Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Artikel 28 - Datenschutz-Grundverordnung (DSGVO k.a.Abk.)

V. v. 27.04.2016 ABl. L 119, 04.05.2016, S. 1; berichtigt durch ABl. L 74, 04.03.2021, S. 35
Geltung ab 25.05.2018; FNA: 15.20.20.00, 19.40.0 Staats- und Verfassungsrecht
| |

Artikel 28 Auftragsverarbeiter



(1)
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2)
1Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. 2Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(3)
1Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

a)
die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen - auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation - verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;

b)
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

c)
alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;

d)
die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;

e)
angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

f)
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;

g)
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;

h)
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

3Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

(4)
1Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. 2Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

(5)
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.

(6)
Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.

(7)
Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(8)
Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(9)
Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(10)
Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.





 

Frühere Fassungen von Artikel 28 Datenschutz-Grundverordnung

Die nachfolgende Aufstellung zeigt alle Änderungen dieser Vorschrift. Über die Links aktuell und vorher können Sie jeweils alte Fassung (a.F.) und neue Fassung (n.F.) vergleichen. Beim Änderungsgesetz finden Sie dessen Volltext sowie die Begründung des Gesetzgebers.

vergleichen mitmWv (verkündet)neue Fassung durch
aktuell vorher 24.05.2018Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
vom 23.05.2018 ABl. L 127, 23.05.2018, S. 2
aktuell vorher 23.11.2016Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
vom 22.11.2016 ABl. L 314, 22.11.2016, S. 72
aktuellvor 23.11.2016Urfassung

Bitte beachten Sie, dass rückwirkende Änderungen - soweit vorhanden - nach dem Verkündungsdatum des Änderungstitels (Datum in Klammern) und nicht nach dem Datum des Inkrafttretens in diese Liste einsortiert sind.



 

Zitierungen von Artikel 28 Datenschutz-Grundverordnung

Sie sehen die Vorschriften, die auf Artikel 28 DSGVO verweisen. Die Liste ist unterteilt nach Zitaten in DSGVO selbst, Ermächtigungsgrundlagen, anderen geltenden Titeln, Änderungsvorschriften und in aufgehobenen Titeln.
 
interne Verweise

Artikel 57 DSGVO Aufgaben (vom 24.05.2018)
... und der Geschäftspraktiken; j) Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen; k) eine Liste der ...
Artikel 58 DSGVO Befugnisse (vom 24.05.2018)
... Kriterien für die Zertifizierung zu billigen, g) Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen, h) Vertragsklauseln gemäß ...
Artikel 64 DSGVO Stellungnahme des Ausschusses (vom 24.05.2018)
... Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient, e) der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 ...
Artikel 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen (vom 24.05.2018)
... Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den ...
 
Zitat in folgenden Normen

Bundesbeamtengesetz (BBG)
Artikel 1 G. v. 05.02.2009 BGBl. I S. 160; zuletzt geändert durch Artikel 1 G. v. 19.07.2024 BGBl. 2024 I Nr. 247
§ 111a BBG Verarbeitung von Personalaktendaten im Auftrag (vom 26.11.2019)
... einer weiteren Auftragsverarbeiterin oder eines weiteren Auftragsverarbeiters im Sinne des Artikels 28 der Verordnung (EU) 2016/679 ist nur zulässig, wenn 1. die dort genannten Voraussetzungen vorliegen und ...

E-Government-Gesetz (EGovG)
Artikel 1 G. v. 25.07.2013 BGBl. I S. 2749, 2015 I 678; zuletzt geändert durch Artikel 2 G. v. 19.07.2024 BGBl. 2024 I Nr. 245
§ 11 EGovG Gemeinsame Verfahren (vom 26.11.2019)
... mit der Verarbeitung personenbezogener Daten für das gemeinsame Verfahren gemäß Artikel 28 der Verordnung (EU) 2016/679 beauftragen dürfen. (4) Soweit für die beteiligten Stellen ...

Einführungsgesetz zum Bürgerlichen Gesetzbuche
neugefasst durch B. v. 21.09.1994 BGBl. I S. 2494, 1997 I S. 1061; zuletzt geändert durch Artikel 15 G. v. 23.10.2024 BGBl. 2024 I Nr. 323
Artikel 238 EGBGB Datenverarbeitung und Auskunftspflichten für qualifizierte Mietspiegel (vom 01.07.2022)
... damit beauftragt wurden, wenn die Datenverarbeitung auf der Grundlage einer Vereinbarung nach Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 ...

Messstellenbetriebsgesetz (MsbG)
Artikel 1 G. v. 29.08.2016 BGBl. I S. 2034; zuletzt geändert durch Artikel 7 G. v. 08.05.2024 BGBl. 2024 I Nr. 151
§ 49 MsbG Verarbeitung personenbezogener Daten (vom 26.11.2019)
... die Verarbeitung auch von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß Artikel 28 der Verordnung (EU) 2016/679 durchführen lassen. (4) Wenn tatsächliche Anhaltspunkte für die ...

