Wer muss eine DSFA bei einer Verarbeitung im Auftrag eines Verantwortlichen erarbeiten?

| Der Fall: Ein Auftraggeber und sein Auftragsverarbeiter möchten ein Projekt aufsetzen und längere Zeit zusammenarbeiten. Sie möchten diesbezüglich einen Dienstleistungsvertrag sowie zusätzlich gemäß Art. 28 DSGVO einen sogenannten Auftragsverarbeitungsvertrag abschließen. Da hier viele sensible personenbezogene Daten gemäß Artikel 9 Absatz 1 DSGVO verarbeitet werden, stellt sich vorab die Frage, wer die Datenschutz-Folgenabschätzung (DSFA) durchführen soll. |

Antwort: Hierbei gilt, dass der Auftragsverarbeiter nicht in der Pflicht ist, denn Art. 35 DSGVO sieht als Verpflichteten den „Verantwortlichen“ an. Er muss bei Vorliegen der gesetzlichen Voraussetzungen eine DSFA durchführen. Damit ist der Auftragsverarbeiter zwar nicht verpflichtet, die DSFA vorzunehmen.

Gleichwohl wird der Auftragsverarbeiter nach Art. 28 Abs. 3 S. 2 lit. f DSGVO nicht vermeiden können, seinem Kunden Inhalte und Daten für eine mögliche DSFA im Rahmen seiner Unterstützungspflicht zur Verfügung zu stellen. Daher sollte sich dieser bereits im Vorfeld einen Prozess überlegen, der sicherstellt, dass er für seinen Kunden die entsprechenden Unterstützungshandlungen gewährleisten kann.