FAQ zur Auftragsverarbeitung nach Art. 28 DS-GVO (PDF - nicht vollständig barrierefrei)
Formulierungshilfe zur Auftragsverarbeitung nach Art. 28 DS-GVO
Bei der Auftragsverarbeitung handelt es sich um eine spezifische Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten.
Der Verantwortliche (im Sinne der Definition des Artikels 4 Nummer 7 DSGVO) lagert dabei in der Regel Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister (= Auftragsverarbeiter im Sinne der Definition des Artikels 4 Nummer 8 DSGVO) aus („Outsourcing“).
Beispiel:
Ein Unternehmen übernimmt im Auftrage des Verantwortlichen die datenschutzkonforme Vernichtung von Dokumenten oder Datenträgern.
Eine Auftragsverarbeitung nach Artikel 28 Absatz 1 DSGVO liegt vor, wenn die beiden folgenden Fragen mit „Ja“ beantwortet werden können.
2.1 Werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet?
Personenbezogene Daten sind zum Beispiel Informationen über
Hierzu zählen insbesondere
Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten.
2.2 Erfolgt die Verarbeitung personenbezogener Dazen nicht durch den Verantwortlichen selbst, sondern durch einen speziell mit dieser Datenverarbeitung beauftragten Dienstleister?Eine Auftragsverarbeitung im Sinne des Artikel 28 DSGVO liegt grundsätzlich dann vor, wenn ein Dienstleister nach einem Auftrag und konkreten Vorgaben des datenschutzrechtlich Verantwortlichen eine Datenverarbeitung vornimmt. Der Dienstleister entscheidet dabei nicht selbst über die wesentlichen Umstände der Datenverarbeitung und hat kein eigenes, über die Erfüllung des Auftrags hinausgehendes, Interesse an der Datenverarbeitung. Eine Auftragsverarbeitung ist folglich regelmäßig bei den folgenden Dienstleistungen anzunehmen:
Eine eigene Rechtsgrundlage für die Verarbeitung im Auftrag ist jedoch nur dann entbehrlich, wenn
Trotz der Auslagerung von Aufgaben an den Dienstleister bleibt der Verantwortliche für die Datenverarbeitung nach außen, also Betroffenen und Dritten gegenüber, in vollem Umfang verantwortlich.
In Bezug auf die Privilegierung kann sich allenfalls etwas anderes ergeben, wenn
In diesen Fällen benötigen beide Seiten – Auftraggeber und Auftragnehmer – für die Verarbeitung eine „eigene“ Rechtsgrundlage nach Artikel 6 Absatz 1 beziehungsweise Artikel 9 Absatz 2 DSGVO.
Ja. Nach Sinn und Zweck des Artikels 4 Nummer 8 in Verbindung mit Artikel 28 Absatz 1 DSGVO kann in Einzelfällen eine Auftragsverarbeitung verneint werden, wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 zur DSGVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“. Dieses kann im Einzelfall verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist beziehungsweise nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung des Auftragnehmers darstellt. So liegt beispielsweise keine Auftragsverarbeitung vor, wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken. Hier bildet nicht die Verarbeitung der personenbezogenen Daten, sondern das farbliche Bedrucken der T-Shirts wie bei einem Druck mit Symbolen, Wappen, Sinnsprüchen oder Ähnlichem den Schwerpunkt der Tätigkeit. In diesen Fällen liegt keine Auftragsverarbeitung im Sinne der DSGVO vor. Die Datenverarbeitungen sind als „unvermeidliches Beiwerk“ bei der Erfüllung der eigentlichen Dienstleistungspflicht zu betrachten. Allerdings entfällt damit die unter Frage 3 dargestellte Privilegierung für die Datenverarbeitung des Auftragnehmers. In Folge dessen benötigt der Auftragnehmer in diesen Fällen für seine Datenverarbeitung eine „eigene“ Rechtsgrundlage nach Artikel 6 Absatz 1 beziehungsweise Artikel 9 Absatz 2 DSGVO. Im Falle des Copyshops kann sich dieser auf Artikel 6 Absatz 1 Buchstabe f DSGVO berufen, sofern nicht im Einzelfall die Interessen der Betroffenen überwiegen.
