DSGVO Artikel 28: Auftragsverarbeiter-Pflichten & AV-Vertrag (2026)
Published 6. Juli 2026
By Anna Bley

DSGVO Artikel 28: Auftragsverarbeiter-Pflichten & AV-Vertrag (2026)

DSGVO Artikel 28 erklärt: die zwingenden AV-Vertrag-Klauseln, die Sorgfaltspflichten des Verantwortlichen, die Genehmigung von Unterauftragsverarbeitern, EDSA-Stellungnahme 22/2024 und wie Sie es nachweisen.

DSGVO
GDPR
Datenschutz
AV-Vertrag
Compliance

DSGVO Artikel 28: Auftragsverarbeiter-Pflichten & AV-Vertrag

DSGVO Artikel 28 regelt das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Er verpflichtet den Verantwortlichen, nur Auftragsverarbeiter einzusetzen, die „hinreichende Garantien" für angemessene Sicherheit bieten, und er verlangt, dass das Verhältnis durch einen bindenden Vertrag geregelt wird — den Auftragsverarbeitungsvertrag (AV-Vertrag) — der die acht zwingenden Regelungspakete aus Artikel 28 Abs. 3 enthält. Er legt zudem die Regeln für die Unterauftragsverarbeitung fest: Ein Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen hinzuziehen und bleibt für dessen Compliance verantwortlich.

Für jedes B2B-SaaS-Unternehmen ist Artikel 28 der Artikel, der in jedem Enterprise-Deal auftaucht. Ihre Kunden sind Verantwortliche; Sie sind ihr Auftragsverarbeiter; und der AV-Vertrag ist der Vertrag, der das Verhältnis rechtmäßig macht. Diese Seite ist die rechtliche Referenz dafür, was Artikel 28 verlangt — die zwingenden Klauseln, die fortlaufende Sorgfaltspflicht des Verantwortlichen und die Unterauftragsverarbeiter-Regeln, die die EDSA-Stellungnahme 22/2024 verschärft hat. Für die operative Seite — wie Sie eine öffentliche Unterauftragsverarbeiterliste und einen Änderungsmitteilungs-Workflow betreiben, denen Verantwortliche tatsächlich vertrauen — siehe unseren Begleitleitfaden zum Subprocessor-Management nach Artikel 28.

Die wichtigsten Erkenntnisse

  • Artikel 28 verlangt einen schriftlichen Vertrag (den AV-Vertrag) mit jedem Auftragsverarbeiter, der die acht zwingenden Verpflichtungen aus Artikel 28 Abs. 3 enthält.
  • „Hinreichende Garantien" ist eine fortlaufende Pflicht. Nach Artikel 28 Abs. 1 und der EDSA-Stellungnahme 22/2024 muss der Verantwortliche die Garantien des Auftragsverarbeiters in angemessenen Abständen überprüfen — nicht nur einmal bei Vertragsschluss.
  • Unterauftragsverarbeiter benötigen eine Genehmigung (Artikel 28 Abs. 2) — gesondert oder allgemein — und dieselben Datenschutzpflichten müssen vertraglich weitergereicht werden (Artikel 28 Abs. 4).
  • Die Haftung verbleibt beim ursprünglichen Auftragsverarbeiter. Versagt ein Unterauftragsverarbeiter, verantwortet sich der Auftragsverarbeiter — nicht der Unterauftragsverarbeiter — gegenüber dem Verantwortlichen (Artikel 28 Abs. 4).
  • Die EDSA-Stellungnahme 22/2024 hat die Messlatte gehoben: Verantwortliche müssen jeden Auftrags- und Unterauftragsverarbeiter in der Kette jederzeit identifizieren können und bleiben für die Sicherungsmaßnahmen bei Weiterübermittlungen verantwortlich.
  • Ein AV-Vertrag-Verstoß ist bußgeldbewehrt nach Artikel 83 Abs. 4: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.

