Art.28 – EU-DSGVO – Auftragsverarbeiter

> Art.28 - EU-DSGVO - Auftragsverarbeiter

Art.28 - DSGVO - Auftragsverarbeiter

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand:  12.03.2014 Stand: 15.06.2015

Stand: 27.04.2016

(ehem. Art. 26)

 Dokumentation

Dokumentation

Aufzeichnungen zu den Kategorien von Tätigkeiten der Verarbeitung personenbezogener Daten

Auftragsverarbeiter

1. Alle für die Verarbeitung Verantwortlichen, alle Auftragsverarbeitersowie etwaige Vertreter von für dieVerarbeitung Verantwortlichendokumentieren die ihrer Zuständigkeitunterliegenden Verarbeitungsvorgänge.

1. Alle für die Verarbeitung Verantwortlichen und alle Auftragsverarbeiter halten die zur Erfüllung der in dieser Verordnungfestgelegten Anforderungen notwendige Dokumentation vor und aktualisieren sie regelmäßig.

1. Alle für die Verarbeitung Verantwortlichen und gegebenenfalls ihre Vertreter führen eine Aufzeichnung zu allen Kategorien von Tätigkeiten der Verarbeitung personenbezogener Daten, die ihrer Zuständigkeit unterliegen. Diese Aufzeichnung enthält folgende Angaben:

a) Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und etwaiger gemeinsam mit ihm Verantwortlicher, des Vertreters des für die Verarbeitung Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) (entfällt)

c) Angaben über die Zwecke der Verarbeitung einschließlich des berechtigten Interesses, falls sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f gründet;

d) eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien der sich auf diese beziehenden personenbezogenen Daten;

e) die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden, speziell bei Empfängern in Drittländern;

f) gegebenenfalls die Kategorien der Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation;

g) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.

h) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 30 Absatz 1.

1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

2. Die Dokumentation enthält mindestensfolgende Informationen:

2. Darüber hinaus halten alle für dieVerarbeitung Verantwortlichen und alleAuftragsverarbeiter Dokumentationen zufolgenden Informationen vor:

2. Jeder Auftragsverarbeiter führt eine Aufzeichnung zu allen Kategorien von im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung personenbezogener Daten, die Folgendes enthält:

 

2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

a) Name und Kontaktdaten des für dieVerarbeitung Verantwortlichen (oderetwaiger gemeinsam für die VerarbeitungVerantwortlicher) oder desAuftragsverarbeiters sowie eines etwaigenVertreters;

b) Name und Kontaktdaten eines etwaigenDatenschutzbeauftragten;

c) Angaben über die Zwecke derVerarbeitung sowie – falls sich dieVerarbeitung auf Artikel 6 Absatz 1Buchstabe f gründet – über die von demfür die Verarbeitung Verantwortlichenverfolgten legitimen Interessen;

d) eine Beschreibung der Kategorien vonbetroffenen Personen und der Kategoriender sich auf diese beziehenden personenbezogenen Daten;

e) die Empfänger oder Kategorien vonEmpfängern der personenbezogenenDaten einschließlich der für die Verarbeitung Verantwortlichen, denenpersonenbezogene Daten aus dem vondiesen verfolgtem legitimen Interessemitgeteilt werden;

f) gegebenenfalls Angaben über etwaigeDatenübermittlungen in Drittländer oderan internationale Organisationeneinschließlich deren Namen sowie bei denin Artikel 44 Absatz 1 Buchstabe hgenannten Datenübermittlungen einBeleg dafür, dass geeigneteSicherheitsgarantien vorgesehen wurden;

g) eine allgemeine Angabe der Fristen fürdie Löschung der verschiedenenDatenkategorien;

h) eine Beschreibung der in Artikel 22Absatz 3 genannten Verfahren.

