Common use of Technisch-organisatorische Maßnahmen Clause in Contracts

Technisch-organisatorische Maßnahmen. Die eigentlichen technisch-organisatorischen Maßnahmen (TOMs), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können in einem Anhang (Opt. unter Abs. 2) dargestellt werden. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften der DS-GVO berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ 3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass der Auftragnehmer hinreichende Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu geschehen hat. Art. 32 Abs. 1 DS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, keine Beschränkung durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage von Zertifikaten wäre beispielsweise unzulässig. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § 3 Zeilen 13-18 des Muster-AV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer ein ordentlich benannter Datenschutzbeauftragter vorhanden ist, welcher dem Auftraggeber namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Abs. 5 insbesondere auf das Fachwissen, das der Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie die Fähigkeit, seine Aufgaben gemäß Art. 39 DS-GVO zu erfüllen. Die Artikel-29-Datenschutzgruppe veröffentlichte am 13.12.2016 eine Leitlinie sowie ein FAQ bzgl. des Themas „Datenschutzbeauftragter“44. Die Artikel-29-Datenschutzgruppe geht in dieser Leitlinie u. a. auf die Bestellpflicht ein, Da in sämtlichen bisher bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG an der aktuell in Deutschland geltenden Bestellpflicht festgehalten wird, greift die deutsche Bestellpflicht früher als die DS-GVO, so dass diese Empfehlungen für Deutschland wohl nicht anwendbar sind; abgesehen vielleicht von der Empfehlung, die Überlegungen zur Benennungspflicht bzw. Nicht-Benennung bei der jeweiligen Stelle zu dokumentieren. Bzgl. der fachlichen Qualifikation werden einerseits ausgewiesene Kenntnisse im nationalen und europäischen Datenschutzrecht sowie insbesondere der DS-GVO verlangt, andererseits bzgl. des Wissens in technischen Angelegenheiten ein ausreichendes Verständnis der Verarbeitungstätigkeiten vorausgesetzt; die Artikel-29-Datenschutzgruppe stellt zugleich klar, dass sich die Anforderungen an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können. Der Düsseldorfer Kreis veröffentlichte die Mindestanforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten45. Dies sind, wie es der Titel schon besagt, die Mindestanforderungen, die für eine ordnungsgemäße Bestellung unabdingbar sind. Die Erfüllung dieser Bedingungen muss dem Auftraggeber im Rahmen seiner Überzeugungsbildung nachgewiesen werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) veröffentlichte ein berufliches Leitbild des Datenschutzbeauftragten46. Darin werden z. T. Anforderungen beschrieben, die über die Ansprüche des Düsseldorfer Kreises hinausgehen. Es orientiert sich sowohl an den verpflichtenden Aufgaben gemäß DS-GVO, beschreibt aber auch Aufgaben, bei denen der Datenschutzbeauftragte die Verantwortlichen unterstützen kann. Es ist wünschenswert, dass der Datenschutzbeauftragte des Auftragnehmers dem beruflichen Leitbild des BvD genügt; für die Auftragsvergabe ist dies jedoch keine zwingende Voraussetzung. Sofern keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines Datenschutzbeauftragten in Anbetracht der Sensibilität der Daten, der gesetzlichen Kontroll-, Prüf- und Dokumentationspflichten sowie der evtl. durchzuführenden Datenschutzfolgeabschätzung empfehlenswert. Zwingend muss aber dem Auftraggeber ein kompetenter Ansprechpartner benannt werden.

