Artikel 28 DSGVO

Das Wichtigste auf einen Blick

1. Das steht in Artikel 28 DSGVO 

Artikel 28 DSGVO regelt die Materie der sogenannten Auftragsdatenverarbeitung. Das ist besonders in Zeiten der Technologisierung bestimmter Abläufe relevant und bedeutet nichts anderes, als das der Verantwortliche einen Verarbeiter mit der Auswertung der Daten beauftragt, diese also auslagert. 

In seinen 10 Absätzen schreibt Artikel 28 DSGVO dem Verantwortlichen sowie dem Datenverarbeiter vor, was diese zu tun und zu lassen haben um mit verordnungskonform mit Nutzerdaten umzugehen. Besonders relevant ist Artikel 28 DSGVO deshalb für Unternehmen, die sich Subunternehmern zur Datenverarbeitung , wie beispielsweise Clouds etc. bedienen.  

2. Wann liegt eine Auftragsdatenverarbeitung vor? 

Diese Frage stellt sich immer dann, wenn bei der Übertragung einer Aufgabe auf einen anderen (Unbeteiligten) auch personenbezogene Daten betroffen sind. Die Relevanz einer Abgrenzung liegt aufgrund der Existenz des Artikel 28 DSGVO auf der Hand um eventuelle Haftungsrisiken abschätzen zu können. 

Eine Auftragsdatenverarbeitung liegt im Normalfall dann vor, wenn der Dienstleister im alleinigen Interesse des Auftraggebers handelt, selbst aber kein Interesse an den Daten hat. Bei Grenzfällen, wie der Offenlegung persönlicher Daten gegenüber Dritten ist zur Feststellung des Vorliegens einer Auftragsdatenverarbeitung eine Abgrenzung im Einzelfall nötig. 

3. Das ist neu an Artikel 28 DSGVO  

Viele Aspekte des Artikel 28 DSGVO sind aus schon bestehendem Recht übernommen worden, so zum Beispiel, dass der Vertrag Gegenstand und Dauer der Verarbeitung sowie den betroffenen Personenkreis und die Rechte und Pflichten des Verantwortlichen festlegen muss. 

Neu ist jedoch insbesondere, dass ein Vertrag zur Auftragsverarbeitung nach Artikel 28 Abs. 9 DSGVO nun nicht mehr schriftlich, sondern vielmehr auch elektronisch abgeschlossen werden kann. Das bedeutet es sind nun nicht mehr die Unterschriften beider Vertragspartner für das Vorliegen eines gütigen Vertrags nötig.  

Dieser Vertragsschluss ist allerdings trotz der Lockerungen der Wirksamkeitsanforderungen obligatorisch. Das bisher im Falle der Auftragsdatenverarbeitung geltende BDSG forderte für die Form des Vertrags die strengen Anforderungen des BGB, namentlich die qualifizierte elektronische Signatur aus § 126a BGB ob die DSGVO in dieser Hinsicht Lockerungen bringt ist fraglich.

Die wohl überwiegende, sich herauskristallisierende Ansicht ist, dass der europäische Gesetzgeber sich nicht an der Form des § 126a BGB orientiert hat und vielmehr die weniger anspruchsvolle Textform des § 126b BGB maßgeblich sein soll. Das heißt, der Vertragsschluss ist mit einer unterschriftlosen, auf einem dauerhaften Datenträger gespeicherten Erklärung wirksam. Das bedeutet eine große Erleichterung für Verwender der Auftragsdatenverarbeitung.  

Umstritten ist jedoch, ob diese in Artikel 28 Abs. 9 DSGVO festgelegte Privilegierung der elektronischen Form ebenfalls für Abs. 2 Wirksamkeit entfaltet, da sie dort jedenfalls nicht wörtlich vorgesehen ist.

Insbesondere nach der Ansicht des Bayrischen Landesamts für Datenschutzaufsicht und des ULD Schleswig-Holstein soll hier aber das elektronische Format der Form ebenfalls genügen. 

4. Was müssen Verwender im Rahmen von Artikel 28 DSGVO in der Praxis beachten? 

Der besonders aus dem E-Commerce bei der Widerrufsbelehrung verwendeten Textform des § 126b BGB genügt nach ständiger Rechtsprechung nicht die Sendung einer einfachen E-Mail oder die Weiterleitung auf eine HTML-Seite.

Der Empfänger der Erklärung in elektronischer Form muss diese dem Wortlaut des § 126b BGB folgend vielmehr in Form eines dauerhaft abrufbaren Formats vorliegend haben. 