a) Name und Kontaktdaten des für dieVerarbeitung Verantwortlichen (oderetwaiger gemeinsam für die VerarbeitungVerantwortlicher) oder desAuftragsverarbeiters sowie eines etwaigen Vertreters;

b) Name und Kontaktdaten eines etwaigenDatenschutzbeauftragten;

c) Angaben über die Zwecke derVerarbeitung sowie – falls sich dieVerarbeitung auf Artikel 6 Absatz 1Buchstabe f gründet – über die von demfür die Verarbeitung Verantwortlichenverfolgten legitimen Interessen;

d) eine Beschreibung der Kategorien vonbetroffenen Personen und der Kategoriender sich auf diese beziehenden personenbezogenen Daten;

e) Name und Kontaktdaten der etwaigenfür die Verarbeitung Verantwortlichen,denen personenbezogene Daten mitgeteilt werden;

f) gegebenenfalls Angaben über etwaigeDatenübermittlungen in Drittländer oderan internationale Organisationeneinschließlich deren Namen sowie bei denin Artikel 44 Absatz 1 Buchstabe hgenannten Datenübermittlungen einBeleg dafür, dass geeigneteSicherheitsgarantien vorgesehen wurden;

g) eine allgemeine Angabe der Fristen fürdie Löschung der verschiedenenDatenkategorien;

h) eine Beschreibung der in Artikel 22Absatz 3 genannten Verfahren.

 

a) Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie eines etwaigen Vertreters des für die Verarbeitung Verantwortlichen;

b) Name und Kontaktdaten eines etwaigenDatenschutzbeauftragten;

c) die Kategorien der Verarbeitungen, die im Auftrag jedes für die Verarbeitung Verantwortlichen durchgeführt werden;

d) gegebenenfalls die Kategorien der Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation.

e) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 30 Absatz 1.

 

 

 

 

 

 

3a. Die in den Absätzen 1 und 2a genannten Aufzeichnungen sind schriftlich zu führen; dies schließt elektronische oder andere ohne technische Vermittlung nicht lesbare Formate, die in ein lesbares Format umgewandelt werden können, ein.

 

3. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeitersowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen die Dokumentation der Aufsichtsbehörde aufAnforderung zur Verfügung.

 

3. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter sowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen der Aufsichtsbehörde die Aufzeichnung auf Anforderung zur Verfügung. 3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
     

a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen– auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;

b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;

d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;

e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;

g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,

h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

4. Die in den Absätzen 1 und 2 genanntenAnforderungen gelten nicht für folgendefür die Verarbeitung Verantwortliche und Auftragsverarbeiter:

a) natürliche Personen, diepersonenbezogene Daten ohneeigenwirtschaftliches Interesseverarbeiten; oder

b) Unternehmen oder Organisationen mitweniger als 250 Beschäftigten, die personenbezogene Daten nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten verarbeiten.

4. Die in den Absätzen 1 und 2 genanntenAnforderungen gelten nicht für folgendefür die Verarbeitung Verantwortliche und Auftragsverarbeiter:

a) natürliche Personen, diepersonenbezogene Daten ohneeigenwirtschaftliches Interesseverarbeiten; oder

b) Unternehmen oder Organisationen mitweniger als 250 Beschäftigten, die personenbezogene Daten nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten verarbeiten.

4. Die in den Absätzen 1 und 2a genannten Pflichten gelten nicht für:

(a) (entfällt)

(b) Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht aufgrund ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, wie etwa Diskriminierung, Identitätsdiebstahl oder -betrug, unbefugte Umkehr der Pseudonymisierung, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere wirtschaftliche oder gesellschaftliche Nachteile für die betroffenen Personen.

4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

  5. Die Kommission wird ermächtigt,delegierte Rechtsakte nach Maßgabe vonArtikel 86 zu erlassen, um die Kriterienund Anforderungen für die in Absatz 1genannte Dokumentation festzulegen, sodass insbesondere denVerantwortlichkeiten des für dieVerarbeitung Verantwortlichen, desAuftragsverarbeiters sowie des etwaigenVertreters des für die VerarbeitungVerantwortlichen Rechnung getragen wird. 5. (entfällt) 5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.

