Verarbeitung personenbezogener Daten, die unter Art 9 Abs 1 DSG-VO fallen, durch Privat-
personen regelt, entspricht dabei sinngemáfs Art 21 Abs 2 DSG-E. P9
7.10.3 Datenverarbeitungen durch dritte Privatpersonen im Auftrag
Der , Auftragsverarbeiter^, welcher Datenverarbeitungen für den Verantwortlichen vor-
nimmt, ist in Art 2 lit e DS-RL definiert. Er kann sowohl eine natürliche als auch eine juristi-
sche Person sein."?^ Für die von ihm durchgeführten Verarbeitungsvorginge muss jedoch
eine entsprechende Weisung des Verantwortlichen als Auftraggeber existieren: Der Auf-
tragsverarbeiter darf sie somit nur innerhalb der Grenzen des Auftragsverháltnisses vorneh-
men. Daraus ergibt sich auch, dass Arbeitnehmer des Verantwortlichen aufgrund der un-
terschiedlichen Vertragsgrundlage nicht als Auftragsverarbeiter gelten. 99 Auftragsverarbei-
ter unterliegen dem Datengeheimnis (Art 16 DS-RL).P?7 Der Inhalt des Vertrags wird durch
die DS-RL jedoch nicht vorgegeben.
Art 28 DS-GVO enthált eine eigene Bestimmung zum Auftragsverarbeiter. Dieser kann
gem Art 4 Z 8 insb eine natürliche oder juristische Person, eine Behórde sein; wesentliches
Merkmal ist, dass er Daten „im Auftrag des Verantwortlichen verarbeitet“, was im Inhalt Art 2
lit e DS-RL entspricht."*? Hierzu wird ein Auftragsverhältnis zwischen Auftragsverarbeiter
und Verantwortlichem vorausgesetzt. Generell gilt wiederum, dass die Datenverarbeitung
durch den Auftragsverarbeiter eine entsprechende Weisung des Verantwortlichen voraussetzt,
wobei eine unions- oder nationalrechliche Vorschrift als Rechtsgrundlage vorgeht (Art 29 DS-
GVO). Diese Weisung des Auftraggebers als zentraler Legitimationsgrund für die Datenver-
arbeitung durch den Auftragsverarbeiter muss auch im entsprechenden Auftragsvertrag fest-
gelegt sein.9? Der Auftragsverarbeiter muss gem Art 28 Abs 1 DS-GVO hinreichend Garan-
tien dafür bieten, mittels geeigneter technischer und organisatorischer Maßnahmen
133 S dazu die Ausführungen in Kapitel 7.9.3.2.
1334 Vg] Dammann/Simitis, EG-Datenschutz-RL, Art 2, Rz 16.
135 Vg] Dammann/Simitis, EG-Datenschutz-RL, Art 2, Rz 15.
1386 Vg] Dammann/Simitis, EG-Datenschutz-RL, Art 2, Rz 16.
137 Vg] Dammann/Simitis, EG-Datenschutz-RL, Art 16, Rz 4.
1388 So auch Bogendorfer in Knyrim, Datenschutz-Grundverordnung, 169.
139 S Art 28 Abs 3 lita DS-GVO; vgl auch Bogendorfer in Knyrim, Datenschutz-Grundverordnung, 173.
243