Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

Art. 28 DSGVO: Auftragsverarbeiter

Änderungsdienst
veröffentlicht am

17.07.2023

Änderung

Die GRA wurde redaktionell überarbeitet. Unter dem neuen Abschnitt 2 wurden allgemeine Erläuterungen zur Auftragsverarbeitung aufgenommen.

Die Anhänge wurden entfernt und ein Verweis auf die Richtlinie "Auftragsverarbeitung" und die hier hinterlegten aktuellen Anhänge hinterlegt.
Dokumentdaten
Stand14.06.2023
Erstellungsgrundlage in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018
Rechtsgrundlage

Art. 28 DSGVO

Version003.00

Inhalt der Regelung

Art. 28 DSGVO regelt das Rechtsinstitut der Auftragsverarbeitung und die damit verbundenen Anforderungen an die Beteiligten (Verantwortliche und Auftragsverarbeiter) beziehungsweise deren Pflichten und Rechte.

Diese Vorschrift dient insbesondere dem Grundsatz der Transparenz des Verwaltungshandelns der Verantwortlichen und bildet bezogen auf einen bestimmten Sachverhalt eine detailliertere Beschreibung eines zentralen Teilaspekts des in Art. 5 Abs. 2 DSGVO normierten Grundsatzes der Rechenschaftspflicht.

nach oben

Ergänzende/korrespondierende Regelungen

Art. 8 der Charta der Grundrechte der Europäischen Union - vom 26.10.2012 (2012/ C 326/02) dient dem Schutz vor willkürlichen und rechtswidrigen Eingriffen in die Privatsphäre (Schutz personenbezogener Daten). Dieses europäisch garantierte Recht entspricht auf nationaler Ebene dem in Art. 2 Abs. 1 des Grundgesetzes (GG) in Verbindung mit Art. 1 Abs. 1 des GG verankerten Recht auf informationelle Selbstbestimmung.

Art. 16 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) bestätigt in Abs. 1 das in Art. 8 GRCh niedergelegte Recht auf informationelle Selbstbestimmung (Datenschutz) und enthält in Abs. 2 die Rechtsgrundlage für die Konkretisierung des Datenschutzes bei der Anwendung des Unionsrechts.

Art. 288 Abs. 2 AEUV bildet die rechtliche Grundlage für die verbindliche und unmittelbare Geltung der Regelungen der EU-Datenschutzgrundverordnung (DSGVO) in jedem Mitgliedstaat der Europäischen Union (EU).

Art. 291 Abs. 2 AEUV bildet den europarechtlichen Rahmen für die in Art. 40 Abs. 9 DSGVO normierten Befugnisse der Kommission zur Schaffung einheitlicher Rahmenbedingungen sowie von Verbindlichkeit und Rechtssicherheit mittels eines innerhalb der Union allgemein gültigen Durchführungsrechtsaktes.

Art. 4 Nr. 1 bis 26 DSGVO enthält unter anderem Definitionen von Begriffen des Datenschutzrechts wie zum Beispiel „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO), „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), „Verantwortlicher“ (Art. 4 Nr. 7 DSGVO), „Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO), „Verletzung des Schutzes personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO), „Gesundheitsdaten“ (Art. 4 Nr. 15 DSGVO) und „Aufsichtsbehörde“ (Art. 4 Nr. 21 DSGVO).

Art. 5 DSGVO legt die Grundsätze für die Verarbeitung personenbezogener Daten fest. Insbesondere ist hier im Hinblick auf deren Bedeutung für die sich aus Art. 28 Abs. 1 DSGVO ergebenden Anforderungen die Rechenschaftspflicht bei der Auswahl des Auftragsverarbeiters zu nennen (Art. 5 Abs. 2 DSGVO).

Art. 9 DSGVO legt fest, welche Arten personenbezogener Daten als besondere Kategorien einzuordnen sind und unter welchen eng umgrenzten Rahmenbedingungen diese verarbeitet werden dürfen.

Die in Kapitel III der DSGVO geregelten Rechte der Betroffenen (Art. 12 DSGVO bis Art. 23 DSGVO) sind gegenüber dem Verantwortlichen geltend zu machen. Auftragsverarbeiter haben diesen bei der Erfüllung der ihm unmittelbar obliegenden Rechenschafts- und Nachweispflicht, zum Beispiel bei Datenschutzverletzungen, zu unterstützen.

Art. 24 DSGVO statuiert die Rechenschaftspflicht des Verantwortlichen und legt diesem die Verpflichtung auf, in Abhängigkeit der Eintrittswahrscheinlichkeit und Schwere von potentiellen physischen, materiellen oder immateriellen Schadensszenarien geeignete technische und organisatorische Maßnahmen zu treffen, um eine mit der DSGVO konforme Verarbeitung personenbezogener Daten nachweisen zu können.