Direkt zu:


Was Artikel 28 verlangt

Artikel 28 der Verordnung (EU) 2016/679 ist die Antwort der DSGVO auf eine schlichte strukturelle Tatsache: Die meisten personenbezogenen Daten werden nicht von der Organisation verarbeitet, die entscheidet, warum sie verarbeitet werden. Ein Verantwortlicher (die Organisation, die über Zwecke und Mittel entscheidet) verlässt sich fast immer auf Auftragsverarbeiter — Cloud-Hosting, Analytics, Zahlungsabwicklung, CRM, Support-Tools —, um die Verarbeitung tatsächlich durchzuführen. Artikel 28 regelt dieses Verhältnis so, dass die Verantwortung nicht verdampft, wenn Daten weitergegeben werden.

Er bewirkt dreierlei:

  1. Er begründet eine Auswahlpflicht — der Verantwortliche darf nur Auftragsverarbeiter einsetzen, die „hinreichende Garantien" bieten (Artikel 28 Abs. 1).
  2. Er schreibt einen Vertrag vor — die Verarbeitung muss durch einen AV-Vertrag mit vorgegebenem Inhalt geregelt werden (Artikel 28 Abs. 3).
  3. Er reguliert die Kette — ein Auftragsverarbeiter darf Unterauftragsverarbeiter nur unter definierten Genehmigungsregeln hinzuziehen und bleibt für sie haftbar (Artikel 28 Abs. 2 und 4).

Für B2B-SaaS-Unternehmen ist der Punkt unausweichlich: Sie sind fast immer zugleich Verantwortlicher (für Ihre eigenen Mitarbeiter- und Kundenkontodaten) und Auftragsverarbeiter (für die Daten, die Ihre Kunden in Ihrer Plattform speichern). Artikel 28 gilt für Sie daher in beide Richtungen — nach innen, wenn Sie Ihre eigenen Dienstleister prüfen, und nach außen, wenn Ihre Kunden Sie prüfen.


Auswahl eines Auftragsverarbeiters: „Hinreichende Garantien"

Artikel 28 Abs. 1 legt die grundlegende Bedingung fest:

„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."

Dies ist eine Sorgfaltspflicht, kein Häkchen, das man beim Onboarding setzt. Die EDSA-Stellungnahme 22/2024 (erlassen am 9. Oktober 2024) ist ausdrücklich: „Hinreichende Garantien" ist eine fortlaufende Pflicht — der Verantwortliche „sollte in angemessenen Abständen die Garantien des Auftragsverarbeiters überprüfen". Die Prüftiefe skaliert mit dem Risiko — risikoreiche Verarbeitung verlangt mehr Prüfung —, doch die Pflicht selbst gilt unabhängig vom Risikoniveau.

In der Praxis ist „hinreichende Garantien" der Punkt, an dem sich Zertifizierungen bezahlt machen. Ein ISO-27001-Zertifikat, ein SOC-2-Bericht oder ein gepflegtes Trust Center gibt einem Verantwortlichen eine belastbare, wiederholbare Grundlage für die Schlussfolgerung, dass ein Auftragsverarbeiter geeignet ist — genau deshalb fragen europäische Beschaffungsteams danach, bevor sie nach irgendetwas anderem fragen.


Die 8 zwingenden AV-Vertrag-Klauseln (Artikel 28 Abs. 3)

Artikel 28 Abs. 3 verlangt, dass die Verarbeitung durch „einen Vertrag oder ein anderes Rechtsinstrument" geregelt wird, das den Auftragsverarbeiter bindet, und er schreibt acht Verpflichtungen vor, die der AV-Vertrag enthalten muss. Dies ist der am häufigsten geprüfte Teil von Artikel 28 in einer Beschaffungsprüfung — ein AV-Vertrag, dem eine dieser Verpflichtungen fehlt, ist nicht konform:

