„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).
Pflicht | Normen |
Schriftliche Bestellung eines Vertreters in der EU, wenn Auftragsverarbeiter keine Niederlassung in EU hat (in Fällen des Art. 3 Abs. 2 DSGVO) | |
Erbringung hinreichender Garantien (dass techn. und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO und dem Schutz der Rechte von betroffenen Personen steht) | |
Genehmigungspflicht bei Inanspruchnahme weiterer Auftragsverarbeiter durch den ursprünglichen Auftragsverarbeiter | |
Informationspflicht in Bezug auf beabsichtigte Änderungen bei Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter | |
Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung des Verantwortlichen | Art. 28 Abs. 3 S. 2 lit. a) DSGVO / § 48 Abs. 6 S. 2 Nr. 1 ThürDSG |
Gewährleistung der Vertraulichkeit/Verschwiegenheit der mit der Verarbeitung betrauter Personen | Art. 28 Abs. 3 S. 2 lit. b) DSGVO / § 48 Abs. 6 S. 2 Nr. 2 ThürDSG |
Ergreifen der Maßnahmen nach Art. 32 DSGVO (Sicherheit der Verarbeitung) | Art. 28 Abs. 3 S. 2 lit. c) DSGVO / § 48 Abs. 6 S. 2 Nr. 9 ThürDSG (Maßnahmen nach § 54 ThürDSG) |
Unterstützung des Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen im Wege dessen Verpflichtung Betroffenenrechten nachzukommen | Art. 28 Abs. 3 S. 2 lit. e) DSGVO / § 48 Abs. 6 S. 2 Nr. 3 ThürDSG |
Je nach Art der Verarbeitung: Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung (Art. 32 DSGVO) | Art. 28 Abs. 3 S. 2 lit. f) DSGVO / § 48 Abs. 6 S. 2 Nr. 9 ThürDSG |
Je nach Art der Verarbeitung: Unterstützung des Verantwortlichen bei der Meldung von Datenschutzverstößen an die Aufsichtsbehörde (Art. 33 DSGVO) | Art. 28 Abs. 3 S. 2 lit. f) DSGVO / § 48 Abs. 6 S. 2 Nr. 9 ThürDSG |
Je nach Art der Verarbeitung: Unterstützung des Verantwortlichen bei der Benachrichtigung der von einem Datenschutzverstoß betroffenen Personen (Art. 34 DSGVO) | Art. 28 Abs. 3 S. 2 lit. f) DSGVO / § 48 Abs. 6 S. 2 Nr. 9 ThürDSG |
Je nach Art der Verarbeitung: Unterstützung des Verantwortlichen bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) | Art. 28 Abs. 3 S. 2 lit. f) DSGVO / § 48 Abs. 6 S. 2 Nr. 9 ThürDSG |
Je nach Art der Verarbeitung: Unterstützung des Verantwortlichen bei vorheriger Konsultation gem. Art. 36 DSGVO | |
Löschung oder Rückgabe der personenbezogenen Daten und Löschung der vorhandenen Kopien nach Abschluss der Verarbeitungsleistungen (soweit keine Verpflichtung zur Speicherung entgegensteht) | Art. 28 Abs. 3 S. 2 lit. g) DSGVO / § 48 Abs. 6 S. 2 Nr. 4 ThürDSG |
Zurverfügungstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO | |
Ermöglichung und Unterstützung von Überprüfungen/Inspektionen durch den Verantwortlichen oder durch diesen beauftragten Prüfer | Art. 28 Abs. 3 S. 2 lit. h) DSGVO / § 48 Abs. 6 S. 2 Nr. 6 ThürDSG |
Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die Datenschutz Grundverordnung oder andere Datenschutzbestimmungen verstoßen | |
Beim Hinzuziehen eines weiteren Auftragsverarbeiters durch den ursprünglichen Auftragsverarbeiter hat dieser dem nachrangigen dieselben Verpflichtungen aus vertraglicher Grundlage (Art. 28 Abs. 3 DSGVO/ § 48 Abs. 6 ThürDSG) aufzuerlegen | |
Pflicht zur Verarbeitung personenbezogener Daten ausschließlich auf Weisung des Verantwortlichen | |
Pflicht zum Führen eines Verfahrensverzeichnisses | |
Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht | |
Ergreifen technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten | |
Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen | |
Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten | |
Beachtung von Beschränkungen für den Datentransfer in Drittländer | |
Dem Verantwortlichen alle erforderlichen Informationen, Protokolle nach § 51 ThürDSG zum Pflichtnachweis zur Verfügung stellen | |
Einhaltung der Bedingungen des § 48 Abs. 3 und 4 ThürDSG bei Inanspruchnahme eines weiteren Auftragsverarbeiters | |
Protokollierung von Verarbeitungsvorgängen | |