Art. 26 DSGVO legt die gemeinsame Verantwortung von zwei oder mehr Verantwortlichen fest.

Art. 27 DSGVO verpflichtet Verantwortliche beziehungsweise aus einem Drittland stammende Auftragsverarbeiter, unter bestimmten Rahmenbedingungen einen Vertreter in der Union schriftlich zu benennen.

Art. 29 DSGVO regelt, dass der Auftragsverarbeiter im Zusammenhang mit seiner Auftragstätigkeit ausschließlich an Weisungen des Verantwortlichen gebunden ist. Hiervon unbenommen bleibt eine auf Unionsrecht oder dem Recht eines Mitgliedstaats beruhende Verpflichtung des Auftragsverarbeiters zur Datenverarbeitung.

Art. 30 Abs. 2 DSGVO verpflichtet Auftragsverarbeiter zur Führung eines Verzeichnisses über Verarbeitungstätigkeiten, um den Verantwortlichen bei der Umsetzung seines Aufgabenspektrums zu unterstützen.

Art. 32 DSGVO legt fest, in welchem Umfang der Verantwortliche Vorgaben über geeignete technische und organisatorische Maßnahmen zu machen hat, die dann vom Auftragsverarbeiter umzusetzen sind, um die datenschutzrechtlich relevanten Schutzziele in gebotener Weise realisieren zu können. Darüber hinaus besteht eine eigenständige Pflicht zur Vornahme geeigneter technischer und organisatorischer Maßnahmen, um die datenschutzrechtlich anzustrebenden Schutzziele umzusetzen. Auf die GRA zu Art. 32 DSGVO darf hingewiesen werden.

Art. 33 Abs. 2 DSGVO bestimmt, dass der Auftragsverarbeiter verpflichtet ist, Datenschutzverletzungen oder Sicherheitsverstöße gegenüber dem Verantwortlichen zu melden. Auf die GRA zu Art. 33 DSGVO, Abschnitt 3, darf hingewiesen werden.

Art. 35 Abs. 8 DSGVO bekräftigt, dass Auftragsverarbeiter verpflichtet sind, Verantwortliche bei der Durchführung von Datenschutzfolgenabschätzungen zu unterstützen.

Art. 36 Abs. 2 DSGVO erweitert die Unterstützungsverpflichtung des Auftragsverarbeiters auf die obligatorischen Konsultationsprozesse des Verantwortlichen bei der Durchführung von Datenschutzfolgenabschätzungen gemäß Art. 36 Abs. 1 DSGVO in Verbindung mit Art. 35 DSGVO.

Art. 37 DSGVO verpflichtet den Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten.

Art. 40 DSGVO regelt das Verfahren zur Ausarbeitung von Verhaltensregeln für unterschiedliche in der DSGVO abgebildete Sachverhalte. Er ist ein Instrument der Selbstregulierung und dient der Schaffung von Rechtssicherheit einschließlich eines dezidierten Genehmigungsprozesses durch die Aufsichtsbehörden (Art. 55 DSGVO). Er hat somit unmittelbare Auswirkungen auf die in Art. 28 DSGVO normierten Tatbestandsmerkmale einer Auftragsverarbeitung.

Das in Art. 42 DSGVO beschriebene Zertifizierungsverfahren stellt ein weiteres Instrument zur Umsetzung der in Art. 28 DSGVO normierten Garantie-, Nachweis- und Rechenschaftspflichten des Verantwortlichen beziehungsweise des Auftragsverarbeiters dar.

Art. 46 DSGVO regelt, unter welchen Rahmenbedingungen und in welchem Umfang Auftragsverarbeiter bei Datenübermittlung in ein Drittland oder an eine internationale Organisation eigenverantwortlich ausreichende Garantien vorzusehen haben, sofern kein Angemessenheitsbeschluss der Kommission im Sinne von Art. 45 Abs. 3 DSGVO vorliegt.

Art. 55 DSGVO legt den Rahmen fest, innerhalb dessen jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaates für die Erfüllung der im Zusammenhang mit der DSGVO stehenden Aufgaben und die Ausübung der sich aus dieser Verordnung ergebenden Befugnisse zuständig ist.

Art. 58 DSGVO regelt unter anderem die Untersuchungs- und Sanktionsbefugnisse der Datenschutzaufsichtsbehörden gegenüber Auftragsverarbeitern.

Art. 63 DSGVO beschreibt das sog. Kohärenzverfahren und dient der einheitlichen Anwendung der Verordnungen, wie zum Beispiel der DSGVO innerhalb der Union, auch soweit es die Auftragsverarbeitung betrifft (Art. 28 Abs. 8 DSGVO). Er räumt den Aufsichtsbehörden die Möglichkeit ein, über die Festlegung von Standardvertragsklauseln eine DSGVO-konforme Auftragsverarbeitung anzustreben.

