Ist man für datenschutzrechtliche Fehler seines Auftragsverarbeiters verantwortlich?
Wer fremde Daten verarbeitet, macht das oftmals nicht alleine, sondern lässt dies durch sog. Auftragsverarbeiter erledigen. Das kann eine Eventagentur sein, ein Streamingsdienstleister, ein Hoster, ein Ticketmanagement-Anbieter u.a.
Der Auftraggeber und sein Auftragsverarbeiter müssen einen Vertrag über die Auftragsverarbeitung („AVV“) schließen – und zwar vor Beginn der Verarbeitung durch den Auftragsverarbeiter.
Damit ist es aber (an sich wenig überraschend) nicht getan:
Abgleich der TOM in den AVV
Ist der Auftraggeber bspw. eine Eventagentur, die für einen Veranstalter tätig ist, muss sie aufpassen:
Sie hat ihrerseits einen AVV mit ihrem Auftraggeber geschlossen und sich darin zu bestimmen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der fremden Daten verpflichtet.
Wenn die Agentur nun ihrerseits einen Auftragsverarbeiter einsetzt, muss sich auch mit ihm einen AVV schließen – und darauf achten, dass die TOM ihres Auftragsverarbeiters zu den TOM passen, die die Agentur wiederum ihrem Kunden versprochen hatte.
Auswahl und Kontrolle
Wie bei jeder Unterbeauftragung auch, muss der Auftraggeber seinen Auftragsverarbeiter nicht nur sorgfältig auswählen, sondern auch überwachen.
Bei einer Auftragsverarbeitung kann das bspw. bedeuten, dass der Auftraggeber vom Auftragsverarbeiter eine schriftliche Bestätigung einfordern muss, dass die Daten nach Auftragsende gelöscht wurden. Je größer und/oder sensibler die zu verarbeitende Datenmenge ist, desto intensiver gestalten sich diese Kontrollpflichten.