Pflichten des Auftragsverarbeiters. 4.1 Die Verarbeitung personenbezogener Daten der vom Datenverantwortlichen zur Verfügung gestellten Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Auftragsverarbeiter zuständig ist, verlangt, dass der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt. 4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben. 4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen. 4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten. 4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren. 4.6 Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen. 4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten. 4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen. 4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden. 4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 36 der Datenschutz-Grundverordnung unterstützen. Diese Unterstützung berücksichtigt die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Daten.
Appears in 3 contracts
Samples: Data Processing Agreement, Data Processing Agreement, Datenverarbeitungsvertrag
Pflichten des Auftragsverarbeiters. 4.1 Die Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen, sofern er nicht zu einer anderen Verarbeitung personenbezogener Daten der vom Datenverantwortlichen zur Verfügung gestellten Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaatesder Mitgliedstaaten, der für den Auftragsverarbeiter zuständig ist, verlangt, dass dem der Auftragsverarbeiter die unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss einem solchen Fall teilt der Auftragsverarbeiter den Datenverantwortlichen dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nichtmit, wenn diese Rechtsvorschriften sofern das betreffende Recht eine solche Information aus Mitteilung nicht wegen eines wichtigen Gründen des öffentlichen Interesses verbietenverbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informierenverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn eine Anweisung aus Sicht insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Verantwortlichen nicht erstellt. Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifensichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, einschließlich etwaiger zusätzlicher Maßnahmendass die für den Verantwortlichen verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die erforderlich sindvom Verantwortlichen stammen bzw. für den Verantwortlichen genutzt werden, um werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung sicherzustellen, dass die in Abschnitt 1.2 im Anhang genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet technischen und organisatorischen Maßnahmen getroffen werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei Bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 nach Art. 12 bis 22 DSGVO durch den Verantwortlichen, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Grundverordnung vorgesehen Folgeabschätzungen des Verantwortlichen hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Verantwortlichen soweit möglich angemessen zu reagieren.
4.6 unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DSGVO). Er hat die dazu erforderlichen Angaben dem Verantwortlichen unverzüglich an folgende Stelle weiterzuleiten: Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Verantwortlichen nach Überprüfung bestätigt oder geändert wird. Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu bearbeitenberichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Verantwortliche dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn Unabhängig davon hat der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitetaus dem Auftragsverhältnis zu berichtigen, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigenzu löschen oder deren Verarbeitung einzuschränken, wenn der Verdacht bestehtWeisung des Verantwortlichen ein berechtigter Anspruch des Betroffenen aus Art. 16, 17 und 18 DSGVO zugrunde liegt. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Verantwortlichen erteilen. Der Auftragsverarbeiter erklärt sich damit einverstanden, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten der Verantwortliche - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im Zusammenhang angemessenen und erforderlichen Umfang selbst oder durch vom Verantwortlichen beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Verantwortliche kann die Einhaltung eines genehmigten Zertifizierungsverfahrens gem. Art. 42 DSGVO durch den Auftragsverarbeiter als Faktor heranziehen, um die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen zu beurteilen. Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragsverarbeiters) ist nur mit Zustimmung des Verantwortlichen gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten aufgetreten sinddes Verantwortlichen die Vertraulichkeit zu wahren. Die Frist Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Benachrichtigung Zeit ihrer Tätigkeit wie auch nach Beendigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststelltBeschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, überwacht die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen bei der Einhaltung der Pflichten datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragsverarbeiter ist als Beauftragte(r) für den Datenschutz Herr/Frau (Vorname, Name, Organisationseinheit, Telefon) bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich mitzuteilen. oder Ein betrieblicher Datenschutzbeauftragter ist beim Auftragsverarbeiter nicht bestellt, da die gesetzliche Notwendigkeit für die Verarbeitung eine Bestellung nicht vorliegt. Sofern einschlägig: Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen gemäß Artikel 32 bis 36 der Datenschutz-Grundverordnung unterstützenüber den Ausschluss von genehmigten Verhaltensregeln nach Art. Diese Unterstützung berücksichtigt die Art der Verarbeitung 41 Abs. 4 DSGVO und die dem Auftragsverarbeiter zur Verfügung stehenden Datenden Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.
Appears in 2 contracts
Samples: Data Processing Agreement, Data Processing Agreement
Pflichten des Auftragsverarbeiters. 4.1 Die Verarbeitung personenbezogener Daten der vom Datenverantwortlichen zur Verfügung gestellten Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Auftragsverarbeiter zuständig ist, verlangt, dass der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. (a) Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informierensetzt wirtschaftlich angemessene Maßnahmen ein, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen damit die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher MaßnahmenPersonen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der vom Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt für den Datenverantwortlichen dieses AVV ermächtigt sind, vor allem die Arbeitnehmer des Auftragsverarbeiters sowie Arbeitnehmer aller Unterverarbeiter, sich zur Vertraulichkeit Geheimhaltung verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen und dass Personen, die Zugriff auf die personenbezogenen Daten haben, diese personenbezogenen Daten unter gesetzlichen Vertraulichkeitspflichten stehenEinhaltung des vorliegenden AVV verarbeiten.
4.4 Wenn (b) Der Auftragsverarbeiter setzt kaufmännisch angemessene Maßnahmen zur Umsetzung und Instandhaltung der Datenverantwortliche dies verlangttechnischen und organisatorischen Maßnahmen laut Anlage 1 zum vorliegenden AVV ein. Der Auftragsverarbeiter kann die technischen und organisatorischen Maßnahmen von Zeit zu Zeit ändern, muss sofern die geänderten technischen und organisatorischen Maßnahmen insgesamt nicht weniger Schutz bieten als in Anlage 2 angeführt. Umfangreiche Änderungen der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Datentechnischen und organisatorischen Maßnahmen werden dem Datenverantwortlichen dieses AVV mitgeteilt.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren.
4.6 (c) Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen sendenergreift wirtschaftlich angemessene Maßnahmen, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss um dem Datenverantwortlichen alle Daten dieses AVV sämtliche Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung von Artikel der Pflichten des Auftragsverarbeiters laut Art. 28 der Datenschutz-Grundverordnung DSGVO und des Vertrags diesem AVV erforderlich sind.
(d) Der Auftragsverarbeiter ergreift wirtschaftlich angemessene Maßnahmen, um auf Anfrage des Datenverantwortlichen dieses AVV einen von einer unabhängigen Drittpartei angefertigten Prüfbericht bereitzustellen. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Ein solcher Prüfbericht kann jedoch nur einmal jährlich und auf Kosten des Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt dieses AVV angefordert werden.
4.10 Darüber hinaus muss (e) Der Auftragsverarbeiter ist verpflichtet, den Datenverantwortlichen dieses AVV innerhalb von achtundvierzig (48) Stunden über Folgendes zu informieren: • jede rechtsverbindliche Anfrage auf Offenlegung der personenbezogenen Daten einer Vollzugsbehörde, sofern dies nicht anderweitig verboten ist, wie beispielsweise ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit strafrechtlicher Ermittlungen; und • sämtliche direkt von einer betroffenen Person stammenden Beschwerden und Anfragen (z. B. in Bezug auf Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Datenverarbeitung, automatisierte Entscheidungsfindung) ohne diese Anfrage zu beantworten, außer wenn der Auftragsverarbeiter hierfür vom Datenverantwortlichen dieses AVV ermächtigt wurde, oder (ii) im Fall einer Sicherheitsverletzung, von der der Auftragsverarbeiter Kenntnis erlangt.