Technisch-organisatorische Maßnahmen. Die eigentlichen technisch-organisatorischen Maßnahmen (TOMsTOM’s), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können werden in einem Anhang (Opt. unter Abs. 2) dargestellt werdendargestellt. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften des BDSG bzw. des SGB X27 sowie der DS-GVO entsprechenden landesrechtlichen Vorgaben berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ §3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass sich der Auftragnehmer hinreichende Garantien dafür bieten Auftraggeber vor Auftragsvergabe (und damit insbesondere vor Vertragsabschluss) „überzeugen“ muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu geschehen hat. Art. 32 Abs. 1 DS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere Im Zweifelsfall muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien Überzeugungsprozess nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, hier keine Beschränkung des Überzeugungsprozesses durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten , indem beispielsweise eine Überzeugung ausschließlich aufgrund des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage Nachweises von Zertifikaten wäre beispielsweise unzulässigerfolgt. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess Auftragsdatenverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen entsprechenden Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs TOM’s entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § §3 Zeilen 13Xxxxxx 00-18 00 des Muster-AVADV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt Die landesrechtlichen Vorgaben von Berlin schreiben eine ausdrückliche Protokollierung vor, sodass dies in der Beschreibung der TOM’s in der Anlage entsprechend berücksichtigt werden muss. Hier muss allerdings darauf hingewiesen werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer ein ordentlich benannter Datenschutzbeauftragter vorhanden istdass eine Protokollierung nahezu immer die Möglichkeit der Kontrolle von Arbeitnehmern beinhaltet, welcher dem sodass der Auftraggeber namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Abs. 5 insbesondere auf das Fachwissen, das der Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie die Fähigkeit, seine Aufgaben gemäß Art. 39 DS-GVO zu erfüllen. Die Artikel-29-Datenschutzgruppe veröffentlichte am 13.12.2016 eine Leitlinie sowie ein FAQ bzgl. des Themas „Datenschutzbeauftragter“44. Die Artikel-29-Datenschutzgruppe geht in dieser Leitlinie u. a. auf die Bestellpflicht ein, Da in sämtlichen bisher bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG an der aktuell in Deutschland geltenden Bestellpflicht festgehalten wird, greift die deutsche Bestellpflicht früher als die DS-GVO, so dass diese Empfehlungen für Deutschland wohl nicht anwendbar sind; abgesehen vielleicht von der Empfehlunghier rechtzeitig daran denken muss, die Überlegungen zur Benennungspflicht bzw. Nicht-Benennung bei der jeweiligen Stelle ihm zuständige Arbeitnehmervertretung wie z. B. Personal- oder Betriebsrat in den Prozess zu dokumentieren. Bzgl. der fachlichen Qualifikation werden einerseits ausgewiesene Kenntnisse im nationalen und europäischen Datenschutzrecht sowie insbesondere der DS-GVO verlangt, andererseits bzgl. des Wissens in technischen Angelegenheiten ein ausreichendes Verständnis der Verarbeitungstätigkeiten vorausgesetzt; die Artikel-29-Datenschutzgruppe stellt zugleich klar, dass sich die Anforderungen an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können. Der Düsseldorfer Kreis veröffentlichte die Mindestanforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten45. Dies sind, wie es der Titel schon besagt, die Mindestanforderungen, die für eine ordnungsgemäße Bestellung unabdingbar sind. Die Erfüllung dieser Bedingungen muss dem Auftraggeber im Rahmen seiner Überzeugungsbildung nachgewiesen werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) veröffentlichte ein berufliches Leitbild des Datenschutzbeauftragten46. Darin werden z. T. Anforderungen beschrieben, die über die Ansprüche des Düsseldorfer Kreises hinausgehen. Es orientiert sich sowohl an den verpflichtenden Aufgaben gemäß DS-GVO, beschreibt aber auch Aufgaben, bei denen der Datenschutzbeauftragte die Verantwortlichen unterstützen kann. Es ist wünschenswert, dass der Datenschutzbeauftragte des Auftragnehmers dem beruflichen Leitbild des BvD genügt; für die Auftragsvergabe ist dies jedoch keine zwingende Voraussetzung. Sofern keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines Datenschutzbeauftragten in Anbetracht der Sensibilität der Daten, der gesetzlichen Kontroll-, Prüf- und Dokumentationspflichten sowie der evtl. durchzuführenden Datenschutzfolgeabschätzung empfehlenswert. Zwingend muss aber dem Auftraggeber ein kompetenter Ansprechpartner benannt werdenintegrieren.

