Pflichten des Auftragsverarbeiters. 5.1 Allgemeine Pflichten, Art. 28-33 DSGVO
5.1.1 Der Auftragsverarbeiter verpflichtet sich zu einer schriftlichen Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Verantwortlichen auf Anforderung, zum Zweck der direkten Kontaktaufnahme, mitgeteilt.
5.1.2 Soweit seitens des Auftragsverarbeiters eine Erhebung, Verarbeitung und / oder Nutzung der Daten erfolgt, ist dies nur zulässig im Rahmen der vertraglichen Vereinbarungen zwischen Verantwortlichem und Auftragsverarbeiter. Soweit der Auftragsverarbeiter Zugriff auf Daten des Verantwortlichen hat, verwendet er diese nicht für vertragsfremde Zwecke, insbesondere gibt er diese an Dritte nur weiter, soweit hierzu eine gesetzliche Verpflichtung besteht. Kopien von Daten dürfen nur mit Zustimmung des Verantwortlichen erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder Erfüllung vertraglicher oder gesetzlicher Verpflichtungen erforderlich sind.
5.1.3 Der Auftragsverarbeiter stellt die Wahrung der Vertraulichkeit entsprechend Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO sicher. Alle Personen, die auftragsgemäß auf die unter Punkt 4.1 aufgeführten Daten der Verantwortlichen zugreifen könnten, müssen auf die Vertraulichkeit verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
5.1.4 Der Auftragsverarbeiter stellt die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32 DSGVO sicher.
5.1.5 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich bei von ihm oder der bei ihm beschäftigten Personen begangenen Verstößen gegen Datenschutzvorschriften. Gleiches gilt im Falle schwerwiegender Störungen des Betriebsablaufs oder anderen Unregelmäßigkeiten im Umgang mit Daten des Verantwortlichen. Soweit den Verantwortlichen Pflichten nach Art. 32 und 33 DSGVO treffen, hat der Auftragsverarbeiter ihn hierbei zu unterstützen. Soweit den Verantwortlichen Pflichten nach Art. 32-36 DSGVO treffen, z.B. im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte, hat der Auftragsverarbeiter ihn hierbei im Rahmen des Charakters der durch den Auftragsverarbeiter erbrachten Dienstleistung zu unterstützen.
Pflichten des Auftragsverarbeiters. 4.1 Die Verarbeitung personenbezogener Daten der vom Datenverantwortlichen zur Verfügung gestellten Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Auftragsverarbeiter zuständig ist, verlangt, dass der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei d...
Pflichten des Auftragsverarbeiters. (1) Der Auftragsverarbeiter wird die in den Anwendungsbereich der AVV fallenden personenbezogenen Daten des Verantwortlichen nicht für andere Zwecke als die im Vertrag beschriebenen und nur zur Erfüllung seiner Pflichten aus dem Vertrag nutzen.
(2) Der Auftragsverarbeiter wird personenbezogene Daten im Anwendungsbereich dieser AVV unverzüglich berichtigen, löschen oder sperren, wenn der Verantwortliche eine entsprechende Weisung erteilt.
(3) Das Personal des Auftragsverarbeiters, das mit der Durchführung der Verarbeitungstätigkeiten gemäß dieser AVV befasst ist, ist zur Vertraulichkeit zu verpflichten, soweit es nicht bereits einer entsprechenden gesetzlichen Vertraulichkeitspflicht unterliegt.
(4) Der Auftragsverarbeiter wird dem Verantwortlichen einen Ansprechpartner für alle Fragen bezüglich des Datenschutzes im Rahmen des Vertrages benennen.
(5) Der Auftragsverarbeiter wird seine internen Prozesse und die technischen und organisatorischen Maßnahmen regelmäßig überwachen, um sicherzustellen, dass die in seinem Verantwortungsbereich liegende Verarbeitung in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erfolgt.
(6) Der Auftragsverarbeiter wird den Verantwortlichen auf dessen Kosten (entsprechender Aufwand ist zu den jeweils geltenden Sätzen des Auftragsverarbeiters zu vergüten) in angemessener Weise bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO oder entsprechenden Pflichten gemäß sonstigen anwendbaren Datenschutzgesetzen unterstützen.
(7) Der Auftragsverarbeiter darf personenbezogene Daten sowohl in Mitgliedstaaten der Europäischen Union ("EU") oder des Europäischen Wirtschaftsraums ("EWR") als auch außerhalb dieser verarbeiten. Jede Übermittlung personenbezogener Daten in einen Staat, der kein Mitgliedstaat der EU oder des EWR ist, darf nur erfolgen, wenn die speziellen Bedingungen der Art. 44 ff. DSGVO oder die entsprechender Anforderungen anderer anwendbarer Datenschutzgesetze erfüllt sind.
Pflichten des Auftragsverarbeiters. 1.4.1 Der Auftragsverarbeiter wird den Verantwortlichen bei der Umsetzung der Rechte der Betroffenen auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Löschung, Recht auf Datenübertragbarkeit der über sie gespeicherten Daten unterstützen. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks der oben genannten Betroffenenrechte wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
1.4.2 Der Auftragsverarbeiter verpflichtet sich, seine mit der Verarbeitung von Daten des Verantwortlichen befassten Mitarbeiter im Datenschutz zu schulen und auf das Datengeheimnis (Einhaltung der Vertraulichkeit personenbezogener Daten) zu verpflichten.
1.4.3 Der Auftragsverarbeiter teilt dem Verantwortlichen die Kontaktdaten des/der Ansprechpartner für Datenschutz und Informationssicherheit mit. Soweit der Auftragsverarbeiter gesetzlich zur Benennung eines Datenschutzbeauftragten verpflichtet ist, benennt er diesen schriftlich und teilt dem Verantwortlichen den Namen und Kontaktdaten mit.
1.4.4 Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die für die Erfüllung von Meldepflichten, die Führung einer Verfahrensübersicht oder die Durchführung einer Datenschutzfolgenabschätzung notwendigen Informationen zur Verfügung.
1.4.5 Jede Vertragspartei haftet gegenüber der jeweils anderen Vertragspartei für Xxxxxxx aus schuldhaften Verstößen gegen die Regelungen dieser Vereinbarung sowie anwendbare Datenschutzvorschriften. Sofern beide Parteien ein Verschulden trifft, haften sie jeweils gemäß ihres Anteils des Verschuldens.
1.4.6 Der Verantwortliche kann jederzeit die Löschung der unter dieser Vereinbarung verarbeiteten Daten anweisen. Unabhängig hiervon ist der Auftragsverarbeiter verpflichtet, jederzeit auf Verlangen des Verantwortlichen die Daten in einem allgemein lesbaren Format herauszugeben. Nach Ende der Laufzeit dieser Vereinbarung hat der Auftragsverarbeiter die Verpflichtung, die unter dieser Vereinbarung verarbeiteten Daten des Verantwortlichen nach Xxxx des Verantwortlichen in einem allgemein lesbaren Format zurückzugeben oder zu löschen. Im Fall der Löschung muss die Rekonstruktion der Daten ausgeschlossen sein. Der Auftragsverarbeiter wird die vollständige Rückgabe und Löschung der Daten, Vervielfältigungen, Speichermedien nachweisen und in Textform bestätigen. Sofern der Auftragsverarbeiter aufgrund zwingender gesetzlicher Vorschriften die Löschung bestimmter Daten...
Pflichten des Auftragsverarbeiters. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen. Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung sicherzustellen, dass die in Ziffer 7 genannten technischen und organisatorischen Maßnahmen getroffen werden. Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Verantwortlichen die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
Pflichten des Auftragsverarbeiters. 4.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
Pflichten des Auftragsverarbeiters. 4.1 SD wird Personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Weisungen des Auftraggebers verarbeiten. Die Vereinbarung (einschließlich dieses AVV) stellt eine solche dokumentierte Erst-Weisung dar, und jede Nutzung des Cloud Service stellt eine weitere Weisung dar. SD unternimmt alle zumutbaren Anstrengungen, um allen anderen Weisungen des Auftraggebers zu folgen, soweit sie nach Datenschutzrecht erforderlich, technisch durchführbar und ohne Änderungen am Cloud Service möglich sind. Sollte eine der vorgenannten Ausnahmen zu treffen oder SD anderweitig einer Weisung nicht nachkommen können oder der Meinung sein, dass eine Weisung gegen das Datenschutzrecht verstößt, wird SD den Auftraggeber unverzüglich benachrichtigen (E-Mail zulässig).
4.2 SD kann auch Personenbezogene Daten verarbeiten, sofern dies nach geltendem Recht erforderlich ist. In einem solchen Fall wird SD den Auftraggeber vor der Verarbeitung über diese rechtlichen Anforderungen informieren, es sei denn, die betreffende Vorschrift verbietet solche Informationen.
4.3 Zur Verarbeitung Personenbezogener Daten gewähren SD und allfällige Unterauftragsverarbeiter nur befugten Personen Zugang, die sich zur Vertraulichkeit verpflichtet haben. SD und Unterauftragsverarbeiter werden die Personen, die Zugang zu Personenbezogenen Daten haben, regelmäßig in Bezug auf die anwendbaren Datensicherheits- und Datenschutzmaßnahmen schulen.
