In Abgrenzung zur bereits dargestellten Verarbeitung durch gemeinsam Verantwortliche ist bei der Auftragsverarbeitung (früher Auftragsdatenverarbeitung nach BDSG (alt)) der Verantwortliche alleine in der Pflicht, dass die Rechte der Betroffenen gewahrt werden. Er muss einen Vertrag nach Art. 28 DS-GVO mit dem Auftragsverarbeiter abschließen, gibt die Regeln des Datenschutzes vor und kontrolliert die Auftragsverarbeitung, im Bedarfsfall auch mit Kontrollen vor Ort. Auch im Falle der Auftragsverarbeitung nach Art. 28 sind schriftliche Verträge und Dokumentationen nach DS-GVO verpflichtend.
Hotels und Gastronomiebetriebe
sind in ihrer überwiegenden Mehrzahl von einer reibungslosen Zusammenarbeit mit Auftragsverarbeitern abhängig. Auftragsverarbeitungsverhältnisse betreffen beispielsweise
- IT-Dienstleister, die die unternehmenseigene IT-Infrastruktur warten
- Webhoster und Webdesigner/-programmierer
- externe Dienstleister wie beispielsweise Clouddienstleister oder Portaldienstleister, wobei bei diesen auf die Abgrenzung nach Art. 26 zu achten wäre,
- externe Buchführungs- und Lohnabrechnungsdienstleister (die Lohnbuchhaltung durch den Steuerberater stellt hier einen Sonderfall dar, die Interpretation, ob es sich um eine Auftragsverarbeitung nach Art. 28 handelt, ist im Fall der Steuerberater durchaus strittig)
Auch hier berät der Datenschutzbeauftragte
Die Beratung der Geschäftsleitung in allen Fragen der Auftragsverarbeitung gehört zu den wesentlichen Aufgaben des Datenschutzbeauftragten, unabhängig davon, ob er als externer oder interner DSB beschäftigt ist. Für kleine Hotels und Gastronomiebetriebe, die keinen Datenschutzbeauftragten stellen müssen, empfiehlt sich auch hier eine sachkundige Beratung und Schulung.
Gut zu wissen: IT-Dienstleister dürfen nicht gleichzeitig als Datenschutzbeauftragte tätig werden
In der Praxis kommt es häufig vor, dass IT-Dienstleister zusätzlich die Tätigkeit als externe Datenschutzbeauftragte anbieten. Nach Auffassung des baden-württembergischen Landesbeauftragten für Datenschutz und Informationsfreiheit ist das nicht zulässig.