Technisch-organisatorische Maßnahmen. Die eigentlichen technisch-organisatorischen Maßnahmen (TOMs), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können in einem Anhang (Opt. unter Abs. 2) dargestellt werden. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften der DS-GVO berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ 3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass der Auftragnehmer hinreichende Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu geschehen hat. Art. 32 Abs. 1 DS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, keine Beschränkung durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage von Zertifikaten wäre beispielsweise unzulässig. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § 3 Zeilen 13-18 des Muster-AV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer ein ordentlich benannter Datenschutzbeauftragter vorhanden ist, welcher dem Auftraggeber namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Abs. 5 insbesondere auf das Fachwissen, das der Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie die Fähigkeit, seine Aufgaben gemäß Art. 39 DS-GVO zu erfüllen. Die Artikel-29-Datenschutzgruppe veröffentlichte am 13.12.2016 eine Leitlinie sowie ein FAQ bzgl. des Themas „Datenschutzbeauftragter“44Datenschutzbeauftragter“34. Die Artikel-29-Datenschutzgruppe geht in dieser Leitlinie u. a. auf die Bestellpflicht ein, Da in sämtlichen bisher bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG an der aktuell in Deutschland geltenden Bestellpflicht festgehalten wird, greift die deutsche Bestellpflicht früher als die DS-GVO, so dass diese Empfehlungen für Deutschland wohl nicht anwendbar sind; abgesehen vielleicht von der Empfehlung, die Überlegungen zur Benennungspflicht bzw. Nicht-Benennung bei der jeweiligen Stelle zu dokumentieren. Bzgl. der fachlichen Qualifikation werden einerseits ausgewiesene Kenntnisse im nationalen und europäischen Datenschutzrecht sowie insbesondere der DS-GVO verlangt, andererseits bzgl. des Wissens in technischen Angelegenheiten ein ausreichendes Verständnis der Verarbeitungstätigkeiten vorausgesetzt; die Artikel-29-Datenschutzgruppe stellt zugleich klar, dass sich die Anforderungen an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können. Der Düsseldorfer Kreis veröffentlichte die Mindestanforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten45Datenschutzbeauftragten35. Dies sind, wie es der Titel schon besagt, die Mindestanforderungen, die für eine ordnungsgemäße Bestellung unabdingbar sind. Die Erfüllung dieser Bedingungen muss dem Auftraggeber im Rahmen seiner Überzeugungsbildung nachgewiesen werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) veröffentlichte ein berufliches Leitbild des Datenschutzbeauftragten46Datenschutzbeauftragten36. Darin werden z. T. Anforderungen beschrieben, die über die Ansprüche des Düsseldorfer Kreises hinausgehen. Es orientiert sich sowohl an den verpflichtenden Aufgaben gemäß DS-GVO, beschreibt aber auch Aufgaben, bei denen der Datenschutzbeauftragte die Verantwortlichen unterstützen kann. Es ist wünschenswert, dass der Datenschutzbeauftragte des Auftragnehmers dem beruflichen Leitbild des BvD genügt; für die Auftragsvergabe ist dies jedoch keine zwingende Voraussetzung. Sofern keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines Datenschutzbeauftragten in Anbetracht der Sensibilität der Daten, der gesetzlichen Kontroll-, Prüf- und Dokumentationspflichten sowie der evtl. durchzuführenden Datenschutzfolgeabschätzung empfehlenswert. Zwingend muss aber dem Auftraggeber ein kompetenter Ansprechpartner benannt werden.

