§ 3a ZustVSt

Auftragsverarbeitung durch staatliche Rechenzentren

(1) 1Die Abs. 2 bis 12 gelten,

1.

wenn kein Fall des § 3 Abs. 4 vorliegt und das Rechenzentrum Nord personenbezogene Daten für die Behörden der Finanzverwaltung als Auftragsverarbeiter im Sinne des Art. 28 DSGVO verarbeitet, oder

2.

wenn Steuerverwaltungstätigkeiten, soweit sie mit Hilfe von Informations- und Kommunikationstechnik erledigt werden, auf ein anderes staatliches Rechenzentrum übertragen werden und dieses personenbezogene Daten für die Behörden der Finanzverwaltung als Auftragsverarbeiter im Sinne des Art. 28 DSGVO verarbeitet.

 2Mittels individualvertraglicher Vereinbarung kann von den Abs. 2 bis 12 abgewichen werden. 3Bereits bestehende Auftragsverarbeitungsverhältnisse werden zum 1. Mai 2019 für ungültig erklärt.

(2) Verantwortlicher und Auftragsverarbeiter der Auftragsverarbeitung nach Art. 28 DSGVO haben auf die Interessen des jeweils anderen und möglicher weiterer Betroffener angemessen Rücksicht zu nehmen und sich gegebenenfalls abzustimmen.

(3) 1Zur Begründung eines Auftragsverarbeitungsverhältnisses teilt der Verantwortliche dem Auftragsverarbeiter in Textform mit

1.

Gegenstand und Dauer der Verarbeitung,

2.

Art und Zweck der Verarbeitung,

3.

die Art der personenbezogenen Daten und

4.

die Kategorien betroffener Personen.

 2Satz 1 gilt auch, wenn sich die mitzuteilenden Angaben wesentlich ändern. 3Der Auftragsverarbeiter führt ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, die er als Auftragsverarbeiter ausführt und aus dem sich die Angaben aus Satz 1 ergeben.

(4) 1Der Auftragsverarbeiter verarbeitet personenbezogene Daten nach den gesetzlichen Vorgaben – insbesondere unter Wahrung der datenschutzrechtlichen Bestimmungen und des Steuergeheimnisses – und auf Weisung des Verantwortlichen. 2Er hat die Weisungen zu dokumentieren. 3Er informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen Datenschutzbestimmungen verstößt.

(5) Der Auftragsverarbeiter ergreift alle nach Art. 32 DSGVO erforderlichen Maßnahmen.

(6) Der Auftragsverarbeiter gewährleistet die Verschwiegenheit der zur Verarbeitung personenbezogener Daten befugten Personen, indem diese Amtsträger nach § 11 Abs. 1 Nr. 2 des Strafgesetzbuches (StGB) oder für den öffentlichen Dienst besonders Verpflichtete nach § 11 Abs. 1 Nr. 4 StGB sind.

(7) 1Der Auftragsverarbeiter ist allgemein berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen. 2Er informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. 3Der Verantwortliche kann gegen derartige Änderungen innerhalb eines Monats Einspruch beim Auftragsverarbeiter erheben. 4Wird dem Einspruch nicht abgeholfen, kann sich der Verantwortliche an die für den Auftragsverarbeiter zuständige oberste Landesbehörde wenden oder das Auftragsverarbeitungsverhältnis beenden, soweit keine Vorschriften entgegenstehen.

(8) 1Der Auftragsverarbeiter hat einem weiteren Auftragsverarbeiter die gleichen Datenschutzpflichten aufzuerlegen, die ihm aufgrund des Auftragsverarbeitungsverhältnisses zwischen ihm und dem Verantwortlichen obliegen. 2Für Verletzungen der Datenschutzpflicht des weiteren Auftragsverarbeiters ist der Auftragsverarbeiter verantwortlich.

(9) Der Auftragsverarbeiter unterstützt den Verantwortlichen

1.

angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person und

2.

unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten.

(10) Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern keine entgegenstehenden Regelungen zur Speicherung der personenbezogenen Daten bestehen.

(11) 1Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. 2Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die von dem Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.

(12) 1Verarbeitet ein Auftragsverarbeiter personenbezogene Daten mehrerer Verantwortlicher, so bestimmen diese aus ihrem Kreis einen oder mehrere Prüfer oder beauftragen einen oder mehrere externe Prüfer zur Durchführung der möglichen Überprüfungen nach Abs. 11 Satz 2. 2Das Ergebnis der Überprüfung ist allen Verantwortlichen dieses Kreises zur Verfügung zu stellen. 3Das Recht eines Verantwortlichen, eigene Überprüfungen durchzuführen, bleibt unberührt.

Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.