Die Auftragsdatenverarbeitung und die DS-GVO
Art. 26 DS-GVO aller drei Entwürfe befasst sich mit dem „Auftragsverarbeiter“. Eine Datenverarbeitung im Auftrag kann entweder auf der Grundlage eines Vertrages zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter oder aber auf der Grundlage eines Rechtsaktes erfolgen (Art. 26 Abs. 2 DS-GVO). Der Rat möchte zudem als Grundlage eine Auftragsdatenverarbeitung auch nationale Vorschriften der Mitgliedstaaten aufnehmen.
Mit Blick auf die Kontrollbefugnisse des für die Verarbeitung Verantwortlichen möchte das Parlament vorsehen, dass der Auftragsverarbeiter Nachprüfungen bei sich vor Ort verpflichtend zulassen muss (Art. 26 Abs. 2 h) DS-GVO).
Kommission und Parlament möchten vorsehen, dass die per Gesetz in dem Vertrag zur Auftragsdatenverarbeitung zu regelnden Rechte und Pflichten zu „dokumentieren“ sind, wobei sie auf keine spezielle Form dieser Dokumentation eingehen. Der Rat hingegen möchte vorsehen, dass der Vertrag „schriftlich abzufassen“ ist (Art. 26 Abs. 3 DS-GVO), was jedoch auch in einem elektronischen Format erfolgen könne.
Zudem ist darauf hinzuweisen, dass die Anwendbarkeit der DS-GVO nicht mehr allein (wie derzeit etwa im BDSG) von dem Sitz des für die Verarbeitung Verantwortlichen oder dessen Niederlassung abhängig gemacht wird. Alle drei Entwürfe sehen in Art. 3 Abs. 1 DS-GVO vor, dass die Verordnung auf die Verarbeitung personenbezogener Daten Anwendung findet, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters in der Union erfolgt. Darüber hinausgehend möchte das Parlament die Verordnung auch dann zur Anwendung bringen, wenn ein Auftragsverarbeiter nicht in der Union niedergelassen ist, jedoch von in der Union ansässigen Personen Daten verarbeitet, mit dem Zweck, diesen Personen Waren oder Dienstleistungen anzubieten (Art. 3 Abs. 2 DS-GVO). Auch in Drittstaaten ansässige Auftragsverarbeiter ohne eine Niederlassung im europäischen Wirtschaftsraum würden also, bei Erfüllung der Voraussetzungen, dem Anwendungsbereich der DS-GVO unterliegen.
Auch möchte das Parlament in seinem Entwurf die Pflichten zur Einführung technisch und organisatorischer Maßnahmen und Verfahren, durch die sichergestellt werden soll, dass die Verarbeitung den Anforderungen der DS-GVO genügt (Datenschutz durch Technik; Privacy by Design) auf Auftragsverarbeiter erstrecken (Art. 23 Abs. 1 DS-GVO).
Zudem soll nach allen drei Entwürfen eine Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit der DS-GVO nicht zu vereinbarenden Handlung (!) (so zumindest Kommission und Parlament) ein Schaden entstanden ist, direkte Schadensersatzansprüche gegen den Auftragsverarbeiter haben (Art. 77 Abs. 1 DS-GVO).