Zum Inhalt springen

Responsible Supply Chain Initiative (RSCI)

Anfrage
Startseite » Unser Blog » Datenschutz » Was regelt die DSGVO im Artikel 28

Was regelt die DSGVO im Artikel 28

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Der Artikel 28 der Datenschutz-Grundverordnung (DSGVO) behandelt die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten. Der Verantwortliche ist diejenige Organisation oder Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, während der Auftragsverarbeiter diejenige ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Eine Auftragsverarbeitung gemäß der Datenschutz-Grundverordnung (DSGVO) findet statt, wenn ein Unternehmen oder eine Organisation (der Auftraggeber) ein anderes Unternehmen oder eine andere Organisation (den Auftragsverarbeiter) beauftragt, personenbezogene Daten in ihrem Namen und nach ihren Weisungen zu verarbeiten.

In einfacheren Worten: Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen einen externen Dienstleister beauftragt, um bestimmte Aufgaben im Zusammenhang mit personenbezogenen Daten durchzuführen. Personenbezogene Daten sind Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen, wie z. B. Name, Adresse, Telefonnummer oder E-Mail-Adresse.

Ein Beispiel: Ein Unternehmen beauftragt ein externes IT-Unternehmen, um seine Kundendatenbank zu verwalten und zu pflegen. In diesem Fall findet eine Auftragsverarbeitung gemäß DSGVO statt, da das externe IT-Unternehmen personenbezogene Daten im Auftrag des Unternehmens verarbeitet.

Wichtig ist, dass der Auftragsverarbeiter die Daten ausschließlich nach den Anweisungen des Auftraggebers verarbeitet und dabei die erforderlichen Sicherheitsmaßnahmen trifft, um den Datenschutz zu gewährleisten. Außerdem sollte zwischen den beiden Parteien ein schriftlicher Auftragsverarbeitungsvertrag (AVV) geschlossen werden, der die Rechte und Pflichten beider Parteien regelt und sicherstellt, dass die Anforderungen der DSGVO eingehalten werden.

Berater Stefan Stroessenreuther

Datenschutz-Management

Sie benötigen Hilfe bei der Umsetzung der DSGVO (Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz)? Als externer Datenschutzbeauftragter unterstütze ich Unternehmen bei der Implementierung der Anforderungen aus der DSGVO und BDSG.

Kontaktieren Sie mich für ein unverbindliches, persönliches Gespräch.

In Artikel 28 werden verschiedene Anforderungen und Pflichten sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter festgelegt, um die Sicherheit und den Schutz personenbezogener Daten bei der Verarbeitung zu gewährleisten. Einige der wichtigsten Punkte in Artikel 28 sind:

  • Schriftliche Vereinbarung: Verantwortliche und Auftragsverarbeiter müssen eine schriftliche Vereinbarung (in der Regel in Form eines Auftragsverarbeitungsvertrags) abschließen, die die Verarbeitung personenbezogener Daten regelt. Diese Vereinbarung muss sicherstellen, dass der Auftragsverarbeiter nur im Auftrag des Verantwortlichen handelt und die Verarbeitung gemäß den Anweisungen des Verantwortlichen durchführt.
  • Sicherheit der Verarbeitung: Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten und die Einhaltung der DSGVO zu gewährleisten.
  • Unterauftragsverarbeiter: Wenn der Auftragsverarbeiter einen weiteren Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten beauftragen möchte, benötigt er die vorherige schriftliche Zustimmung des Verantwortlichen. Darüber hinaus müssen dieselben Datenschutzverpflichtungen, die zwischen Verantwortlichem und Auftragsverarbeiter bestehen, auch für den Unterauftragsverarbeiter gelten.
  • Unterstützung des Verantwortlichen: Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen bei der Erfüllung seiner gesetzlichen Pflichten zu unterstützen, wie z.B. bei der Durchführung von Datenschutz-Folgenabschätzungen oder bei der Meldung von Datenschutzverletzungen.
  • Löschung oder Rückgabe von Daten: Nach Beendigung der Verarbeitungsdienste muss der Auftragsverarbeiter die personenbezogenen Daten entweder löschen oder an den Verantwortlichen zurückgeben, es sei denn, es besteht eine rechtliche Verpflichtung zur Aufbewahrung der Daten.
  • Überprüfungen und Audits: Der Auftragsverarbeiter muss alle erforderlichen Informationen zur Verfügung stellen und bei Bedarf Audits und Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer ermöglichen, um die Einhaltung der in Artikel 28 festgelegten Anforderungen nachzuweisen.

