2017-03-08 11:13:15 +01:00
|
|
|
|
Artikel 28 - Auftragsverarbeiter
|
|
|
|
|
--------------------------------
|
|
|
|
|
|
2017-03-27 11:03:41 +02:00
|
|
|
|
1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so
|
|
|
|
|
arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
|
|
|
|
|
Garantien dafür bieten, dass geeignete technische und
|
|
|
|
|
organisatorische Maßnahmen so durchgeführt werden, dass die
|
|
|
|
|
Verarbeitung im Einklang mit den Anforderungen dieser Verordnung
|
|
|
|
|
erfolgt und den Schutz der Rechte der betroffenen
|
|
|
|
|
Person gewährleistet.
|
|
|
|
|
|
|
|
|
|
2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter
|
|
|
|
|
ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung
|
|
|
|
|
des Verantwortlichen in Anspruch. Im Fall einer allgemeinen
|
|
|
|
|
schriftlichen Genehmigung informiert der Auftragsverarbeiter den
|
|
|
|
|
Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf
|
|
|
|
|
die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter,
|
|
|
|
|
wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige
|
|
|
|
|
Änderungen Einspruch zu erheben.
|
|
|
|
|
|
|
|
|
|
3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der
|
|
|
|
|
Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach
|
|
|
|
|
dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den
|
|
|
|
|
Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in
|
|
|
|
|
dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der
|
|
|
|
|
Verarbeitung, die Art der personenbezogenen Daten, die Kategorien
|
|
|
|
|
betroffener Personen und die Pflichten und Rechte des
|
|
|
|
|
Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere
|
|
|
|
|
Rechtsinstrument sieht insbesondere vor, dass der
|
|
|
|
|
Auftragsverarbeiter
|
|
|
|
|
|
|
|
|
|
a. die personenbezogenen Daten nur auf dokumentierte Weisung des
|
|
|
|
|
Verantwortlichen — auch in Bezug auf die Übermittlung
|
|
|
|
|
personenbezogener Daten an ein Drittland oder eine
|
|
|
|
|
internationale Organisation — verarbeitet, sofern er nicht durch
|
|
|
|
|
das Recht der Union oder der Mitgliedstaaten, dem der
|
|
|
|
|
Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in
|
|
|
|
|
einem solchen Fall teilt der Auftragsverarbeiter dem
|
|
|
|
|
Verantwortlichen diese rechtlichen Anforderungen vor der
|
|
|
|
|
Verarbeitung mit, sofern das betreffende Recht eine solche
|
|
|
|
|
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
|
|
|
|
|
verbietet;
|
|
|
|
|
|
|
|
|
|
b. gewährleistet, dass sich die zur Verarbeitung der
|
|
|
|
|
personenbezogenen Daten befugten Personen zur Vertraulichkeit
|
|
|
|
|
verpflichtet haben oder einer angemessenen gesetzlichen
|
|
|
|
|
Verschwiegenheitspflicht unterliegen;
|
|
|
|
|
|
|
|
|
|
c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
|
|
|
|
|
|
|
|
|
|
d. die in den Absätzen 2 und 4 genannten Bedingungen für die
|
|
|
|
|
Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters
|
|
|
|
|
einhält;
|
|
|
|
|
|
|
|
|
|
e. angesichts der Art der Verarbeitung den Verantwortlichen nach
|
|
|
|
|
Möglichkeit mit geeigneten technischen und organisatorischen
|
|
|
|
|
Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von
|
|
|
|
|
Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der
|
|
|
|
|
betroffenen Person nachzukommen;
|
|
|
|
|
|
|
|
|
|
f. unter Berücksichtigung der Art der Verarbeitung und der ihm zur
|
|
|
|
|
Verfügung stehenden Informationen den Verantwortlichen bei der
|
|
|
|
|
Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten
|
|
|
|
|
unterstützt;
|
|
|
|
|
|
|
|
|
|
g. nach Abschluss der Erbringung der Verarbeitungsleistungen alle
|
|
|
|
|
personenbezogenen Daten nach Wahl des Verantwortlichen entweder
|
|
|
|
|
löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder
|
|
|
|
|
dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung
|
|
|
|
|
der personenbezogenen Daten besteht;
|
|
|
|
|
|
|
|
|
|
h. dem Verantwortlichen alle erforderlichen Informationen zum
|
|
|
|
|
Nachweis der Einhaltung der in diesem Artikel niedergelegten
|
|
|
|
|
Pflichten zur Verfügung stellt und Überprüfungen —
|
|
|
|
|
einschließlich Inspektionen –, die vom Verantwortlichen oder
|
|
|
|
|
einem anderen von diesem beauftragten Prüfer durchgeführt
|
|
|
|
|
werden, ermöglicht und dazu beiträgt.
