Wie der Name schon sagt verarbeiten Auftragsverarbeiter personenbezogene Daten im Auftrag ihrer Kunden. Wenn Auftragsverarbeiter beauftragt werden, müssen diese ebenfalls DSGVO konform arbeiten.
Generell dürfen Auftragsverarbeiter (AV) personenbezogene Daten nur zu dokumentierten Bedingungen und Anweisungen (= Vertrag) des Verantwortlichen verarbeiten. Diese Verarbeitungen des AV müssen ebenfalls durch technische und organisatorische Maßnahmen gewissen Sicherheitsstandards entsprechen.
Verarbeitungsverzeichnis für Auftragsverarbeiter
- Name und Kontaktdaten des Auftragsverarbeiters, falls notwendig: Name und Kontaktdaten des Datenschutzbeauftragten
- Name und Kontaktdaten des Verantwortlichen (und Vertreters und Datenschutzbeauftragten) in dessen Auftrag die Daten verarbeitet werden
- Kategorien der Datenverarbeitung(en), die im Auftrag des Verantwortlichen erfolgen
- Übermittlung von Daten in Drittländer (auch internationale Organisationen)
- wenn Übermittlung stattfindet: geeignete Garantien, die Datenschutz nach EU DSGVO gewährleisten
- Allgemeine Beschreibung von TOM (technischen und organisatorischen Maßnahmen)
Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter oder Subunternehmer beauftragt, muss der Verantwortliche vor Beginn informiert werden und dieser muss die externe Bearbeitungsaktivität bestätigen.