(f) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um den Datenverantwortlichen dieses AVV bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 36 der seiner Pflicht zur eventuell erforderlichen Durchführung einer Datenschutz-Grundverordnung Folgenabschätzung laut Art. 35 DSGVO und der vorherigen Konsultation nach Art. 36 DSGVO zu unterstützen. Diese Unterstützung berücksichtigt , die Art sich auf die vom Auftragsverarbeiter an den Datenverantwortlichen dieses AVV laut dem vorliegenden AVV erbrachten Dienstleistungen beziehen, in dem er dem Datenverantwortlichen dieses AVV die erforderlichen und verfügbaren Informationen zur Verfügung stellt; außerordentliche Kosten hierfür trägt der Verarbeitung Kunde.
(g) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um die personenbezogenen Daten nach Abschluss der Dienstleistungserbringung nicht mehr zu verarbeiten und die dem sämtliche vorhandenen Kopien zu löschen, es sei denn, das Recht der Europäischen Union oder des Mitgliedstaats verpflichten den Auftragsverarbeiter zur Verfügung stehenden Aufbewahrung dieser personenbezogenen Daten.
Appears in 1 contract
Samples: Abonnementvertrag Für Software Und Dienstleistungen
Pflichten des Auftragsverarbeiters. 4.1 Die Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung personenbezogener Daten der vom Datenverantwortlichen zur Verfügung gestellten Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaatesder Mitgliedstaaten, der für den Auftragsverarbeiter zuständig ist, verlangt, dass dem der Auftragsverarbeiter die unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss einem solchen Fall teilt der Auftragsverarbeiter den Datenverantwortlichen dem Verantwortlichen/Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nichtmit, wenn diese Rechtsvorschriften sofern das betreffende Recht eine solche Information aus Mitteilung nicht wegen eines wichtigen Gründen des öffentlichen Interesses verbietenverbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informierenverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn eine Anweisung aus Sicht insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Auftraggebers nicht erstellt. Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die erforderlich sind, um sicherzustellenvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die in Abschnitt 1.2 genannten personenbezogenen für den Auftraggeber verarbeiteten Daten nicht versehentlich oder rechtswidrig vernichtet von sonstigen Datenbeständen strikt getrennt werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz . Der Auftragsverarbeiter hat über die Verarbeitung personenbezogener gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: • Verfügbarkeitskontrolle der Daten (Persondataloven) verstößtdurch mindestens tägliche Datensicherung Das Ergebnis der Kontrollen ist zu dokumentieren. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei Bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Grundverordnung vorgesehen Folgeabschätzungen des Auftraggebers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu reagieren.
4.6 unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: • an die folgende Funktion: Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (SubArt. 28 Abs. 3 Satz 3 DS-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der GVO). Der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeitendie Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Auf Verlangen des Datenverantwortlichen muss der Der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn der Auftragsverarbeiter hat personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitetaus dem Auftragsverhältnis zu berichtigen, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigenzu löschen oder deren Verarbeitung einzuschränken, wenn der Verdacht bestehtAuftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragsverarbeiter erklärt sich damit einverstanden, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im Zusammenhang angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit/Home Office von Beschäftigten des Auftragsverarbeiters) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Verarbeitung Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der personenbezogenen Daten aufgetreten DS-GVO bekannt sind. Die Frist Er verpflichtet sich, auch folgende für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, diesen Auftrag relevanten Geheimnisschutzregeln zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellenbeachten, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutzdem Auftraggeber obliegen: +00 (0) 000 000 00 00 Berliner Volksbank Xxxxxxxxxxxx. 00-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 36 der Datenschutz-Grundverordnung unterstützen. Diese Unterstützung berücksichtigt die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Daten.00 00000 Xxxxxx
Appears in 1 contract
Samples: Data Processing Agreement
Pflichten des Auftragsverarbeiters. 4.1 Die Der Auftragsverarbeiter ist verpflichtet,
a. ausschließlich dokumentierte Weisungen des Verantwortlichen im Hinblick auf die Verarbeitung personenbezogener Personenbezogener Daten im Auftrag zu befolgen. Diese Verpflichtung gilt auch im Hinblick auf die Übermittlung Personenbezogener Daten in einen Drittstaat. Sofern der vom Datenverantwortlichen zur Verfügung gestellten Daten durch Auftragsverarbeiter nach EU-Recht oder dem Recht eines Mitgliedstaats, das auf den Auftragsverarbeiter muss anwendbar ist, verpflichtet ist, Personenbezogene Daten in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und einen Drittstaat zu übermitteln, teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Weisungen werden im Servicevertrag, diesem AV-Vertrag und/oder sonst in dokumentierter Form erteilt.
b. Personenbezogene Daten für keinen anderen Zweck zu verarbeiten, als zur Erbringung der Dienste gegenüber dem Verantwortlichen.
c. den Verantwortlichen sofort zu informieren, sofern der Auftragsverarbeiter der Meinung ist, eine Weisung des Verantwortlichen verstoße gegen anwendbares Datenschutzrecht und diesen aufzufordern, die entsprechende Weisung zurückzunehmen, abzuändern oder zu bestätigen. Der Auftragsverarbeiter ist darüber hinaus verpflichtetberechtigt, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht die Umsetzung der Europäischen Union entsprechenden Weisung auszusetzen, solange die Entscheidung über die Rücknahme, Änderung oder das Recht eines EU-MitgliedstaatesBestätigung der Weisung aussteht.
d. sicherzustellen, der dass Personen, die vom Auftragsverarbeiter befugt sind, Personenbezogene Daten für den Verantwortlichen zu verarbeiten, im Hinblick auf das anwendbare Datenschutzrecht angemessen informiert, geschult und angewiesen sind und sich schriftlich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter zuständig ist, verlangtwird sicherstellen, dass der Auftragsverarbeiter solche befugten Personen das anwendbare Datenschutzrecht auch nach deren jeweiliger Beschäftigungszeit beachten.
e. bevor Personenbezogene Daten verarbeitet werden, die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten mussAnhang 2 näher beschriebenen, den Anforderungen des anwendbaren Datenschutzrechts entsprechenden Technischen und Organisatorischen Maßnahmen umzusetzen und sicherzustellen, dass diese Technischen und Organisatorischen Maßnahmen dem Verantwortlichen ausreichende Garantien bieten.
f. den Verantwortlichen im Rahmen des Möglichen durch angemessene Technische und Organisatorische Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen zur Beantwortung von Anfragen in Ausübung der Betroffenenrechte betreffend Information, Auskunft, Berichtigung und Löschung, Einschränkung der Verarbeitung, Benachrichtigung, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungen, zu unterstützen.
g. Maßnahmen zu ergreifen, die der Verantwortliche zur Erfüllung der Rechte der Betroffenen Personen gemäß anwendbarem Datenschutzrecht anfordert oder anweist. Insbesondere muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung Informationen über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößtauf Antrag ergriffenen Maßnahmen ohne schuldhaftes Zögern beziehungsweise zeitnah zur Verfügung stellen.