Neben den bereits genannten Punkten in Artikel 28 der DSGVO gibt es noch weitere Anforderungen und Pflichten, die sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter gelten:

  • Zusammenarbeit mit Aufsichtsbehörden: Der Auftragsverarbeiter ist verpflichtet, bei Bedarf mit der zuständigen Datenschutzaufsichtsbehörde zusammenzuarbeiten, um die Einhaltung der DSGVO zu gewährleisten.
  • Vertraulichkeit: Der Auftragsverarbeiter muss sicherstellen, dass alle Personen, die im Rahmen der Auftragsverarbeitung personenbezogene Daten verarbeiten, zur Vertraulichkeit verpflichtet sind und die geltenden Datenschutzbestimmungen einhalten.
  • Dokumentation: Der Auftragsverarbeiter ist verpflichtet, eine detaillierte Dokumentation aller Kategorien von Verarbeitungstätigkeiten im Zusammenhang mit dem Verantwortlichen zu führen.
  • Datenschutzbeauftragter: Wenn der Auftragsverarbeiter aufgrund der Art, des Umfangs und der Zwecke der Verarbeitung personenbezogener Daten gemäß Artikel 37 der DSGVO verpflichtet ist, einen Datenschutzbeauftragten zu benennen, muss er dies tun und den Verantwortlichen entsprechend informieren.
  • Datenübermittlung in Drittländer: Artikel 28 enthält auch Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen. Der Auftragsverarbeiter darf personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermitteln, wenn dies im Einklang mit den Anforderungen der DSGVO und den Weisungen des Verantwortlichen steht.

Der Artikel 28 der DSGVO legt die Verantwortlichkeiten und Pflichten von Verantwortlichen und Auftragsverarbeitern bei der Verarbeitung personenbezogener Daten fest, um ein hohes Schutzniveau für die betroffenen Personen und die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Es ist wichtig, dass beide Parteien die Anforderungen von Artikel 28 genau verstehen und einhalten, um Rechtskonformität und effektiven Datenschutz zu gewährleisten.

Was sind im Sinne des Artikels 28 Auftragsverarbeiter?

Auftragsverarbeiter sind also Dienstleister, die im Namen und auf Weisung des Verantwortlichen personenbezogene Daten verarbeiten. Typische Beispiele für Auftragsverarbeiter sind:

  • Cloud-Anbieter: Unternehmen, die Cloud-Speicher- oder Cloud-Computing-Dienste anbieten, bei denen personenbezogene Daten gespeichert oder verarbeitet werden.
  • IT-Dienstleister: Unternehmen, die IT-Infrastruktur, Softwareentwicklung oder IT-Support für andere Unternehmen bereitstellen, bei denen sie möglicherweise Zugriff auf personenbezogene Daten haben.
  • Marketing- und Analyseanbieter: Dienstleister, die Marketing- oder Analyseleistungen für den Verantwortlichen erbringen und dabei personenbezogene Daten verarbeiten, wie zum Beispiel E-Mail-Marketing, Webanalyse oder Customer-Relationship-Management (CRM)-Systeme.
  • Zahlungsdienstleister: Unternehmen, die Zahlungsabwicklungen für den Verantwortlichen durchführen und dabei personenbezogene Daten von Kunden verarbeiten.
  • Personal- und Lohnabrechnungsdienste: Dienstleister, die Personalmanagement oder Lohnabrechnungen für den Verantwortlichen durchführen und dabei personenbezogene Daten von Mitarbeitern verarbeiten.
  • Wartung und Prüfung von IT-Systemen: Wartungsfirmen bei Ausübung ihrer Tätigkeit der Wartung von IT-Systemen (personenbezogene Daten können ggf. eingesehen werden)

Auftragsverarbeiter dürfen personenbezogene Daten nur gemäß den Weisungen des Verantwortlichen und im Einklang mit der DSGVO verarbeiten. Artikel 28 legt die Anforderungen und Pflichten für beide Parteien in Bezug auf die Verarbeitung personenbezogener Daten fest, einschließlich der Schließung von schriftlichen Vereinbarungen, Sicherheitsmaßnahmen und Zusammenarbeit bei der Erfüllung von Datenschutzpflichten.

Ist ein APP Anbieter auch ein Auftragsverarbeiter

Ob ein App-Anbieter als Auftragsverarbeiter im Sinne des Artikels 28 der DSGVO gilt, hängt von den Umständen und der Art der Datenverarbeitung ab, die der App-Anbieter durchführt.

Ein App-Anbieter kann als Auftragsverarbeiter betrachtet werden, wenn er personenbezogene Daten im Auftrag und auf Weisung eines Verantwortlichen verarbeitet. Zum Beispiel kann ein Unternehmen eine App entwickeln und anbieten, die von anderen Organisationen genutzt wird, um Kundendaten zu sammeln und zu verarbeiten. In diesem Fall wäre der App-Anbieter der Auftragsverarbeiter, der im Auftrag des Verantwortlichen (der Organisation, die die App nutzt) personenbezogene Daten verarbeitet.

Wenn jedoch der App-Anbieter die App entwickelt und die gesammelten personenbezogenen Daten selbst für eigene Zwecke verwendet und Entscheidungen über die Verarbeitung dieser Daten trifft, kann der App-Anbieter als Verantwortlicher und nicht als Auftragsverarbeiter betrachtet werden.

In jedem Fall ist es wichtig, die Rolle des App-Anbieters im Zusammenhang mit der Verarbeitung personenbezogener Daten zu klären und die entsprechenden Datenschutzbestimmungen einzuhalten, sei es als Verantwortlicher oder als Auftragsverarbeiter. Dies kann die Einhaltung der DSGVO, die Schließung von schriftlichen Vereinbarungen, die Umsetzung von Sicherheitsmaßnahmen und die Zusammenarbeit bei der Erfüllung von Datenschutzpflichten beinhalten.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner