Common use of Konkretisierung des Auftrags Clause in Contracts

Konkretisierung des Auftrags. Meistens wird im eigentlichen Vertrag nicht auf die datenschutzrechtlichen Aspekte wie die Art der Unterstützung (z. B. Administration der Patientenverwaltung) oder die Nennung der betroffenen Personenkategorien (Patienten, Angestellte, Zulieferer usw.) eingegangen, sondern lediglich die technische Funktionalität (beispielsweise durch die Worte „... Gewährleistung der Funktionsfähigkeit der Software XY“) beschrieben. Daher müssen diese Angaben in diesem Abschnitt des AV-Vertrags (§ 2 und in § 2.1) beschrieben werden. Literatur Hoeren T. (2010) Das neue BDSG und die Auftragsverarbeitung. DuD: 688-691 Xxxxxxxx X. (2016) ADV 5.0 – Neugestaltung der Auftragsdatenverarbeitung in Deutschland. RDV: 74-87 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. in Simitis (Hrsg.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Xxxxxxxxxxx § 3 Verantwortlichkeit Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Ziff. 7 DS-GVO). Opt. (2) Die Inhalte dieses AV-Vertrages gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Auftraggeber sowie Auftragnehmer müssen gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dazu müssen alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf das Datengeheimnis verpflichtet und über ihre Datenschutzpflichten belehrt werden. Dabei ist jede Partei für die Verpflichtung des eigenen Personals zuständig. Ferner müssen die eingesetzten Personen darauf hingewiesen werden, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. Kommentierung § 3 Verpflichtung Art. 28 DS-GVO Mit der Anpassung/Änderung des Bundesdatenschutzgesetzes entfällt auch die Verpflichtung auf das Datengeheimnis entsprechend § 5 BDSG. Die DS-GVO enthält dem BDSG ähnelnde Regelungen, aber keine identischen. Ein § 5 S. 1 BDSG entsprechendes Verbot zur unbefugten Verarbeitung personenbezogener Daten ergibt sich aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 DS-GVO, wodurch das Datengeheimnis nach wie vor begründet ist. Eine vertragliche Verpflichtung, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden oder einer gesetzlichen Verschwiegenheitspflicht unterliegen, findet sich im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 lit. b DS-GVO. Dies gilt sowohl für die beim Auftraggeber als auch die beim Auftragnehmer eingesetzten Personen. Außerhalb der Auftragsverarbeitung kennt die DS-GVO jedoch keine entsprechende Verpflichtung. Eine § 5 S. 3 BDSG entsprechende Regelung, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht, findet sich in dieser Form in der DS-GVO nicht.21 Grundsätzlich ergibt sich ein Verbot der Weitergabe von während einer Tätigkeit erhaltener Informationen nach Beendigung der Tätigkeit aber bereits aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 DS-GVO, da ein Erlaubnistatbestand zur Verarbeitung der Daten nur während der Tätigkeit besteht und eine Weitergabe von Daten nach Beendigung der Tätigkeit mangels Verarbeitungserlaubnis demnach verboten ist. Im Rahmen der Auftragsverarbeitung sollten sich die Vertragspartner auf die Inhalte der Verpflichtungserklärung einigen. Grundsätzlich ist hierbei auch ein mögliches Mitbestimmungsrecht von Mitarbeitervertretungen zu beachten. Da derzeit noch keine Musterformulare bzgl. einer Verpflichtung nach § 28 DS-GVO existieren, befindet sich in Anlage 3 auf Seite 94 ein Formulierungsvorschlag. Literatur Xxxxxxxx X, Xxxxxx R. (2016) Auftragsdatenverarbeitung beim Einsatz von Persönlichkeitsanalysetools. DuD: 144-149 Härting N. (2016) Auftragsverarbeitung nach der DSGVO. ITRB: 137-140 Holländer C. (2014) Auftragsdatenverarbeitung: Aus der Praxis der Aufsichtsbehörden. ITRB: 115-116 Koós C, Englisch B. (2014) Eine "neue" Auftragsdatenverarbeitung? - Gegenüberstellung der aktuellen Rechtslage und der DS-GVO in der Fassung des LIBE-Entwurfs. ZD: 276-285 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. in Simitis (Hrsg.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Xxxxxxxxxxx § 4 Dauer des Auftrags