4.2 Der Auftragsverarbeiter muss h. dem Verantwortlichen alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher MaßnahmenInformationen zur Verfügung zu stellen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößtEinhaltung der Bestimmungen dieses AV-Vertrags und Art. Diese Maßnahmen werden in Anhang 1 näher beschrieben28 DSGVO nachzuweisen.
4.3 Der Auftragsverarbeiter muss sicherstelleni. Audits zu ermöglichen und daran mitzuwirken, dass Mitarbeitereinschließlich Überprüfungen, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben Verantwortliche oder unter gesetzlichen Vertraulichkeitspflichten stehenein anderer vom Verantwortlichen beauftragter Xxxxxx vornimmt.
4.4 Wenn j. den Verantwortlichen unverzüglich zu informieren:
(i) über jegliche bindende Anfrage einer Strafverfolgungsbehörde auf Offenlegung Personenbezogener Daten, sofern dies nicht anderweitig verboten ist, bspw. aufgrund eines strafrechtlichen Verbots zum Schutze der Datenverantwortliche dies verlangtVertraulichkeit des Ermittlungsverfahrens.
(ii) über unmittelbar an ihn adressierte Beschwerden und Anfragen betroffener Personen (bspw. im Hinblick auf Auskunft, muss Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Datenverarbeitung, automatisierte Entscheidungsfindung), ohne solche Anfragen zu beantworten, sofern er nicht hierzu ermächtigt wurde.
(iii) nachdem der Auftragsverarbeiter angeben und/von einer Verletzung des Schutzes Personenbezogener Daten beim Auftragsverarbeiter oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse bei seinem Unterauftragsverarbeiter Kenntnis erlangt hat. Im Falle einer solchen Verletzung des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss Schutzes Personenbezogener Daten wird der Auftragsverarbeiter den Datenverantwortlichen Verantwortlichen bei der Aufklärung der Verletzung des Schutzes Personenbezogener Daten und der Erfüllung der Pflicht des Verantwortlichen zur Benachrichtigung der Betroffenen Personen und der Aufsichtsbehörde, soweit wie möglich durch geeignete technische eine solche jeweils besteht, unterstützen und organisatorische Maßnahmen die Verletzung des Schutzes Personenbezogener Daten dokumentieren.
k. den Verantwortlichen bei jeglicher Datenschutzfolgenabschätzung und vorherigen Konsultation, soweit anwendbar, zu unterstützen, die sich auf die von dem Auftragsverarbeiter für den Verantwortlichen erbrachten Dienste und die im Auftrag des Verantwortlichen verarbeiteten Personenbezogenen Daten beziehen.
l. Zuständige Aufsichtsbehörde für den Verantwortlichen teilt der Verantwortliche dem Auftragsverarbeiter schriftlich mit. Zuständige Aufsichtsbehörde für den Auftragsverarbeiter ist der Berliner Beauftragte für den Datenschutz und Informationsfreiheit.
m. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagierenihrer Aufgaben zusammen.
4.6 Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der n. Beim Auftragsverarbeiter ist berechtigtals betrieblicher Datenschutzbeauftragter bestellt: Xxxxxxxxx Xxxxxx, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss interner Datenschutzbeauftragter der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützenRedGecko GmbH, Telefon: +49 (0) 30 / 000 00 00 00, E-Mail: xxxxxxxxxxx@xxxxxxxx.xx.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 36 der Datenschutz-Grundverordnung unterstützen. Diese Unterstützung berücksichtigt die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Daten.
Appears in 1 contract
Samples: Auftragsdatenverarbeitungsvertrag
Pflichten des Auftragsverarbeiters. 4.1 Die Der Auftragsverarbeiter verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Vereinbarung mit dem Verantwortlichen zu verarbeiten. Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Verantwortlichen herauszugeben, so hat er - sofern gesetzlich zu- lässig - den Verantwortlichen unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung personenbezogener der Daten für eigene Zwecke des Auftragsverarbeiters einer schriftlichen Genehmigung. Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle mit der vom Datenverantwortlichen Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Verfügung gestellten Daten durch Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsver- pflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht. Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleis- tung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat. Der Auftragsverarbeiter ergreift die technischen und organisatorischen Maßnahmen, damit der Verant- wortliche die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichti- gung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen ge- richtet und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Auftragsverarbeiter zuständig ist, verlangtlässt dieser erkennen, dass der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten mussAntragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenanwendung hält, muss hat der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbietenAntrag unverzüglich an den Ver- antwortlichen weiterzuleiten und dies dem Antragsteller mitzuteilen. Der Auftragsverarbeiter muss unterstützt den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren.
4.6 Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen Verantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schut- zes personenbezogener Daten betroffenen Person, Datenschutz-Grundverordnung unterstützenFolgeabschätzung, vorherige Konsulta- tion). Diese Unterstützung berücksichtigt die Art Dem Verantwortlichen wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht je- derzeitiger Einsichtnahme und die Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbei- tungseinrichtungen eingeräumt. Der Auftragsverarbeiter verpflichtet sich, dem Auftragsverarbeiter Verantwortlichen jene In- formationen zur Verfügung stehenden Datenzu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genann- ten Verpflichtungen notwendig sind. Der Auftragsverarbeiter ist nach Beendigung der Datenverarbeitung auf Basis dieser Vereinbarung ver- pflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, zu vernichten. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Verantwortlichen verstößt gegen Datenschutzbestimmungen der Union oder der Mit- gliedstaaten. Alle Datenverarbeitungstätigkeiten werden grundsätzlich innerhalb der EU bzw. des EWR durchgeführt. Sofern eine Partei der Grundsatzvereinbarung Datenverarbeitungstätigkeiten zumindest zum Teil auch außerhalb der EU bzw. des EWR durchführt bzw. durchführen lässt, ist dies im Vorfeld schriftlich zu mel- den. Dabei sind jedenfalls die Staaten zu nennen, in denen die Datenverarbeitung stattfindet und nachzu- weisen, dass in diesen Staaten ein angemessenes Datenschutzniveau vorherrscht. Ein angemessenes Da- tenschutzniveau wird begründet durch: • einen Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO. • einer Ausnahme für den bestimmten Fall nach Art 49 Abs. 1 DSGVO. • verbindliche interne Datenschutzvorschriften nach Art 47 iVm Art 46 Abs. 2 lit b DSGVO. • Standarddatenschutzklauseln nach Art 46 Abs. 2 lit c und d DSGVO. • genehmigte Verhaltensregeln nach Art 46 Abs. 2 lit e iVm Art 40 DSGVO. • einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs. 2 lit f iVm Art 42 DSGVO. • von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs. 3 lit a DSGVO. • einer Ausnahme für den Einzelfall nach Art 49 Abs. 1 Unterabsatz 2 DSGVO.
