Wie Sie als Auftragsverarbeiter mit Anfragen von Betroffenen korrekt umgehen

Auftragsverarbeiter führen verschiedene Datenverarbeitungen für ihre Auftraggeber durch. Mitunter haben sie die Datenverarbeitung, die sie im Auftrag des Verantwortlichen ausführen, voll im Blick und wissen besser über die einzelnen Schritte Bescheid als der Verantwortliche selbst. Zudem treten sie bei Bedarf und je nach Datenverarbeitung nach außen hin gegenüber den Kunden des Auftraggebers auf. So kommt es dazu, dass die Kunden des Auftraggebers den Auftragsverarbeiter als Ansprechpartner wahrnehmen und sich direkt mit ihren Anliegen an ihn wenden. Was aber tun, wenn ein Kunde des Auftraggebers seine Betroffenenrechte aus der DSGVO gegenüber dem Auftragnehmer geltend macht?

Warum Auftragnehmer Betroffenenanfragen nicht einfach bearbeiten sollten

Manche Auftragsverarbeiter könnten bei einer Anfrage zu Betroffenenrechten dazu neigen, diese schnell selbst zu bearbeiten. Dies kann als praktisch erscheinen, da sie ohnehin besser Bescheid wissen über die Verarbeitung der Daten des Betroffenen als der Verantwortliche und schneller eine Auskunft gemäß Art. 15 DSGVO geben können, als wenn sie den Verantwortlichen zur Beantwortung des Auskunftsrechts einschalten würden. Auch die Berichtigung gemäß Art. 16 DSGVO oder Löschung von Daten nach Art. 17 DSGVO lässt sich mit weniger Aufwand erledigen, wenn man den Verantwortlichen nicht einschaltet. So könnten Auftragsverarbeiter denken und handeln, wenn sie keine hinreichenden Garantien gemäß Art. 28 Abs. 1 DSGVO dafür bieten, dass sie den Schutz der Betroffenenrechte gewährleisten.

Wie verhalten sich Auftragsverarbeiter richtig

Richtig ist: Auftragnehmer dürfen Betroffenenrechte nicht ohne Vereinbarung bzw. Weisung des Verantwortlichen beantworten.

Auftraggeber sind im Rahmen von Auftragsverarbeitungen weiter Verantwortliche für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO. Somit bleibt der Verantwortliche im Rahmen einer Auftragsverarbeitung weiter verpflichtet, die Rechte der Betroffenen aus der DSGVO zu gewährleisten. Die Rechte und Pflichten bei der Auftragsverarbeitung müssen Auftragnehmer sowie Verantwortliche gemäß Art. 28 Abs. 3 S. 1 DSGVO in einem Vertrag regeln (sog. Auftragsverarbeitungsvertrag). Art. 28 DSGVO enthält Vorgaben dazu, welche Regelungen Auftragsverarbeiter und Verantwortliche treffen müssen.

Zum Wesen der Auftragsverarbeitung gehört, dass Auftragnehmer Daten gemäß Art. 28 Abs. 3 S. 2 lit. a DSGVO nur auf Weisung des Verantwortlichen verarbeiten dürfen.

In Bezug auf die Betroffenenrechte müssen sich Auftragsverarbeiter gemäß Art. 28 Abs. 3 S. 2 lit. e DSGVO im Auftragsverarbeitungsvertrag verpflichten, den Verantwortlichen bei der Gewährleistung der Rechte der Betroffenen nach Kapitel III zu unterstützen. Wie die Regelung zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter konkret aussieht, können die Vertragsparteien selbst bestimmen. Hierzu kann bspw. die Sicherstellung gehören, dass Anfragen, die beim Auftragsverarbeiter zu Betroffenenrechten eingehen, an den Verantwortlichen weitergeleitet werden.

Was sollten Auftragsverarbeiter konkret tun

Wenn Auftragsverarbeiter eine Anfrage zu Betroffenenrechten erhalten, die sie ihrem verantwortlichen Auftraggeber zuordnen können, sollten sie prüfen, welche Regelungen mit dem Verantwortlichen bzgl. der Bearbeitung von Betroffenenrechten bestehen und im Zweifel Rücksprache mit ihm halten.

In vielen Auftragsverarbeitungsverträgen finden sich bereits Regelungen dazu, wie Auftragsverarbeiter mit bei ihnen eingehenden Anfragen von Betroffenen umgehen müssen. Typisch ist dabei, dass Anfragen an den Verantwortlichen weitergeleitet werden müssen. Der Auftragsverarbeiter muss durch die Implementierung von technischen und organisatorischen Maßnahmen sicherstellen, dass diese Regelung erfüllt werden kann.

Darf der Auftragsverarbeiter niemals auf Betroffenenanfragen reagieren?

Grundsätzlich können Auftragsverarbeiter und Verantwortlicher im Sinne von Art. 28 Abs. 3 S. 1 DSGVO vertraglich regeln, wie sie die Erfüllung der Betroffenenrechte gewährleisten. Sie können auch vereinbaren, dass der Auftragsverarbeiter in Rücksprache mit dem Verantwortlichen Betroffenenrechte beantworten darf. Auftragsverarbeiter sollten unbedingt darauf achten, dass eine solche Regelung gemäß Art. 28 Abs. 3 S. 2 lit. a, Abs. 9 DSGVO schriftlich dokumentiert ist. Ansonsten könnte ihnen vorgeworfen werden, sich mit der Beantwortung von Betroffenenanfragen außerhalb des vom Verantwortlichen vorgegebenen Weisungsrahmens zu bewegen, und daher für eine falsche Beantwortung von Betroffenenrechten gemäß Art. 82 Abs. 2 S. 2 DSGVO haften. Auch für eine Löschung nach Art. 17 DSGVO ohne Weisung des Verantwortlichen wäre der Auftragsverarbeiter nach Art. 82 Abs. 2 S. 2 DSGVO haftbar. Zudem droht dem Auftragsverarbeiter dann ein Bußgeldrisiko nach Art. 83 Abs. 4 lit. b DSGVO wegen Verstoß gegen seine Pflichten.

Im Zweifel Rücksprache mit dem Verantwortlichen

Wenn Auftragsverarbeiter Anfragen zu Betroffenenrechten erhalten, sind sie gut beraten, diese sorgfältig zu prüfen. Eine Beantwortung bzw. Bearbeitung von Anfragen von Betroffenen sollten sie nur durchführen, wenn sie eine entsprechende schriftliche Regelung mit dem Verantwortlichen getroffen haben. Im Zweifel sollten sie mit dem Verantwortlichen Rücksprache halten, um keine Haftungsrisiken einzugehen.

Bei Fragen rund um die Rechte und Pflichten von Auftragsverarbeitern können Sie sich auch an uns wenden – wir beraten Sie gerne! Kontaktieren Sie uns dafür einfach über unser Kontaktformular.