Art. 79 Abs. 2 DSGVO eröffnet den Rechtsmittelweg (gerichtlicher Rechtsbehelf) gegenüber Verantwortlichen und Auftragsverarbeitern.

Art. 82 DSGVO regelt die sich im Zusammenhang mit Verstößen gegen die DSGVO ergebenden grundsätzlichen Haftungsfragen und bestimmt als Anspruchsgegner eines Schadenersatzanspruches des Betroffenen (Anspruchsinhaber) neben dem Verantwortlichen auch den Auftragsverarbeiter.

Art. 83 DSGVO regelt, unter welchen allgemeinen Rahmenbedingungen Geldbußen verhängt werden dürfen. Dies gilt auch für Verstöße gegen Art. 28 DSGVO, die vom Verantwortlichen beziehungsweise dem Auftragsverarbeiter begangen werden.

Art. 84 DSGVO als sogenannte Öffnungsklausel stellt es in die Verantwortung der einzelnen Mitgliedstaaten, Sanktionen für Verstöße gegen die DSGVO festzulegen, die nicht bereits mit einer Geldbuße im Sinne des Art. 83 DSGVO bedroht sind.

Art. 93 DSGVO stellt eine Ermächtigungsnorm dar und berechtigt die Kommission zum Erlass von Durchführungsrechtsakten nach Art. 291 Abs. 2 AEUV. Sie dient der verbindlichen Konkretisierung von (verbindlichen) Rechtsakten der Union. Als Anwendungsbereich kommt im Hinblick auf Art. 28 Abs. 7 DSGVO insbesondere die Festlegung von Standardvertragsklauseln für Auftragsverarbeitung in Betracht.

ErwG 53 DSGVO-ErwG verdeutlicht in Ergänzung zu Art. 9 DSGVO, dass besondere Kategorien personenbezogener Daten unter eng begrenzten Rahmenbedingungen verarbeitet werden dürfen und aufgrund ihrer Sensibilität einem höheren Schutzbedarf unterliegen.

ErwG 81 DSGVO-ErwG veranschaulicht den Grundsatz, dass der Verantwortliche als Auftragsverarbeiter nur solche heranziehen sollte, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen getroffen haben, um den besonderen Aufgaben und Pflichten im Rahmen des Auftragsverhältnisses nach Art. 28 DSGVO nachzukommen.

ErwG 95 DSGVO-ErwG bekräftigt die in Art. 36 Abs. 2 DSGVO normierte Unterstützungspflicht des Auftragsverarbeiters gegenüber dem Verantwortlichen bei der Durchführung von Datenschutzfolgenabschätzungen gemäß Art. 35 DSGVO.

ErwG 146 DSGVO-ErwG bekräftigt die in Art. 82 DSGVO normierten Haftungsregelungen des Verantwortlichen beziehungsweise Auftragsverarbeiters im Rahmen der DSGVO.

§ 80 SGB X in der Fassung des Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften regelt ab dem 25.05.2018 ergänzend zu Art. 28 DSGVO die Rahmenbedingungen für eine datenschutzkonforme Auftragsverarbeitung von Sozialdaten.

§ 85 SGB X in der Fassung des Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften konkretisiert ab dem 25.05.2018 die sich ergebenden Straftatbestände und regelt die analoge Anwendung des § 42 Abs. 1 und 2 BDSG.

§ 85a SGB X in der Fassung des Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften konkretisiert ab dem 25.05.2018 die sich ergebenden Bußgeldtatbestände und erklärt § 41 BDSG für entsprechend anwendbar. Zudem nimmt er Behörden und andere öffentliche Stellen von der Verhängung von Bußgeldern aus.

§ 62 BDSG in der Fassung von Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) - DSAnpUG-EU regelt ab dem 25.05.2018 ergänzend zu Art. 28 DSGVO die Rahmenbedingungen für eine datenschutzkonforme Auftragsverarbeitung von personenbezogenen Daten.

§ 30 AO in der Fassung von Art. 17 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften definiert ab dem 25.05.2018 den Umfang des Steuergeheimnisses und regelt die gesetzlichen Rahmenbedingungen, unter denen das Steuergeheimnis durchbrochen werden darf.

nach oben

Auftragsverarbeitung

Eine Auftragsverarbeitung (frühere Bezeichnung: Datenverarbeitung im Auftrag) liegt regelmäßig vor, wenn eine Stelle (Auftragsverarbeiter) von einer anderen Stelle (Verantwortlicher) im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Verarbeitung stellt dabei den Kernbestandteil der vertraglich geschuldeten Leistung dar oder ist unabdingbar notwendig, damit der Auftragsverarbeiter die vereinbarte Leistung überhaupt erbringen kann. Dem Auftragsverarbeiter wird nicht die eigentliche Aufgabe übertragen, sondern nur eine Hilfstätigkeit.