#Zwingende AV-Vertrag-VerpflichtungRechtsgrundlage
1Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten (einschließlich bei Übermittlungen in Drittländer)Art. 28 Abs. 3 Buchst. a
2Sicherstellen, dass die zur Verarbeitung befugten Personen einer Vertraulichkeitspflicht unterliegenArt. 28 Abs. 3 Buchst. b
3Alle nach Artikel 32 erforderlichen Sicherheitsmaßnahmen treffenArt. 28 Abs. 3 Buchst. c
4Die Bedingungen für die Hinzuziehung von Unterauftragsverarbeitern nach Art. 28 Abs. 2 und 4 einhaltenArt. 28 Abs. 3 Buchst. d
5Den Verantwortlichen unterstützen bei der Beantwortung von BetroffenenanfragenArt. 28 Abs. 3 Buchst. e
6Den Verantwortlichen unterstützen bei Sicherheits-, Meldepflicht- und DSFA-Pflichten (Artikel 32–36)Art. 28 Abs. 3 Buchst. f
7Alle personenbezogenen Daten nach Ende der Verarbeitung löschen oder zurückgeben (nach Wahl des Verantwortlichen)Art. 28 Abs. 3 Buchst. g
8Alle zum Nachweis der Compliance erforderlichen Informationen bereitstellen sowie Überprüfungen und Inspektionen ermöglichen und dazu beitragenArt. 28 Abs. 3 Buchst. h

Zwei dieser Verpflichtungen tragen übergroßes operatives Gewicht. Klausel 1 (dokumentierte Weisung) ist der Grund, warum die Formulierung „nur auf Weisung verarbeiten" in jedem AV-Vertrag steht — die EDSA-Stellungnahme 22/2024 bestätigt, dass alternative Formulierungen wie „sofern nicht durch Gesetz oder eine bindende behördliche Anordnung erforderlich" nicht gegen Artikel 28 verstoßen, aber auch keine der beiden Parteien von ihren DSGVO-Pflichten entbindet. Klausel 8 (Prüf- und Informationsrechte) ist diejenige, die Enterprise-Käufer am häufigsten ausüben: Sie ist die Rechtsgrundlage für den Sicherheitsfragebogen, die Prüfanfrage und das Verlangen, Ihre Nachweise zu sehen — der wiederkehrende Aufwand, den ein Selbstbedienungs-Trust Center beseitigen soll.

Artikel 28 Abs. 5 ergänzt, dass die Einhaltung eines genehmigten Verhaltenskodex (Artikel 40) oder eines Zertifizierungsverfahrens (Artikel 42) als Faktor zum Nachweis der nach Artikel 28 Abs. 1 verlangten hinreichenden Garantien herangezogen werden kann.


Genehmigung von Unterauftragsverarbeitern (Artikel 28 Abs. 2 & 4)

Ein Auftragsverarbeiter arbeitet selten allein. Wenn er einen weiteren Auftragsverarbeiter — einen Unterauftragsverarbeiter — hinzuzieht, stellt Artikel 28 zwei Regeln auf.

Genehmigung (Artikel 28 Abs. 2). Der Auftragsverarbeiter „nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch".

  • Gesonderte Genehmigung — der Verantwortliche genehmigt jeden Unterauftragsverarbeiter einzeln, schriftlich, vor der Hinzuziehung.
  • Allgemeine Genehmigung — der Verantwortliche erteilt eine Vorabgenehmigung unter der Bedingung, dass der Auftragsverarbeiter „den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben".

Die meisten B2B-SaaS-Unternehmen arbeiten mit allgemeiner Genehmigung, weil die gesonderte Genehmigung für beide Seiten operativ aufwendig ist. Doch die allgemeine Genehmigung ist kein Blankoscheck: Sie ist an eine transparente, proaktive Änderungsmitteilung und eine echte Einspruchsmöglichkeit geknüpft.

Weitergabe und Haftung (Artikel 28 Abs. 4). Wird ein Unterauftragsverarbeiter hinzugezogen, werden „diesem anderen Auftragsverarbeiter … dieselben Datenschutzpflichten auferlegt, die in dem Vertrag … festgelegt sind", und — entscheidend — „kommt dieser andere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des anderen Auftragsverarbeiters in vollem Umfang". Die Haftung kaskadiert nicht die Kette hinab; sie verbleibt bei dem Auftragsverarbeiter, mit dem der Verantwortliche kontrahiert hat.

