4. Weisungsgebundene Verarbeitung und Remonstrationspflicht
Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Weisungen werden vom Verantwortlichen grundsätzlich in Textform (z.B. per E-Mail) erteilt. Soweit eine Weisung ausnahmsweise mündlich erfolgt, wird diese vom Verantwortlichen entsprechend in Textform (z.B. per E-Mail) bestätigt. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf hinweisen, wenn die Befolgung einer vom Verantwortlichen erteilten Weisung nach seiner Ansicht gegen die DSGVO oder eine andere Vorschrift über den Datenschutz verstößt (Remonstrationspflicht).
5. Vertraulichkeits-/ Verschwiegenheitspflicht
Der Auftragsverarbeiter wird zur Durchführung des Vertrages nur Personen beschäftigen, die er zur Vertraulichkeit verpflichtet hat oder die einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
6. Sicherheit der Verarbeitung / Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gem. Artikel 32 DSGVO.
Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Während der Dauer dieses Auftrags sind diese durch den Auftragsverarbeiter fortlaufend an die Anforderungen dieses Auftrags anzupassen und dem technischen Fortschritt entsprechend weiterzuentwickeln. Das Sicherheitsniveau der im Folgenden festgelegten technischen und organisatorischen Maßnahmen darf nicht unterschritten werden.
Der Auftragsverarbeiter verpflichtet sich, Änderungen der technischen und organisatorischen Maßnahmen, die einen wesentlichen Einfluss auf das gewährleistete Sicherheitsniveau haben, als Ergänzung der folgenden Maßnahmen schriftlich zu dokumentieren, was auch in einem elektronischen Format erfolgen kann, und dem Verantwortlichen zur Kenntnis zu geben.
Die getroffenen technischen und organisatorischen Maßnahmen ergeben sich aus der Anlage 1a – „Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 Abs. 1 DSGVO – RW DS dieses Vertrages.
7. Inanspruchnahme der Dienste weiterer Auftragsverarbeiter
Der Auftragsverarbeiter darf weitere Auftragsverarbeiter in Anspruch nehmen, wobei im Bereich der Akten- und Datenträgervernichtung grundsätzlich keine weiteren Auftragsverarbeiter zur Vertragsdurchführung eingesetzt werden. Die zum Zeitpunkt des Vertragsschlusses in Anspruch genommenen weiteren Auftragsverarbeiter, werden in einer separaten Anlage 2 – „Unterauftragnehmer des AN – RW DS“ zu diesem Vertrag aufgeführt. Der Auftragsverarbeiter darf andere Auftragsverarbeiter nur einsetzen, hinzuziehen oder bestehende weitere Auftragsverarbeiter ersetzen, wenn er den Verantwortlichen zuvor über die beabsichtigte Änderung informiert hat. Gegen derartige Veränderungen kann der Verantwortliche Einspruch erheben.
Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags, der schriftlich abzufassen ist, was auch in einem elektronischen Format erfolgen kann, oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
8. Mitwirkungs-/ Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Art der Verarbeitung mit geeigneten technischen organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen (Berücksichtigung von Betroffenenrechten hinsichtlich der Gewährleistung von Transparenz; Recht auf Auskunft; Berichtigungsrecht; Recht auf Löschung („Vergessenwerden“); Recht auf Einschränkung der Verarbeitung; Mitteilungsrecht bei Berichtigung und Löschung sowie Einschränkung der Verarbeitung; Recht auf Datenübertragbarkeit; Widerspruchsrecht; Rechte bei automatisierten Einzelfallentscheidungen).
9. Unterstützung zur Pflichterfüllung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. (Gewährleistung der Sicherheit der Verarbeitung; Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden; Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden; Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person; Datenschutz-Folgenabschätzung; Vorherige Konsultation).
10. Vernichtung personenbezogener Daten
Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399. Hierbei gilt mindestens Schutzklasse 2, Sicherheitsstufe 3. Der Auftragsverarbeiter ist verpflichtet, die unverzügliche Vernichtung auch bei Unterauftragnehmern herbeizuführen. Der Auftragsverarbeiter hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Verantwortlichen unverzüglich vorzulegen.
Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Verantwortlichen bei Vertragsende übergeben.
11. Pflichtennachweis und Unterstützung bei Überprüfungen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu ihrer Durchführung bei.
12. Datenschutzbeauftragter
Der Auftragsverarbeiter hat einen gesetzlich vorgeschriebenen Beauftragten für den Datenschutz schriftlich bestellt und benannt. Dieser übt seine Tätigkeit gemäß Art. 38 und Art. 39 DSGVO aus. Die jeweils aktuellen Kontaktdaten des Datenschutzbeauftragten sind auf der Homepage des Auftragsverarbeiters leicht zugänglich hinterlegt.