(1) Erfolgt eine Verarbeitung im Auftrag
eines Verantwortlichen,
so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
Garantien dafür bieten, dass geeignete technische und
organisatorische Maßnahmen so durchgeführt werden, dass die
Verarbeitung im
Einklang mit den Anforderungen dieser Verordnung erfolgt und den
Schutz der Rechte der betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter
nimmt keinen weiteren Auftragsverarbeiter
ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung
des Verantwortlichen in
Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung
informiert der Auftragsverarbeiter
den Verantwortlichen
immer über jede beabsichtigte Änderung in Bezug auf die
Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter,
wodurch der Verantwortliche die
Möglichkeit erhält, gegen derartige Änderungen Einspruch zu
erheben.
a) die personenbezogenen
Daten nur auf dokumentierte Weisung des Verantwortlichen —
auch in Bezug auf die Übermittlung personenbezogener
Daten an ein Drittland oder eine internationale Organisation —
verarbeitet, sofern er nicht durch das Recht der Union oder der
Mitgliedstaaten, dem der Auftragsverarbeiter
unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt
der Auftragsverarbeiter
dem Verantwortlichen
diese rechtlichen Anforderungen vor der Verarbeitung mit,
sofern das betreffende Recht eine solche Mitteilung nicht wegen
eines wichtigen öffentlichen Interesses verbietet;
b) gewährleistet, dass sich die
zur Verarbeitung der
personenbezogenen
Daten befugten Personen zur Vertraulichkeit verpflichtet haben
oder einer angemessenen gesetzlichen Verschwiegenheitspflicht
unterliegen;
c) alle gemäß Artikel 32
erforderlichen Maßnahmen ergreift;
d) die in den Absätzen 2 und 4
genannten Bedingungen für die Inanspruchnahme der Dienste eines
weiteren Auftragsverarbeiters
einhält;
e) angesichts der Art der
Verarbeitung den
Verantwortlichen
nach Möglichkeit mit geeigneten technischen und organisatorischen
Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von
Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der
betroffenen Person nachzukommen;
f) unter Berücksichtigung der
Art der Verarbeitung und der
ihm zur Verfügung stehenden Informationen den Verantwortlichen
bei der Einhaltung der in den Artikeln 32 bis 36 genannten
Pflichten unterstützt;
g) nach Abschluss der
Erbringung der Verarbeitungsleistungen alle personenbezogenen
Daten nach Wahl des Verantwortlichen
entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht
oder dem Recht der Mitgliedstaaten eine Verpflichtung zur
Speicherung der personenbezogenen
Daten besteht;
h) dem Verantwortlichen
alle erforderlichen Informationen zum Nachweis der Einhaltung der
in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und
Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen
oder einem anderen von diesem beauftragten Prüfer durchgeführt
werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1
Buchstabe h informiert der Auftragsverarbeiter
den Verantwortlichen
unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen
diese Verordnung oder gegen andere Datenschutzbestimmungen der
Union oder der Mitgliedstaaten verstößt.
(4) Nimmt der Auftragsverarbeiter
die Dienste eines weiteren Auftragsverarbeiters
in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des
Verantwortlichen
auszuführen, so werden diesem weiteren Auftragsverarbeiter
im Wege eines Vertrags oder eines anderen Rechtsinstruments nach
dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats
dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder
anderen Rechtsinstrument zwischen dem Verantwortlichen
und dem Auftragsverarbeiter
gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende
Garantien dafür geboten werden muss, dass die geeigneten
technischen und organisatorischen Maßnahmen so durchgeführt werden,
dass die Verarbeitung
entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der
weitere Auftragsverarbeiter
seinen Datenschutzpflichten nicht nach, so haftet der erste
Auftragsverarbeiter
gegenüber dem Verantwortlichen
für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
(5) Die Einhaltung genehmigter
Verhaltensregeln gemäß Artikel 40 oder eines genehmigten
Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter
kann als Faktor herangezogen werden, um hinreichende Garantien im
Sinne der Absätze 1 und 4 des vorliegenden Artikels
nachzuweisen.
(6) Unbeschadet eines
individuellen Vertrags zwischen dem Verantwortlichen
und dem Auftragsverarbeiter
kann der Vertrag oder das andere Rechtsinstrument im Sinne der
Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf
den in den Absätzen 7 und 8 des vorliegenden Artikels genannten
Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer
dem Verantwortlichen
oder dem Auftragsverarbeiter
gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
(7) Die Kommission kann im
Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2
Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4
des vorliegenden Artikels genannten Fragen festlegen.
(8) Eine Aufsichtsbehörde kann
im Einklang mit dem Kohärenzverfahren gemäß Artikel 63
Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4
des vorliegenden Artikels genannten Fragen festlegen.
(9) Der Vertrag oder das andere
Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich
abzufassen, was auch in einem elektronischen Format erfolgen
kann.