Aktuelles

Urteile, Vorfälle, Kommentierungen...
96/18 Auftragsverarbeitung auch in der Eventbranche

96/18 Auftragsverarbeitung auch in der Eventbranche

16. April 2018

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Der Auftragsverarbeiter ist seinem Auftraggeber weisungsgebunden (Art. 29 DSGVO).  Zwischen dem Auftraggeber und dem beauftragten Auftragsverarbeiter entsteht ein Innenverhältnis: Der Auftraggeber ist (bleibt) dabei verantwortlich für das Verhalten des Auftragsverarbeiters. Umso mehr hat der Auftraggeber also ein Interesse daran, dass er einen korrekt arbeitenden Verarbeiter auswählt.

Die Besonderheiten

Der Auftragsverarbeiter gilt dann als Verantwortlicher, wenn er rechtswidrig handelt. Das bedeutet, dass er dann den vollen Betroffenenrechten ausgesetzt ist. Außerdem drohen dem Auftragsverarbeiter auch Schadenersatzansprüche der betroffenen Personen.

Auch der Auftragsverarbeiter muss ein Verzeichnis aller Verarbeitungsvorgänge führen (Art. 30 Abs. 2 DSGVO).

Und natürlich: Auftraggeber und Auftragnehmer müssen einen Vertrag schließen, der die Auftragsverarbeitung regelt. Dazu gehört dann bspw. auch, dass die Kostenfrage geregelt wird, wenn der Auftragsverarbeiter Auskunftsansprüche beantworten soll.

Eventagentur als Auftragsverarbeiter?!

Auftragsverarbeiter kann bspw. die Eventagentur sein, die Teilnehmerdaten vom Kunden/Veranstalter bzw. vom Auftraggeber erhält, um diese bspw. an Hotels oder Beförderer weiterzureichen oder das Teilnehmermanagement zu übernehmen.

Die zentrale Regelung findet sich in Art. 28 DSGVO:

Danach darf der Auftraggeber die Daten nur an die Eventagentur weiterleiten darf, wenn er vorher (!) geprüft hat, dass die Agentur

  • „hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass
    • die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und
    • den Schutz der Rechte der betroffenen Person gewährleistet.“

„Einfach so“ ist also keine Beauftragung zulässig!

Das bedeutet: Agenturen, die als Auftragsverarbeiter fungieren wollen, tun gut daran, die notwendigen Maßnahmen zu ergreifen – denn ansonsten müssen sie damit rechnen, dass Kunden verloren gehen.

Mehr Informationen zur Auftragsverarbeitung finden Sie im Kurzpapier Nr. 13 der Datenschutz-Konferenz (DSK):

Kurzpapier Nr. 13 (Auftragsverarbeitung)
DSGVO

Sie wollen sich für die DSGVO wappnen?

Meine Kanzlei unterstützt Sie dabei! Nehmen Sie mit mir Kontakt auf:

thomas@eventfaq.de

Mehr Infos

Hier finden Sie weitere Infos zur DSGVO:

Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und der Herausgeber und Autor hier auf eventfaq.de

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Karteikarten: © carlosseller - Fotolia.com