Beispiele:
Beispiel:
Auftraggeber
Ich bin Verantwortlicher (Auftraggeber), wenn ich die personenbezogenen Daten eigenverantwortlich verarbeite und dabei über die Zwecke („ob“, „wofür“, „warum“) und Mittel („wie“) entscheide. Dabei kann sich meine Rolle als Verantwortlicher auf Grund einer gesetzlichen oder vertraglichen Regelung sowie auch aus meiner faktischen Möglichkeit zur Einflussnahme auf die Entscheidungen ergeben. Eine Verantwortlichkeit scheidet hingegen aus, wenn ich in Bezug auf die konkrete Datenverarbeitung entweder nur den Zweck oder nur die (wesentlichen) Mittel festlege.
Die Bestimmung des Verantwortlichen und des von ihm festgelegten Zwecks ist für die Frage der Rechtmäßigkeit der Datenverarbeitung von zentraler Bedeutung. Artikel 5 Absatz 1 Buchstabe b DSGVO verlangt, dass personenbezogen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Auch ist eine Weiterverarbeitung dann unzulässig, wenn sie mit den ursprünglich festgelegten Zwecken nicht vereinbar ist.
Beispiele:
Ich bin ebenfalls Verantwortlicher (Auftraggeber), wenn ich mit weiteren Verantwortlichen als gemeinsam Verantwortliche nach Artikel 26 DSGVO über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheide. Ich verfüge dabei genauso wie die weiteren Verantwortlichen über die wesentliche Entscheidungsbefugnis hinsichtlich der konkreten Datenverarbeitung. Daneben besteht eine gewollte und bewusste Zusammenarbeit zwischen den weiteren Verantwortlichen und mir bezüglich der konkreten Datenverarbeitung. Dabei genügt es, wenn die weiteren Verantwortlichen und ich einen maßgeblichen und entscheidungserheblichen Beitrag zur Datenverarbeitung leisten. Außerdem muss die Verantwortlichkeit bei den anderen Beteiligten und mir nicht gleichwertig sein – eine Einbeziehung in verschiedenen Phasen der Verarbeitung und in unterschiedlichem Ausmaß ist möglich, sofern die Beiträge entscheidungserheblich bleiben. Es ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit jeder Zugang zu den betreffenden personenbezogenen Daten hat.
Auftragnehmer
Ich bin Auftragsverarbeiter (Auftragnehmer, Dienstleister, Leistungserbringer), wenn ich eine Aufgabe (konkrete Dienstleistung zur Verarbeitung von personenbezogenen Daten) übertragen bekomme, bei der ausschließlich mein Auftraggeber über die Zwecke der Datenverarbeitung entscheidet. Über die Mittel der Datenverarbeitung entscheidet ebenfalls mein Auftraggeber, sofern mir nicht nach den Umständen des Einzelfalls ein Handlungsspielraum eingeräumt ist, über die Mittel der Datenverarbeitung („wie“) beziehungsweise über technische und organisatorische Fragen (mit) zu entscheiden. Dieses kann zum Beispiel die Entscheidung über die eingesetzte Soft- und Hardware zur Durchführung meines Auftrags sein. Inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung der Daten betreffen sind allerdings meinem Auftraggeber vorbehalten (zum Beispiel welche Daten werden verarbeitet? Wie lange werden die Daten verarbeitet? Wer hat Zugang zu den Daten?).
Beispiele:
Weitere Erläuterungen hierzu und Fallbeispiele finden Sie in den Leitlinien des EDSA zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ vom 07.07.2021.
Ja. Für die Auftragsverarbeitung ist ein konkreter Rahmen festzulegen. Dafür schließen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung.
Diesbezüglich enthält Artikel 28 DSGVO für die Ausgestaltung des Verhältnisses zwischen Verantwortlichem und Auftragsverarbeiter einzelne Vorgaben. Der Verantwortliche muss insbesondere einen Auftragsverarbeiter auswählen, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Artikel 28 Absatz 1 DSGVO).
