Art 28 DSGVO

Was ist Art 28 DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) verlangt von den für die Datenverarbeitung Verantwortlichen eine schriftliche Vereinbarung mit dem Datenverarbeiter, in der die Bedingungen für die Datenverarbeitungstätigkeit festgelegt sind. Bevor also ein Vertrag mit dem Datenverarbeiter geschlossen wird, müssen beide Parteien eine Datenverarbeitungsvereinbarung über die Durchführung der Verarbeitung personenbezogener Daten unterzeichnen.

Die Bestimmungen, Bedingungen und Anforderungen der Datenverarbeitungsvereinbarung sind in Art 28 DSGVO festgelegt. Es umreißt die Anforderungen und bietet Leitlinien für Datenverarbeiter, die deren Verantwortung für die Gewährleistung des Schutzes der Privatsphäre und der Sicherheit personenbezogener Daten hervorheben. Der für die Datenverarbeitung Verantwortliche muss in der Lage sein, die erforderlichen technischen Kenntnisse, Fachkenntnisse und Ressourcen nachzuweisen, um angemessene Garantien zu bieten.

Der Art 28 DSGVO und seine Anforderungen gelten auch für die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Der Datenverarbeiter muss unter allen Umständen sicherstellen, dass er berechtigt ist, die Daten zu verarbeiten und dabei die Sicherheits- und Datenschutzanforderungen der Datenschutzgrundverordnung erfüllen. Der Datenverarbeiter muss alle nach Artikel 32 erforderlichen Maßnahmen ergreifen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Was ist der Unterschied zwischen Datenverarbeitung Verantwortlicher und Datenverarbeiter?

Der Begriff “für die Datenverarbeitung Verantwortliche” bezeichnet laut Art 28 DSGVO jede natürliche oder juristische Person, die an der Festlegung des Zwecks und der Modalitäten der Verarbeitung personenbezogener Daten beteiligt ist, während der Begriff “Datenverarbeiter” jede natürliche oder juristische Person bezeichnet, die an der Verarbeitung personenbezogener Daten im Auftrag des für die Datenverarbeitung Verantwortlichen beteiligt ist. Einfach ausgedrückt, verarbeitet der Datenverarbeiter personenbezogene Daten im Auftrag des für die Datenverarbeitung Verantwortlichen und nicht für eigene Zwecke. Der Datenverarbeiter muss zwar einige Regeln befolgen, um sicherzustellen, dass die Daten ordnungsgemäß verarbeitet werden, aber letztlich trägt der für die Datenverarbeitung Verantwortliche die Verantwortung für die personenbezogenen Daten im Sinne des Gesetzes.

Auswahl des Datenverarbeiters

In Art 28 DSGVO sind die Kriterien für die Auswahl eines Datenverarbeiters eindeutig festgelegt. Der für die Datenverarbeitung Verantwortliche darf nur mit Datenverarbeitern zusammenarbeiten, die angemessene technische und organisatorische Sicherheitsmaßnahmen ergriffen haben, die den Anforderungen der Datenschutz-Grundverordnung entsprechen. Dies gilt insbesondere, wenn sie den Schutz der Rechte der betroffenen Personen gewährleisten. Verantwortliche für die Datenverarbeitung dürfen nur mit solchen Datenverarbeitern zusammenarbeiten, die die Umsetzung ausreichender Sicherheitsmaßnahmen, die den Anforderungen der Datenschutzgrundverordnung entsprechen, garantieren können.

Was besagt Art 28 DSGVO?

1. Der für die Datenverarbeitung Verantwortliche darf laut Art 28 DSGVO nur Datenverarbeiter einsetzen, die hinreichende Garantien dafür bieten können, dass die Verarbeitungstätigkeiten den Bestimmungen der Datenschutzgrundverordnung entsprechen.

2. Der Datenverarbeiter darf ohne die Zustimmung des für die Datenverarbeitung Verantwortlichen keine anderen Datenverarbeiter (für die vereinbarten Verarbeitungstätigkeiten) einsetzen.