Konkretisierung des Auftrags. Meistens wird im eigentlichen Vertrag nicht auf die datenschutzrechtlichen Aspekte wie die Art der Unterstützung (z. B. Administration der Patientenverwaltung) oder die Nennung der betroffenen Personenkategorien (Patienten, Angestellte, Zulieferer usw.) eingegangen, sondern lediglich die technische Funktionalität (beispielsweise durch die Worte „... Gewährleistung der Funktionsfähigkeit der Software XY“) beschrieben. Daher müssen diese Angaben in diesem Abschnitt des AV-Vertrags (§ 2 und in § 2.1) beschrieben werden. Literatur Hoeren T. (2010) Das neue BDSG und die Auftragsverarbeitung. DuD: 688-691 Xxxxxxxx X. (2016) ADV 5.0 – Neugestaltung der Auftragsdatenverarbeitung in Deutschland. RDV: 74-87 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. in Simitis (Hrsg.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Xxxxxxxxxxx § 3 Verantwortlichkeit Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Ziff. 7 DS-GVO). Opt. (2) Die Inhalte dieses AV-Vertrages gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Auftraggeber sowie Auftragnehmer müssen gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dazu müssen alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf das Datengeheimnis verpflichtet und über ihre Datenschutzpflichten belehrt werden. Dabei ist jede Partei für die Verpflichtung des eigenen Personals zuständig. Ferner müssen die eingesetzten Personen darauf hingewiesen werden, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. Kommentierung § 3 Verpflichtung Art. 28 DS-GVO Mit der Anpassung/Änderung des Bundesdatenschutzgesetzes entfällt auch die Verpflichtung auf das Datengeheimnis entsprechend § 5 BDSG. Die DS-GVO enthält dem BDSG ähnelnde Regelungen, aber keine identischen. Ein § 5 S. 1 BDSG entsprechendes Verbot zur unbefugten Verarbeitung personenbezogener Daten ergibt sich aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 DS-GVO, wodurch das Datengeheimnis nach wie vor begründet ist. Eine vertragliche Verpflichtung, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden oder einer gesetzlichen Verschwiegenheitspflicht unterliegen, findet sich im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 lit. b DS-GVO. Dies gilt sowohl für die beim Auftraggeber als auch die beim Auftragnehmer eingesetzten Personen. Außerhalb der Auftragsverarbeitung kennt die DS-GVO jedoch keine entsprechende Verpflichtung. Eine § 5 S. 3 BDSG entsprechende Regelung, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht, findet sich in dieser Form in der DS-GVO nicht.21 nicht.31 Grundsätzlich ergibt sich ein Verbot der Weitergabe von während einer Tätigkeit erhaltener Informationen nach Beendigung der Tätigkeit aber bereits aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 DS-GVO, da ein Erlaubnistatbestand zur Verarbeitung der Daten nur während der Tätigkeit besteht und eine Weitergabe von Daten nach Beendigung der Tätigkeit mangels Verarbeitungserlaubnis demnach verboten ist. Im Rahmen der Auftragsverarbeitung sollten sich die Vertragspartner auf die Inhalte der Verpflichtungserklärung einigen. Grundsätzlich