gesetze/dsgvo/ch04/ch04-art28.md

Artikel 28 - Auftragsverarbeiter
--------------------------------

1.  Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so
    arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
    Garantien dafür bieten, dass geeignete technische und
    organisatorische Maßnahmen so durchgeführt werden, dass die
    Verarbeitung im Einklang mit den Anforderungen dieser Verordnung
    erfolgt und den Schutz der Rechte der betroffenen
    Person gewährleistet.

2.  Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter
    ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung
    des Verantwortlichen in Anspruch. Im Fall einer allgemeinen
    schriftlichen Genehmigung informiert der Auftragsverarbeiter den
    Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf
    die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter,
    wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige
    Änderungen Einspruch zu erheben.

3.  Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der
    Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach
    dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den
    Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in
    dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der
    Verarbeitung, die Art der personenbezogenen Daten, die Kategorien
    betroffener Personen und die Pflichten und Rechte des
    Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere
    Rechtsinstrument sieht insbesondere vor, dass der
    Auftragsverarbeiter

    a.  die personenbezogenen Daten nur auf dokumentierte Weisung des
        Verantwortlichen — auch in Bezug auf die Übermittlung
        personenbezogener Daten an ein Drittland oder eine
        internationale Organisation — verarbeitet, sofern er nicht durch
        das Recht der Union oder der Mitgliedstaaten, dem der
        Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in
        einem solchen Fall teilt der Auftragsverarbeiter dem
        Verantwortlichen diese rechtlichen Anforderungen vor der
        Verarbeitung mit, sofern das betreffende Recht eine solche
        Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
        verbietet;

    b.  gewährleistet, dass sich die zur Verarbeitung der
        personenbezogenen Daten befugten Personen zur Vertraulichkeit
        verpflichtet haben oder einer angemessenen gesetzlichen
        Verschwiegenheitspflicht unterliegen;

    c.  alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;

    d.  die in den Absätzen 2 und 4 genannten Bedingungen für die
        Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters
        einhält;

    e.  angesichts der Art der Verarbeitung den Verantwortlichen nach
        Möglichkeit mit geeigneten technischen und organisatorischen
        Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von
        Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der
        betroffenen Person nachzukommen;

    f.  unter Berücksichtigung der Art der Verarbeitung und der ihm zur
        Verfügung stehenden Informationen den Verantwortlichen bei der
        Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten
        unterstützt;

    g.  nach Abschluss der Erbringung der Verarbeitungsleistungen alle
        personenbezogenen Daten nach Wahl des Verantwortlichen entweder
        löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder
        dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung
        der personenbezogenen Daten besteht;

    h.  dem Verantwortlichen alle erforderlichen Informationen zum
        Nachweis der Einhaltung der in diesem Artikel niedergelegten
        Pflichten zur Verfügung stellt und Überprüfungen —
        einschließlich Inspektionen –, die vom Verantwortlichen oder
        einem anderen von diesem beauftragten Prüfer durchgeführt
        werden, ermöglicht und dazu beiträgt.

    Mit Blick auf Unterabsatz 1 Buchstabe h informiert der
    Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der
    Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen
    andere Datenschutzbestimmungen der Union oder der
    Mitgliedstaaten verstößt.

4.  Nimmt der Auftragsverarbeiter die Dienste eines weiteren
    Auftragsverarbeiters in Anspruch, um bestimmte
    Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen,
    so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags
    oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem
    Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten
    auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen
    dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3
    festgelegt sind, wobei insbesondere hinreichende Garantien dafür
    geboten werden muss, dass die geeigneten technischen und
    organisatorischen Maßnahmen so durchgeführt werden, dass die
    Verarbeitung entsprechend den Anforderungen dieser
    Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen
    Datenschutzpflichten nicht nach, so haftet der erste
    Auftragsverarbeiter gegenüber dem Verantwortlichen für die
    Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

5.  Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
    eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch
    einen Auftragsverarbeiter kann als Faktor herangezogen werden, um
    hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden
    Artikels nachzuweisen.

6.  Unbeschadet eines individuellen Vertrags zwischen dem
    Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder
    das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des
    vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7
    und 8 des vorliegenden Artikels genannten Standardvertragsklauseln
    beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder
    dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten
    Zertifizierung sind.

7.  Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel
    87 Absatz 2 Standardvertragsklauseln zur Regelung der in den
    Absätzen 3 und 4 des vorliegenden Artikels genannten
    Fragen festlegen.

8.  Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren
    gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den
    Absätzen 3 und 4 des vorliegenden Artikels genannten
    Fragen festlegen.

9.  Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3
    und 4 ist schriftlich abzufassen, was auch in einem elektronischen
    Format erfolgen kann.

10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter,
    der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der
    Verarbeitung bestimmt, in Bezug auf diese Verarbeitung
    als Verantwortlicher.