Kontrolle 1. Die zuständige schweizerische Behörde führt bei den schweizerischen Zahlstellen Kontrollen durch, um zu beurteilen, ob und inwieweit sie ihre Pflichten aus diesem Abkommen einhalten. 2. Kontrollen im Zusammenhang mit Teil 2 werden in den ersten drei Jahren nach dem Inkrafttreten dieses Abkommens durchgeführt. Die Kontrollen sollen eine repräsentative Auswahl schweizerischer Zahlstellen erfassen. 3. Kontrollen der schweizerischen Zahlstellen im Zusammenhang mit Teil 3 werden regelmässig durchgeführt. 4. Die zuständige schweizerische Behörde übermittelt der zuständigen Behörde des Vereinigten Königreichs jeweils einen Bericht mit einer Zusammenfassung der Resultate und der wichtigsten Erkenntnisse der im Vorjahr gestützt auf diesen Arti- kel durchgeführten Kontrollen. Dieser Bericht kann veröffentlicht werden.
Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Exportkontrolle Der Besteller anerkennt, dass die Lieferungen den schweizerischen und/oder ausländischen gesetzlichen Bestimmungen und Vorschriften über die Exportkontrolle unterstehen können und ohne Ausfuhr- bzw. Wiederausfuhrbewilligung der zuständigen Behörde weder verkauft, vermietet noch in anderer Weise übertragen oder für einen anderen als den vereinbarten Zweck verwendet werden dürfen. Der Besteller verpflichtet sich, solche Bestimmungen und Vorschriften einzuhalten. Er nimmt zur Kenntnis, dass diese ändern können und auf den Vertrag im jeweils gültigen Wortlaut anwendbar sind.
Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Kontrollrechte des Auftraggebers (1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. (2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. (3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann wahlweise erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS- GVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS- GVO, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) und/oder eine geeignete Zertifizierung durch IT- Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz). (4) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.