Appears in 1 contract
Samples: Grundsatzvereinbarung
Pflichten des Auftragsverarbeiters. 4.1 Die Verarbeitung personenbezogener 3.1 Ungeachtet anderslautender Bestimmungen im Servicevertrag wird HP in Bezug auf personenbezogene Daten der vom Datenverantwortlichen zur Verfügung gestellten des Kunden:
3.1.1 personenbezogene Daten durch den Auftragsverarbeiter muss des Kunden nur in Übereinstimmung mit den dokumentierten Anweisungen des Datenverantwortlichen erfolgen Kunden verarbeiten (die spezifischer oder allgemeiner Natur sein können, wie im Servicevertrag festgelegt oder wie anderweitig zwischen den Parteien vereinbart). Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, darf HP in dem Maße, in dem das CCPA Anwendung findet, die personenbezogenen Daten des Kunden nicht zu einem anderen Zweck als dem spezifischen Zweck der Erbringung der Dienste verkaufen. Ungeachtet des Vorstehenden kann HP personenbezogene Kundendaten verarbeiten, wenn dies nach geltendem Recht erforderlich ist. In diesem Fall wird HP angemessene Maßnahmen ergreifen, um den Kunden über eine solche Anforderung zu informieren, bevor HP die Daten verarbeitet, es sei denn, das Gesetz verbietet dies;
3.1.2 sicherstellen, dass nur autorisiertes Personal, das eine entsprechende Schulung zum Schutz und zur Handhabung personenbezogener Daten absolviert hat und zur Wahrung der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht Vertraulichkeit der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Auftragsverarbeiter zuständig personenbezogenen Daten des Kunden verpflichtet ist, verlangtZugang zu diesen Daten hat;
3.1.3 geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Zerstörung, dass der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten verarbeiten muss, muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen Kunden ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellenmüssen dem Schaden angemessen sein, dass Mitarbeiterder sich aus einer unbefugten oder unrechtmäßigen Verarbeitung, die zur Verarbeitung einem zufälligen Verlust, einer Zerstörung, einer Beschädigung oder einem Diebstahl der personenbezogenen Daten berechtigt sinddes Kunden ergeben könnte, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehenwobei die Art der zu schützenden personenbezogenen Daten des Kunden zu berücksichtigen ist.
4.4 Wenn der Datenverantwortliche dies verlangt3.1.4 den Kunden unverzüglich und soweit gesetzlich zulässig, muss der Auftragsverarbeiter angeben und/oder dokumentierenüber alle Anfragen von betroffenen Personen informieren, dass der Auftragsverarbeiter die Anforderungen der ihre Rechte gemäß den geltenden Datenschutzgesetze erfülltDatenschutzgesetzen ausüben möchten, einschließlich der Dokumentation der Datenflüsse und auf schriftliches Ersuchen des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Kunden und auf dessen Kosten unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich Kunden durch geeignete technische die Umsetzung geeigneter technischer und organisatorische organisatorischer Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, soweit dies möglich ist, um die Verpflichtung des Kunden zur Beantwortung solcher Anfragen zu erfüllen. Soweit personenbezogene Daten des Kunden dem Kunden nicht über die im Rahmen des Servicevertrags erbrachten Dienste zugänglich sind, wird HP, soweit gesetzlich zulässig und auf Ersuchen Anfrage des Kunden, wirtschaftlich angemessene Anstrengungen unternehmen, um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren.
4.6 Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen Kunden bei der Beantwortung solcher Anfragen und/oder Einwände zu unterstützen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn die Beantwortung solcher Anfragen nach den geltenden Datenschutzgesetzen erforderlich ist;
3.1.5 auf schriftliches Ersuchen des Kunden und auf dessen Kosten, unter Berücksichtigung der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit Art der Verarbeitung und der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem ZeitpunktHP zur Verfügung stehenden Informationen, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen den Kunden bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen Erfüllung seiner Verpflichtungen gemäß Artikel 32 bis 36 der Datenschutz-Grundverordnung DSGVO oder gleichwertiger Bestimmungen der geltenden Datenschutzgesetze unterstützen. Diese Unterstützung berücksichtigt ; und
3.1.6 auf schriftliches Ersuchen des Kunden die Art personenbezogenen Daten des Kunden nach Beendigung der Verarbeitung und Erbringung der Dienste löschen oder an den Kunden zurückgeben, es sei denn, das geltende Recht schreibt die dem Auftragsverarbeiter zur Verfügung stehenden DatenAufbewahrung der personenbezogenen Daten des Kunden vor.
Appears in 1 contract
Samples: Data Processing Agreement
Pflichten des Auftragsverarbeiters. 4.1 Die Verarbeitung personenbezogener 2.a Der Auftragsverarbeiter verpflichtet sich, perso- nenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der vom Datenverantwortlichen zur Verfügung gestellten schriftlichen (E-Mail ausreichend) Aufträge des Verantwortlichen zu ver- arbeiten.
2.b Der Auftragsverarbeiter ist nicht befugt, personen- bezogene Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und Verantwortlichen ohne dessen schriftliche Einwilligung Dritten offenzulegen.
2.c Soweit der Auftragsverarbeiter ist darüber hinaus dazu aufgrund gesetz- licher Bestimmungen verpflichtet ist, hat er den Ver- antwortlichen unverzüglich im Vorhinein zu informie- ren.
2.d Die Übermittlung von personenbezogenen Daten an Dritte, zu der keine gesetzliche Verpflichtung des Auf- tragsverarbeiters besteht, setzt einen schriftlichen (E-Mail ausreichend) Auftrag des Verantwortlichen voraus.
2.e Eine Verarbeitung der personenbezogenen Daten für eigene Zwecke des Auftragsverarbeiters darf nur nach vorherigem schriftlichem (E-Mail ausreichend) Einver- ständnis des Verantwortlichen erfolgen.
2.f Der Auftragsverarbeiter verpflichtet sich zur Wahrung des Datengeheimnisses und erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulich- keit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterlie- gen. Er hat alle mit der Datenverarbeitung betrauten Personen verpflichtet, personenbezogene Daten, die diesen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut oder zugänglich werden, unbeschadet sonstiger gesetzlicher Verschwiegen- heitsverpflichtungen, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung/Be- kanntgabe der Daten besteht. Insbesondere bleibt die Verschwiegenheitsverpflich- tung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
2.g Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle jeweils geltenden Datenschutzgesetze einzuhaltenerforderlichen Maßnahmen zur Gewähr- leistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat. Wenn das Recht Der Auftragsverarbeiter sichert zu, die in Anlage 2 beschriebenen und ausgewählten, dem Risiko ange- messenen, technischen und organisatorischen Maß- nahmen ergriffen zu haben und auch in Zukunft zu ergreifen, um die personenbezogenen Daten vor zufäl- liger oder unrechtmäßiger Zerstörung und vor Verlust zu schützen, um ihre ordnungsgemäße Verarbeitung und die Nichtzugänglichkeit für unbefugte Dritte sicherzustellen. Der Auftragsverarbeiter verpflichtet sich dazu, die technischen und organisatorischen Maßnahmen in obigem Sinne auf dem Stand der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Technik zu halten und nach technischem Fortschritt bzw. geänderter Bedrohungslage zu aktualisieren bzw. anzupassen.
