Informationen für Verantwortliche für personenbezogene Daten
Pflichten des Datenverarbeiters:
- personenbezogene Daten nur gemäß den dokumentierten Weisungen des für die Verarbeitung Verantwortlichen zu verarbeiten, auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, der Auftragsverarbeiter ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen er unterliegt, dazu verpflichtet; in diesem Fall hat der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung von dieser rechtlichen Verpflichtung zu unterrichten, es sei denn, eine solche Unterrichtung ist nach diesen Rechtsvorschriften aus zwingenden Gründen des Allgemeininteresses untersagt;
- sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen einer Vertraulichkeitsverpflichtung oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterworfen sind;
- unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein den Risiken angemessenes Sicherheitsniveau zu gewährleisten;
- den für die Verarbeitung Verantwortlichen schriftlich über geplante Änderungen bei der Verwendung oder Ersetzung anderer Auftragsverarbeiter zu informieren und ihm so die Möglichkeit zu geben, diesen Änderungen zu widersprechen;
- keinen anderen Auftragsverarbeiter ohne die vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen einzusetzen. Beauftragt ein Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen, so werden diesem anderen Auftragsverarbeiter durch den Vertrag oder einen anderen Rechtsakt nach dem Unionsrecht oder dem Recht der Mitgliedstaaten dieselben Datenschutzpflichten auferlegt, wie sie in dem Vertrag oder dem anderen Rechtsakt zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter festgelegt sind, insbesondere die Verpflichtung, hinreichend sicherzustellen, dass geeignete und ausreichende technische und organisatorische Maßnahmen getroffen werden. Kommt dieser andere Auftragsverarbeiter den Datenschutzpflichten nicht nach, so bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten dieses anderen Auftragsverarbeiters verantwortlich;
- den für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen zu unterstützen, soweit dies möglich ist, um die Verpflichtung des für die Verarbeitung Verantwortlichen zu erfüllen, auf Anträge zur Ausübung der Rechte der betroffenen Person zu reagieren;
- den für die Verarbeitung Verantwortlichen bei der Einhaltung der Pflichten zur Sicherheit der Verarbeitung, zur Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und zur Meldung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person zu unterstützen, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter vorliegenden Informationen zu berücksichtigen sind;
- nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben und bestehende Kopien der personenbezogenen Daten zu löschen, nachdem die Erbringung der mit der Verarbeitung verbundenen Dienstleistungen abgeschlossen ist, es sei denn, die personenbezogenen Daten müssen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten aufbewahrt werden;dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der dem Auftragsverarbeiter auferlegten Pflichten nachzuweisen und dem für die Verarbeitung Verantwortlichen oder einem anderen von ihm beauftragten Prüfer die Durchführung von Audits, einschließlich Inspektionen, zu ermöglichen und zu unterstützen.