Ihre Pflichten als Auftragsverarbeiter:in

Ein wichtiger Anknüpfungspunkt zur Bestimmung der konkreten Pflichten der Auftragsverarbeiterin bzw. des Auftragsverarbeiters ist die Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.

Wenn ein:e Verantwortliche:r eine:n Auftragsverarbeiter:in heranzieht, ist in dieser Vereinbarung zumindest vorzusehen, dass die:der Auftragsverarbeiter:in:

• Die personenbezogenen Daten nur auf dokumentierte Weisung der:des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem die:der Auftragsverarbeiter:in unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt die:der Auftragsverarbeiter:in der:dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet


• Gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen


• Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreift


• Die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste einer weiteren Auftragsverarbeiterin bzw. eines weiteren Auftragsverarbeiters („Subauftragsverarbeiter:in“) einhält


• Angesichts der Art der Verarbeitung die:den Verantwortliche:n nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen


• Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen die:den Verantwortlichen bei der Einhaltung der in den Art. 32 bis Art. 36 DSGVO genannten Pflichten unterstützt („Unterstützungsleistung“)


• Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl der:des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht


• Der:Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die von der:dem Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt

Die:Der Auftragsverarbeiter:in hat (im Regelfall) gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Ein:e Auftragsverarbeiter:in hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, um ein dem (Verarbeitungs-) Risiko angemessenes Schutzniveau zu gewährleisten.

Für Auftragsverarbeiter:innen ist jedoch zusätzlich zu beachten, dass konkrete TOMs auch gemäß Art. 28 Abs. 3 lit. c DSGVO in der Vereinbarung über die Auftragsverarbeitung zu regeln sind. Mit anderen Worten: für die Umsetzung konkreter TOMs kommt es für eine:n Auftragsverarbeiter:in auch darauf an, was vertraglich vereinbart wurde.

Hierzu finden sich weitere Informationen im Punkt „Ihre Pflichten als Verantwortliche:r“, die für Auftragsverarbeiter:innen ebenso maßgeblich sind.

Sofern eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 4 Z 12 DSGVO („Data Breach“) voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, hat gemäß Art. 33 DSGVO eine Meldung an die Datenschutzbehörde über diesen Data Breach zu erfolgen.

Die Meldepflicht an die Aufsichtsbehörde trifft die:den Verantwortliche:n, nicht jedoch die:den Auftragsverarbeiter:in.

Für Auftragsverarbeiter:innen besteht jedoch gemäß Art. 28 Abs. 3 lit. f DSGVO die Pflicht, die:den Vertragspartner:in (die:den Verantwortliche:n) unverzüglich über einen Data Breach, der im Rahmen der beauftragten Datenverarbeitung eintritt, zu informieren. Details zum Informationsaustausch werden üblicherweise in der Vereinbarung über die Auftragsverarbeitung festgelegt.

Siehe hierzu auch den Punkt „Ihre Pflichten als Verantwortliche:r“.

Unter gewissen Voraussetzungen ist ein:e Auftragsverarbeiter:in verpflichtet, gemäß Art. 37 ff DSGVO eine:n Datenschutzbeauftragte:n zu benennen.

Hierzu finden sich weitere Informationen im Punkt „Ihre Pflichten als Verantwortliche:r“, welche für Auftragsverarbeiter:innen ebenso maßgeblich sind.

Für den Fall, dass personenbezogene Daten an Drittländer oder internationale Organisationen übermittelt werden, sind zusätzlich die Vorgaben von Kapitel V der DSGVO zu beachten. Unter „Drittländer“ sind alle Staaten zu verstehen, bei denen es sich nicht um EU-Mitgliedstaaten oder EFTA-Staaten (Island, Liechtenstein, Norwegen) handelt.

Werden personenbezogene Daten an Drittländer oder internationale Organisationen übermittelt, so muss dies immer auf Grundlage eines der folgenden Transferinstrumente erfolgen:

• Angemessenheitsbeschluss (Art. 45 DSGVO)

Liste der Kommission »


• Geeignete Garantien (insbesondere verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln, Art. 46 DSGVO)


• Ausnahmen für bestimmte Fälle (Art. 49 DSGVO)

Der EDSA hat Empfehlungen veröffentlicht, die bei der Prüfung der Vorgaben des internationalen Datenverkehrs als Hilfe herangezogen werden können:

Im Fall eines Verstoßes gegen die oben angeführten Pflichten einer Auftragsverarbeiterin bzw. eines Auftragsverarbeiters kann gemäß Art. 83 DSGVO eine Geldbuße gegen die:den Auftragsverarbeiter:in verhängt werden.

Die Höhe der Geldbuße beträgt bei Verstößen bis zu 10 Millionen Euro oder im Falle eines Unternehmens bis zu 2% des weltweit erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei bestimmten schwerwiegenden Verstößen beträgt die Höhe der Geldbuße bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes. Ob und in welcher Höhe eine Geldbuße verhängt wird, ist immer eine Einzelfallbeurteilung.

Darüber hinaus können betroffene Personen gemäß Art. 82 DSGVO auch Schadenersatz gegen die:den Verantwortliche:n oder gegen die:den Auftragsverarbeiter:in einklagen. Zu beachten ist, dass für Schadenersatzklagen nicht die Datenschutzbehörde, sondern die Zivilgerichte zuständig sind.

Zieht ein:e Verantwortliche:r eine:n Auftragsverarbeiter:in heran und verursacht diese:r Auftragsverarbeiter:in einen Verstoß gegen die DSGVO, so ist dieses Verhalten nach Judikatur des Europäischen Gerichtshofs so zu qualifizieren, als hätte die:der Verantwortliche den Verstoß begangen. Dies ist jedoch keine Haftungsbefreiung für die:den Auftragsverarbeiter:in, da ein:e Verantwortliche:r unter Umständen Regressansprüche gegen ihre:n bzw. seine:n Vertragspartner:in (Auftragsverarbeiter:in) stellen kann.

Achtung: Bestimmt ein:e Auftragsverarbeiter:in (vereinbarungswidrig) die Zwecke und Mittel einer Datenverarbeitung - verarbeitet sie bzw. er personenbezogene Daten also aus Eigeninteresse und entgegen den Anweisungen der:des Verantwortlichen - so wird die:der Auftragsverarbeiter:in gemäß Art. 28 Abs. 10 DSGVO zur:zum (neuen) Verantwortlichen. Die Konsequenz ist, dass für diese Datenverarbeitung sämtliche Pflichten einer:eines Verantwortlichen zu erfüllen sind.