Technisch-organisatorische Maßnahmen. Die eigentlichen technisch-organisatorischen Maßnahmen (TOMs), welche der Der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können in einem Anhang (Opthat die Sicherheit gem. unter Art. 28 Abs. 2) dargestellt werden3 lit. Hier wird vertraglich festgehaltenc, dass der Auftragnehmer die Vorschriften der 32 DS-GVO berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ 3 Ziffinsbesondere in Verbindung mit Art. (2))5 Abs. Der Gesetzgeber schreibt vor1, dass der Auftragnehmer hinreichende Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der Abs. 2 DS-GVO erfolgt herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicher- heit und den Schutz zur Gewährleistung eines dem Risiko entsprechenden angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme zu schaffen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahr- scheinlichkeit und die Schwere des Risikos für die Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu geschehen hat. und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) Person(en)zu berücksichtigen. Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, keine Beschränkung durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage von Zertifikaten wäre beispielsweise unzulässig. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer hat die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Gewährleistung des Schutzbedarfs Verfügung zu stellen: xxxxx://xxxxxx-xxxxxxxxx.xx/xxxxxxxxx/ Akzeptiert der Patientendaten erforderlichen Auftraggeber die dokumentierten Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machenwerden sie Grundlage dieses AVV. Daher müssen die TOMs entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § 3 Zeilen 13-18 des Muster-AV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer ein ordentlich benannter Datenschutzbeauftragter vorhanden ist, welcher Die technischen und organisatorischen Maßnahmen unterliegen dem Auftraggeber namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Abs. 5 insbesondere auf das Fachwissen, das der Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts technischen Fortschritt und der Datenschutzpraxis besitztWeiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, sowie die Fähigkeit, seine Aufgaben gemäß Artalternative adäquate Maßnahmen umzusetzen. 39 DS-GVO zu erfüllenDabei darf das Sicherheits- niveau der festgelegten Maßnahmen nicht unterschritten werden. Die Artikel-29-Datenschutzgruppe veröffentlichte am 13.12.2016 eine Leitlinie sowie ein FAQ bzgl. des Themas „Datenschutzbeauftragter“44. Die Artikel-29-Datenschutzgruppe geht in dieser Leitlinie u. a. auf die Bestellpflicht ein, Da in sämtlichen bisher bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG an der aktuell in Deutschland geltenden Bestellpflicht festgehalten wird, greift die deutsche Bestellpflicht früher als die DS-GVO, so dass diese Empfehlungen für Deutschland wohl nicht anwendbar sind; abgesehen vielleicht von der Empfehlung, die Überlegungen zur Benennungspflicht bzw. Nicht-Benennung bei der jeweiligen Stelle Wesentliche Änderungen sind zu dokumentieren. Bzgl. der fachlichen Qualifikation werden einerseits ausgewiesene Kenntnisse Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im nationalen Einklang mit den Anforderungen des gel- tenden Datenschutzrechts erfolgt und europäischen Datenschutzrecht sowie insbesondere der DS-GVO verlangt, andererseits bzglSchutz der Rechte der betroffenen Person gewährleistet wird. Soweit sich aus einer Prüfung bzw. einem Audit des Wissens in technischen Angelegenheiten ein ausreichendes Verständnis der Verarbeitungstätigkeiten vorausgesetzt; Auftraggebers die Artikel-29-Datenschutzgruppe stellt zugleich klarErkenntnis ergibt, dass sich Anpassungsbedarf besteht, ist dieser einvernehmlich umzusetzen. Gehen die Anforderungen des Auftraggebers an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können. Der Düsseldorfer Kreis veröffentlichte die Mindestanforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten45. Dies sinddas Schutzniveau über das hinaus, wie es was der Titel schon besagt, die Mindestanforderungen, die für eine ordnungsgemäße Bestellung unabdingbar sind. Die Erfüllung dieser Bedingungen muss dem Auftraggeber im Rahmen seiner Überzeugungsbildung nachgewiesen werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) veröffentlichte ein berufliches Leitbild des Datenschutzbeauftragten46. Darin werden z. T. Anforderungen beschriebenVorfeld akzeptiert hat und handelt es sich dabei um keine Anforderungen, die über die Ansprüche des Düsseldorfer Kreises hinausgehen. Es orientiert sich sowohl an den verpflichtenden Aufgaben gemäß DS-GVOder Auftragnehmer für sämtliche anderen Auftraggeber ohnehin umsetzen muss, beschreibt aber auch Aufgaben, bei denen so kann der Datenschutzbeauftragte die Verantwortlichen unterstützen kann. Es ist wünschenswert, dass der Datenschutzbeauftragte des Auftragnehmers dem beruflichen Leitbild des BvD genügt; Auftragnehmer für die Auftragsvergabe ist dies jedoch keine zwingende Voraussetzung. Sofern keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines Datenschutzbeauftragten in Anbetracht der Sensibilität der Daten, der gesetzlichen Kontroll-, Prüf- und Dokumentationspflichten sowie der evtl. durchzuführenden Datenschutzfolgeabschätzung empfehlenswert. Zwingend muss aber dem Umsetzung eine angemessene Vergütung vom Auftraggeber ein kompetenter Ansprechpartner benannt werdenverlangen.