Musterverfahrensregisterverordnung (MuRegV)
V. v. 14.12.2012 BGBl. I S. 2694; zuletzt geändert durch Artikel 2 G. v. 16.07.2024 BGBl. 2024 I Nr. 240
§ 4 MuRegV Auftragsverarbeitung (vom 20.07.2024)
...  (2) Der Betreiber des Musterverfahrensregisters kann sich nach Maßgabe von Artikel 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 ...

Personalausweisverordnung (PAuswV)
V. v. 01.11.2010 BGBl. I S. 1460; zuletzt geändert durch Artikel 2 V. v. 12.04.2024 BGBl. 2024 I Nr. 125
§ 28 PAuswV Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter (vom 25.05.2018)
... zur Durchführung des elektronischen Identitätsnachweises eines Auftragnehmers nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April ...
§ 29 PAuswV Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern (vom 25.05.2018)
... für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 durchgeführt wird und hierbei kein wirksames ... (EU) 2016/679 durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 zwischen dem Diensteanbieter und dem Auftragnehmer besteht, ... besteht, 3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 gewählt hat, der die technischen und organisatorischen ...

Pflegevorsorgezulage-Durchführungsverordnung (PflvDV)
V. v. 20.12.2012 BGBl. I S. 2994; zuletzt geändert durch Artikel 1 V. v. 12.12.2018 BGBl. I S. 2452
§ 12 PflvDV Übermittlung durch Datenfernübertragung (vom 20.12.2018)
...  (3) Die erforderlichen Daten können unter den Voraussetzungen der Artikel 28 und 29 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April ...

Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (SGB V)
Artikel 1 G. v. 20.12.1988 BGBl. I S. 2477, 2482; zuletzt geändert durch Artikel 6 G. v. 23.10.2024 BGBl. 2024 I Nr. 324
Anlage 2 SGB V (zu § 307 Absatz 1 Satz 3 SGB V) Datenschutz-Folgenabschätzung (vom 28.03.2024)
... 6 DSGVO) sowie Maßnahmen im Sinne der Rechte der Betroffenen (Artikel 12 bis 21, 28 , 36 und Kapitel V DSGVO). Kriterium Beschreibung ... Auftragsverarbeiterinnen und Auftragsverarbeiter: ( Artikel 28 DSGVO ) Der Leistungserbringer ist nach § 307 Absatz 1 Satz 1 SGB V Verantwort- licher ... TI beauftragt, hat der Leistungserbringer die Einhaltung der Vorgaben gemäß Artikel 28 DSGVO zu gewährleisten. Schutzmaßnahmen bei der ...

Telekommunikationsgesetz (TKG)
Artikel 1 G. v. 23.06.2021 BGBl. I S. 1858; zuletzt geändert durch Artikel 35 G. v. 06.05.2024 BGBl. 2024 I Nr. 149
§ 173 TKG Automatisiertes Auskunftsverfahren
... aufzunehmen sind. Der Verpflichtete kann auch eine andere Stelle nach Maßgabe des Artikels 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 ...

Zehntes Buch Sozialgesetzbuch (SGB X) - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X)
neugefasst durch B. v. 18.01.2001 BGBl. I S. 130; zuletzt geändert durch Artikel 8d G. v. 19.07.2024 BGBl. 2024 I Nr. 245
§ 80 SGB X Verarbeitung von Sozialdaten im Auftrag (vom 26.11.2019)
... Die Erteilung eines Auftrags im Sinne des Artikels 28 der Verordnung (EU) 2016/679 zur Verarbeitung von Sozialdaten ist nur zulässig, wenn der Verantwortliche seiner Rechts- ...
 
Zitate in Änderungsvorschriften

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
ABl. L 314, 22.11.2016, S. 72
Berichtigung DSGVO-Ber
... 50, Artikel 28 Absatz 7 Anstatt: „(7) Die Kommission kann im Einklang mit dem ...

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ABl. L 127, 23.05.2018, S. 2
Berichtigung DSGVO-Ber
... muss es heißen: „Gemeinsam Verantwortliche". Seite 49, Artikel 28 , Absatz 3, Buchstabe g Anstatt: „g) nach Abschluss der Erbringung der ...

Zweites Gesetz zur Reform des Kapitalanleger-Musterverfahrensgesetzes
G. v. 16.07.2024 BGBl. 2024 I Nr. 240
Artikel 2 2. KapMuGRG Änderung der Klageregisterverordnung
...  (2) Der Betreiber des Musterverfahrensregisters kann sich nach Maßgabe von Artikel 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 ...