2.h Der Auftragsverarbeiter zuständig ist, verlangtstellt sicher, dass der Auftragsverarbeiter Ver- antwortliche die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten mussRechte der betroffenen Person nach Kapitel III der DSGVO (Information, muss Auskunft, Berich- tigung und Löschung, Datenübertragbarkeit, Wider- spruch sowie automatisierte Entscheidungsfindung im Einzelfall) und unter Berücksichtigung des öster- reichischen Bundesgesetzes zum Schutz natürlicher Personen bei der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (PersondatalovenDSG idgF) verstößtinnerhalb der gesetzlichen Fristen jederzeit erfüllen kann, überlässt dem Verantwort- lichen alle dafür notwendigen Informationen und unterstützt diesen bei der Erfüllung diesbezüglicher Pflichten nach besten Kräften. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellenWird ein entsprechender Antrag, dass Mitarbeitermit dem Betrof- fenenrechte geltend gemacht werden, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentierenan den Auf- tragsverarbeiter gerichtet und ist aus dem Inhalt des Antrages ersichtlich, dass der Auftragsverarbeiter die Anforderungen Antragsteller den Auf- tragsverarbeiter irrtümlich für den Verantwortlichen der geltenden Datenschutzgesetze erfülltvon ihm für den Verantwortlichen durchgeführten Verarbeitungstätigkeit hält, einschließlich hat der Dokumentation der Datenflüsse Auftragsverarbei- ter den Antrag unverzüglich an den Verantwortlichen weiterzuleiten und dies dem Antragsteller unter Be- kanntgabe des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen DatenDatums des Einlangens des Antrages mitzuteilen.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren.
4.6 2.i Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an unterstützt den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen Verantwort- lichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaß- nahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schut- zes personenbezogener Daten betroffenen Person, Datenschutz-Grundverordnung unterstützenFolgeabschätzung, vorherige Konsulta- tion) nach besten Kräften.
2.j Der Auftragsverarbeiter verpflichtet sich, dem Ver- antwortlichen jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Diese Unterstützung berücksichtigt Über Ersuchen des Verantwortlichen wird diesem im Einzelfall auch die Art Erklärung über die Wahrung des Datengeheimnisses hinsichtlich jener Personen vor- gelegt, die mit der Verarbeitung Durchführung des Auftrags betraut sind.
2.k Dem Verantwortlichen wird hinsichtlich der Ver- arbeitung der von ihm überlassenen personenbe- zogenen Daten das Recht eingeräumt, selbst durch qualifizierte und zur Geheimhaltung verpflichtete Mitarbeiter oder durch eine zur Berufsverschwiegen- heit verpflichtete Person (gerichtlich zertifizierter Sachverständiger etc.) beim Auftragsverarbeiter die Ordnungsgemäßheit der Datenverarbeitung nach vor- heriger Ankündigung von mindestens 30 Werktagen (ausgenommen Samstag) auf eigene Kosten zu über- prüfen. Dies während der büroüblichen Zeiten und in Abstimmung mit dem Datenschutzbeauftragten des Auftragsverarbeiters oder einer sonst für den Daten- schutz verantwortlichen Person.
2.l Der Auftragsverarbeiter ist nach Beendigung des Auftrags verpflichtet, dem Verantwortlichen alle Ver- arbeitungsergebnisse und Unterlagen, die vertrags- gegenständliche personenbezogene Daten enthalten, zu übergeben; davon unberührt bleibt die Speicherung der dem Auftragsverarbeiter zur Verfügung stehenden Datenüberlassenen personen- bezogenen Daten und Verarbeitungsergebnisse soweit und solange dieser für seine Leistungen Gewähr zu leisten hat. Nach Ablauf der Gewährleistungsfrist hat der Auf- tragsverarbeiter sämtliche vertragsgegenständliche personenbezogene Daten zu löschen oder diese nach Aufforderung des Verantwortlichen vor Durchführung der Löschung sicher zu verwahren. Dies gilt insbeson- dere, soweit der Auftragsverarbeiter zu einer weiteren Aufbewahrung von personenbezogenen Daten nicht aufgrund zwingender gesetzlicher Bestimmungen ver- pflichtet ist. Über Ersuchen des Verantwortlichen bestätigt der Auftragsverarbeiter die Datenlöschung schriftlich. Wenn der Auftragsverarbeiter die personenbezogenen Daten in einem speziellen technischen Format ver- arbeitet, ist er verpflichtet, die personenbezogenen Daten nach Beendigung des Auftrags entweder in diesem Format oder nach Wunsch des Auftragsver- arbeiters in dem Format, in dem er die personenbezo- genen Daten vom Verantwortlichen erhalten hat oder in einem anderen gängigen Format herauszugeben.
2.m Die Haftung richtet sich nach gesetzlichen Vorschrif- ten und allfälligen datenschutzrechtlichen Haftungs- bestimmungen der Hauptleistungsvereinbarung. Sie ist mit der Höhe eines einjährigen Auftragsvolu- mens der Hauptleistungsvereinbarung gemäß Punkt 1.a begrenzt, sofern darin oder gesetzlich keine für den Auftragsverarbeiter günstigere Regelung besteht.
Appears in 1 contract
Samples: Postauftrag
Pflichten des Auftragsverarbeiters. 4.1 Die (a) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, sodass vom Auftragsverarbeiter zur Verarbeitung personenbezogener der personenbezogenen Daten für den Verantwortlichen ermächtigte Personen, vor allem die Arbeitnehmer des Auftragsverarbeiters sowie Arbeitnehmer aller Unterverarbeiter, sich zur Geheimhaltung verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen und dass Personen, die Zugriff auf die personenbezogenen Daten haben, diese personenbezogenen Daten unter Einhaltung des vorliegenden AVV verarbeiten.
(b) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen zur Umsetzung und Instandhaltung der vom Datenverantwortlichen technischen und organisatorischen Maßnahmen laut Anlage 1 zum vorliegenden AVV ein. Unter der Voraussetzung, dass geänderte technische und organisatorische Maßnahmen insgesamt nicht weniger Schutz bieten als die in Anlage 2 aufgeführten, kann der Auftragsverarbeiter die technischen und organisatorischen Maßnahmen jeweils ändern. Umfangreiche Änderungen der technischen und organisatorischen Maßnahmen werden dem Verantwortlichen mitgeteilt.
(c) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um dem Verantwortlichen sämtliche zum Nachweis der Einhaltung der Pflichten des Auftragsverarbeiters laut Art. 28 DSGVO und diesem AVV erforderlichen Informationen zur Verfügung gestellten zu stellen.
(d) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um auf Anfrage des Verantwortlichen einen von einer unabhängigen Drittpartei angefertigten Prüfbericht bereitzustellen, ein solcher Prüfbericht kann jedoch nur einmal jährlich und auf Kosten des Verantwortlichen angefordert werden.
(e) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen innerhalb von achtundvierzig (48) Stunden über Folgendes zu informieren: • jede rechtsverbindliche Anfrage auf Offenlegung der personenbezogenen Daten durch einer Vollstreckungsbehörde, sofern dies nicht anderweitig verboten ist, wie beispielsweise ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit strafrechtlicher Ermittlungen; und • sämtliche direkt von einer betroffenen Person stammenden Beschwerden und Anfragen (z. B. in Bezug auf Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Datenverarbeitung, automatisierte Entscheidungsfindung) ohne diese Anfrage zu beantworten, außer wenn der Auftragsverarbeiter vom Verantwortlichen hierfür ermächtigt wurde, oder (ii) im Fall einer Sicherheitslücke, über das der Auftragsverarbeiter Kenntnis erlangt.