Beispiele:

Auftragsverarbeitungen stellen beispielsweise die vertragliche Aufgabenzuweisung durch Kompetenzcenter der Rentenversicherung (KCs), die Herstellung, der Druck sowie der Versand von Kundenzeitschriften wie zum Beispiel „Zukunft Jetzt“ oder die Papiervernichtung unter Beachtung der DIN 66399 durch externe Dienstleister dar.

Nicht um eine Auftragsverarbeitung handelt es sich, wenn nur die Hardware-Einrichtung Dritter benutzt wird, dies aber mit eigenen Programmen und Beschäftigten für die Aufgabe erfolgt und dabei personenbezogene Daten verarbeitet werden, zum Beispiel im Falle einer Anmietung von vollausgestatteten Büroräumen.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, das heißt mit Dienstleistungen, bei denen die Verarbeitung personenbezogener Daten nicht im Vordergrund steht, beziehungsweise bei denen diese nicht mindestens einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Ebenfalls keine Auftragsverarbeitung ist die Inanspruchnahme von Dritten, wenn diese ihre eigenen Aufgaben erledigen, zum Beispiel die Inanspruchnahme fremder Fachleistungen bei der Beauftragung externer Gutachter beziehungsweise Labordienstleister oder die Beförderung von Postsendungen (Briefe und Pakete) durch externe Dienstleistungsunternehmen.

Bei der Behandlung in externen Rehabilitationseinrichtungen (Vertragseinrichtungen) steht die medizinische Behandlung der Patienten im Vordergrund, die in eigener Regie und Verantwortung der Vertragseinrichtungen erfolgt. Es handelt sich somit nicht um unselbständige Hilfstätigkeiten einer Datenverarbeitung (AGGDS 4/2013, TOP 8).

Abzugrenzen ist auch die Aufgaben- oder Funktionsübertragung (§ 88 SGB X); hier wird nicht nur Unterstützung bei der Erledigung einer Aufgabe des Verantwortlichen in Anspruch genommen (Hilfstätigkeiten), sondern die Aufgabe selbst wird dem Auftragnehmer übertragen und damit auch die Verantwortung und sämtliche datenschutzrechtlichen Pflichten. Dies geschieht im Sozialleistungsbereich regelmäßig durch Bildung von Arbeitsgemeinschaften nach § 94 SGB X.

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel der Verarbeitung fest, sind sie gemeinsam Verantwortliche nach Art. 26 DSGVO. Auch in diesem Fall liegt keine Auftragsverarbeitung vor.

Beachte:

Die Rentenversicherungsträger treten sowohl als Verantwortliche (früher Auftraggeber) als auch als Auftragsverarbeiter (früher Auftragnehmer) auf. Im Einzelfall ist davon abhängig, welche Anforderungen im Einzelnen zu erfüllen sind.

nach oben

Auswahl von Auftragsverarbeitern (Abs. 1)

Abs. 1 legt fest, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten darf, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen getroffen beziehungsweise durchgeführt werden, um eine DSGVO-konforme Auftragsverarbeitung und den Schutz der Rechte der betroffenen Personen sicherzustellen.

Der Auftragsverarbeiter hat gegenüber dem Verantwortlichen entsprechende Garantien abzugeben und in geeigneter Weise nachzuweisen. Dies kann unter anderem durch die Einhaltung genehmigter Verhaltensregeln (approved codes of conduct) gemäß Art. 40 DSGVO oder durch anerkannte Zertifizierungen (certification) gemäß Art. 42 DSGVO geschehen.

nach oben

Verantwortlicher

Normadressat ist zunächst der für die Datenverarbeitung Verantwortliche (Art. 4 Nr. 7 DSGVO). Ihm obliegt letztlich nicht nur im Hinblick auf seine Rechenschaftspflicht die Verantwortung für die Einhaltung der Voraussetzungen für eine wirksame Auftragsverarbeitung. Zur Definition des Begriffs „Verantwortlicher“ und für weitere Erläuterungen darf auf die GRA zu Art. 33 DSGVO, Abschnitt 2.1, verwiesen werden.

nach oben

Auftragsverarbeiter

Einen weiteren Beteiligten und Normadressaten stellt der Auftragsverarbeiter dar (Art. 4 Nr. 8 DSGVO). Seine Tätigkeit beziehungsweise Zuständigkeit umfasst neben dem vereinbarten Aufgabenspektrum unter anderem die Pflicht zur Führung eines auf die Auftragstätigkeiten ausgerichteten Verzeichnisses über Verarbeitungstätigkeiten. Auf die GRA zu Art. 30 DSGVO darf hingewiesen werden.

nach oben

Auswahl von Unterauftragsverarbeitern (Abs. 2)