6. Die Kommission kannStandardvorlagen für die in Absatz 1genannte Dokumentation festlegen. Diese Durchführungsrechtsakte werden inÜbereinstimmung mit dem Prüfverfahrengemäß Artikel 87 Absatz 2 erlassen.

 

(entfällt) 6. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
     

7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

     

8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

     

9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

      10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 81

Änderungsanträge: Website des Europäischen Parlaments

Bewertungen der Änderungsanträge: LobbyPlag

Empfehlenswert auch: GDD-Praxishilfe DS-GVO IV - Mustervertrag zur Auftragsverarbeitung, Version 1.1, Stand April 2017

Auf den ersten Blick kommt dem Leser des Art. 28 EU-DSGVO Vieles bekannt vor – neben der Kleinigkeit, dass es nun Auftragsverarbeitung und nicht mehr AuftragsDATENverarbeitung heisst:

  • Im Vorgriff auf Art. 29 EU-DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten.
  • Auftragnehmer müssen sorgfältig ausgewählt werden
  • es ist eine Vereinbarung zur Auftragsverarbeitung notwendig

 

Auch andere, neu eingeführte Verpflichtungen sind zumindest aus der Praxis bereits bekannt:

  • Der Auftragsverarbeiter muss explizit bei der Erfüllung der Verpflichtungen des Verantwortlichen hinsichtlich der Betroffenenrechte (z.B. Auskunftsrecht) unterstützen (Art. 28. III e) EU-DSGVO.
  • Der Auftragsverarbeiter muss er Weisungen auf ihre Rechtmäßigkeit hin prüfen und in Zweifelsfällen seinen Kunden informieren (Art. 28. III h) EU-DSGVO). Zwar ist diese Verpflichtung auch bisher schon in vielen Vereinbarungen enthalten, jedoch stößt die Umsetzung dieser Verpflichtung auf zahlreiche Probleme. So etwa, ob der Auftragsverarbeiter verpflichtet ist zu monitoren, ob die Tätigkeiten des Auftraggebers rechtmäßig sein. Dies kann vor allem Server-Hoster vor Probleme stellen, die regelmäßig nicht wissen (können), welche Verarbeitungsverfahren konkret die Auftraggeber auf den gehosteten Maschienen betreiben.
  • Die Weisungen Weisungen des Auftraggebers sind durch den Auftragsverarbeiter zu dokumentieren. (Art. 28.III a) EU-DSGVO)
  • Der Auftragsverarbeiter haftet explizit für seine Sub-Auftragnehmer (Art. 28. IV EU-DSGVO), mit denen er ebenfalls eine Vereinbarung treffen muss (Art. 28. II EU-DSGVO).
  • Der Auftraggeber muss bezüglich eines Wechsels der Subauftragnehmer informiert werden und diesbezüglich ein Einspruchsrecht erhalten, auch dann, wenn eine allgemeine schriftliche Genehmigung zur Einschaltung weiterer Auftragnehmer besteht (Art. 28. II EU-DSGVO)
  • Der Auftragsverarbeiter muss gewährleisten, dass seine Mitarbeiter angemessen zur Verschwiegenheit verpflichtet wurden (Art. 28. III b) EU-DSGVO).
  • Der Auftragsverarbeiter muss zur Dokumentation der Verarbeitungstätigkeit beitragen und entsprechende Verzeichnisse anlegen sowie diese auf Anforderung der Aufsichtsbehörde vorlegen.

 

Allerdings gilt das Privileg der Auftragsverarbeitung anders im BDSG nicht nur auf den EU/EWR-Raum begrenzt. Zudem kann der Vertrag, auf der die Auftragsverarbeitung beruht, nun auch elektronisch abgeschlossen werden.

 

Hauptänderung ist die Verantwortung für die Datenverarbeitung im Auftrag. Während bei der Auftragsdatenverarbeitung nach §11 BDSG der Auftraggeber allein verantwortliche Stelle blieb (nach §3 Abs. 7 BDSG: “durch andere im Auftrag vornehmen lässt.”), können nun sowohl Auftraggeber als auch Auftragnehmer verantwortliche Stelle sein.
Das gilt insbesondere dann, wenn (Art. 28.X EU-DSGVO) der Auftragsverarbeiter gegen die Bestimmungen der Verordnung verstößt und selbst Zwecke und Mittel der Verarbeitung bestimmt.