(f) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um den Auftragsverarbeiter muss Verantwortlichen in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen seiner Pflicht zur eventuell erforderlichen Durchführung einer Datenschutz-Folgenabschätzung laut Art. 35 DSGVO und der vorherigen Konsultation nach Art. 36 DSGVO zu unterstützen, die sich auf die vom Auftragsverarbeiter ist darüber hinaus verpflichtetan den Verantwortlichen laut dem vorliegenden AVV erbrachten Dienstleistungen beziehen, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn in dem er dem Verantwortlichen die erforderlichen und verfügbaren Informationen zur Verfügung stellt; außerordentliche Kosten hierfür trägt der Kunde.
(g) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um die personenbezogenen Daten nach Abschluss der Dienstleistungserbringung nicht mehr zu verarbeiten und sämtliche vorhandenen Kopien zu löschen, es sei denn, das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für des Mitgliedstaats verpflichten den Auftragsverarbeiter zuständig ist, verlangt, dass der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von Aufbewahrung dieser personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren.
4.6 Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 36 der Datenschutz-Grundverordnung unterstützen. Diese Unterstützung berücksichtigt die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Daten.
Appears in 1 contract
Samples: Subscription Agreement
Pflichten des Auftragsverarbeiters. 4.1 Die Verarbeitung personenbezogener Daten der vom Datenverantwortlichen zur Verfügung gestellten Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Auftragsverarbeiter zuständig ist, verlangt, dass der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. (a) Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informierensetzt wirtschaftlich angemessene Maßnahmen ein, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen damit die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher MaßnahmenPersonen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der vom Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt für den Datenverantwortlichen dieses AVV ermächtigt sind, vor allem die Arbeitnehmer des Auftragsverarbeiters sowie Arbeitnehmer aller Unterverarbeiter, sich zur Vertraulichkeit Geheimhaltung verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen und dass Personen, die Zugriff auf die personenbezogenen Daten haben, diese personenbezogenen Daten unter gesetzlichen Vertraulichkeitspflichten stehenEinhaltung des vorliegenden AVV verarbeiten.
4.4 Wenn (b) Der Auftragsverarbeiter setzt kaufmännisch angemessene Maßnahmen zur Umsetzung und Instandhaltung der Datenverantwortliche dies verlangttechnischen und organisatorischen Maßnahmen laut Anlage 1 zum vorliegenden AVV ein. Der Auftragsverarbeiter kann die technischen und organisatorischen Maßnahmen von Zeit zu Zeit ändern, muss sofern die geänderten technischen und organisatorischen Maßnahmen insgesamt nicht weniger Schutz bieten als in Anlage 2 angeführt. Umfangreiche Änderungen der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Datentechnischen und organisatorischen Maßnahmen werden dem Datenverantwortlichen dieses AVV mitgeteilt.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren.
4.6 (c) Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen sendenergreift wirtschaftlich angemessene Maßnahmen, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss um dem Datenverantwortlichen alle Daten dieses AVV sämtliche Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung von Artikel der Pflichten des Auftragsverarbeiters laut Art. 28 der Datenschutz-Grundverordnung DSGVO und des Vertrags diesem AVV erforderlich sind.
(d) Der Auftragsverarbeiter ergreift wirtschaftlich angemessene Maßnahmen, um auf Anfrage des Datenverantwortlichen dieses AVV einen von einer unabhängigen Drittpartei angefertigten Prüfbericht bereitzustellen. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Ein solcher Prüfbericht kann jedoch nur einmal jährlich und auf Kosten des Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt dieses AVV angefordert werden.
4.10 Darüber hinaus muss (e) Der Auftragsverarbeiter ist verpflichtet, den Datenverantwortlichen dieses AVV innerhalb von achtundvierzig (48) Stunden über Folgendes zu informieren: jede rechtsverbindliche Anfrage auf Offenlegung der personenbezogenen Daten einer Vollzugsbehörde, sofern dies nicht anderweitig verboten ist, wie beispielsweise ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit strafrechtlicher Ermittlungen; und sämtliche direkt von einer betroffenen Person stammenden Beschwerden und Anfragen (z. B. in Bezug auf Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Datenverarbeitung, automatisierte Entscheidungsfindung) ohne diese Anfrage zu beantworten, außer wenn der Auftragsverarbeiter hierfür vom Datenverantwortlichen dieses AVV ermächtigt wurde, oder (ii) im Fall einer Sicherheitsverletzung, von der der Auftragsverarbeiter Kenntnis erlangt.
(f) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um den Datenverantwortlichen dieses AVV bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 36 der seiner Pflicht zur eventuell erforderlichen Durchführung einer Datenschutz-Grundverordnung Folgenabschätzung laut Art. 35 DSGVO und der vorherigen Konsultation nach Art. 36 DSGVO zu unterstützen. Diese Unterstützung berücksichtigt , die Art sich auf die vom Auftragsverarbeiter an den Datenverantwortlichen dieses AVV laut dem vorliegenden AVV erbrachten Dienstleistungen beziehen, in dem er dem Datenverantwortlichen dieses AVV die erforderlichen und verfügbaren Informationen zur Verfügung stellt; außerordentliche Kosten hierfür trägt der Verarbeitung Kunde.
(g) Der Auftragsverarbeiter setzt wirtschaftlich angemessene Maßnahmen ein, um die personenbezogenen Daten nach Abschluss der Dienstleistungserbringung nicht mehr zu verarbeiten und die dem sämtliche vorhandenen Kopien zu löschen, es sei denn, das Recht der Europäischen Union oder des Mitgliedstaats verpflichten den Auftragsverarbeiter zur Verfügung stehenden Aufbewahrung dieser personenbezogenen Daten.
Appears in 1 contract
Samples: Abonnementvertrag Für Software Und Dienstleistungen
Pflichten des Auftragsverarbeiters. 4.1 5.1 Der Auftragsverarbeiter hat die ihm im Rahmen des Hauptvertrages bzw. dieser Vereinbarung überlassen Daten, sofern gesetzlich nichts anderes geregelt ist, • ausschließlich entsprechend der getroffenen Vereinbarungen und nach dokumentierten Weisungen der Verantwortlichen zu verarbeiten, • für keine anderen als die vertraglich vereinbarten, insbesondere nicht für eigene oder Zwecke Dritter, zu verwenden, • nicht ohne Einwilligung der Verantwortlichen zu kopieren oder zu duplizieren, • auf Verlangen der Verantwortlichen zu berichtigen, zu löschen oder zu sperren.
5.2 Ein Auftragsverarbeiter, der unter Verstoß gegen die Bestimmungen der einschlägigen Datenschutzgesetze die zwischen den Vertragsparteien festgelegten Zwecke und Mittel der Verarbeitung abändert, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
5.3 Der Auftragsverarbeiter ist, gemäß den datenschutzrechtlichen Bestimmungen, zur Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen verpflichtet. Dabei sind die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken zu berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen zu ermöglichen.