4.4 Auf Wunsch des Auftraggebers wird SD angemessen mit dem Auftraggeber zusammenarbeiten, um allfällige Anfragen von Betroffenen Personen oder Aufsichtsbehörden bezüglich der Verarbeitung Personenbezogener Daten durch SD zu bearbeiten. SD wird den Auftraggeber so bald wie zumutbar möglich über jede Anfrage informieren, die SD von einer Betroffenen Person im Zusammenhang mit der Verarbeitung Personenbezogener Daten erhalten hat, ohne selbst auf diese Anfrage ohne weitere Weisungen des Auftraggebers zu antworten. SD stellt Funktionen zur Verfügung, die die Fähigkeit des Auftraggebers unterstützen, Personenbezogene Daten aus dem Cloud Service zu berichtigen oder zu löschen oder die Verarbeitung gemäß dem Datenschutzgesetz einzuschränken. Wenn eine solche Funktionalität nicht zur Verfügung gestellt wird, wird SD gemäß den Weisungen des Auftraggebers und dem Datenschutzrecht Personenbezogene Daten berichtigen oder löschen oder deren Verarbeitung einschränken.
4.5 SD wird dem Auftraggeber eine Verletzung des Schutzes Personenbezogener Daten unverzüglich nach Ken...
Pflichten des Auftragsverarbeiters. 1.1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Auftraggebers - auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. So trifft er alle technischen und organisatorischen Maßnahmen zur angemessenen Sicherung der Daten der Auftraggeber vor Missbrauch und Verlust, die den datenschutzrechtlichen Anforderungen (Art. 32 EU- DSGVO) entsprechen. Art. 32 Abs. 1 EU-DSGVO regelt hierzu:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Pflichten des Auftragsverarbeiters. Bei sämtlichen personenbezogenen Daten, die vom Auftragsverarbeiter im Rahmen dieser Vereinbarung verarbeitet werden, handelt es sich um vertrauliche Informationen und der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich den in Anhang 1 dokumentierten Anweisungen gemäß oder auf sonstige, durch den Datenverantwortlichen schriftlich mitgeteilte Weise. Der Auftragsverarbeiter verkauft die im Rahmen dieses DPA verarbeiteten personenbezogenen Daten nicht und wird diese weder speichern, noch nutzen oder personenbezogene Daten außerhalb der direkten Geschäftsbeziehung zwischen dem Auftragsverarbeiter und dem Datenverantwortlichen offenlegen. Der Auftragsverarbeiter entspricht im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sämtlichem geltenden Datenschutzrecht. Sollte der Auftragsverarbeiter der Auffassung sein, dass die Befolgung der Anweisungen des Datenverantwortlichen zu einer Verletzung geltenden Datenschutzrechts führt, teilt der Auftragsverarbeiter dem Datenverantwortlichen dies unverzüglich schriftlich mit. Der Auftragsverarbeiter stellt dem Datenverantwortlichen daraufhin sämtliche erforderlichen Informationen zur Verfügung, die belegen, wie der Auftragsverarbeiter seinen Pflichten im Rahmen dieses DPA entspricht.
Pflichten des Auftragsverarbeiters. 4.1. Der Auftragsverarbeiter verpflichtet sich, alle Daten, die er vom Verantwortlichen empfängt, ausschließlich gemäß den Anweisungen des Verantwortlichen oder den Vereinbarungen mit dem Verantwortlichen und nur im Zusammenhang mit dieser Vereinbarung zu verarbeiten.
4.2. Der Auftragsverarbeiter hat
a) alle personenbezogenen Daten streng vertraulich zu behandeln sowie ein solches Maß an Sorgfalt anzuwenden, das angemessen ist, um einen unbefugten Zugriff, Gebrauch oder Offenlegung zu vermeiden;
b) personenbezogene Daten, sowie den Zugang zu diesen, ausschließlich nur für die Erbringung der Dienstleistung Drei IN Plattform und somit für jene Zwecke zu verarbeiten, die in dieser Vereinbarung für die Drei IN Plattform bestimmt werden. Der Gebrauch, der Verkauf, der Verleih, die Übertragung, die Verbreitung sowie die Veröffentlichung oder jede andere Form der Verarbeitung der personenbezogenen Daten für eigene Zwecke des Auftragsverarbeiters oder für die Zwecke von Dritten ist ausschließlich nur mit schriftlicher Zustimmung des Verantwortlichen gestattet;
c) auf keinen Fall direkt oder indirekt personenbezogene Daten ohne ausdrückliche schriftliche Zustimmung an nicht autorisierte Personen zu übermitteln, es sei denn die Übermittlung wird aufgrund von Rechtsvorschriften bzw. von einer Behörde gefordert. In einem solchen Fall hat der Auftragsverarbeiter (i) alle Anstrengungen zu unternehmen um den Verantwortlichen noch vor der Übermittlung zu informieren und falls dies nicht möglich ist, hat diese Information möglichst unmittelbar danach zu erfolgen; (ii) für die Handlungen und Unterlassungen von unbefugten Dritten die Verantwortung gegenüber dem Verantwortlichen so zu tragen, als wären es die Handlungen und Unterlassungen des Auftragsverarbeiters.