 

In der Folge

  • haftet der Auftragnehmer nach Art. 82 EU-DSGVO gemeinsam mit dem Verantwortlichen (gesamtschuldnerisch) gegenüber der betroffenen Person sowohl für materielle wie auch immaterielle Schäden (z.B. Schmerzensgeld).
  • ist der Auftragnehmer wie auch der Auftraggeber nach Art. 79 EU-DSGVO durch die betroffene Person auf diesen Schadensersatz verklagbar.

 

Die Verantwortung des Auftragsverarbeiters erhöht sich gegenüber den Regelungen des BDSG damit enorm.

Ferner muss die Einhaltung der technisch-organisatorischen Maßnahmen nunmehr vom Auftragsverarbeiter eigeninitiativ nachgewiesen werden (Art. 28. V EU-DSGVO), etwa durch Zertifizierung nach Art. 42 EU-DSGVO. Im Unterschied zur bisher geltenden Regelung, in denen Audits des Auftragnehmers durch den Auftraggeber schon aus Budgetgründen eher spärlich vorkamen, darf der Auftragverarbeiter nicht mehr auf die Anforderung des Auftraggebers warten, sondern muss die Einhaltung selbständig nachweisen. 

 

Weitere wichtige Informationen zur Auftragsdatenverarbeitung vom BayLDA nach der DSGVO finden Sie hier.

(Visited 7.401 times, 3 visits today)

Kommentar

Art.28 - DSGVO - Auftragsverarbeiter

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand:  12.03.2014 Stand: 15.06.2015

Stand: 27.04.2016

(ehem. Art. 26)

 Dokumentation

Dokumentation

Aufzeichnungen zu den Kategorien von Tätigkeiten der Verarbeitung personenbezogener Daten

Auftragsverarbeiter

1. Alle für die Verarbeitung Verantwortlichen, alle Auftragsverarbeitersowie etwaige Vertreter von für dieVerarbeitung Verantwortlichendokumentieren die ihrer Zuständigkeitunterliegenden Verarbeitungsvorgänge.

1. Alle für die Verarbeitung Verantwortlichen und alle Auftragsverarbeiter halten die zur Erfüllung der in dieser Verordnungfestgelegten Anforderungen notwendige Dokumentation vor und aktualisieren sie regelmäßig.

1. Alle für die Verarbeitung Verantwortlichen und gegebenenfalls ihre Vertreter führen eine Aufzeichnung zu allen Kategorien von Tätigkeiten der Verarbeitung personenbezogener Daten, die ihrer Zuständigkeit unterliegen. Diese Aufzeichnung enthält folgende Angaben:

a) Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und etwaiger gemeinsam mit ihm Verantwortlicher, des Vertreters des für die Verarbeitung Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) (entfällt)

c) Angaben über die Zwecke der Verarbeitung einschließlich des berechtigten Interesses, falls sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f gründet;

d) eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien der sich auf diese beziehenden personenbezogenen Daten;

e) die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden, speziell bei Empfängern in Drittländern;

f) gegebenenfalls die Kategorien der Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation;

g) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.

h) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 30 Absatz 1.

