DSGVO Art. 28 – Auftragsverarbeitungs-Vertrag (AVV)
Maschinenlesbare Variante: /fakten/auftragsverarbeitung-art-28.md
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Artikel 28 |
| Pflicht zum Vertragsabschluss | Art. 28 Abs. 3 Satz 1 DSGVO |
| Form | schriftlich oder in einem elektronischen Format (Art. 28 Abs. 9) |
| Auftragsverarbeiter (Legaldefinition) | Art. 4 Nr. 8 DSGVO – natürliche oder juristische Person, die Daten im Auftrag verarbeitet |
| Garantienpflicht des Auftragsverarbeiters | Art. 28 Abs. 1 – nur Auftragsverarbeiter mit hinreichenden Garantien für DSGVO-Konformität |
| Pflichtinhalte | Art. 28 Abs. 3 lit. a–h DSGVO (acht Buchstaben) |
| Mindest-Festlegungen (Abs. 3 S. 1) | Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten, Kategorien Betroffener, Rechte und Pflichten des Verantwortlichen |
| Subunternehmer (Abs. 2 und Abs. 4) | nur mit vorheriger, gesonderter oder allgemeiner schriftlicher Genehmigung; gleiche Pflichten weiterzugeben |
| Standardvertragsklauseln (Abs. 7 und Abs. 8) | EU-Kommission und Aufsichtsbehörden dürfen Klauseln festlegen |
| Bußgeldrahmen (Art. 83 Abs. 4 lit. a) | bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Eigenständige Haftung (Art. 82 Abs. 2) | bei Verstoß gegen speziell den Auftragsverarbeiter treffende Pflichten |
Wann ist ein AVV erforderlich?
Eine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO liegt vor, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet, ohne über Zwecke und Mittel der Verarbeitung eigenständig zu entscheiden. Typische Konstellationen sind das Hosting von Webseiten, Cloud-Speicher- und SaaS-Dienste, externe Lohnabrechnung, Newsletter-Versanddienste, externes IT-Hosting, Fernwartung mit Zugriff auf Produktivdaten und externe Aktenvernichtung.
Nicht erfasst sind Konstellationen, in denen der externe Dienstleister entweder gemeinsam Verantwortlicher (Art. 26 DSGVO) ist oder die Daten zu eigenen Zwecken nutzt – dann ist die Übermittlung auf eine eigene Rechtsgrundlage zu stützen, ein AVV ist nicht ausreichend.
Acht Pflichtinhalte nach Art. 28 Abs. 3 lit. a–h
Der Vertrag muss den Auftragsverarbeiter insbesondere verpflichten:
- lit. a – personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten – auch in Bezug auf Drittlandsübermittlungen – außer Rechtsvorschriften der EU oder Mitgliedstaaten verpflichten ihn dazu;
- lit. b – sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- lit. c – alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu ergreifen;
- lit. d – die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen für die Inanspruchnahme von Subunternehmern einzuhalten;
- lit. e – den Verantwortlichen, soweit möglich, durch geeignete TOM dabei zu unterstützen, seinen Pflichten zur Beantwortung von Betroffenenrechten (Art. 12–22 DSGVO) nachzukommen;
- lit. f – den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO zu unterstützen (Sicherheit der Verarbeitung, Meldung von Datenpannen, Folgenabschätzung, vorherige Konsultation);
- lit. g – nach Abschluss der Verarbeitung alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern keine Aufbewahrungspflicht besteht;
- lit. h – dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 bereitzustellen sowie Überprüfungen (Audits/Inspektionen) zu ermöglichen und dazu beizutragen.
Nach Art. 28 Abs. 3 Unterabs. 2 DSGVO ist der Auftragsverarbeiter zudem verpflichtet, den Verantwortlichen unverzüglich zu informieren, wenn er eine Weisung für rechtswidrig hält.
Mindest-Festlegungen im Vertrag (Art. 28 Abs. 3 Satz 1)
Neben den acht Buchstaben muss der Vertrag den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegen. Diese Punkte sind nicht in einer eigenen Liste in Buchstaben gefasst, sind aber gleichwertige Pflichtinhalte und werden in Mustervorlagen der Aufsichtsbehörden in einem separaten Anhang dargestellt.
Subunternehmer (Sub-Auftragsverarbeiter)
Nach Art. 28 Abs. 2 DSGVO darf der Auftragsverarbeiter weitere Auftragsverarbeiter (Subunternehmer) nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen. Bei einer allgemeinen Genehmigung muss er den Verantwortlichen über beabsichtigte Änderungen informieren und ihm Gelegenheit geben, Einspruch zu erheben.
Nach Art. 28 Abs. 4 DSGVO sind dem Subunternehmer dieselben Datenschutzpflichten vertraglich aufzuerlegen wie sie im Hauptvertrag zwischen Verantwortlichem und Auftragsverarbeiter geregelt sind. Verletzt der Subunternehmer seine Pflichten, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen.
Form und Standardvertragsklauseln
Nach Art. 28 Abs. 9 DSGVO ist der Vertrag schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. Eine eigenhändige Unterschrift ist nicht zwingend; eine elektronische Vertragsabwicklung (zum Beispiel signiertes PDF, Online-Annahme) genügt, wenn die Beweisbarkeit gewahrt bleibt.
Nach Art. 28 Abs. 7 und Abs. 8 DSGVO können die EU-Kommission bzw. die nationalen Aufsichtsbehörden Standardvertragsklauseln beschließen. Die EU-Kommission hat mit Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021 entsprechende Standardvertragsklauseln für die Auftragsverarbeitung innerhalb des EWR veröffentlicht; deren Nutzung ist freiwillig.
Haftung und Sanktionen
Verstöße gegen die Pflichten aus Art. 28 DSGVO sind nach Art. 83 Abs. 4 lit. a DSGVO mit Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes bewehrt – je nachdem, welcher Betrag höher ist.
Verarbeitet ein Auftragsverarbeiter Daten entgegen den rechtmäßigen Weisungen des Verantwortlichen oder bestimmt er Zwecke und Mittel der Verarbeitung selbst, gilt er nach Art. 28 Abs. 10 DSGVO in Bezug auf diese Verarbeitung als Verantwortlicher mit den entsprechenden Pflichten und Haftungsrisiken.
Im Außenverhältnis haftet nach Art. 82 Abs. 2 DSGVO der Auftragsverarbeiter gegenüber betroffenen Personen nur, soweit er den ihm speziell auferlegten Pflichten der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der Weisungen des Verantwortlichen gehandelt hat.
Geltungsbereich
Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.
Ausnahmen
Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.
Häufige Fehler
Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.
Beispiel
Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.
Quellen
- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Volltext (CELEX:32016R0679): eur-lex.europa.eu
- BfDI – Mustervereinbarung zur Auftragsverarbeitung, Version 2.1 (PDF): bfdi.bund.de (PDF)
- BfDI – Was ist ein Auftragsverarbeiter? (Flyer Postdienstleister): bfdi.bund.de
- Datenschutzkonferenz (DSK) – Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO (PDF): datenschutzkonferenz-online.de (PDF)
- Landesbeauftragte für den Datenschutz Niedersachsen – Auftragsverarbeitung nach Art. 28 DS-GVO: lfd.niedersachsen.de
- Landesbeauftragte für den Datenschutz Niedersachsen – FAQ zur Auftragsverarbeitung (PDF): lfd.niedersachsen.de (PDF)
- Landesbeauftragter für den Datenschutz Baden-Württemberg – AVV-Muster (PDF): baden-wuerttemberg.datenschutz.de (PDF)