3. Die Verarbeitung durch den Datenverarbeiter sollte gemäß Art 28 DSGVO durch einen Vertrag oder eine rechtsverbindliche Vereinbarung zwischen dem Datenverarbeiter und dem für die Datenverarbeitung Verantwortlichen geregelt werden, in dem Einzelheiten wie die Dauer der Verarbeitung, der Zweck, die Kategorien von Datenverarbeitungen und die Pflichten des für die Datenverarbeitung Verantwortlichen festgelegt sind und in dem insbesondere Folgendes festgelegt ist:

• die befugten Personen, die die Daten verarbeiten, sind zur Vertraulichkeit verpflichtet
• zur Anwendung der erforderlichen Sicherheitsmaßnahmen verpflichtet
• verpflichtet, den für die Datenverarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen in Bezug auf die Nutzerrechte (z.B. das Recht auf Vergessenwerden) zu unterstützen
• verpflichtet, dem für die Datenverarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die für den Nachweis der Einhaltung der Vorschriften erforderlich sind

4. Beauftragt der Datenverarbeiter im Namen des für die Datenverarbeitung Verantwortlichen einen anderen Datenverarbeiter, so gelten die zwischen dem für die Datenverarbeitung Verantwortlichen und dem Datenverarbeiter getroffene verbindliche Vereinbarung und die Datenschutzstandards auch für diesen anderen Datenverarbeiter (Art 28 DSGVO). Kommt dieser Datenverarbeiter diesen Verpflichtungen nicht nach, so bleibt der ursprüngliche Datenverarbeiter gegenüber dem für die Datenverarbeitung Verantwortlichen haftbar.

5. Der Vertrag zu den vorangehend angeführten Punkten bedarf nach Art 28 DSGVO der Schriftform (einschließlich der elektronischen Form).

6. Verstößt der Datenverarbeiter gegen diese Verordnung, indem er seine eigenen Methoden für die Verarbeitung von Nutzerdaten einsetzt, so wird er in Bezug auf diese spezielle Verarbeitung als für die Datenverarbeitung Verantwortlicher betrachtet.

Geeignete Sicherheitsmaßnahmen

Gemäß Art 28 DSGVO Absatz 3 muss der Vertrag den Auftragsverarbeiter dazu verpflichten, alle Sicherheitsmaßnahmen zu ergreifen, die erforderlich sind, um die Anforderungen von Artikel 32 DSGVO über die Sicherheit der Verarbeitung zu erfüllen.

Sowohl der für die Datenverarbeitung Verantwortliche als auch der Auftragsverarbeiter sind gemäß Artikel 32 verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der von ihnen verarbeiteten personenbezogenen Daten zu gewährleisten; dazu gehören gegebenenfalls:

• Verschlüsselung und Pseudonymisierung
• die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste zu gewährleisten
• die Fähigkeit, den Zugang zu personenbezogenen Daten im Falle eines Zwischenfalls wiederherzustellen und
• Verfahren zur regelmäßigen Prüfung und Bewertung der Wirksamkeit der Maßnahmen

Verhaltenskodizes und Zertifizierungen können den Auftragsverarbeitern auch dabei helfen, ausreichende Garantien dafür zu bieten, dass ihre Verarbeitung mit der Datenschutz-Grundverordnung übereinstimmt.

Bestimmungen zum Vertragsende

Gemäß Art 28 DSGVO Absatz 3 muss der Vertrag vorsehen, dass der Auftragsverarbeiter bei Vertragsende:

Nach Ermessen des für die Datenverarbeitung Verantwortlichen alle personenbezogenen Daten, die er für ihn verarbeitet hat, zu löschen oder an den Verantwortlichen zurückzugeben; und bestehende Kopien der personenbezogenen Daten zu löschen. Es ist zu beachten, dass die Löschung personenbezogener Daten auf sichere Weise gemäß den Sicherheitsanforderungen von Artikel 32 erfolgen muss.

Der Vertrag muss diese Bedingungen enthalten, um den Schutz der personenbezogenen Daten auch nach Vertragsende zu gewährleisten. Damit wird mit diesem Absatz des Art 28 DSGVO der Tatsache Rechnung getragen, dass es letztlich Sache des für die Datenverarbeitung Verantwortlichen ist, zu entscheiden, was mit den verarbeiteten personenbezogenen Daten geschehen soll, sobald die Verarbeitung abgeschlossen ist. Unter der Voraussetzung, dass geeignete Sicherheitsvorkehrungen getroffen werden, wie z.B. die sofortige Einstellung der Nutzung der Daten, kann es akzeptabel sein, dass die Daten nicht sofort gelöscht werden, wenn die Aufbewahrungsfrist angemessen ist und die Daten anschließend so schnell wie möglich gelöscht werden, z.B. im Rahmen des nächsten Löschungs-/Vernichtungszyklus des Auftragsverarbeiters.