1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

2. Die Dokumentation enthält mindestensfolgende Informationen:

2. Darüber hinaus halten alle für dieVerarbeitung Verantwortlichen und alleAuftragsverarbeiter Dokumentationen zufolgenden Informationen vor:

2. Jeder Auftragsverarbeiter führt eine Aufzeichnung zu allen Kategorien von im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung personenbezogener Daten, die Folgendes enthält:

 

2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

a) Name und Kontaktdaten des für dieVerarbeitung Verantwortlichen (oderetwaiger gemeinsam für die VerarbeitungVerantwortlicher) oder desAuftragsverarbeiters sowie eines etwaigenVertreters;

b) Name und Kontaktdaten eines etwaigenDatenschutzbeauftragten;

c) Angaben über die Zwecke derVerarbeitung sowie – falls sich dieVerarbeitung auf Artikel 6 Absatz 1Buchstabe f gründet – über die von demfür die Verarbeitung Verantwortlichenverfolgten legitimen Interessen;

d) eine Beschreibung der Kategorien vonbetroffenen Personen und der Kategoriender sich auf diese beziehenden personenbezogenen Daten;

e) die Empfänger oder Kategorien vonEmpfängern der personenbezogenenDaten einschließlich der für die Verarbeitung Verantwortlichen, denenpersonenbezogene Daten aus dem vondiesen verfolgtem legitimen Interessemitgeteilt werden;

f) gegebenenfalls Angaben über etwaigeDatenübermittlungen in Drittländer oderan internationale Organisationeneinschließlich deren Namen sowie bei denin Artikel 44 Absatz 1 Buchstabe hgenannten Datenübermittlungen einBeleg dafür, dass geeigneteSicherheitsgarantien vorgesehen wurden;

g) eine allgemeine Angabe der Fristen fürdie Löschung der verschiedenenDatenkategorien;

h) eine Beschreibung der in Artikel 22Absatz 3 genannten Verfahren.

a) Name und Kontaktdaten des für dieVerarbeitung Verantwortlichen (oderetwaiger gemeinsam für die VerarbeitungVerantwortlicher) oder desAuftragsverarbeiters sowie eines etwaigen Vertreters;

b) Name und Kontaktdaten eines etwaigenDatenschutzbeauftragten;

c) Angaben über die Zwecke derVerarbeitung sowie – falls sich dieVerarbeitung auf Artikel 6 Absatz 1Buchstabe f gründet – über die von demfür die Verarbeitung Verantwortlichenverfolgten legitimen Interessen;

d) eine Beschreibung der Kategorien vonbetroffenen Personen und der Kategoriender sich auf diese beziehenden personenbezogenen Daten;

e) Name und Kontaktdaten der etwaigenfür die Verarbeitung Verantwortlichen,denen personenbezogene Daten mitgeteilt werden;

f) gegebenenfalls Angaben über etwaigeDatenübermittlungen in Drittländer oderan internationale Organisationeneinschließlich deren Namen sowie bei denin Artikel 44 Absatz 1 Buchstabe hgenannten Datenübermittlungen einBeleg dafür, dass geeigneteSicherheitsgarantien vorgesehen wurden;

g) eine allgemeine Angabe der Fristen fürdie Löschung der verschiedenenDatenkategorien;

h) eine Beschreibung der in Artikel 22Absatz 3 genannten Verfahren.

 

a) Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie eines etwaigen Vertreters des für die Verarbeitung Verantwortlichen;

b) Name und Kontaktdaten eines etwaigenDatenschutzbeauftragten;

c) die Kategorien der Verarbeitungen, die im Auftrag jedes für die Verarbeitung Verantwortlichen durchgeführt werden;

d) gegebenenfalls die Kategorien der Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation.

e) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 30 Absatz 1.

 

 

 

 

 

 

3a. Die in den Absätzen 1 und 2a genannten Aufzeichnungen sind schriftlich zu führen; dies schließt elektronische oder andere ohne technische Vermittlung nicht lesbare Formate, die in ein lesbares Format umgewandelt werden können, ein.

 

3. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeitersowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen die Dokumentation der Aufsichtsbehörde aufAnforderung zur Verfügung.

 

3. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter sowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen der Aufsichtsbehörde die Aufzeichnung auf Anforderung zur Verfügung. 3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
     

a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen– auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;

b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;

d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;

e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;

g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,

h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

4. Die in den Absätzen 1 und 2 genanntenAnforderungen gelten nicht für folgendefür die Verarbeitung Verantwortliche und Auftragsverarbeiter:

a) natürliche Personen, diepersonenbezogene Daten ohneeigenwirtschaftliches Interesseverarbeiten; oder

b) Unternehmen oder Organisationen mitweniger als 250 Beschäftigten, die personenbezogene Daten nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten verarbeiten.