Die praktische Umsetzung dieser Regeln — die öffentliche Unterauftragsverarbeiterliste, das Mitteilungsfenster und der Einspruchs-Workflow — ist Gegenstand unseres operativen Begleitleitfadens Subprocessor-Management nach DSGVO Artikel 28: Was Verantwortliche wirklich erwarten sowie unserer Anleitung zu DSGVO-Subprozessor-Änderungsmitteilungen, die versandfertige Mitteilungen behandelt.


Was die EDSA-Stellungnahme 22/2024 geändert hat

Im Oktober 2024 erließ der EDSA die Stellungnahme 22/2024 zu Pflichten, die sich aus der Inanspruchnahme von Auftrags- und Unterauftragsverarbeitern ergeben. Sie änderte den Wortlaut von Artikel 28 nicht, klärte aber, wie Aufsichtsbehörden ihn anwenden werden — und die Lesart ist streng:

  • Sichtbarkeit der gesamten Kette. Verantwortliche „sollten die Informationen zur Identität (d. h. Name, Anschrift, Ansprechpartner) aller Auftragsverarbeiter, Unterauftragsverarbeiter usw. jederzeit unmittelbar verfügbar haben". Der Auftragsverarbeiter muss dies proaktiv bereitstellen und aktuell halten. Nur die erste Ebene von Unterauftragsverarbeitern offenzulegen, genügt nicht — die gesamte Kette muss identifizierbar sein.
  • Die Überprüfung ist fortlaufend, aber verhältnismäßig. Der Verantwortliche muss nicht systematisch jeden Unterauftragsvertrag verlangen; er darf sich auf die vom Auftragsverarbeiter bereitgestellten Informationen stützen, im Einzelfall bewertet, mit tieferer Überprüfung bei risikoreicherer Verarbeitung. Doch die letztliche Verantwortung für den Nachweis hinreichender Garantien liegt beim Verantwortlichen.
  • Weiterübermittlungen bleiben das Problem des Verantwortlichen. Selbst wenn der ursprüngliche Auftragsverarbeiter im EWR ansässig ist, bleibt der Verantwortliche dafür verantwortlich, hinreichende Garantien — einschließlich Übermittlungsfolgenabschätzungen — für jede Weiterübermittlung von Daten außerhalb des EWR durch einen Unterauftragsverarbeiter sicherzustellen.

Die Stellungnahme ist rechtlich nicht bindend, aber unmittelbar anwendbar, und nationale Behörden werden sie in Untersuchungen anwenden. Ihre praktische Wirkung besteht darin, eine aktuelle, vollständige, maschinell nutzbare Unterauftragsverarbeiterliste — statt eines veralteten PDF-Anhangs — zur Grundlinie zu machen, die ein Verantwortlicher nun braucht, um seine eigene Rechenschaftspflicht zu erfüllen. Das ist eine Anforderung, die Ihre Kunden an Sie weitergeben werden.


Wie Sie die Auftragsverarbeiter-Compliance nachweisen

Artikel 28 ist eine zweiseitige Pflicht, und die nachweisbare Hälfte ist der Ort, an dem Deals gewonnen werden. Ihr Kunde (der Verantwortliche) muss nachweisen, dass er seine Sorgfaltspflicht bei Ihnen erfüllt hat; Sie (der Auftragsverarbeiter) müssen das leicht machen. Die Auftragsverarbeiter, die Enterprise-Pipeline in Abschlüsse verwandeln, sind diejenigen, die Artikel 28 in Selbstbedienungs-Nachweise verwandeln statt in eine maßgeschneiderte Rechtsübung pro Deal.

