Nach Artikel 3 (12) der Verordnung (EU) 2018/1725 ist ein Auftragsverarbeiter “eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet”.
Der wichtigste Punkt hier ist, dass der Auftragsverarbeiter nur “im Auftrag” der verantwortlichen Stelle tätig wird und folglich nur nach den Anweisungen der verantwortlichen Stelle handelt.
Zum Beispiel verarbeitet ein Sicherheitsdienstleister, der die Zugangskontrolle für ein Gebäude eines EU-Organs regelt, personenbezogene Daten von Personen, die das Gebäude betreten, nicht für seine eigenen Zwecke, sondern im Auftrag des EU-Organs.
In einigen Fällen verarbeiten Auftragsverarbeiter die Daten nicht selbst, sondern binden eventuell Unterauftragsnehmer ein. Dies hängt vom Verarbeitungsvertrag mit der verantwortlichen Stelle ab.
Übermittlungen personenbezogener Daten von einem Verantwortlichen an einen Auftragsverarbeiter müssen durch eine Vereinbarung über die Datenverarbeitung abgesichert sein. Diese muss bestimmte Mindestanforderungen erfüllen, wie in Artikel 28 der DSGVO und Artikel 29 der Verordnung (EU) 2018/1725 niedergelegt.
Der Vertrag muss vorsehen, dass der Auftragsverarbeiter nur auf Weisung des Verantwortlichen handelt. Der Auftragsverarbeiter muss hinreichende Garantien im Hinblick auf die technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen bieten, auf deren Grundlage die durchzuführende Verarbeitung erfolgt. Zudem hat er die Einhaltung solcher Maßnahmen zu gewährleisten.