§ 7 B. III. 1. Rn. 31. 481 Ausführlich hierzu Art. 28 Rn. 34ff. 482 Siehe nachfolgend Rn. 202ff. 483 Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 28 Rn. 38ff. 484 Vgl. Eckhardt, CCZ 2017, 111, 116. 485 Ausführlich zu den Pflichten des Auftragsverarbeiters Art. 28 Rn. 77–78. 486 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 17; Dovas, ZD 2016, 512, 516; Härting, ITRB 2016, 137, 137f.; Hofmann, ZD-Aktuell 2017, 05488; Müthlein, RDV 2016, 74, 84f. 487 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 25f. 488 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 25f. 489 Vgl. zur Einordnung von freien Mitarbeitern Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. C VII. 5; vgl. insoweit auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 490 Vgl. zur Einordnung von freien Mitarbeitern Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. C VII. 5. 491 So aber wohl Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 28 Rn. 8; Plath, in: Plath, BDSG DSGVO, Art. 28 Rn. 2, Art. 29 Rn. 5; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 32; Wybitul/Schultze-Melling/Sörup, in: Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, 2016, S. 128, die die Auftragsverarbeitung auf technische Unterstützungsleistungen begrenzen wollen. 492 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26–27. 493 Hierzu vgl. oben unter Rn. 188ff. 494 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 1.0), S. 26–27. 495 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26 i.V.m. 14f. 496 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 14f. 497 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 15. 498 So auch Voigt/v. dem Bussche, DSGVO: Praktikerhandbuch, S. 23, wonach entscheidend ist, wer die Verarbeitung initiiert hat. 499 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 15. 500 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 15. 501 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28, 16. 502 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 16. 503 Vgl. Wortlaut des Art. 29 DSGVO „Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person [...] dürfen diese Daten ausschließlich auf Weisungen des Verantwortlichen verarbeiten [...].“. 504 So auch Klug, in: Gola, DS-GVO, Art. 28 Rn. 5. 505 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 41. 506 Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 28 Rn. 7. 507 Vgl. oben Rn. 215ff. 508 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 28 Rn. 54. 509 Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 25. 510 Vgl. zur alten Rechtslage etwa Petri, in: Simitis, BDSG, § 11 Rn. 100. 511 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 28 Rn. 53. 512 Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 25; im Ergebnis auch Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 21, 37; Lissner, Auftragsdatenverarbeitung nach der DSGVO, in: Taeger, Smart World – Smart Law? Weltweite Netze mit regionaler Regulierung, S. 401, 414f., die ein Schutzdefizit des Betroffenen ausschließt, weil bei unbefugtem Zugriff der Dienstleister selbst als Verantwortlicher einzustufen wäre; a.A. Schmidt/Freund, ZD 2017, 14, 16f., die darauf abstellen, dass auch Wartungen nach Art. 4 Nr. 2 DSGVO „im Zusammenhang mit personenbezogenen Daten“ stattfinden und mithin erlaubnispflichtig sind; BayLDA, Kurzpapier 13 zur DS-GVO, Auftragsverarbeitung nach der DS-GVO, https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf. 513 In diese Richtung auch Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII Kap. 2 Rn. 139, der Ausführungsformen für Wartung, Pflege und Services sieht, die Merkmale für Auftragsverarbeitung erfüllen, also Verarbeitungen im Auftrag eines Verantwortlichen erfolgen, insbesondere Tests mit Echtdaten. 514 Vgl. EuGH, Urt. v. 19.10.2016 – C-582/14, K&R 2016, 811 = MMR 2016, 842 Rn. 46 m. Anm. Moos/Rothkegel; vgl. hierzu ausführlich oben Rn. 34ff. 515 Vgl. Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 2. 516 Auch unter dem BDSG-alt sprachen jedoch die besseren Gründe dafür, dass § 3 Abs. 8 Satz 3 BDSG a.F. richtlinienkonform dahingehend auszulegen war, dass die privilegierte Handhabung der Auftragsdatenverarbeitung auch auf im Drittland ansässige Auftragnehmer angewendet werden muss (vgl. etwa Weber/Voigt, ZD 2011, 74, 77; Plath, in: Plath, BDSG DSGVO, § 11 Rn. 14 m.w.N.). 517 Plath, in: Plath, BDSG DSGVO, Art. 3 Rn. 6. 518 Eckhardt, CCZ 2017, 111, 116. 519 Siehe zur Gesetzgebungshistorie z.B. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 1. 520 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 521 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 522 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 29; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 68. 523 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69.