Abs. 2 bestimmt, dass die Einbeziehung von Unterauftragsverarbeitern durch den Auftragsverarbeiter als primären Vertragspartner des Verantwortlichen einer vorherigen Genehmigung bedarf. Hierbei gilt es zwischen vorherigen Einzelgenehmigungen und Gesamtgenehmigungen mit Einspruchsmöglichkeiten des Verantwortlichen zu unterscheiden.

nach oben

Auftragsgestaltung (Abs. 3)

Abs. 3 bestimmt, dass eine Auftragsverarbeitung nur aufgrund vertraglicher Vereinbarungen oder eines anderen verbindlichen Rechtsinstruments nach dem Unionsrecht oder dem Recht eines Mitgliedstaates vorgenommen werden darf. Zudem regelt diese Vorschrift sowohl konkrete Mindestinhalte als auch allgemein Vereinbarungen zum Schutz der Interessen und Rechte der betroffenen Personen.

nach oben

Kerninhalte der vertraglichen Regelungen beziehungsweise des Rechtsinstruments zur Auftragsverarbeitung (Abs. 3 Satz 1)

Normadressaten sind sowohl der für die Datenverarbeitung Verantwortliche als auch der Auftragsverarbeiter. Auf die Abschnitte 3.1 und 3.2 dieser GRA darf verwiesen werden.

nach oben

Gegenstand und Dauer der Auftragsverarbeitung

Für die Vertragsparteien sowie die Datenschutz- und Rechts- beziehungsweise Fachaufsichtsbehörden muss eindeutig nachvollziehbar sein, unter welchen Rahmenbedingungen welche Leistung zu erbringen ist und welche Konsequenzen sich aus einem etwaigen Fehlverhalten ergeben. Daher bedarf es im Hinblick auf die Rechenschafts- und Nachweispflicht des Verantwortlichen, aber auch des Auftragsverarbeiters, insbesondere einer detaillierten und eindeutigen Festlegung des Auftragsgegenstandes.

Zudem ist auch die generelle Dauer der Auftragsverarbeitungstätigkeit einschließlich eines Zeitrahmens zu bestimmen, um den der zunächst geltende Gesamtzeitraum verlängert werden kann. Als sinnvoll und den Grundanforderungen wesensimmanent stellt sich die Aufnahme von detaillierten Regelungen zur Löschung von personenbezogenen Daten dar. Hierzu gehören auch Festlegungen über die Anwendung der in der DIN-Norm 66399 -1 bis -3 niedergelegten Grundsätze.

nach oben

Art und Zweck der Auftragsverarbeitung

Aufgrund des Wesensinhaltes einer Auftragsverarbeitung und auf die Anforderungen aus Abschnitt 5.1.1 aufbauend ist es unerlässlich, die Art und den Zweck der zu erbringenden Dienstleistung konkret und abschließend zu bestimmen und hierüber Einigkeit zu erzielen.

Dabei ist darauf zu achten, dass dem Auftragsverarbeiter in Bezug auf den Zweck der Auftragsverarbeitung kein Interpretationsspielraum zugestanden wird. Andernfalls bestünde die Gefahr, dass er aufgrund von Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen wird.

Soweit es die Art und Weise der Auftragsverarbeitung betrifft, sind zwar grundsätzliche Rahmenbedingungen festzulegen, jedoch kann dem Auftragsverarbeiter ein gewisser Spielraum bei der Auswahl seiner Mittel der Verarbeitung zugestanden werden, solange dies keine negativen Auswirkungen auf den Verarbeitungszweck hat und sich die Auftragsverarbeitung innerhalb der vertraglich vereinbarten Grundlagen bewegt.

nach oben

Art der personenbezogenen Daten und Kategorien betroffener Personen

Die detaillierten Festlegungen über die Art der von der Verarbeitungstätigkeit betroffenen personenbezogenen Daten sowie die Angaben zu den Kategorien betroffener Personen sind von entscheidender Bedeutung für die Bestimmung des der Verarbeitung innewohnenden Risikos für die Verletzung des Schutzes personenbezogener Daten der betroffenen Personen. Hiervon ist die Einschätzung abhängig, welche technischen und organisatorischen Maßnahmen nach dem aktuellen Stand der Technik getroffen werden müssen, um die in Art. 32 DSGVO normierten Schutzziele in geeigneter Weise umzusetzen und dem bestehenden Risiko entgegenzuwirken.

nach oben

Pflichten und Rechte des Verantwortlichen

Der Vertrag beziehungsweise das geeignete andere Rechtsinstrument im Sinne der DSGVO hat außerdem die Rechte und Pflichten des Verantwortlichen festzulegen. Dabei ist hervorzuheben, dass neben den in Art. 28 Abs. 3 S. 2 DSGVO aufgezählten zwingend zu regelnden Punkten auch individuelle und auf den Vertragsgegenstand abgestellte Rahmenbedingungen vertraglich vereinbart oder durch das anzuwendende Rechtsinstrument bestimmt werden können.

