Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

Art. 28 DS-GVO Auftragsverarbeitung

 
 
 
 

In Art. 28 sind die Voraussetzungen und Regelungen einer Auftragsverarbeitung aufgeführt.

Unter der Auftragsverarbeitung versteht man das Auslagern der Verarbeitung von Nutzerdaten über einen Verarbeitungsvertrag an einen externen Dritten.


Das Wichtigste auf einen Blick

  • Bei einer Auftragsverarbeitung nimmt der Verantwortliche die Datenverarbeitung nicht selbst vor
  • Der Datenverarbeitungsvertrag kann in der elektronischen Form des § 126b BGB geschlossen werden
  • Die Auftragsverarbeitung kann auch in einem Nicht-EU Land stattfinden
  • Solange der Auftragsverarbeiter den Weisungen des Verantwortlichen folgt, haftet der Verantwortliche


1. Wann spricht man von einer Auftragsverarbeitung?

Sind bei der Datenverarbeitung andere Personen tätig als der Verantwortliche, so könnte eine Auftragsverarbeitung vorliegen.

Tritt die verarbeitende Person nur im Interesse des Verantwortlichen auf und ist dieser auch der Auftraggeber, liegt in der Regel eine Auftragsverarbeitung vor.

Vor dem Beginn des weisungsgebundenen Handelns muss ein Verarbeitungsvertrag geschlossen worden sein.

Die Fälle der Auftragsverarbeitung sind vielfältig. Beispielsweise kann die Speicherung von Daten über einen Cloud-Anbieter eine Auftragsverarbeitung sein. Auch kann eine dritte Person zur Auftragsverarbeitung vertraglich berufen werden.

Ob eine Auftragsverarbeitung vorliegt, muss in jedem Fall einzeln bewertet werden.

2. Der Verarbeitungsvertrag

Für eine wirksame Auftragsverarbeitung ist der Abschluss eines Verarbeitungsvertrages erforderlich. Der Vertrag muss nach Art. 28 Abs. 3 DS-GVO folgende Punkte enthalten:

  • Bindung des Auftragsverarbeitenden in Bezug auf die Weisungen des Verantwortlichen
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Festlegung der Pflichten und Rechte des Verantwortlichen

Viele wesentliche Aspekte des BDSG wurden auch in der DS-GVO aufgegriffen.

Im Vergleich zum BDSG gibt es jedoch bei dem Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter eine Neuerung:

Nach Art. 28 Abs. 9 DS-GVO kann ein solcher Vertrag nun nicht mehr nur schriftlich, sondern auch elektronisch abgeschlossen werden.

In der Praxis betrifft die Neuregelung nicht nur den Vertragsschluss, sondern auch die Widerrufsbelehrung.

Diese muss auch beim elektronischen Vertragsschluss vorgenommen und dauerhaft in unverändertem Zustand bereitgestellt werden. Es wird daher geraten, die Datei als pdf zu übermitteln und/oder zum Download bereitzustellen. 

3. Pflichten des Auftragsverarbeitenden

In Abs. 3 (1) lit. a) – h) sind die Pflichten des Auftragsverarbeitenden geregelt.  

Zum einen bestehen Dokumentations- und Nachweispflichten. Der Verarbeiter muss beweisen können, dass er den Weisungen des Verantwortlichen gefolgt ist und im Rahmen der Vorschriften der DS-GVO gehandelt hat.

In Bezug auf die personenbezogenen Daten besteht eine strenge Vertraulichkeitspflicht.

Daneben müssen Sicherheitsmaßnahmen getroffen, angemessene technisch organisatorische Maßnahmen geschaffen und die Vorschriften der DS-GVO eingehalten werden.

Ist die Tätigkeit beendet, so hat der Auftragsverarbeiter alle Versionen personenbezogener Daten zurückzugeben oder zu löschen. Die Löschung kann nur erfolgen, wenn keine steuerrechtlichen, handelsrechtlichen oder unionsrechtlichen Vorschriften eine Speicherung vorschreiben. 

4. Verantwortlichkeit im Fall des Verstoßes gegen die DS-GVO

Gemäß des Art. 4 Nr. 7 DS-GVO entscheidet der Verantwortliche alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Er ist hierbei für die Einhaltung der Vorschriften der Verordnung verantwortlich und haftet im Fall eines Verstoßes.

Der Auftragsverarbeiter hingegen verarbeitet nach Art. 4 Nr. 8 DS-GVO die personenbezogenen Daten nur im Auftrag des Verantwortlichen.

Wie bereits erwähnt, ist er hierbei weisungsgebunden und trifft im Rahmen seiner zugeteilten Tätigkeit wenige bis keine eigenen Entscheidungen.

Handelt der Auftragsverarbeiter wie beabsichtigt nach den Weisungen des Verantwortlichen und tritt er in dessen Pflichten ein, so muss der Verantwortliche für Fehler einstehen und haften.

Anders ist dies, wenn der Auftragsverarbeiter entgegen der Absprachen zwischen ihm und dem Verantwortlichen agiert und sich somit den Weisungen des Auftraggebers widersetzt.

In diesen Fällen greift Art. 28 Abs. 10 DS-GVO: Der Verarbeiter gilt, weil er gegen die Verordnung verstößt und Zweck und Mittel der Verarbeitung selbst festlegt, als Verantwortlicher und muss auch wie dieser haften.

5. Fazit

Der Art. 28 DS-GVO greift einige Aspekte auf, die bereits im BDSG verankert waren. Modernisierungen gab es im Bereich der Form des Abschlusses des Verarbeitungsvertrages. Der Vertrag kann seit der Einführung der DS-GVO nun auch in elektronischer Form abgeschlossen werden.

Zusammenfassend lässt sich zudem sagen, dass Art. 28 DS-GVO die Ausgliederung der Datenverarbeitung an einen Auftragsverarbeiter erleichtert und zugleich den Schutz der Daten betont und sicherstellt.

Durch Art. 28 DS-GVO bestehen in der Regel keine Haftungsfragen, obwohl mehrere Akteure auftreten.
Trotzdem ist jeder Einzelfall für sich alleine zu betrachten und zu bewerten.

Die Norm hat eine hohe Praxisrelevanz und sollte den Vorgaben entsprechend umgesetzt werden.

 
 
 
Call Now ButtonKontakt aufnehmen