Pflicht aus Artikel 28Was der Verantwortliche sehen willWie Sie es bereitstellen
28 Abs. 1 Hinreichende GarantienZertifizierungen und aktuelle SicherheitsaufstellungISO-27001-/SOC-2-Berichte in einem Trust Center
28 Abs. 3 Ein konformer AV-VertragEin unterzeichnungsfähiger AV-Vertrag mit allen acht KlauselnEin vorveröffentlichter Standard-AV-Vertrag zum Download
28 Abs. 3 Buchst. c Artikel-32-MaßnahmenIhre TOM / Ihr Sicherheits-WhitepaperEin gepflegtes Dokument zu den Artikel-32-Maßnahmen
28 Abs. 2 Genehmigung von UnterauftragsverarbeiternEine aktuelle, vollständige Unterauftragsverarbeiterliste + ÄnderungsmitteilungenEine öffentliche Subprozessor-Seite mit automatisierten Benachrichtigungen
28 Abs. 3 Buchst. h Prüf- & InformationsrechteAntworten auf Sicherheitsfragebögen, NachweispaketeSelbstbedienungs-Nachweise in einem Trust Center — kein E-Mail-Verlauf pro Deal

Der rote Faden ist derselbe wie im Rest der DSGVO: Die Rechenschaftspflicht nach Artikel 5 Abs. 2 bedeutet, dass die Antwort auf „Beweisen Sie es" jederzeit abrufbar sein muss. Für einen Auftragsverarbeiter ist der kostengünstigste Ort, um Artikel-28-Nachweise abrufbar zu machen, eine gehostete Fläche, die jeder Kunde erreichen kann — und genau dafür ist ein Trust Center da.


Bußgelder und Durchsetzung

Verstöße gegen Artikel 28 fallen in die niedrigere Bußgeldstufe nach Artikel 83 Abs. 4: bis zu 10 Mio. Euro oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Artikel-28-Feststellungen treten häufig gemeinsam mit Feststellungen zu Artikel 32 (Sicherheit) und Artikel 5 (Rechenschaftspflicht) auf, weil ein schwaches Auftragsverarbeiter-Verhältnis in der Regel zugleich schwache Sicherheit und schwache Dokumentation offenbart. Das Bündel an Bußgeldern über 45 Mio. Euro gegen Vodafone in Deutschland 2025 umfasste beispielsweise die unzureichende Aufsicht über Auftragsverarbeiter.

Der weitere Kontext ist ein Durchsetzungsumfeld, das nicht mehr sporadisch ist: Die kumulierten DSGVO-Bußgelder erreichten bis Januar 2026 7,1 Mrd. Euro, davon allein rund 1,2 Mrd. Euro im Jahr 2025, so der DLA Piper GDPR Fines and Data Breach Survey (Januar 2026). Da die EDSA-Stellungnahme 22/2024 die Erwartungen an die Transparenz von Unterauftragsverarbeitern schärft, ist das Auftragsverarbeiter-Verhältnis ein Bereich zunehmender aufsichtsrechtlicher Aufmerksamkeit statt einer abgeschlossenen Angelegenheit.


Die Lage in UK und Norwegen

Artikel 28 ist ein europaweiter Standard, und die Verantwortlicher-Auftragsverarbeiter-Regeln sind über die weitere europäische Compliance-Landschaft hinweg einheitlich.

Vereinigtes Königreich. Die UK GDPR behält Artikel 28 und seinen zwingenden AV-Vertrag-Inhalt inhaltlich identisch bei, beaufsichtigt vom Information Commissioner's Office (ICO). Der Data (Use and Access) Act 2025 (Royal Assent am 19. Juni 2025) reformierte Teile des britischen Datenschutzes, ließ das Verantwortlicher-Auftragsverarbeiter-Rahmenwerk jedoch unangetastet, und die Europäische Kommission leitete nach Prüfung der Reformen die Erneuerung des UK-Angemessenheitsbeschlusses ein — sodass die EU-UK-Datenflüsse und grenzüberschreitenden AV-Verträge ununterbrochen weiterlaufen.

Norwegen und der EWR. Norwegen wendet die DSGVO über das EWR-Abkommen an (in Kraft seit Juli 2018), sodass Artikel 28 norwegische Verantwortliche und Auftragsverarbeiter in identischen Worten bindet, beaufsichtigt vom Datatilsynet. Die AV-Vertrag-Klauseln, die Pflicht zu hinreichenden Garantien und die Unterauftragsverarbeiter-Regeln sind dieselben — was bedeutet, dass ein einziges Artikel-28-konformes AV-Vertrag-Rahmenwerk und ein einziger Unterauftragsverarbeiter-Prozess die EU, den EWR und UK zugleich bedienen.