4. Die in den Absätzen 1 und 2 genanntenAnforderungen gelten nicht für folgendefür die Verarbeitung Verantwortliche und Auftragsverarbeiter:

a) natürliche Personen, diepersonenbezogene Daten ohneeigenwirtschaftliches Interesseverarbeiten; oder

b) Unternehmen oder Organisationen mitweniger als 250 Beschäftigten, die personenbezogene Daten nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten verarbeiten.

4. Die in den Absätzen 1 und 2a genannten Pflichten gelten nicht für:

(a) (entfällt)

(b) Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht aufgrund ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, wie etwa Diskriminierung, Identitätsdiebstahl oder -betrug, unbefugte Umkehr der Pseudonymisierung, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere wirtschaftliche oder gesellschaftliche Nachteile für die betroffenen Personen.

4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

  5. Die Kommission wird ermächtigt,delegierte Rechtsakte nach Maßgabe vonArtikel 86 zu erlassen, um die Kriterienund Anforderungen für die in Absatz 1genannte Dokumentation festzulegen, sodass insbesondere denVerantwortlichkeiten des für dieVerarbeitung Verantwortlichen, desAuftragsverarbeiters sowie des etwaigenVertreters des für die VerarbeitungVerantwortlichen Rechnung getragen wird. 5. (entfällt) 5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.

6. Die Kommission kannStandardvorlagen für die in Absatz 1genannte Dokumentation festlegen. Diese Durchführungsrechtsakte werden inÜbereinstimmung mit dem Prüfverfahrengemäß Artikel 87 Absatz 2 erlassen.

 

(entfällt) 6. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
     

7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

     

8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

     

9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

      10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 81

Änderungsanträge: Website des Europäischen Parlaments

Bewertungen der Änderungsanträge: LobbyPlag

Empfehlenswert auch: GDD-Praxishilfe DS-GVO IV - Mustervertrag zur Auftragsverarbeitung, Version 1.1, Stand April 2017

Auf den ersten Blick kommt dem Leser des Art. 28 EU-DSGVO Vieles bekannt vor – neben der Kleinigkeit, dass es nun Auftragsverarbeitung und nicht mehr AuftragsDATENverarbeitung heisst:

  • Im Vorgriff auf Art. 29 EU-DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten.
  • Auftragnehmer müssen sorgfältig ausgewählt werden
  • es ist eine Vereinbarung zur Auftragsverarbeitung notwendig

 

Auch andere, neu eingeführte Verpflichtungen sind zumindest aus der Praxis bereits bekannt:

  • Der Auftragsverarbeiter muss explizit bei der Erfüllung der Verpflichtungen des Verantwortlichen hinsichtlich der Betroffenenrechte (z.B. Auskunftsrecht) unterstützen (Art. 28. III e) EU-DSGVO.
  • Der Auftragsverarbeiter muss er Weisungen auf ihre Rechtmäßigkeit hin prüfen und in Zweifelsfällen seinen Kunden informieren (Art. 28. III h) EU-DSGVO). Zwar ist diese Verpflichtung auch bisher schon in vielen Vereinbarungen enthalten, jedoch stößt die Umsetzung dieser Verpflichtung auf zahlreiche Probleme. So etwa, ob der Auftragsverarbeiter verpflichtet ist zu monitoren, ob die Tätigkeiten des Auftraggebers rechtmäßig sein. Dies kann vor allem Server-Hoster vor Probleme stellen, die regelmäßig nicht wissen (können), welche Verarbeitungsverfahren konkret die Auftraggeber auf den gehosteten Maschienen betreiben.
  • Die Weisungen Weisungen des Auftraggebers sind durch den Auftragsverarbeiter zu dokumentieren. (Art. 28.III a) EU-DSGVO)
  • Der Auftragsverarbeiter haftet explizit für seine Sub-Auftragnehmer (Art. 28. IV EU-DSGVO), mit denen er ebenfalls eine Vereinbarung treffen muss (Art. 28. II EU-DSGVO).
  • Der Auftraggeber muss bezüglich eines Wechsels der Subauftragnehmer informiert werden und diesbezüglich ein Einspruchsrecht erhalten, auch dann, wenn eine allgemeine schriftliche Genehmigung zur Einschaltung weiterer Auftragnehmer besteht (Art. 28. II EU-DSGVO)
  • Der Auftragsverarbeiter muss gewährleisten, dass seine Mitarbeiter angemessen zur Verschwiegenheit verpflichtet wurden (Art. 28. III b) EU-DSGVO).
  • Der Auftragsverarbeiter muss zur Dokumentation der Verarbeitungstätigkeit beitragen und entsprechende Verzeichnisse anlegen sowie diese auf Anforderung der Aufsichtsbehörde vorlegen.

