Auftragsverarbeitungsverträge (AVV)
Informationen vom Datenschutz-Guru
Die Verarbeitung von Daten im Auftrag kommt in nahezu jedem Unternehmen vor. Sei es durch die Nutzung eines externen Rechenzentrums, die Nutzung einer Dienstleistung, die als sog. Software-as-a-Service (SaaS) erbracht wird, Cloud Computing oder bestimmte Wartungen von IT-Systemen durch technische Dienstleister. In diesen Fällen liegt in der Regel eine sog. „Auftragsverarbeitung“ vor. Und da gilt es besondere Maßnahmen zu treffen, um die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten.
Mehr Infos zum Thema beim Datenschutz-Guru inkl. Video Ebenfalls auf der Seite befindet sich das Muster eines kostenlosen Auftragsverarbeitungsvertrages im Word-Format (.docx) zum Download. (Siehe auch in Material unter Word)
Bei der Wartung und Pflege von IT-Systemen ist auch das Thema Datenschutz zu berücksichtigen. Hintergrund ist, dass auch bei der Wartung oder Pflege von IT-Systemen eine „Verarbeitung“ von personenbezogenen Daten im Auftrag vorliegen kann. Dann wäre auch ein entsprechender Auftragsverarbeitung nach Art. 28 DSGVO zwischen Auftraggeber und Auftragnehmer abzuschließen.
Mehr Infos zum Thema beim Datenschutz-Guru inkl. Video Ebenfalls auf der Seite befindet sich das Muster einer kostenlosen Datenschutzvereinbarung Wartung und Pflege im Word-Format (.docx) zum Download. (Siehe auch in Material unter Word)
Wichtig Nutzungsregeln zu den Verträgen, bitte beachten:
Urheber für das nachfolgende Muster eines Vertrages einer Datenschutzvereinbarung zur Wartung und Pflege von IT-Systemen ist: Rechtsanwalt Stephan Hansen-Oest. Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind ohne Zustimmung von erlaubt. Es ist zudem erlaubt, etwaige Hinweise zum Urheber im Vertragsdokument zu entfernen.
Nicht erlaubt ist jedoch die gewerbliche Nutzungdergestalt,
dass der Vertrag ohne Genehmigung von RA Hansen-Oest als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.
Kurzfassung der Nutzungsregeln:
Der Vertrag kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. RA Hansen-Oest möchte jedoch nicht, dass der Vertrag ohne seine Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.
PFLICHTEN DER VERANTWORTLICHEN UND AUFTRAGSVERARBEITER
Wahrung des Datengeheimnisses DSGVO Art. 28 Abs. lit. b
Der Auftragnehmer hat zu gewährleisten, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden.
Technisch organisatorische Maßnahmen
Vertraglich festzulegen ist weiterhin die Pflicht, alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit zu ergreifen. Dabei sind die genauen vorzunehmenden Maßnahmen so konkret wie möglich zu beschreiben, da sie insbesondere darüber Auskunft geben sollen, ob möglicherweise ein Pflichtverstoß vorliegt. Neben der tatsächlichen Umsetzung technischer und organisatorischer Maßnahmen muss der Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO gegenüber dem Verantwortlichen entsprechende Garantien bieten. Mithilfe dieser Garantien soll der Auftragsverarbeiter nachweisen können, dass durch diese technischen und organisatorischen Maßnahmen eine rechtmäßige Datenverarbeitung nach DSGVO erfolgt und die Rechte der Betroffenen ausreichend berücksichtigt werden.