Darüber hinaus ist in dem Vertrag beziehungsweise die sonstige Verpflichtung unter anderem nach Artikel 28 Absatz 3 Satz 1 DSGVO Folgendes festzulegen:
Zudem müssen nach Artikel 28 Absatz 3 Satz 2 in Verbindung mit Artikel 32 DSGVO Regelungen über die geeigneten technischen und organisatorischen Maßnahmen getroffen werden, mit denen ein angemessenes Schutzniveau erreicht werden kann. Diesbezüglich reicht ein einfacher Hinweis auf die allgemeinen Rechtsgrundlagen nicht aus. Stattdessen sind zumindest die durch den Auftragsverarbeiter anzuwendenden technischen und organisatorischen Maßnahmen, die Genehmigungspflicht des Verantwortlichen für diesbezügliche Änderungen sowie die Pflicht des Auftragsverarbeiters zur regelmäßigen Überprüfung der Maßnahmen im Hinblick auf deren weiterhin bestehende Angemessenheit aufzunehmen. Die Angaben müssen so detailliert sein, dass es dem Verantwortlichen möglich ist, die Angemessenheit der Maßnahmen im Hinblick auf das zu erreichende Schutzniveau bewerten zu können. Inwieweit der Verantwortliche diesbezüglich konkrete Vorgaben machen muss, hängt vom Einzelfall ab. So kann es ausreichen, dass der Verantwortliche lediglich das zu erreichenden Schutzniveau vorgibt. Für diesen Fall muss er jedoch die durch den Auftragsverarbeiter beabsichtigten technisch-organisatorischen Maßnahmen genehmigen.
Die Europäische Kommission hat Standardvertragsklauseln gemäß Art. 28 Abs. 7 DSGVO für eine rein nationale Auftragsverarbeitung zwischen einem Verantwortlichen und einem Auftragsverarbeiter erarbeitet.
Möchte der Auftragsverarbeiter seinerseits einen weiteren Dienstleister bei der Verarbeitung der personenbezogenen Daten in Anspruch nehmen, sind folgende Voraussetzungen zu erfüllen:
Der Verantwortliche behält auch bei einer Unterauftragsverarbeitung die zentrale Rolle bei der Datenverarbeitung. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen uneingeschränkt haftbar (Artikel 28 Abs. 4 DSGVO).
Die vorherige schriftliche Genehmigung zur Einbeziehung eines Unterauftragsverarbeiters kann sich auf einen konkreten Unterauftragsverarbeiter zu einer bestimmten Verarbeitungstätigkeit beziehen. Alternativ kann bereits bei Vertragsschluss über die Auftragsverarbeitung eine Übereinkunft über die Zulässigkeit bestimmter Unterauftragsverarbeiter erfolgen, wobei eine Liste der zugelassenen Unterauftragsverarbeiter in den Vertrag aufgenommen werden sollte.Ja. Es liegt eine Auftragsverarbeitung vor. Nach der einheitlich abgestimmten Auffassung der Datenschutz-Aufsichtsbehörden des Bundes und der Länder ist dies der Fall, sofern nicht rein technische Wartungen der Infrastruktur vorgenommen werden. Denn im Rahmen der beauftragten Tätigkeit besteht für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Daten der Beschäftigten des Auftraggebers oder auf Kundendaten, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten. Auch liegt nicht die in der Antwort zu Frage 4 dargestellte Konstellation vor. Aufgrund der im Rahmen der Fernwartung bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.
Das Kurzpapier Nummer 13 der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) gibt die einheitliche Position der deutschen Aufsichtsbehörden zur Auftragsverarbeitung nach Artikel 28 DSGVO wieder und stellt unter dem Punkt „Wartung und Fernzugriffe“ die zu beachtenden Punkte zusammen.
Es kommt darauf an:
Wenn die Datenverarbeitung bei konzerninternem Outsourcing zum Beispiel durch „Shared-Services-Gesellschaften“ (Tochter-, Schwester- oder Mutterunternehmen) erfolgt, ist die konkrete Ausgestaltung des Rechtsverhältnisses zwischen den Konzernunternehmen entscheidend.
Darüber hinaus gilt für das datenverarbeitenden Konzernunternehmen Folgendes:
Im Verhältnis zwischen dem datenverarbeitenden Konzernunternehmen und einer unternehmenseigenen Abteilung, bei der die Datenverarbeitung erfolgt, handelt regelmäßig nur das Konzernunternehmen als Verantwortlicher. In diesem Fall kann grundsätzlich keine Auftragsverarbeitung durch die Abteilung vorliegen. Der Auftragsverarbeiter muss immer eine andere (externe) Stelle als der Verantwortliche sein. Ein Vertrag zur Auftragsverarbeitung kommt daher nicht in Betracht.
Nein. Die Dienstleistung der Druckerei ist keine Auftragsverarbeitung.
