Artikel 87 VO (EU) 2018/1725

(1) Soll eine Verarbeitung im Namen eines Verantwortlichen vorgenommen werden, so arbeitet dieser nur mit Auftragsverarbeitern zusammen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung und des Rechtsakts zur Gründung des Auftragsverarbeiters erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Falle einer allgemeinen schriftlichen Genehmigung unterrichtet der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags, oder eines anderen Rechtsinstruments nach Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der operativen personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

a)

nur auf Weisung des Verantwortlichen handelt,

b)

gewährleistet, dass sich die zur Verarbeitung der operativen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

c)

den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,

d)

alle operativen personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen — nach Wahl des Verantwortlichen — löscht bzw. dem Verantwortlichen zurückgibt und bestehende Kopien vernichtet, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der operativen personenbezogenen Daten besteht;

e)

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt,

f)

die in Absatz 2 und dem vorliegenden Absatz aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält.

(4) Der Vertrag oder das andere Rechtsinstrument im Sinne von Absatz 3 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(5) Ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung oder den Rechtsakt zur Gründung des Verantwortlichen die Zwecke und die Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.