Technisch-organisatorische Maßnahmen. Die eigentlichen technisch-organisatorischen Maßnahmen (TOMsTOM’s), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können werden in einem Anhang (Opt. unter Abs. 2) dargestellt werdendargestellt. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften des BDSG bzw. des SGB X27 sowie der DS-GVO entsprechenden landesrechtlichen Vorgaben berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ §3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass sich der Auftragnehmer hinreichende Garantien dafür bieten Auftraggeber vor Auftragsvergabe (und damit insbesondere vor Vertragsabschluss) „überzeugen“ muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu geschehen hat. Art. 32 Abs. 1 DS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere Im Zweifelsfall muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien Überzeugungsprozess nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, hier keine Beschränkung des Überzeugungsprozesses durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten , indem beispielsweise eine Überzeugung ausschließlich aufgrund des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage Nachweises von Zertifikaten wäre beispielsweise unzulässigerfolgt. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess Auftragsdatenverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen entsprechenden Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs TOM’s entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § §3 Zeilen 13Xxxxxx 00-18 00 des Muster-AVADV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt Die landesrechtlichen Vorgaben von Berlin schreiben eine ausdrückliche Protokollierung vor, sodass dies in der Beschreibung der TOM’s in der Anlage entsprechend berücksichtigt werden muss. Hier muss allerdings darauf hingewiesen werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer ein ordentlich benannter Datenschutzbeauftragter vorhanden istdass eine Protokollierung nahezu immer die Möglichkeit der Kontrolle von Arbeitnehmern beinhaltet, welcher dem sodass der Auftraggeber namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Abs. 5 insbesondere auf das Fachwissen, das der Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie die Fähigkeit, seine Aufgaben gemäß Art. 39 DS-GVO zu erfüllen. Die Artikel-29-Datenschutzgruppe veröffentlichte am 13.12.2016 eine Leitlinie sowie ein FAQ bzgl. des Themas „Datenschutzbeauftragter“44. Die Artikel-29-Datenschutzgruppe geht in dieser Leitlinie u. a. auf die Bestellpflicht ein, Da in sämtlichen bisher bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG an der aktuell in Deutschland geltenden Bestellpflicht festgehalten wird, greift die deutsche Bestellpflicht früher als die DS-GVO, so dass diese Empfehlungen für Deutschland wohl nicht anwendbar sind; abgesehen vielleicht von der Empfehlunghier rechtzeitig daran denken muss, die Überlegungen zur Benennungspflicht bzw. Nicht-Benennung bei der jeweiligen Stelle ihm zuständige Arbeitnehmervertretung wie z. B. Personal- oder Betriebsrat in den Prozess zu dokumentieren. Bzgl. der fachlichen Qualifikation werden einerseits ausgewiesene Kenntnisse im nationalen und europäischen Datenschutzrecht sowie insbesondere der DS-GVO verlangt, andererseits bzgl. des Wissens in technischen Angelegenheiten ein ausreichendes Verständnis der Verarbeitungstätigkeiten vorausgesetzt; die Artikel-29-Datenschutzgruppe stellt zugleich klar, dass sich die Anforderungen an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können. Der Düsseldorfer Kreis veröffentlichte die Mindestanforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten45. Dies sind, wie es der Titel schon besagt, die Mindestanforderungen, die für eine ordnungsgemäße Bestellung unabdingbar sind. Die Erfüllung dieser Bedingungen muss dem Auftraggeber im Rahmen seiner Überzeugungsbildung nachgewiesen werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) veröffentlichte ein berufliches Leitbild des Datenschutzbeauftragten46. Darin werden z. T. Anforderungen beschrieben, die über die Ansprüche des Düsseldorfer Kreises hinausgehen. Es orientiert sich sowohl an den verpflichtenden Aufgaben gemäß DS-GVO, beschreibt aber auch Aufgaben, bei denen der Datenschutzbeauftragte die Verantwortlichen unterstützen kann. Es ist wünschenswert, dass der Datenschutzbeauftragte des Auftragnehmers dem beruflichen Leitbild des BvD genügt; für die Auftragsvergabe ist dies jedoch keine zwingende Voraussetzung. Sofern keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines Datenschutzbeauftragten in Anbetracht der Sensibilität der Daten, der gesetzlichen Kontroll-, Prüf- und Dokumentationspflichten sowie der evtl. durchzuführenden Datenschutzfolgeabschätzung empfehlenswert. Zwingend muss aber dem Auftraggeber ein kompetenter Ansprechpartner benannt werdenintegrieren.