Sie können in Ihrer Funktion als für die Verarbeitung Verantwortlicher die Verwaltung von verschiedenen Datenverarbeitungen an externe Dienstanbieter übertragen (z.B. für die Einrichtung und die technische Verwaltung Ihrer Internetseite, für die Abspeicherung von Daten auf Servern von Dritten, für die Benutzung eines Cloud-Service, für die administrative Verwaltung Ihrer Mitglieder, ein Buchhalter, der die Löhne ausrechnet, usw.).
Sie dürfen nur auf Auftragsverarbeiter zurückgreifen, die hinreichend Garantien dafür bieten, dass die Verarbeitung im Einklang mit den Datenschutzvorschriften erfolgt (Sie müssen dies überprüfen und beweisen können).
Die Verarbeitung durch einen Auftragsverarbeiter muss auf der Grundlage eines Vertrags erfolgen, der unter anderem vorsehen muss, dass der Auftragsverarbeiter die Daten nicht für seine eigenen Zwecke verarbeiten darf, sondern nur auf dokumentierte Weisung des Verantwortlichen. Standardklauseln bezüglich der Vorschriften der DSGVO müssen sich in diesem Vertrag befinden.
Die DSGVO verstärkt die Pflichten des Auftragsverarbeiters. So muss er zum Beispiel ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten erstellen, er muss den Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten melden und er muss auch gegebenenfalls einen DPO benennen.