Artikel 28

Auftragsverarbeiter

  • (1)   Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafĂŒr bieten, dass geeignete technische und organisatorische Maßnahmen so durchgefĂŒhrt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewĂ€hrleistet.
  • (2)   Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer ĂŒber jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhĂ€lt, gegen derartige Änderungen Einspruch zu erheben.
  • (3)   Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
  • a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
  • b) gewĂ€hrleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • c) alle gemĂ€ĂŸ Artikel 32 erforderlichen Maßnahmen ergreift;
  • d) die in den AbsĂ€tzen 2 und 4 genannten Bedingungen fĂŒr die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhĂ€lt;
  • e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstĂŒtzt, seiner Pflicht zur Beantwortung von AntrĂ€gen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
  • f) unter BerĂŒcksichtigung der Art der Verarbeitung und der ihm zur VerfĂŒgung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstĂŒtzt;
  • g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurĂŒckgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
  • h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur VerfĂŒgung stellt und ÜberprĂŒfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten PrĂŒfer durchgefĂŒhrt werden, ermöglicht und dazu beitrĂ€gt.
    Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzĂŒglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstĂ¶ĂŸt.
  • (4)   Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte VerarbeitungstĂ€tigkeiten im Namen des Verantwortlichen auszufĂŒhren, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemĂ€ĂŸ Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafĂŒr geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgefĂŒhrt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenĂŒber dem Verantwortlichen fĂŒr die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
  • (5)   Die Einhaltung genehmigter Verhaltensregeln gemĂ€ĂŸ Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemĂ€ĂŸ Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der AbsĂ€tze 1 und 4 des vorliegenden Artikels nachzuweisen.
  • (6)   Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der AbsĂ€tze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den AbsĂ€tzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemĂ€ĂŸ den Artikeln 42 und 43 erteilten Zertifizierung sind.
  • (7)   Die Kommission kann im Einklang mit dem PrĂŒfverfahren gemĂ€ĂŸ Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den AbsĂ€tzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
  • (8)   Eine Aufsichtsbehörde kann im Einklang mit dem KohĂ€renzverfahren gemĂ€ĂŸ Artikel 63 Standardvertragsklauseln zur Regelung der in den AbsĂ€tzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
  • (9)   Der Vertrag oder das andere Rechtsinstrument im Sinne der AbsĂ€tze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
  • (10)   Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.