nach oben

Weitere Mindestinhalte der vertraglichen Regelungen beziehungsweise des Rechtsinstruments zur Auftragsverarbeitung (Abs. 3 Satz 2)

Art. 28 Abs. 3 DSGVO enthält neben den sich für den Verantwortlichen ergebenden Pflichten und Rechten auch entsprechende Verpflichtungen beziehungsweise Berechtigungen für den Auftragsverarbeiter.

nach oben

Weisungen des Verantwortlichen

Da der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen grundsätzlich nur in dem Umfang verarbeiten darf, wie dies die schriftlichen Festlegungen der Auftragsverarbeitung zulassen, und etwaige Ausnahmen nur in dem Umfang zulässig sind, wie es das Recht des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt oder das geltende Unionsrecht es erlauben, kommt der Konkretisierung und schriftlichen Dokumentation diesbezüglicher Weisungen des Verantwortlichen eine zentrale Bedeutung zu. Dieses Wesensmerkmal einer Auftragsverarbeitung ist unter anderem durch konkrete Vorgaben bezüglich der mit der Erbringung der Dienstleistung einhergehenden Übermittlung sowie die notwendige Dokumentation der Weisungen des Verantwortlichen zu regeln.

nach oben

Verschwiegenheitspflicht

Im Vertrag beziehungsweise dem anderen Rechtsinstrument ist zu regeln, dass der Auftragsverarbeiter zur Erbringung der Dienstleistung nur Personal einsetzen darf, das zur Verschwiegenheit verpflichtet wurde oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegt. Die diesbezüglichen Festlegungen korrespondieren mit den sich bereits aus Art. 32 Abs. 4 DSGVO ergebenden Verpflichtungen sowie der sich für das einzusetzende Personal aus Art. 29 DSGVO ergebenden Obligation, personenbezogene Daten im Rahmen der Auftragsabwicklung nur nach Weisung des Verantwortlichen zu verarbeiten.

nach oben

Maßnahmen zur Umsetzung der in Art. 32 DSGVO genannten Schutzziele

Einen weiteren wesentlichen Regelungsinhalt stellt die dem Auftragsverarbeiter aufzuerlegende Verpflichtung dar, geeignete technische und organisatorische Maßnahmen nach dem aktuellen Stand der Technik zu ergreifen, um sicherstellen zu können, dass die auf ihn durchgreifenden hohen Sicherheitsstandards des Verantwortlichen zur Umsetzung der in Art. 32 DSGVO normierten Schutzziele eingehalten werden. Diese in Art. 28 DSGVO aufgenommene Regelung hat lediglich eine deklaratorische Bedeutung, da sich eine solche Verpflichtung für den Auftragsverarbeiter bereits aus Art. 32 DSGVO ergibt.

Auch im Hinblick auf etwaige Haftungsfragen beziehungsweise der sich aus Art. 30 Abs. 1 und 2 DSGVO im Zusammenhang mit der Führung eines Verzeichnisses über die Verarbeitungstätigkeit für den Verantwortlichen und den Auftragsverarbeiter ergebenden Verpflichtungen ist es zweckmäßig, detailliertere Festlegungen über die zu treffenden technischen und organisatorischen Maßnahmen zu treffen.

Soweit hier auf den aktuellen Stand der Technik abgestellt wird, darf auf die Definition der Europäischen Norm EN 45020 Normung - allgemeine Begriffe (ISO/IEC Guide 2:2004) verwiesen werden.

nach oben

Beauftragung weiterer Auftragsverarbeiter (Subunternehmer)

Obgleich die in Art. 28 Abs. 3 S. 2 Buchst. d und Abs. 4 DSGVO aufgenommene Regelung als rein deklaratorisch einzuordnen ist, sind die Vertragsparteien in beiderseitigem Interesse und im Hinblick darauf, dass der auch für den Auftragsverarbeiter geltende hohe Datenschutzstandard weiter übertragen werden muss, gut beraten, eindeutige Festlegungen über die etwaige Einbeziehung weiterer Unterauftragsverarbeiter (Subunternehmer) zu treffen. Hierzu gehören unter anderem auch Regelungen über die Art und Weise des zu nutzenden Kommunikationsweges und Angaben über zu beachtende Fristen für die Fälle, in denen ein Auslagern von bestimmten Teilverarbeitungsschritten sich als notwendig oder zielführend erweisen sollte.

nach oben

Unterstützung des Verantwortlichen

Die in Kapitel III der DSGVO verankerten Betroffenenrechte richten sich unmittelbar an den Verantwortlichen, nicht aber an den Auftragsverarbeiter. Aus diesem Grund muss im Vertrag oder Rechtsinstrument geregelt werden, dass der Verantwortliche bei der Erfüllung seiner diesbezüglichen Pflichten von dem Auftragsverarbeiter nach Möglichkeit und im Rahmen von geeigneten technischen und organisatorischen Maßnahmen unterstützt wird. Es empfiehlt sich, in der vertraglichen Vereinbarung beziehungsweise dem anderen Rechtsinstrument konkrete Unterstützungsleistungen zu regeln.

