Es kommt immer wieder vor, dass Auftragsverarbeiter anvertraute Personendaten weiterverarbeiten, um beispielsweise eigene Dienstleistungen zu verbessern oder weiterentwickeln. Es gilt aber auch hier, dass bestimmte Bedingungen eingehalten werden müssen, um eine solche Weiterverarbeitung zu legitimieren. 

Ausser es besteht eine gesetzliche Pflicht der Weiterverarbeitung, ist in jedem Fall die ausdrückliche, schriftliche, Zustimmung des Verantwortlichen einzuholen. Sollte eine solche Zustimmung nicht vorliegen, wird der Auftragsverarbeiter automatische Verantwortlicher in Bezug auf die Weiterverarbeitung und auch entsprechend haftbar, da Weisungen vom ursprünglichen Verantwortlichen nicht eingehalten wurden. 

Eine Genehmigung durch den Verantwortlichen ist dennoch möglich, bei vorliegender Genehmigung wird der Auftragsverarbeiter für die Weiterverarbeitung Verantwortlicher. Nachfolgend eine Übersicht der Voraussetzungen:

1. Kann die Weiterverarbeitung sich auf eine gesetzliche Grundlage oder die Zustimmung des Datensubjekts stützen?
2. Ist der Zweck, der bei der Erhebung der Daten deklariert wurde mit der gewünschten Weiterverarbeitung
...