Mit der DS-GVO1 wurde das Ziel eines umfangreichen und einheitlichen Datenschutzrechts auf Unionsebene hinreichend verwirklicht. Sie brachte nicht nur Neuerungen für den Verantwortlichen, sondern stellt nunmehr auch an den Auftragsverarbeiter weitreichende Anforderungen. Auch wenn sich dieses Modell in der datenschutzrechtlichen Praxis großer Beliebtheit erfreut, so bereitet die korrekte Anwendung der Auftragsverarbeitung aber oftmals Schwierigkeiten. Die Idee einer Rolle wie die des Auftragsverarbeiters nach der DS-GVO ist fast so alt wie das Datenschutzrecht selbst. Im Wesentlichen geht es darum, dass Dienstleister, die Datenverarbeitungen zwar ausführen, aber eben nicht veranlassen, nicht ebenso strengen Regulierungen unterliegen wie deren Auftraggeber. Gerade der enorme Zuwachs an Dienstleistungen im Bereich der Verarbeitung personenbezogener Daten im digitalen Zeitalter macht eine rechtliche Differenzierung dieser datenschutzrechtlichen Akteure erforderlich. Das durch die unterschiedlichen Akteure geschaffene komplexe Konstrukt einer datenschutzrechtlichen Rollenverteilung erschwert aber oftmals die korrekte Beurteilung, ob ein Akteur tatsächlich die Rolle eines Auftragsverarbeiters oder doch eines Verantwortlichen einnimmt. Die vorliegende Arbeit widmet sich daher den Besonderheiten der Auftragsverarbeitung und analysiert insbesondere die Bedeutung und Begrifflichkeiten dieses Instituts. Insbesondere soll dabei untersucht werden, wie weit die Grenzen der Auftragsverarbeitung reichen und was die rechtlichen Bedingungen für die Begründung eines Auftragsverarbeiterverhältnisses sind. Darüber hinaus werden die rechtlichen Pflichten des Auftragsverarbeiters nach der DS-GVO und dem nationalen DSG2 näher beleuchtet und anschließend die zivilrechtliche Haftung und verwaltungsbehördliche Verantwortlichkeit des Auftragsverarbeiters analysiert. Diese Arbeit widmet sich ausschließlich dem privatrechtlichen Bereich, weswegen auf Aspekte des öffentlichen Rechts im Zusammenhang mit dem Auftragsverarbeiter und insbesondere auf das dritte Hauptstück des DSG nicht eingegangen wird.
