Zitat Zitat von Karon von Jetsam Beitrag anzeigen
Wenn ich die Rechtsgrundlage - auch wenn formaljuristisch nicht notwendig - für die Einschaltung in den Verarbeitungsablauf im Datenschutzmanagementsystem dokumentieren möchte/müsste, auf welchen Artikel würde ich referenzieren? Art. 28 DSGVO oder - da Vertragsbeziehung - Art. 6 Abs. 1 lit. b DSGVO (wobei die "betroffene Person" nur mittelbar Vertragspartei aus Sicht des Auftragnehmers ist)? Oder "was anderes"?
Art. 6 Abs. 1 lit b DSGVO gilt nur bei Vertragsverhältnissen mit dem Betroffenen, der Auftragsverarbeitungsvertrag ist aber mit dem Verantwortlichen geschlossen. Aus meiner Sicht wäre die Rechtsgrundlage zu nennen, aufgrund derer die Verarbeitung stattfindet - also die, die den Verantwortlichen zu der Verarbeitung berechtigt. Denn nur diese legitimiert den konkreten Verarbeitungsvorgang insgesamt - dass der Auftragsverarbeiter hier anstelle des Verantwortlichen tätig wird, ändert meines Erachtens nichts an dem Verarbeitungsvorgang selbst, da der Verantwortliche in der Verantwortung bleibt, rechtstechnisch nicht einmal eine Übermittlung stattfindet und der Auftragsverarbeiter nur das tut, was der Verantwortliche tun dürfte/sollte/müsste. Folgerichtig ändert sich dann auch nichts an der Rechtsgrundlage, auf der der Vorgang beruht.

Wenn eine Dokumentation der Rechtsgrundlage beim Auftragsverarbeiter erfolgt, dann doch nur, um die Legitimation der Verarbeitung im Verhältnis zum Betroffenen nachzuweisen. Welchen anderen Zweck sollte diese Dokumentation haben? Deshalb müsste meines Erachtens hier (wenn eine Rechtsgrundlage angegeben werden soll) die ursprüngliche Berechtigung des Verantwortlichen dokumentiert werden.

In der Praxishilfe des GDD zum Thema Verarbeitungsverzeichnis (auch für Auftragsverarbeitungen) taucht der Punkt "Rechtsgrundlage" für von Auftragsverarbeitern im Auftrag ausgeführte Verarbeitungen übrigens nicht auf, und auch Art. 28 DSGVO kann ich eine Pflicht zur Dokumentation der Rechtsgrundlage nicht erkennen.