 

Allerdings gilt das Privileg der Auftragsverarbeitung anders im BDSG nicht nur auf den EU/EWR-Raum begrenzt. Zudem kann der Vertrag, auf der die Auftragsverarbeitung beruht, nun auch elektronisch abgeschlossen werden.

 

Hauptänderung ist die Verantwortung für die Datenverarbeitung im Auftrag. Während bei der Auftragsdatenverarbeitung nach §11 BDSG der Auftraggeber allein verantwortliche Stelle blieb (nach §3 Abs. 7 BDSG: “durch andere im Auftrag vornehmen lässt.”), können nun sowohl Auftraggeber als auch Auftragnehmer verantwortliche Stelle sein.
Das gilt insbesondere dann, wenn (Art. 28.X EU-DSGVO) der Auftragsverarbeiter gegen die Bestimmungen der Verordnung verstößt und selbst Zwecke und Mittel der Verarbeitung bestimmt.

 

In der Folge

  • haftet der Auftragnehmer nach Art. 82 EU-DSGVO gemeinsam mit dem Verantwortlichen (gesamtschuldnerisch) gegenüber der betroffenen Person sowohl für materielle wie auch immaterielle Schäden (z.B. Schmerzensgeld).
  • ist der Auftragnehmer wie auch der Auftraggeber nach Art. 79 EU-DSGVO durch die betroffene Person auf diesen Schadensersatz verklagbar.

 

Die Verantwortung des Auftragsverarbeiters erhöht sich gegenüber den Regelungen des BDSG damit enorm.

Ferner muss die Einhaltung der technisch-organisatorischen Maßnahmen nunmehr vom Auftragsverarbeiter eigeninitiativ nachgewiesen werden (Art. 28. V EU-DSGVO), etwa durch Zertifizierung nach Art. 42 EU-DSGVO. Im Unterschied zur bisher geltenden Regelung, in denen Audits des Auftragnehmers durch den Auftraggeber schon aus Budgetgründen eher spärlich vorkamen, darf der Auftragverarbeiter nicht mehr auf die Anforderung des Auftraggebers warten, sondern muss die Einhaltung selbständig nachweisen. 

 

Weitere wichtige Informationen zur Auftragsdatenverarbeitung vom BayLDA nach der DSGVO finden Sie hier.

(Visited 7.401 times, 3 visits today)

Anmerkungen

Ein Gedanke zu „Art.28 – EU-DSGVO – Auftragsverarbeiter“

  1. Auch wenn Sie Daten bei einem Cloud-Anbieter haben, müssen Sie sicherstellen dass die EU-DAtenschutz-Grundverordnung eingehalten wird. Im Anlaßfall haften Sie und nicht der Betreiber der Cloud. Sie können Schadenersatz fordern aber nicht die Verantwortung delegieren.
    Noch sind 8 Monate Zeit um die Verordnung umzusetzen, dann tritt sie ohne weitere Fristen in Kraft.
    Obwohl genau genommen ist sie ja schon in Kraft gesetzt..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.