Die Beauftragung mit den beschriebenen fachlichen Dienstleistungen, also mit Dienstleistungen, bei denen die Datenverarbeitung nicht im Vordergrund steht, beziehungsweise bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Als Rechtsgrundlage für die Datenverarbeitung durch die Druckerei kommt Artikel 6 Absatz 1 Buchstabe f DSGVO in Frage.
Beispiele:
Ausdruck von bereits vorgefertigten Einladungsschreiben im PDF-Format inklusive Adressangaben.
Anders wäre der Fall zu beurteilen, wenn der Druckerei eine separate Datei mit Adressen zur Verfügung gestellt würde und die Einbindung dieser Adressen in das Druckwerk Bestandteil der Leistung der Druckerei wäre. Erst durch die Zusammenführung der personenbezogenen Daten (Adressdatensatz) mit dem Drucktext entsteht das zu versendende Endprodukt. In diesem Fall läge eine Auftragsverarbeitung vor.
Es kommt darauf an:
Nein. Es liegt keine Auftragsverarbeitung vor, wenn diese Aufgabe von der Kommune auf eine der Aufsicht des Landes unterstehende juristische Person des öffentlichen Rechts als eigene Aufgabe übertragen worden ist (sogenannte „Zuständigkeitsübertragung“, siehe § 107 Absatz 6 Satz 2 des Niedersächsischen Kommunalverfassungsgesetzes – NKomVG).
Ja. Eine Auftragsverarbeitung ist gegeben, wenn es sich hierbei nur um eine Beauftragung zur Erbringung von Verarbeitungsleistungen und nicht um eine Übertragung als eigene Aufgabe handelt. Die Kommunen sind dabei an die in § 107 Absatz 6 NKomVG gesetzten Grenzen gebunden.
Für Behörden und sonstige öffentliche Stellen, welche unter die JI-Richtlinie fallen, gilt für die Auftragsverarbeitung zunächst die Regelung des § 45 Niedersächsisches Datenschutzgesetz (NDSG). Daneben sind besondere Rechtsvorschriften zu Auftragsverarbeitungen zu beachten, welche aufgrund der Öffnungsklauseln in Artikel 6 Abs. 2 und Abs. 3 S. 1 Buchstabe b DSGVO in Verbindung mit der jeweiligen spezialgesetzlichen Regelung gelten.
Beispiele:
Ja, ein Verantwortlicher kann auch einen Auftragsverarbeiter in einem Land außerhalb der Europäischen Union auswählen. In diesem Fall sind allerdings die besonderen Vorgaben für einen Drittstaatstransfer nach Kapitel V der DSGVO zu beachten. Danach dürfen personenbezogene Daten nur dann in Drittstaaten transferiert werden, wenn Verantwortliche und Auftragsdatenverarbeiter die im Kapitel V festgelegten Voraussetzungen erfüllen und auch die übrigen Grundsätze der DGVO eingehalten werden, damit das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. Dies kann z.B. durch den Abschluss der Standarddatenschutzklauseln des EDSA für eine internationale Auftragsverarbeitung und gegebenenfalls zusätzliche Maßnahmen zur Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus erreicht werden. Bei Nutzung der unveränderten Standarddatenschutzklauseln der EU-Kommission vom Juni 2021 ist kein zusätzlicher nationaler Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich.
Weitere Informationen zur internationalen Auftragsverarbeitung finden Sie hier.Sofern Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benannt haben, wenden Sie sich zunächst an diese oder diesen. Die oder der Datenschutzbeauftragte Ihres Hauses ist verpflichtet, Ihnen beratend zur Seite zu stehen.
Sofern eine Auftragsverarbeitung vorliegt, ist ein Auftragsverarbeitungsvertrag unverzüglich abzuschließen.
Liegt keine Auftragsverarbeitung und keine Rechtsgrundlage nach Artikel 6 Absatz 1 beziehungsweise Artikel 9 Absatz 2 DSGVO vor, ist eine Datenverarbeitung in der Regel unzulässig. Bei Verstößen gegen den Grundsatz der Rechtmäßigkeit (Artikel 5 Absatz 1 Buchstabe a DSGVO) kann nach Artikel 83 Absatz 5 DSGVO ein Bußgeld verhängt werden.FAQ zur Auftragsverarbeitung nach Art. 28 DS-GVO (PDF - nicht vollständig barrierefrei)
Formulierungshilfe zur Auftragsverarbeitung nach Art. 28 DS-GVO
Artikel-Informationen
erstellt am:
24.06.2020
zuletzt aktualisiert am:
08.07.2025