Durch die Zur-Verfügung-Stellung einer herunterladbaren Datei in Form eines PDFs werden diese Formanforderungen gewahrt. Zur Vermeidung unwirksamer Verträge sollten die beteiligten Parteien deshalb auf einen „formellen“ Abschluss achten und nicht den scheinbar unkomplizierteren Weg des Vertragsschlusses über eine E-Mail gehen. 

Besonders Praxisrelevant ist des Weiteren Artikel 28 Abs. 1 DSGVO, der dem Verantwortlichen aufgibt den Auftragsverarbeiter sorgfältig auszuwählen und sich besonders von der DSGVO-Konformität der Arbeitsweise dessen zu überzeugen. Besonders relevant sind in diesem Zuge etwaige Zertifikate des Verarbeiters über die Einhaltung von Maßnahmenkatalogen zur Datensicherheit, wie ISO/IEC DIS 29151 oder ISO/IEC 27001.

Kann der Auftraggeber beweisen, dass er sich von der verordnungskonformen Arbeitsweise des Verarbeiters überzeugt hat, so kann er einer Haftung aus einem Verstoß durch den Auftragsverarbeiter häufig entgehen. 

Auch auf die Einhaltung gängiger Standards bei der Datenverarbeitung, wie dem Datenschutz durch Technik (Privacy by Design) und der Verwendung datenschutzfreundlicher Voreinstellungen (Privacy by Default) ist bei der Auswahl des passenden Verarbeiters zu achten und regelmäßig bereits ein Hinweis auf die DSGVO-Konformität des Verarbeitungsprozesses. 

Bei der Auswahl des Verarbeiters spielt es primär keine Rolle, ob dieser aus der EU stammt oder nicht. Es muss jedoch, falls der Verarbeiter nicht aus der EU stammen sollte sichergestellt sein, dass ein mit der DSGVO vergleichbares Datenschutzniveau herrscht.

Die Sicherstellung kann dabei durch Angemessenheitsentschlüsse der EU-Kommission nach Artikel 45 DSGVO oder der Verwendung von durch die EU-Kommission festgelegten Standardvertragsklauseln nach Artikel 46 Abs. 2 lit. c) DSGVO erfolgen, sodass die Verordnungskonformität der Verarbeitung und ein angemessener Datenschutz gewährleistet sind. 

5. Wer ist im Fall eines Verstoßes gegen Artikel 28 DSGVO verantwortlich? 

Nach Artikel 4 Nr. 7 DSGVO ist der Verantwortliche derjenige, der alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Auftragsverarbeiter dagegen ist nach Artikel 4 Nr. 8 DSGVO wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Der Auftragsverarbeiter ist damit weisungsgebunden und trifft bei der Verarbeitung keine eigenen Entscheidungen. Das impliziert bereits, dass im Regelfall bei einem Verstoß gegen Artikel 28 DSGVO alleine der Verantwortliche, nicht jedoch der Verarbeiter selbst haftet.  

Sollte der Verarbeiter jedoch verordnungswidrig und entgegen der Absprache mit dem Auftraggeber die Daten für eigene Zwecke oder die Dritter verarbeiten, so gilt er nach Artikel 28 Abs. 10 DSGVO ebenfalls als Verantwortlicher sodass ihn alle Pflichten eines Verantwortlichen treffen und einen eigene Haftung entsteht. 

Der betroffenen Person entsteht überdies hinaus dann auch ein eigener Schadensersatzanspruch nach § 82 Abs. 1 DSGVO gegen den Verarbeiter.  

Eine gemeinsame Verantwortlichkeit der Vertragsparteien hingegen besteht nur im Rahmen des Artikel 26 DSGVO bei einer gemeinsamen Festlegung von Zweck und Mittel der Verarbeitung. 

In diesem Fall ist auch der Verarbeiter ein Verantwortlicher im Sinne des Artikel 4 Nr. 7 DSGVO, weshalb auch er nun die Pflichten eines Verantwortlichen erfüllen muss. 

6. Fazit

Artikel 28 DSGVO greift viele bereits im BDSG kodifizierten Aspekte auf. Besonders die Zulassung der Textform zum Vertragsschluss bedeutet allerdings eine Modernisierung der Vorschriften.

Insgesamt vereinfacht Artikel 28 DSGVO die Ausgliederung der Verarbeitung personenbezogener Daten an Subunternehmer, stellt jedoch gleichzeitig in größerem Rahmen als das BDSG den Schutz dieser Daten sicher. 

Ganz besonders die Praxisrelevanz der Vorschrift ist im Hinblick auf die dem Auftraggeber auferlegten Sorgfaltspflichten sowie die Kodifizierung der grundsätzlichen Weisungsgebundenheit des Verarbeiters in diesem Rahmen insbesondere im Hinblick auf eventuell entstehende Haftungsfragen nicht zu unterschätzen.