Zwar ergeben sich für den Auftragsverarbeiter im Hinblick auf die Erbringung der Dienstleistung Pflichten direkt aus den Art. 32 DSGVO bis Art. 36 DSGVO. Im beiderseitigen Interesse sollten dennoch konkrete Unterstützungsleistungen im Vertrag oder Rechtsinstrument festgeschrieben werden.

nach oben

Löschungs- beziehungsweise Rückgabepflichten

Mit der Beendigung der Auftragsverarbeitung erlischt automatisch die Berechtigung, personenbezogene Daten des Verantwortlichen weiterhin zu verarbeiten. Soweit sich aus dem für den Auftragsverarbeiter geltenden Recht seines Mitgliedstaates oder dem anzuwendenden Unionsrecht nichts anderes ergibt, ist zu regeln, dass die personenbezogenen Daten nach Anweisung des Verantwortlichen entweder gelöscht oder zurückgegeben werden müssen. Es dürfen keine personenbezogenen Daten des Verantwortlichen - auch nicht in Form von Kopien - beim Auftragsverarbeiter oder seinen Subunternehmern verbleiben.

nach oben

Nachweis- beziehungsweise Duldungspflichten des Auftragsverarbeiters

Einen weiteren Punkt, der im Vertrag oder im Rechtsinstrument zu regeln ist, bilden die Festlegungen darüber, wie der Auftragsverarbeiter nachweisen kann, in welcher Weise er seine im Zusammenhang mit der Auftragsabwicklung bestehenden Pflichten erfüllt.

Hierunter fallen unter anderem die Erteilung der notwendigen Auskünfte und die Vorlage geeigneter Unterlagen sowie im Hinblick auf die Evaluierungspflichten des Verantwortlichen auch die Duldung von regelmäßigen Kontrollen des Verantwortlichen oder der von diesem beauftragten Prüfer. Dabei sind selbstverständlich berechtigte Interessen des Auftragsverarbeiters im Hinblick zum Beispiel auf einen reibungslosen Ablauf des Arbeits- oder Dienstbetriebes in geeigneter Weise zu berücksichtigen.

Außerdem ist vertraglich zu vereinbaren, dass nicht nur den für den Verantwortlichen zuständigen Datenschutzaufsichtsbehörden vergleichbare Prüf- und Kontrollrechte eingeräumt werden, sondern auch seinen Rechts- oder Fachaufsichtsbehörden. Andernfalls wären diese nicht in der Lage, ihren aufsichtsrechtlichen Verpflichtungen in der gebotenen Weise nachzukommen.

Hat der Auftragsverarbeiter durch die Vorlage von Zertifikaten geeigneter Prüfinstitutionen nachgewiesen, dass er geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen hat, bietet es sich für den Verantwortlichen an, mit dem Auftragsverarbeiter die Aufrechterhaltung der bestehenden Zertifikate zu vereinbaren.

Ratsam dürfte es auch sein, diesbezügliche Pflichten des Auftragsverarbeiters für den Fall aufzunehmen, dass dieser die Einhaltung der Anforderungen des Verantwortlichen durch die Umsetzung konkreter Verhaltensregeln nach Art. 40 DSGVO oder die Einhaltung eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO nachgewiesen hat.

nach oben

Anzeige rechtswidriger Weisungen

Die Regelungen der DSGVO verpflichten den Auftragsverarbeiter, den Verantwortlichen unverzüglich darüber zu informieren, wenn er der Auffassung ist, dass eine oder mehrere Weisungen des Verantwortlichen gegen geltende Datenschutzbestimmungen verstoßen. Dies ist unter anderem dem Umstand geschuldet, dass der Auftragsverarbeiter unter bestimmten Rahmenbedingungen mehr Erfahrungen im Umgang mit datenschutzrechtlichen Anforderungen hat als der Verantwortliche (zum Beispiel beim Versand von E-Mails zum Zwecke der Werbung und anderen vergleichbaren Maßnahmen).

Stellt der Auftragsverarbeiter also einen solchen, seiner Meinung nach datenschutzrechtswidrigen Tatbestand fest, so obliegt es ihm insbesondere vor dem Hintergrund der in der DSGVO verankerten Haftungsregelungen, den Verantwortlichen unverzüglich zu informieren und dessen Rückäußerung abzuwarten.

