Auftragsverarbeiter sind nach Art. 4 Nr. 8 DS-GVO Stellen, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeitet. Auftragsverarbeiter sind weisungsgebunden, verantwortlich für die Datenverarbeitung bleiben die Auftraggebenden. Entsprechende Regelungen finden sich in Art. 28 DS-GVO.

Auftragnehmende müssen sorgfältig ausgewählt werden und dürfen personenbezogene Daten nur im Rahmen der Anweisungen der Auftraggebenden verarbeiten. Hierzu ist ein entsprechender Vertrag abzuschließen. Die zwingenden Inhalte des Auftrags werden in Art. 28 Abs. 3 DS-GVO detailliert geregelt. 

Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO auch in einem elektronischen Format erfolgen. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in § 126b BGB).

Gemäß Art. 32 Abs. 2 DS-GVO haben die Auftragsverarbeiter ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen.

Art. 82 DS-GVO enthält einen eigenen Schadensersatzanspruch betroffener Personen gegenüber den Auftragsverarbeitern. Die Auftragsverarbeiter haften dann, wenn sie gegen ihre speziellen Pflichten aus der DS-GVO oder gegen die Anweisungen der Auftraggebenden verstoßen.

Verstoßen Auftragsverarbeiter gegen die Anweisungen der Auftraggebenden und bestimmen selbst die Zwecke der Verarbeitung, gelten sie insofern außerdem gemäß Art. 28 Abs. 10 DS-GVO selbst als Verantwortliche, mit allen Konsequenzen.

Für eine Übermittlung an Auftragnehmer außerhalb der EU gelten zusätzlich die Anforderungen aus den Art. 44 ff. DS-GVO über die Übermittlung personenbezogener Daten in Drittländer.

Ein Kurzpapier der Datenschutzkonferenz gibt weitere Hinweise zur Auftragsverarbeitung.