Artikel 28 im Trust Center operativ umsetzen

Artikel 28 ist eine Vertrags- und Nachweispflicht, und man gewinnt ihn, indem man die Reibung aus den zwei Momenten entfernt, in denen er greift: dem Unterzeichnen des AV-Vertrags und dem anschließenden Nachweis der Compliance. Drei Fähigkeiten erledigen den Großteil der Arbeit:

  1. Ein vorveröffentlichter Standard-AV-Vertrag mit allen acht Klauseln aus Artikel 28 Abs. 3, zum Selbstbedienungs-Download gehostet — sodass der AV-Vertrag aufhört, eine Verhandlung pro Deal zu sein, und zu einem Dokument wird, das ein Kunde akzeptieren kann.
  2. Eine aktuelle, vollständige Unterauftragsverarbeiterliste mit automatisierten Änderungsbenachrichtigungen und einem definierten Einspruchsfenster — die Grundlinie, die die EDSA-Stellungnahme 22/2024 nun erwartet, bereitgestellt über eine öffentliche Trust Center-Seite statt eines veralteten Anhangs. Unser Workflow zu Subprozessor-Änderungsmitteilungen behandelt genau, was jede Mitteilung enthalten muss.
  3. Selbstbedienungs-Compliance-Nachweise — Zertifizierungen, TOM und Audit-Unterstützungsmaterial an einem Ort — sodass das Prüf- und Informationsrecht aus Artikel 28 Abs. 3 Buchst. h durch einen Link erfüllt wird, nicht durch einen Fragebogenzyklus.

Das ist das ISMS-und-Trust-Center-Modell, angewandt auf das Auftragsverarbeiter-Verhältnis: Ein ISMS bringt die hinreichenden Garantien hervor, die Artikel 28 Abs. 1 verlangt, und ein Trust Center macht sie nachweisbar für jeden Verantwortlichen, der fragt. Die Trust-Center-Plattform von Orbiq hält den AV-Vertrag, die Unterauftragsverarbeiterliste, die Zertifizierungen und die Nachweise aktuell und erreichbar — und verwandelt Artikel 28 aus einer wiederkehrenden Rechtskosten in einen bleibenden Vertriebsvorteil.

Hosten Sie Ihren AV-Vertrag und Ihre Unterauftragsverarbeiterliste in einem Trust Center. Sehen Sie, wie Orbiq Artikel-28-Nachweise handhabt →


Quellen & Referenzen

  1. Verordnung (EU) 2016/679 (DSGVO) — Volltext (EUR-Lex ELI) — Amtsblatt der Europäischen Union; Artikel 28 im Kontext.
  2. gdpr-info.eu — Artikel 28 (Auftragsverarbeiter) — Artikeltext und Erwägungsgründe.
  3. EDSA-Stellungnahme 22/2024 zur Inanspruchnahme von Auftrags- und Unterauftragsverarbeitern (PDF) — Angenommen am 9. Oktober 2024; Identifizierung der gesamten Kette, fortlaufende Überprüfung, Weiterübermittlungen.
  4. EDSA — Leitlinien 07/2020 zu den Begriffen Verantwortlicher und Auftragsverarbeiter — Version 2.1; Verantwortlicher-Auftragsverarbeiter-Verhältnisse und Unterauftragsverarbeitung.
  5. DLA Piper GDPR Fines and Data Breach Survey: Januar 2026 — 7,1 Mrd. Euro kumuliert; 1,2 Mrd. Euro im Jahr 2025.
  6. ICO — Contracts and liabilities between controllers and processors (UK GDPR) — Britische Leitlinie zu Artikel 28.
  7. Datatilsynet — Norwegische Datenschutzbehörde — Leitfaden zu Auftragsverarbeitern (Norwegen / EWR).

