Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Zu beachten ist, dass § 62 BDSG und § 63 BDSG zu den ergänzenden Bestimmungen der DSGVO gehören, die für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden gilt. Die §§ 62 und 63 regeln die Verantwortlichkeiten und Pflichten bei Auftrags- und gemeinsamer Verarbeitung, um die Rechte der Betroffenen zu wahren.
§ 62 BDSG regelt die Voraussetzungen, wenn ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt.
- Der Verantwortliche muss durch einen Vertrag oder ein anderes Rechtsinstrument sicherstellen, dass der Auftragsverarbeiter die Datenschutzvorschriften einhält.
- Der Vertrag muss Vorgaben zur Weisungsgebundenheit, Vertraulichkeit, Unterstützung bei Betroffenenrechten, Datenlöschung nach Auftrag und technisch-organisatorischen Maßnahmen enthalten.
- Unterauftragsverarbeiter dürfen nur mit Genehmigung des Verantwortlichen eingesetzt werden.
- Die Rechte der Betroffenen sind gegenüber dem Verantwortlichen geltend zu machen.
§ 63 BDSG regelt den Fall, dass 2 oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung festlegen.
- Sie müssen ihre jeweiligen Verpflichtungen in einer Vereinbarung festlegen, insbesondere zu Wahrnehmung der Betroffenenrechte und Informationspflichten.
- Die Vereinbarung muss die Beziehungen zu den Betroffenen widerspiegeln und der wesentliche Inhalt muss diesen zur Verfügung gestellt werden.
- Betroffene können ihre Rechte bei jedem der gemeinsam Verantwortlichen geltend machen.
Zu beachten ist in solchen Fällen auch Art. 26 DSGVO über gemeinsam für die Verarbeitung Verantwortliche, also wenn 2 oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dafür ist eine transparente Form vorgeschrieben. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Vereinbart wird, wer von ihnen welche Verpflichtung gem. der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gem. den Art. 13, 14 DSGVO nachkommt. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
Wenn die Verwendung neuer Technologien voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine sog. Datenschutz-Folgenabschätzung (DSFA) vorzunehmen. In diesem Fall wird ein Datenschutzbeauftragter benötigt.
Die DSFA muss eine detaillierte Beschreibung und Risikoanalyse der geplanten Datenverarbeitung enthalten, um deren Notwendigkeit, Verhältnismäßigkeit und potenzielle Risiken für die Persönlichkeitsrechte der Betroffenen zu bewerten. Auf dieser Basis sind dann geeignete Maßnahmen zur Risikominimierung vorzusehen. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.