ist hierbei auch ein mögliches Mitbestimmungsrecht von Mitarbeitervertretungen zu beachten. Da derzeit noch keine Musterformulare bzgl. einer Verpflichtung nach § 28 DS-GVO existieren, befindet sich in Anlage 3 auf Seite 94 101 ein Formulierungsvorschlag. Literatur Xxxxxxxx X, Xxxxxx R. (2016) Auftragsdatenverarbeitung beim Einsatz von Persönlichkeitsanalysetools. DuD: 144-149 Härting N. (2016) Auftragsverarbeitung nach der DSGVO. ITRB: 137-140 Holländer C. (2014) Auftragsdatenverarbeitung: Aus der Praxis der Aufsichtsbehörden. ITRB: 115-116 Koós C, Englisch B. (2014) Eine "neue" Auftragsdatenverarbeitung? - Gegenüberstellung der aktuellen Rechtslage und der DS-GVO in der Fassung des LIBE-Entwurfs. ZD: 276-285 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. in Simitis (Hrsg.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Xxxxxxxxxxx § 4 Dauer des Auftrags

Konkretisierung des Auftrags. Meistens wird 2.1. Auftragsgegenstand im eigentlichen Vertrag nicht Hinblick auf die datenschutzrechtlichen Aspekte wie die Art und Zweck der Unterstützung (z. B. Administration Aufgaben des Auftragnehmers sind nachfolgend beschrieben: Der Auftragnehmer stellt ein Datenschutz-Management-Konzept in Form eines Online-Por- tals mit Vorlagen zur Verfügung. Zur Nutzung der Patientenverwaltung) oder die Nennung Vorlagen muss sich der betroffenen Personenkategorien (Patienten, Angestellte, Zulieferer usw.) eingegangen, sondern lediglich die technische Funktionalität (beispielsweise durch die Worte „... Gewährleistung der Funktionsfähigkeit der Software XY“) beschrieben. Daher müssen diese Angaben in diesem Abschnitt des AV-Vertrags (§ 2 Auftraggeber kostenpflichtig registrieren und in § 2.1) beschrieben werden. Literatur Hoeren T. (2010) Das neue BDSG und die Auftragsverarbeitung. DuD: 688-691 Xxxxxxxx X. (2016) ADV 5.0 – Neugestaltung der Auftragsdatenverarbeitung in Deutschland. RDV: 74-87 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten kann im AuftragAnschluss fünf weiteren Mitarbeitern, durch Ein- gabe von: Name, Vorname und E-Mail-Adresse zur Mitarbeit auf das Portal einladen. in Simitis (Hrsg.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten Zu- sätzlich kann der Auftraggeber seine Verarbeitungen über eine Eingabemaske im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I Online- Portal erfassen und X. 3. Auflage. Xxxxxxxxxxx § 3 Verantwortlichkeit Der Auftraggeber ist im Rahmen dieses Vertrages hinterlegen um daraus benötigte Reports für die Einhaltung Umsetzung eines ei- genen Datenschutz-Management-Systems zu erstellen. Die Erbringung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit vertraglich vereinbarten Datenverarbeitung findet ausschließlich in ei- nem Mitgliedsstaat der Datenverarbeitung verantwortlich („Verantwortlicher“ im Sinne Europäischen Union oder in einem anderen Vertragsstaat des ArtAb- kommens über den Europäischen Wirtschaftsraum statt. 4 Ziff. 7 DS-GVO). Opt. (2) Die Inhalte dieses AV-Vertrages gelten entsprechendJede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kannbe- sonderen Voraussetzungen der Artt. Auftraggeber sowie Auftragnehmer müssen gewährleisten, dass sich die zur Verarbeitung 44 ff. DSGVO erfüllt sind. Das angemessene Schutz- niveau ist hierbei festgestellt durch einen Angemessenheitsbeschluss der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dazu müssen alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf das Datengeheimnis verpflichtet und über ihre Datenschutzpflichten belehrt werden. Dabei ist jede Partei für die Verpflichtung des