Bestätigt der Verantwortliche seine Weisungen, darf der Auftragsverarbeiter grundsätzlich auf deren Rechtmäßigkeit vertrauen, es sei denn, dass eine offenkundige Rechtsverletzung vorliegt und schwere Verstöße gegen Rechte und Freiheiten der von der Verarbeitung personenbezogener Daten Betroffenen drohen.

nach oben

Nachweis hinreichender Garantien durch Verhaltensregeln und Standardvertragsklauseln

Der Nachweis über die Einhaltung hinreichender Garantien im Sinne von Art. 28 Abs. 1 und 4 DSGVO kann durchaus auch durch die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) beziehungsweise durch ein genehmigtes Zertifizierungsverfahren (Art. 42 DSGVO) erbracht werden.

Ob und ggf. unter welchen Rahmenbedingungen entsprechende Nachweismöglichkeiten herangezogen werden sollen, sollte der Verantwortliche unter Berücksichtigung der Gesamtumstände der auszulagernden Verarbeitungstätigkeit prüfen. Trifft er die Entscheidung, dass diese Möglichkeiten im Falle der konkreten Verarbeitung dem Auftragsverarbeiter als Nachweismöglichkeit eingeräumt werden können, ist dies in dem entsprechenden Vertrag mit dem Auftragsverarbeiter oder durch ein anderes zulässiges Rechtsinstrument zu regeln.

Erweist es sich bei der Gestaltung der schriftlichen Vereinbarung beziehungsweise der Ausgestaltung des anderen zulässigen Rechtsinstruments als zielführend, auf Standardvertragsklauseln zurückzugreifen, so ist dies mit der Maßgabe zulässig, dass diese entweder auf einem Kohärenzbeschluss der Aufsichtsbehörden beruhen (Art. 63 DSGVO) oder von der Kommission im Einklang mit einem Prüfverfahren gemäß Art. 93 Abs. 2 DSGVO erlassen wurden.

Die mit der unmittelbaren Anwendung der DSGVO verbundene Nutzung von Standardvertragsklauseln als neues Instrument einer Auftragsverarbeitung bietet Verantwortlichen, Auftragsverarbeitern und den von einer Auftragsverarbeitung betroffenen Personen die Möglichkeit, ausgewogene und datenschutzfreundliche Rahmenbedingungen für standardisierte Verarbeitungsprozesse zu schaffen.

nach oben

Anpassung bestehender Auftragsverarbeitungen

Voranzustellen ist, dass die sich aus Art. 28 DSGVO ergebenden Verpflichtungen zwar weitgehend mit den Pflichten vergleichbar sind, die bereits vor dem Inkrafttreten und der unmittelbaren Anwendbarkeit der DSGVO bestanden haben.

Gleichwohl wird es sich regemäßig, insbesondere durch die erweiterten Rechenschafts- und Nachweispflichten der Verantwortlichen sowie die veränderte Haftungssituation, als notwendig erweisen, bestehende vertragliche Vereinbarungen mit Hilfe von Ergänzungsvereinbarungen, Nachträgen oder über neue Verträge an die neue Rechtssituation anzupassen.

Im Hinblick darauf, dass damit ein nicht unerheblicher Verwaltungsaufwand verbunden sein dürfte, könnte es sich als zielführend erweisen, wenn die Verantwortlichen Kriterien bestimmen, nach denen sich die Reihenfolge ausrichtet, in der die Aktualisierung vorgenommen wird. Als mögliche Kriterien könnten - unabhängig von dementsprechenden Aktivitäten der bisherigen Auftragsverarbeiter - beispielsweise die Restlaufzeit bis zum Vertragsablauf oder das im konkreten Sachverhalt bestehende Restrisiko einer Verletzung des Schutzes personenbezogener Daten der von der Auftragsverarbeitung betroffenen Personen herangezogen werden.

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 23. Mai 2018 unter L 127/4

In Artikel 28 Absatz 3 Buchstabe g DSGVO wurden nach dem Wort „zurückgibt“ die Worte „und die vorhandenen Kopien löscht“ eingefügt. Die Vorschrift ist in ihrer geänderten Fassung ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union anzuwenden.

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 22. November 2016 unter L 314/72

In Artikel 28 Absatz 7 DSGVO wurden die Worte „… Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung …“ berichtigt in „… Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung …“. Die Vorschrift ist in ihrer geänderten Fassung ab dem 25.05.2018 anzuwenden.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1

Die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind mit Wirkung vom 24.05.2016 in Kraft getreten. Sie gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.

Unter dem folgenden Link finden Sie Anlagen zur Auftragsverarbeitung unter anderem ein Auftragsverarbeitungsvertrag als Muster, ausgewählte Fallgruppen als Orientierungshilfe, ein Prüfschema für den Drittstaatentransfer und weitere Inhalte.

Link: Richtlinie Auftragsverarbeitung mit Anlagen

 

 

Zusatzinformationen

Rechtsgrundlage

Art. 28 DSGVO