Weiterführende Artikel

Häufig gestellte Fragen

Was verlangt DSGVO Artikel 28?

Artikel 28 regelt das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter. Er verpflichtet Verantwortliche, nur Auftragsverarbeiter einzusetzen, die hinreichende Garantien für die Umsetzung geeigneter Sicherheitsmaßnahmen bieten, und er verlangt, dass das Verhältnis durch einen bindenden Vertrag geregelt wird — den Auftragsverarbeitungsvertrag (AV-Vertrag) — der die acht zwingenden Regelungspakete aus Artikel 28 Abs. 3 enthält. Er regelt zudem die Einschaltung von Unterauftragsverarbeitern: Ein Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen hinzuziehen.

Was muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Artikel 28 Abs. 3 enthalten?

Artikel 28 Abs. 3 verlangt, dass der AV-Vertrag den Auftragsverarbeiter auf acht Verpflichtungen festlegt: (a) Verarbeitung nur auf dokumentierte Weisung; (b) Vertraulichkeit des Personals sicherstellen; (c) alle Sicherheitsmaßnahmen nach Artikel 32 treffen; (d) die Bedingungen für die Hinzuziehung von Unterauftragsverarbeitern einhalten; (e) den Verantwortlichen bei Betroffenenanfragen unterstützen; (f) bei Sicherheits-, Meldepflicht- und DSFA-Pflichten unterstützen (Artikel 32–36); (g) die Daten nach Ende der Verarbeitung löschen oder zurückgeben; und (h) alle Informationen bereitstellen, die zum Nachweis der Compliance erforderlich sind, sowie Überprüfungen und Inspektionen ermöglichen.

Was ist der Unterschied zwischen gesonderter und allgemeiner Genehmigung von Unterauftragsverarbeitern?

Nach Artikel 28 Abs. 2 darf ein Auftragsverarbeiter einen Unterauftragsverarbeiter nur mit Genehmigung des Verantwortlichen hinzuziehen. Gesonderte Genehmigung bedeutet, dass der Verantwortliche jeden Unterauftragsverarbeiter einzeln genehmigt, bevor er eingesetzt wird. Allgemeine Genehmigung bedeutet, dass der Verantwortliche eine pauschale Vorabgenehmigung erteilt, unter der Bedingung, dass der Auftragsverarbeiter ihn über jede beabsichtigte Hinzuziehung oder Ersetzung informiert und ihm die Möglichkeit zum Einspruch gibt. Die meisten B2B-SaaS-Unternehmen arbeiten mit allgemeiner Genehmigung.

Wer haftet, wenn ein Unterauftragsverarbeiter gegen die DSGVO verstößt?

Nach Artikel 28 Abs. 4 müssen einem Unterauftragsverarbeiter, den der Auftragsverarbeiter hinzuzieht, dieselben Datenschutzpflichten vertraglich auferlegt werden — und der ursprüngliche Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Erfüllung durch den Unterauftragsverarbeiter voll verantwortlich. Die Haftung wandert nicht die Kette hinab. Die EDSA-Stellungnahme 22/2024 bestätigt, dass der Verantwortliche jeden Auftrags- und Unterauftragsverarbeiter in der Kette jederzeit identifizieren können muss.

Gilt DSGVO Artikel 28 auch in UK und Norwegen?

Ja, in gleichwertiger Form. Die UK GDPR behält Artikel 28 und seine zwingenden AV-Vertrag-Regelungen bei, beaufsichtigt von der ICO. Norwegen wendet die DSGVO über das EWR-Abkommen an, beaufsichtigt vom Datatilsynet. Die Inhaltsanforderungen an den AV-Vertrag und die Genehmigungsregeln für Unterauftragsverarbeiter sind über die EU, den EWR und UK hinweg einheitlich, sodass ein einziges Artikel-28-konformes AV-Vertrag-Rahmenwerk in allen drei Räumen funktioniert.

DSGVO Artikel 28: Auftragsverarbeiter-Pflichten & AV-Vertrag