eigenen Personals zuständig. Ferner müssen die eingesetzten Personen darauf hingewiesen werden, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. Kommentierung § 3 Verpflichtung Kommission (Art. 28 DS-GVO Mit der Anpassung/Änderung des Bundesdatenschutzgesetzes entfällt auch die Verpflichtung auf das Datengeheimnis entsprechend § 5 BDSG. Die DS-GVO enthält dem BDSG ähnelnde Regelungen, aber keine identischen. Ein § 5 S. 1 BDSG entsprechendes Verbot zur unbefugten Verarbeitung personenbezogener Daten ergibt sich aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 DS-GVO, wodurch das Datengeheimnis nach wie vor begründet ist. Eine vertragliche Verpflichtung, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden oder einer gesetzlichen Verschwiegenheitspflicht unterliegen, findet sich im Rahmen der Auftragsverarbeitung in Art. 28 45 Abs. 3 DSGVO) oder wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b DS-GVOi.V.m. Dies gilt sowohl für die beim Auftraggeber als 47 DSGVO), möglich ist auch die beim Auftragnehmer eingesetzten Personen. Außerhalb der Auftragsverarbeitung kennt die DS-GVO jedoch keine entsprechende Verpflichtung. Eine § 5 S. 3 BDSG entsprechende Regelung, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht, findet sich in dieser Form in der DS-GVO nicht.21 Grundsätzlich ergibt sich ein Verbot der Weitergabe von während einer Tätigkeit erhaltener Informationen nach Beendigung der Tätigkeit aber bereits aus Festlegung durch Standardver- tragsklauseln (Art. 6 46 Abs. 1 bzw2 lit. c und d DSGVO) oder genehmigten Verhaltensregeln (Art 46 Abs. 2 lit. e i.V.m. 40 DSGVO), durch einen genehmigten Zertifizierungsmechanismus (Art. 9 46 Abs. 1 DS-GVO, da 2 lit. f i.V.m. 42 DSGVO) kann ebenfalls ein Erlaubnistatbestand zur Verarbeitung der Daten nur während der Tätigkeit besteht und eine Weitergabe von Daten nach Beendigung der Tätigkeit mangels Verarbeitungserlaubnis demnach verboten ist. Im Rahmen der Auftragsverarbeitung sollten sich die Vertragspartner auf die Inhalte der Verpflichtungserklärung einigen. Grundsätzlich ist hierbei auch ein mögliches Mitbestimmungsrecht von Mitarbeitervertretungen zu beachten. Da derzeit noch keine Musterformulare bzgl. einer Verpflichtung nach § 28 DS-GVO existieren, befindet sich in Anlage 3 auf Seite 94 ein Formulierungsvorschlag. Literatur Xxxxxxxx X, Xxxxxx R. (2016) Auftragsdatenverarbeitung beim Einsatz von Persönlichkeitsanalysetools. DuD: 144-149 Härting N. (2016) Auftragsverarbeitung nach der DSGVO. ITRB: 137-140 Holländer C. (2014) Auftragsdatenverarbeitung: Aus der Praxis der Aufsichtsbehörden. ITRB: 115-116 Koós C, Englisch B. (2014) Eine "neue" Auftragsdatenverarbeitung? - Gegenüberstellung der aktuellen Rechtslage und der DS-GVO in der Fassung des LIBE-Entwurfs. ZD: 276-285 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. in Simitis (HrsgNachweis erfolgen.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Xxxxxxxxxxx § 4 Dauer des Auftrags

Konkretisierung des Auftrags. Meistens wird im eigentlichen Vertrag nicht auf die datenschutzrechtlichen Aspekte wie die Art der Unterstützung (z. B. Administration der Patientenverwaltung) oder die Nennung der betroffenen Personenkategorien (Patienten, Angestellte, Zulieferer usw.) eingegangen, sondern lediglich die technische Funktionalität (beispielsweise durch die Worte „... Gewährleistung der Funktionsfähigkeit der Software XY“) beschrieben. Daher müssen diese Angaben in diesem Abschnitt des AV-Vertrags (§ 2 und in § 2.1) beschrieben werden. Literatur Hoeren T. (2010) Das neue BDSG und die Auftragsverarbeitung. DuD: 688-691 Xxxxxxxx X. (2016) ADV 5.0 – Neugestaltung der Auftragsdatenverarbeitung in Deutschland. RDV: 74-87 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. in Simitis (Hrsg.