5.4 Soweit sich eine betroffene Person zur Erfüllung ihrer Rechte (z.B. Berichtigung oder Löschung seiner Daten) unmittelbar an den Auftragsverarbeiter wenden sollte, hat er dieses Ersuchen unverzüglich an die Verantwortliche weiterzuleiten. Er hat hierbei im notwendigen Umfang mitzuwirken und die Verantwortliche, soweit möglich, angemessen zu unterstützen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch die Verantwortliche erteilen.
5.5 Der Auftragsverarbeiter ist verpflichtet, die Bestimmungen der einschlägigen Datenschutzgesetzte zu beachten und sich bezüglich aller in dieser Vereinbarung festgelegten Leistungen der Kontrolle der/des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zu unterwerfen.
5.6 Der Auftragsverarbeiter hat an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten gem. Ziffer 4.4 sowie bei erforderlichen Datenschutz- Folgen-Abschätzungen (DSFA) des Verantwortlichen im notwendigen Umfang mitzuwirken. Er hat die Verantwortliche, soweit ihm dies möglich ist, angemessen dabei zu unterstützen und alle hierfür erforderlichen Angaben zur Verfügung zu stellen.
5.7 Die Datenträger, die von der Verantwortlichen stammen bzw. für die Verantwortliche genutzt werden, sind besonders zu kennzeichnen und unterliegen der laufenden - automatisierten - Verwaltung. Eingang und Ausgang der Daten sind entsprechend zu dokumentieren.
5.8 Der Auftragsverarbeiter hat die zu verarbeitenden Daten von sonstigen Datenbeständen strikt zu trennen.
5.9 Der Auftragsverarbeiter hat die Verantwortliche unverzüglich darauf aufmerksam zu machen, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, insbesondere wenn eine von der Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftrags- verarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die Verantwortliche bestätigt oder geändert wird.
5.10 Der Auftragsverarbeiter ist verpflichtet, Kontrollen der Verantwortlichen über die Einhaltung der vertraglich getroffenen Vereinbarungen und der Vorschriften des Datenschutzes im erforderlichen Umfang, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, jederzeit, zu dulden. Der Auftragsverarbeiter hat dabei, soweit erforderlich, bei diesen Kontrollen mitzuwirken. Die Verantwortliche ist berechtigt, sich für diese Kontrollen Dritter zu bedienen. Soweit der Verantlwortliche einen Dritten mit der Durchführung der Kontrollen beauftragt, ist dieser zur Vertraulichkeit verpflichtet. Die Verantwortliche darf keinen Konkurrenten des Auftragsverarbeiters mit der Kontrolle beauftragen.
5.11 Die Verarbeitung personenbezogener von Daten in Privatwohnungen ist nur mit Zustimmung des Verantwortlichen im Einzelfall gestattet. Hierzu gehört insbesondere die Zustimmung durch das Security-Management der vom Datenverantwortlichen zur Verfügung gestellten Daten durch den Verantwortlichen. In diesen Fällen gelten Privatwohnungen als „Arbeitsräume“ im Sinne dieser Vereinbarung. Der Auftragsverarbeiter muss hat vor Vertragsunterzeichnung sicher zu stellen, dass alle Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.
5.12 Die Erbringung der vertraglich vereinbarten Datenverarbeitung darf ausschließlich in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht einem Mitgliedsstaat der Europäischen Union oder das Recht eines EU-Mitgliedstaates, in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stattfinden. Jede Verlagerung in ein Drittland bedarf der für den Auftragsverarbeiter zuständig ist, verlangt, dass vorherigen Zustimmung der Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss, muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nichtVerantwortlichen und darf nur erfolgen, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbietendie besonderen Voraus-setzungen gemäß der Bestimmungen der einschlägigen Datenschutzgesetze für die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen erfüllt sind. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößtNachweis hierfür obliegt allein dem Auftragsverarbeiter.
4.2 5.13 Der Auftragsverarbeiter muss alle notwendigen ist verpflichtet, jederzeit seine internen Prozesse sowie die technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sindMaßnahmen der Datenverarbeitung zu kontrollieren, um sicherzustellenzu gewährleisten, dass die Verarbeitung in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven) verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung Schutz der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagierengewährleistet wird.
4.6 5.14 Der Auftragsverarbeiter hat die Person-/en zu benennen, denen gegenüber die Verantwortliche weisungsbefugt ist (Weisungsempfänger). Diese/r ist/sind in der Anlage C zu benennen, die Vertragsbestandteil ist. Bei einem Wechsel oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen einer längerfristigen Verhinderung einer der benannten Personen an den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, ist der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeitenVerantwortlichen unverzüglich schriftlich der Nachfolger bzw. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützenVertreter mitzuteilen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet5.15 Sollten personenbezogenen Daten, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 36 der Datenschutz-Grundverordnung unterstützen. Diese Unterstützung berücksichtigt die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden DatenVerarbeitung überlassen wurden, durch irgendwelche rechtlichen Maßnahmen in die Hände Dritter gelangen, so hat der Auftragsverarbeiter die Verantwortliche ohne schuldhaftes Zögern darüber zu informieren. Der Auftragsverarbeiter hat den beteiligten Dritten sowie alle in diesem Zusammenhang sonstigen Beteiligten unverzüglich davon in Kenntnis zu setzen, dass die Verfügungsbefugnis an den Daten ausschließlich bei der Verantwortlichen liegt.
5.16 Der Auftragsverarbeiter hat die Bestellung eines Datenschutzbeauftragten vorz- unehmen, soweit er hierzu gesetzlich verpflichtet ist. Hat der Auftragsverarbeiter seinen Sitz außerhalb der Union, hat er einen Vertreter i. S. d. Bestimmungen der einschlägigen Datenschutzgesetze in der Union zu benennen. Der Beauftragte für den Datenschutz und/oder der Vertreter sind ebenfalls in der Anlage C zu benennen. Bei einem Wechsel oder einer längerfristigen Verhinderung des benannten Datenschutzbeauftragten ist der Verantwortlichen unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.
Appears in 1 contract
Samples: Data Privacy & Security
Pflichten des Auftragsverarbeiters. 4.1 Die Verarbeitung personenbezogener a) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der vom Datenverantwortlichen zur Verfügung gestellten schriftlichen (E-Mail ausreichend) Aufträge des Verantwortlichen zu verarbeiten.
b) Der Auftragsverarbeiter ist nicht befugt, personen- bezogene Daten durch den Auftragsverarbeiter muss in Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und Verantwortlichen ohne dessenschriftliche Einwilligung Dritten offenzulegen.
c) Soweit der Auftragsverarbeiter ist darüber hinaus dazu aufgrund gesetzlicher Bestimmungen verpflichtet ist, hat er den Verantwortlichen unverzüglich im Vorhinein zu informieren.
d) Die Übermittlung von personenbezogenen Daten an Dritte, zu der keine gesetzliche Verpflichtung des Auftragsverarbeiters besteht, setzt einen schriftlichen (E-Mail ausreichend) Auftrag des Verantwortlichen voraus.
e) Eine Verarbeitung der personenbezogenen Daten für eigene Zwecke des Auftragsverarbeiters darf nur nachvorherigem schriftlichem (E-Mail ausreichend) Einver- ständnis des Verantwortlichen erfolgen.
