Informationen für Verarbeiter personenbezogener Daten

Informationen für Verarbeiter personenbezogener Daten

Pflichten des Datenverarbeiters:

• personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen zu verarbeiten, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dass er hierzu durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen derartige rechtliche Anforderungen vor der Verarbeitung mit, es sei denn, eine solche Mitteilung ist nach diesem Recht aus überwiegenden Gründen des öffentlichen Interesses verboten;
• sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen einer Geheimhaltungspflicht oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen;
• geeignete technische und organisatorische Maßnahmen ergreifen, um ein den Risiken angemessenes Schutzniveau zu gewährleisten, wobei der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade der Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden;
• den Verantwortlichen schriftlich über geplante Änderungen bei der Inanspruchnahme oder Ersetzung anderer Auftragsverarbeiter zu informieren und ihm dadurch die Möglichkeit zu geben, Einspruch gegen derartige Änderungen einzulegen;
• keinen weiteren Auftragsverarbeiter ohne die vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Verantwortlichen zu beauftragen. Nimmt ein Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen durchzuführen, so sind diesem weiteren Auftragsverarbeiter durch den Vertrag oder das andere Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten dieselben Datenschutzpflichten auferlegt, wie sie in dem Vertrag oder dem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt sind, insbesondere die Pflicht, hinreichend geeignete und ausreichende technische und organisatorische Maßnahmen zu treffen. Kommt dieser weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten dieses anderen Auftragsverarbeiters voll verantwortlich;
• den Verantwortlichen – unter Berücksichtigung der Art der Verarbeitung – mittels geeigneter technischer und organisatorischer Maßnahmen soweit wie möglich dabei unterstützen, seiner Verpflichtung nachzukommen, auf Anfragen zur Ausübung der Rechte der betroffenen Person zu antworten;
• den Verantwortlichen dabei unterstützen, die Einhaltung der Pflichten zur Sicherheit der Verarbeitung, zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die betroffene Person sicherzustellen, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen zu berücksichtigen sind;
• auf Wahl des Verantwortlichen sämtliche personenbezogenen Daten zu löschen oder an den Verantwortlichen zurückzugeben und vorhandene Kopien der personenbezogenen Daten nach Abschluss der Erbringung der mit der Verarbeitung verbundenen Dienste zu löschen, es sei denn, die personenbezogenen Daten müssen nach dem Recht der Union oder der Mitgliedstaaten aufbewahrt werden;
• dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragsverarbeiter auferlegten Pflichten zur Verfügung zu stellen und den Verantwortlichen oder andere vom Verantwortlichen ermächtigte Prüfer bei der Durchführung von Prüfungen – einschließlich Inspektionen – zu unterstützen.