden. Damit kann auch der Verantwortliche die Erfüllung seiner Pflichten, hier die sorgfältige Auswahl des Auftragsverarbeiters, nachweisen (EG 81 DSGVO).
Rz. 15
Sog. Unterauftragsverhältnisse, also der Auftragsverarbeiter bedient sich selbst (weiterer) Auftragsverarbeiter, ist nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen zulässig (Art. 28 Abs. 2 Satz 1 DSGVO).
Sofern eine entsprechende allgemeine schriftliche Genehmigung des Verantwortlichen vorliegt, informiert der Auftragsverarbeiter den Verantwortlichen nach Art. 28 Abs. 2 Satz 2 DSGVO über jede beabsichtigte Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter. Der Verantwortliche hat dadurch die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.
Rz. 16
Nach Art. 28 Abs. 4 Satz 1 DSGVO werden in Fällen von Unterauftragsverhältnissen (Rz. 15) den weiteren Auftragsverarbeitern dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO festgelegt wurden (vgl. Rz. 17 ff.). Auch diese weiteren Auftragsverarbeiter haben – wie der "Erstauftragsverarbeiter" gegenüber dem Verantwortlichen nach Art. 28 Abs. 1 DSGVO (Rz. 13) – hinreichende Garantien dafür zu bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt.
Rz. 17
Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der (erste) Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters (Art. 28 Abs. 4 Satz 2 DSGVO).
Rz. 18
Nach Beendigung der Auftragsverarbeitung hat der Auftragsverarbeiter die personenbezogenen Daten nach entsprechender Weisung des Verantwortlichen entweder zurückzugeben oder zu löschen, sofern nicht eine rechtliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht (EG 81 DSGVO).