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Xxxxxxxxxxx § 3 Verantwortlichkeit Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Ziff. 7 DS-GVO). Opt. (2) Die Inhalte dieses AV-Vertrages gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Auftraggeber sowie Auftragnehmer müssen gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dazu müssen alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf das Datengeheimnis verpflichtet und über ihre Datenschutzpflichten belehrt werden. Dabei ist jede Partei für die Verpflichtung des eigenen Personals zuständig. Ferner müssen die eingesetzten Personen darauf hingewiesen werden, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. Kommentierung § 3 Verpflichtung Art. 28 DS-GVO Mit der Anpassung/Änderung des Bundesdatenschutzgesetzes entfällt auch die Verpflichtung auf das Datengeheimnis entsprechend § 5 BDSG. Die DS-GVO enthält dem BDSG ähnelnde Regelungen, aber keine identischen. Ein § 5 S. 1 BDSG entsprechendes Verbot zur unbefugten Verarbeitung personenbezogener Daten ergibt sich aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 DS-GVO, wodurch das Datengeheimnis nach wie vor begründet ist. Eine vertragliche Verpflichtung, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden oder einer gesetzlichen Verschwiegenheitspflicht unterliegen, findet sich im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 lit. b DS-GVO. Dies gilt sowohl für die beim Auftraggeber als auch die beim Auftragnehmer eingesetzten Personen. Außerhalb der Auftragsverarbeitung kennt die DS-GVO jedoch keine entsprechende Verpflichtung. Eine § 5 S. 3 BDSG entsprechende Regelung, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht, findet sich in dieser Form in der DS-GVO nicht.21 nicht.31 Grundsätzlich ergibt sich ein Verbot der Weitergabe von während einer Tätigkeit erhaltener Informationen nach Beendigung der Tätigkeit aber bereits aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 DS-GVO, da ein Erlaubnistatbestand zur Verarbeitung der Daten nur während der Tätigkeit besteht und eine Weitergabe von Daten nach Beendigung der Tätigkeit mangels Verarbeitungserlaubnis demnach verboten ist. Im Rahmen der Auftragsverarbeitung sollten sich die Vertragspartner auf die Inhalte der Verpflichtungserklärung einigen. Grundsätzlich ist hierbei auch ein mögliches Mitbestimmungsrecht von Mitarbeitervertretungen zu beachten. Da derzeit noch keine Musterformulare bzgl. einer Verpflichtung nach § 28 DS-GVO existieren, befindet sich in Anlage 3 auf Seite 94 Error: Reference source not found ein Formulierungsvorschlag. Literatur Xxxxxxxx X, Xxxxxx R. (2016) Auftragsdatenverarbeitung beim Einsatz von Persönlichkeitsanalysetools. DuD: 144-149 Härting N. (2016) Auftragsverarbeitung nach der DSGVO. ITRB: 137-140 Holländer C. (2014) Auftragsdatenverarbeitung: Aus der Praxis der Aufsichtsbehörden. ITRB: 115-116 Koós C, Englisch B. (2014) Eine "neue" Auftragsdatenverarbeitung? - Gegenüberstellung der aktuellen Rechtslage und der DS-GVO in der Fassung des LIBE-Entwurfs. ZD: 276-285 Xxxxx X. (2014) §11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. in Simitis (Hrsg.) Bundesdatenschutzgesetz. 8. Auflage. Nomos Verlagsgesellschaft Xxxxxx X. (2011) §80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. in Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Xxxxxxxxxxx § 4 Dauer des Auftrags