NDSG § 45

Zweiter Teil: Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Abs. 1 der Richtlinie (EU) 2016/680

Zweites Kapitel: Technische und organisatorische Pflichten des Verantwortlichen und Auftragsverarbeiters

§ 45 Auftragsverarbeitung

(1)  1Werden personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, so bleibt dieser für die Einhaltung der Vorschriften dieses Teils und anderer Vorschriften über den Datenschutz verantwortlich. 2Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind gegenüber dem Verantwortlichen geltend zu machen. 3Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

(2) Für die Auswahl der Auftragsverarbeiter durch den Verantwortlichen ist Artikel 28 Abs. 1 der Datenschutz-Grundverordnung entsprechend anwendbar.

(3)  1Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen in Artikel 28 Abs. 3 Satz 1 der Datenschutz-Grundverordnung genannten Rechtsinstruments zu erfolgen. 2Der Vertrag oder das andere Rechtsinstrument hat insbesondere vorzusehen, dass der Auftragsverarbeiter

  1. nur auf dokumentierte Weisung des Verantwortlichen handelt,

  2. gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,

  3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,

  4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht,

  5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die nach § 35 Abs. 2 bis 5 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt,

  6. Überprüfungen, die von dem Verantwortlichen oder einer von diesem beauftragten prüfenden Person durchgeführt werden, ermöglicht und dazu beiträgt,

  7. die in Absatz 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält,

  8. alle nach § 35 Abs. 1 erforderlichen Maßnahmen ergreift und

  9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 25 bis 28, 32, 34 bis 42, 45 Abs. 6 und § 57 Abs. 4 genannten Pflichten unterstützt.

(4) Der Vertrag oder das andere Rechtsinstrument im Sinne des Absatzes 3 ist schriftlich oder elektronisch abzufassen.

(5)  1Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag oder anderen Rechtsinstrument mit dem Verantwortlichen nach Absatz 3 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. 2Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters. 3Für die vorherige schriftliche Genehmigung der Beauftragung eines weiteren Auftragsverarbeiters durch den Verantwortlichen ist Artikel 28 Abs. 2 der Datenschutz-Grundverordnung entsprechend anwendbar.

(6)  1Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, so meldet er diese dem Verantwortlichen unverzüglich. 2Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, so hat er den Verantwortlichen unverzüglich zu informieren.

(7)  1Der Auftragsverarbeiter hat ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung in entsprechender Anwendung des Artikels 30 Abs. 2 der Datenschutz-Grundverordnung zu erstellen. 2Artikel 30 Abs. 3 und 4 der Datenschutz-Grundverordnung ist entsprechend anwendbar.

(8) Im Übrigen hat der Auftragsverarbeiter die Verpflichtungen aus den §§ 34 bis 37, 40, 45 Abs. 6 und § 57 Abs. 4 einzuhalten oder den Verantwortlichen bei der Einhaltung seiner in Absatz 3 Satz 2 Nr. 9 genannten Verpflichtungen zu unterstützen.

Fundstelle(n):
zur Änderungsdokumentation
FAAAG-89454