|
|
|
|
|
|
|
|
|
|
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der
|
|
|
|
|
Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der
|
|
|
|
|
Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen
|
|
|
|
|
andere Datenschutzbestimmungen der Union oder der
|
|
|
|
|
Mitgliedstaaten verstößt.
|
|
|
|
|
|
|
|
|
|
4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren
|
|
|
|
|
Auftragsverarbeiters in Anspruch, um bestimmte
|
|
|
|
|
Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen,
|
|
|
|
|
so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags
|
|
|
|
|
oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem
|
|
|
|
|
Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten
|
|
|
|
|
auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen
|
|
|
|
|
dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3
|
|
|
|
|
festgelegt sind, wobei insbesondere hinreichende Garantien dafür
|
|
|
|
|
geboten werden muss, dass die geeigneten technischen und
|
|
|
|
|
organisatorischen Maßnahmen so durchgeführt werden, dass die
|
|
|
|
|
Verarbeitung entsprechend den Anforderungen dieser
|
|
|
|
|
Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen
|
|
|
|
|
Datenschutzpflichten nicht nach, so haftet der erste
|
|
|
|
|
Auftragsverarbeiter gegenüber dem Verantwortlichen für die
|
|
|
|
|
Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
|
|
|
|
|
|
|
|
|
|
5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
|
|
|
|
|
eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch
|
|
|
|
|
einen Auftragsverarbeiter kann als Faktor herangezogen werden, um
|
|
|
|
|
hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden
|
|
|
|
|
Artikels nachzuweisen.
|
|
|
|
|
|
|
|
|
|
6. Unbeschadet eines individuellen Vertrags zwischen dem
|
|
|
|
|
Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder
|
|
|
|
|
das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des
|
|
|
|
|
vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7
|
|
|
|
|
und 8 des vorliegenden Artikels genannten Standardvertragsklauseln
|
|
|
|
|
beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder
|
|
|
|
|
dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten
|
|
|
|
|
Zertifizierung sind.
|
|
|
|
|
|
|
|
|
|
7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel
|
|
|
|
|
87 Absatz 2 Standardvertragsklauseln zur Regelung der in den
|
|
|
|
|
Absätzen 3 und 4 des vorliegenden Artikels genannten
|
|
|
|
|
Fragen festlegen.
|
|
|
|
|
|
|
|
|
|
8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren
|
|
|
|
|
gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den
|
|
|
|
|
Absätzen 3 und 4 des vorliegenden Artikels genannten
|
|
|
|
|
Fragen festlegen.
|
|
|
|
|
|
|
|
|
|
9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3
|
|
|
|
|
und 4 ist schriftlich abzufassen, was auch in einem elektronischen
|
|
|
|
|
Format erfolgen kann.
|
|
|
|
|
|
|
|
|
|
10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter,
|
|
|
|
|
der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der
|
|
|
|
|
Verarbeitung bestimmt, in Bezug auf diese Verarbeitung
|
|
|
|
|
als Verantwortlicher.
|
2017-03-08 11:13:15 +01:00
|
|
|
|
|
|
|
|
|
|