f) Der Auftragsverarbeiter verpflichtet sich zur Wahrung des Datengeheimnisses und erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unter- liegen. Er hat alle mit der Datenverarbeitung betrautenPersonen verpflichtet, personenbezogene Daten, die diesen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut oder zugänglich werden, unbeschadet sonstiger gesetzlicher Verschwiegenheits- verpflichtungen, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung/Bekanntgabe der Daten besteht. Insbesondere bleibt die Verschwiegen- heitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
g) Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle jeweils geltenden Datenschutzgesetze einzuhaltenerforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat. Wenn das Recht Der Auftragsverarbeiter sichert zu, die in Anlage 2 beschriebenen und ausgewählten, dem Risiko angemessenen, technischen und organisatorischen Maßnahmen ergriffen zu haben und auch in Zukunft zu ergreifen, um die personenbezogenen Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust zu schützen, um ihre ordnungsgemäße Verarbeitung und die Nichtzugänglichkeit für unbefugte Dritte sicherzustellen. Der Auftragsverarbeiter verpflichtet sich dazu, die technischen und organisatorischen Maßnahmen in obigem Sinne auf dem Stand der Europäischen Union oder das Recht eines EU-Mitgliedstaates, der für den Technik zu halten und nach technischem Fortschritt bzw. geänderter Bedro- hungslage zu aktualisieren bzw. anzupassen.
h) Der Auftragsverarbeiter zuständig ist, verlangtstellt sicher, dass der Auftragsverarbeiter Verantwortliche die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten mussRechte der betroffenen Person nachKapitel III der DSGVO (Information, muss Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Wider- spruch sowie automatisierte Entscheidungsfindung im Einzelfall) und unter Berücksichtigung des österreichischen Bundesgesetzes zum Schutz natürlicher Personen bei der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.
4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (PersondatalovenDSG idgF) verstößtinnerhalb der gesetzlichen Fristen jederzeit erfüllen kann, überlässt dem Verantwortlichenalle dafür notwendigen Informationen und unterstützt diesen bei der Erfüllung diesbezüglicher Pflichten nach besten Kräften. Diese Maßnahmen werden in Anhang 1 näher beschrieben.
4.3 Der Wird ein entsprechender Antrag, mit dem Betroffenenrechte geltend gemacht werden, an den Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter gesetzlichen Vertraulichkeitspflichten stehen.
4.4 Wenn der Datenverantwortliche dies verlangt, muss der Auftragsverarbeiter angeben und/oder dokumentierengerichtet und ist aus dem Inhalt des Antrages ersichtlich, dass der Antragsteller den Auftragsverarbeiter die Anforderungen irrtümlich für den Verantwortlichen der geltenden Datenschutzgesetze erfülltvon ihm für den Verantwortlichendurchgeführten Verarbeitungstätigkeit hält, einschließlich der Dokumentation der Datenflüsse des Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.
4.5 Unter Berücksichtigung der Art der Verarbeitung muss hat der Auftragsverarbeiter den Datenverantwortlichen soweit wie möglich durch geeignete technische Antrag unverzüglich an den Verantwortlichen weiterzuleiten und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen dies dem Antragsteller unter Bekanntgabe des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagierenDatums des Einlangens des Antrages mitzuteilen.
4.6 i) Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter (Sub-Auftragsverarbeiter) muss Anfragen und Einwände von betroffenen Personen an unterstützt den Datenverantwortlichen zur Weiterbearbeitung durch diesen senden, es sei denn, der Auftragsverarbeiter ist berechtigt, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.
4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem anderen EU-Mitgliedstaat verarbeitet, muss der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden Rechtsvorschriften in Bezug auf Sicherheitsmaßnahmen einhalten.
4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat der Auftragsverarbeiter diesen bei der Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die dänische Datenschutzbehörde und/oder betroffene Personen, zu unterstützen.
4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle Daten zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des Vertrags erforderlich sind. In diesem Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von Audits, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Auditor durchgeführt werden.
4.10 Darüber hinaus muss der Auftragsverarbeiter den Datenverantwortlichen Verantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Artikel in den Art 32 bis 36 DSGVOgenannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Grundverordnung unterstützenFolgeabschätzung, vorherige Konsultation) nachbesten Kräften.
j) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen jene Informationen zur Verfügung zu stellen,die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Diese Unterstützung berücksichtigt Über Ersuchen des Verantwortlichen wird diesem im Einzelfall auch die Art Erklärung über die Wahrung des Datengeheimnisses hinsichtlich jener Personen vorgelegt, die mit der Durchführung des Auftrags betraut sind.
k) Dem Verantwortlichen wird hinsichtlich der Verarbeitung der von ihm überlassenen personenbezogenen Daten das Recht eingeräumt, selbst durch qualifizierte und zur Geheimhaltung verpflichtete Mitarbeiter oder durch eine zur Berufsverschwiegenheit verpflichtete Person (gerichtlich zertifizierter Sachverständiger etc.) beim Auftragsverarbeiter die Ordnungsgemäßheit der Datenverarbeitung nach vorheriger Ankündigung von mindestens 30 Werktagen (ausgenommen Samstag) aufeigene Kosten zu überprüfen. Dies während der büroüblichen Zeiten und in Abstimmung mit dem Datenschutz- beauftragten des Auftragsverarbeiters oder einer sonst für den Datenschutz verantwortlichen Person.
l) Der Auftragsverarbeiter zur Verfügung stehenden Datenist nach Beendigung des Auftrags verpflichtet, dem Verantwortlichen alle Verarbeitungsergebnisse und Unterlagen, die vertragsgegenständliche personenbezogene Daten enthalten, zu übergeben; davon unberührt bleibt die Speicherung derdem Auftragsverarbeiter überlassenen personenbezo- genen Daten und Verarbeitungsergebnisse soweit und solange dieser für seine Leistungen Gewähr zu leisten hat. Nach Ablauf der Gewährleistungsfrist hat der Auftragsverarbeiter sämtliche vertragsgegenständliche personenbezogene Daten zu löschen oder diese nach Aufforderung des Verantwortlichen vor Durchführung der Löschung sicher zu verwahren. Dies gilt insbesondere, soweit der Auftragsverarbeiter zu einer weiteren Aufbewahrung von personenbezogenen Daten nicht aufgrund zwingender gesetzlicher Bestimmungen verpflichtet ist. Über Ersuchen des Verantwortlichen bestätigt der Auftragsverarbeiter die Datenlöschung schriftlich. Wennder Auftragsverarbeiter die personenbezogenen Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die personenbezogenen Daten nach Be- endigung des Auftrags entweder in diesem Format odernach Wunsch des Auftragsverarbeiters in dem Format, in dem er die personenbezogenen Daten vom Verantwortlichen erhalten hat oder in einemanderen gängigen Format herauszugeben.
m) Die Haftung richtet sich nach gesetzlichen Vorschriftenund allfälligen datenschutzrechtlichen Haftungsbe- stimmungen der Hauptleistungsvereinbarung. Sie ist mit der Höhe eines einjährigen Auftragsvolumens der Hauptleistungsvereinbarung gemäß Punkt 1a) begrenzt,sofern darin oder gesetzlich keine für den Auftragsverarbeiter günstigere Regelung besteht.
Appears in 1 contract
Samples: Allgemeine Geschäftsbedingungen