Inhalt

(1) ¹Die Abs. 2 bis 12 gelten,

²Mittels individualvertraglicher Vereinbarung kann von den Abs. 2 bis 12 abgewichen werden. ³Bereits bestehende Auftragsverarbeitungsverhältnisse werden zum 1. Mai 2019 für ungültig erklärt.

(2) Verantwortlicher und Auftragsverarbeiter der Auftragsverarbeitung nach Art. 28 DSGVO haben auf die Interessen des jeweils anderen und möglicher weiterer Betroffener angemessen Rücksicht zu nehmen und sich gegebenenfalls abzustimmen.

(3) ¹Zur Begründung eines Auftragsverarbeitungsverhältnisses teilt der Verantwortliche dem Auftragsverarbeiter in Textform mit

²Satz 1 gilt auch, wenn sich die mitzuteilenden Angaben wesentlich ändern. ³Der Auftragsverarbeiter führt ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, die er als Auftragsverarbeiter ausführt und aus dem sich die Angaben aus Satz 1 ergeben.

(4) ¹Der Auftragsverarbeiter verarbeitet personenbezogene Daten nach den gesetzlichen Vorgaben – insbesondere unter Wahrung der datenschutzrechtlichen Bestimmungen und des Steuergeheimnisses – und auf Weisung des Verantwortlichen. ²Er hat die Weisungen zu dokumentieren. ³Er informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen Datenschutzbestimmungen verstößt.

(5) Der Auftragsverarbeiter ergreift alle nach Art. 32 DSGVO erforderlichen Maßnahmen.

(6) Der Auftragsverarbeiter gewährleistet die Verschwiegenheit der zur Verarbeitung personenbezogener Daten befugten Personen, indem diese Amtsträger nach § 11 Abs. 1 Nr. 2 des Strafgesetzbuches (StGB) oder für den öffentlichen Dienst besonders Verpflichtete nach § 11 Abs. 1 Nr. 4 StGB sind.

(7) ¹Der Auftragsverarbeiter ist allgemein berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen. ²Er informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. ³Der Verantwortliche kann gegen derartige Änderungen innerhalb eines Monats Einspruch beim Auftragsverarbeiter erheben. ⁴Wird dem Einspruch nicht abgeholfen, kann sich der Verantwortliche an die für den Auftragsverarbeiter zuständige oberste Landesbehörde wenden oder das Auftragsverarbeitungsverhältnis beenden, soweit keine Vorschriften entgegenstehen.

(8) ¹Der Auftragsverarbeiter hat einem weiteren Auftragsverarbeiter die gleichen Datenschutzpflichten aufzuerlegen, die ihm aufgrund des Auftragsverarbeitungsverhältnisses zwischen ihm und dem Verantwortlichen obliegen. ²Für Verletzungen der Datenschutzpflicht des weiteren Auftragsverarbeiters ist der Auftragsverarbeiter verantwortlich.

(9) Der Auftragsverarbeiter unterstützt den Verantwortlichen

(10) Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern keine entgegenstehenden Regelungen zur Speicherung der personenbezogenen Daten bestehen.

(11) ¹Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. ²Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die von dem Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.

(12) ¹Verarbeitet ein Auftragsverarbeiter personenbezogene Daten mehrerer Verantwortlicher, so bestimmen diese aus ihrem Kreis einen oder mehrere Prüfer oder beauftragen einen oder mehrere externe Prüfer zur Durchführung der möglichen Überprüfungen nach Abs. 11 Satz 2. ²Das Ergebnis der Überprüfung ist allen Verantwortlichen dieses Kreises zur Verfügung zu stellen. ³Das Recht eines Verantwortlichen, eigene Überprüfungen durchzuführen, bleibt unberührt.