mirror of
https://git.ludikovsky.name/git/gesetze.git
synced 2024-10-05 22:25:29 +02:00
137 lines
6.9 KiB
Markdown
137 lines
6.9 KiB
Markdown
Artikel 28 - Auftragsverarbeiter
|
||
--------------------------------
|
||
|
||
1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so
|
||
arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
|
||
Garantien dafür bieten, dass geeignete technische und
|
||
organisatorische Maßnahmen so durchgeführt werden, dass die
|
||
Verarbeitung im Einklang mit den Anforderungen dieser Verordnung
|
||
erfolgt und den Schutz der Rechte der betroffenen
|
||
Person gewährleistet.
|
||
|
||
2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter
|
||
ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung
|
||
des Verantwortlichen in Anspruch. Im Fall einer allgemeinen
|
||
schriftlichen Genehmigung informiert der Auftragsverarbeiter den
|
||
Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf
|
||
die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter,
|
||
wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige
|
||
Änderungen Einspruch zu erheben.
|
||
|
||
3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der
|
||
Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach
|
||
dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den
|
||
Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in
|
||
dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der
|
||
Verarbeitung, die Art der personenbezogenen Daten, die Kategorien
|
||
betroffener Personen und die Pflichten und Rechte des
|
||
Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere
|
||
Rechtsinstrument sieht insbesondere vor, dass der
|
||
Auftragsverarbeiter
|
||
|
||
a. die personenbezogenen Daten nur auf dokumentierte Weisung des
|
||
Verantwortlichen — auch in Bezug auf die Übermittlung
|
||
personenbezogener Daten an ein Drittland oder eine
|
||
internationale Organisation — verarbeitet, sofern er nicht durch
|
||
das Recht der Union oder der Mitgliedstaaten, dem der
|
||
Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in
|
||
einem solchen Fall teilt der Auftragsverarbeiter dem
|
||
Verantwortlichen diese rechtlichen Anforderungen vor der
|
||
Verarbeitung mit, sofern das betreffende Recht eine solche
|
||
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
|
||
verbietet;
|
||
|
||
b. gewährleistet, dass sich die zur Verarbeitung der
|
||
personenbezogenen Daten befugten Personen zur Vertraulichkeit
|
||
verpflichtet haben oder einer angemessenen gesetzlichen
|
||
Verschwiegenheitspflicht unterliegen;
|
||
|
||
c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
|
||
|
||
d. die in den Absätzen 2 und 4 genannten Bedingungen für die
|
||
Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters
|
||
einhält;
|
||
|
||
e. angesichts der Art der Verarbeitung den Verantwortlichen nach
|
||
Möglichkeit mit geeigneten technischen und organisatorischen
|
||
Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von
|
||
Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der
|
||
betroffenen Person nachzukommen;
|
||
|
||
f. unter Berücksichtigung der Art der Verarbeitung und der ihm zur
|
||
Verfügung stehenden Informationen den Verantwortlichen bei der
|
||
Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten
|
||
unterstützt;
|
||
|
||
g. nach Abschluss der Erbringung der Verarbeitungsleistungen alle
|
||
personenbezogenen Daten nach Wahl des Verantwortlichen entweder
|
||
löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder
|
||
dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung
|
||
der personenbezogenen Daten besteht;
|
||
|
||
h. dem Verantwortlichen alle erforderlichen Informationen zum
|
||
Nachweis der Einhaltung der in diesem Artikel niedergelegten
|
||
Pflichten zur Verfügung stellt und Überprüfungen —
|
||
einschließlich Inspektionen –, die vom Verantwortlichen oder
|
||
einem anderen von diesem beauftragten Prüfer durchgeführt
|
||
werden, ermöglicht und dazu beiträgt.
|
||
|
||
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der
|
||
Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der
|
||
Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen
|
||
andere Datenschutzbestimmungen der Union oder der
|
||
Mitgliedstaaten verstößt.
|
||
|
||
4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren
|
||
Auftragsverarbeiters in Anspruch, um bestimmte
|
||
Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen,
|
||
so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags
|
||
oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem
|
||
Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten
|
||
auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen
|
||
dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3
|
||
festgelegt sind, wobei insbesondere hinreichende Garantien dafür
|
||
geboten werden muss, dass die geeigneten technischen und
|
||
organisatorischen Maßnahmen so durchgeführt werden, dass die
|
||
Verarbeitung entsprechend den Anforderungen dieser
|
||
Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen
|
||
Datenschutzpflichten nicht nach, so haftet der erste
|
||
Auftragsverarbeiter gegenüber dem Verantwortlichen für die
|
||
Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
|
||
|
||
5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
|
||
eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch
|
||
einen Auftragsverarbeiter kann als Faktor herangezogen werden, um
|
||
hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden
|
||
Artikels nachzuweisen.
|
||
|
||
6. Unbeschadet eines individuellen Vertrags zwischen dem
|
||
Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder
|
||
das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des
|
||
vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7
|
||
und 8 des vorliegenden Artikels genannten Standardvertragsklauseln
|
||
beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder
|
||
dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten
|
||
Zertifizierung sind.
|
||
|
||
7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel
|
||
87 Absatz 2 Standardvertragsklauseln zur Regelung der in den
|
||
Absätzen 3 und 4 des vorliegenden Artikels genannten
|
||
Fragen festlegen.
|
||
|
||
8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren
|
||
gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den
|
||
Absätzen 3 und 4 des vorliegenden Artikels genannten
|
||
Fragen festlegen.
|
||
|
||
9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3
|
||
und 4 ist schriftlich abzufassen, was auch in einem elektronischen
|
||
Format erfolgen kann.
|
||
|
||
10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter,
|
||
der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der
|
||
Verarbeitung bestimmt, in Bezug auf diese Verarbeitung
|
||
als Verantwortlicher.
|
||
|
||
|