Inanspruchnahme von weiteren Auftragsverarbeitern (Subunternehmern)
Nach Art. 28 Abs. Abs. 2 DSGVO ist vertraglich zu regeln, dass weitere Auftragsverarbeiter nur dann beauftragt werden dürfen, wenn entweder eine vorherige gesonderte oder eine allgemeine schriftliche Genehmigung des Verantwortlichen erteilt wird. Im Falle einer allgemeinen schriftlichen Genehmigung ist der Auftragsverarbeiter zu verpflichten, den Verantwortlichen vor jeder Beauftragung oder Änderung eines bereits bestehenden Auftrags hierüber zu informieren. Zwischen dem Auftragsverarbeiter und den weiteren Auftragsverarbeitern muss ebenfalls ein Auftragsverarbeitungs-Vertrag abgeschlossen werden, welcher den Anforderungen des Art. 28 DSGVO genügt und die Datenschutzpflichten des Vertrages zwischen dem Verantwortlichen und dem primären Auftragsverarbeiter nicht unterschreitet.
Anträge betroffener Personen
Betroffene Personen haben gegenüber dem Verantwortlichen Ansprüche auf Auskunft, Berichtigung und Löschung von Daten, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Damit der Betroffene seine Rechte umfassend geltend machen kann, ist der Auftragsverarbeiter zu verpflichten, den Verantwortlichen bei der Wahrnehmung der Beantwortung dieser Ansprüche zu unterstützen. Hierzu hat der Auftragsverarbeiter die Gesuche der betroffenen Personen an den Verantwortlichen weiterzuleiten und in Umsetzung des Anspruchs entsprechende Weisungen, beispielsweise die Berichtigung von Daten, umzusetzen.
Unterstützung des Verantwortlichen
Der Auftragsverarbeiter muss gemäß Art. 28 Abs. 3 lit. f) DSGVO vertraglich verpflichtet werden, den Verantwortlichen dabei zu unterstützen, dessen Pflichten aus Art. 32 bis 36 DSGVO einzuhalten. Diese Pflichten beinhalten die Ergreifung der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO), Meldung von Datenschutzverletzungen an Aufsichtsbehörden (Art. 33 DSGVO), Benachrichtigung der von Datenschutzverletzungen betroffenen Personen (Art. 34 DSGVO), Unterstützung bei einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie Konsultierung der Aufsichtsbehörde bei Verarbeitungen mit hohen Risiken (Art. 36 DSGVO).
Lösch- und Rückgabepflichten nach Auftragsbeendigung
Der Auftragsverarbeitungs-Vertrag muss eine Bestimmung darüber enthalten, ob nach Beendigung des Auftrages der Auftragsverarbeiter alle personenbezogenen Daten zu löschen oder zurückzugeben hat, sofern nicht eine gesetzliche Verpflichtung zur Speicherung dieser Daten besteht.
Informationspflichten und Ermöglichung von Überprüfungen
Nachdem die DSGVO dem Verantwortlichen eine Auswahlpflicht auferlegt, wonach der Verantwortliche nur geeignete Auftragsverarbeiter beauftragen darf, muss sich der Verantwortliche über die Geeignetheit im Wege von Überprüfungen vergewissern können.
Da das Gesetz keine entsprechenden Duldungs- und Mitwirkungspflichten von Seiten des Auftragsverarbeiters vorsieht, muss der Vertrag solche Duldungs- und Mitwirkungspflichten schaffen. Damit der Auftragsverarbeiter nachweisen kann, dass er seine Pflichten aus Art. 28 DSGVO einhält, muss er dem Verantwortlichen alle hierfür erforderlichen Informationen zur Verfügung stellen und Überprüfungen durch den Verantwortlichen oder einen anderen von ihm beauftragten Prüfer (z. B. den externen Datenschutzbeauftragten des Verantwortlichen) ermöglichen.
Gesetzliche Pflichten des Auftragsverarbeiters
Neben den Pflichten des Auftragsverarbeiters, welche zwingend im Auftragsverarbeitungs-Vertrag geregelt sein müssen, bestehen weitere gesetzliche Pflichten:.
Verzeichnis von Verarbeitungstätigkeiten
Jeder Auftragsverarbeiter muss ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigkeiten der Auftragsverarbeitung führen. Hierzu sieht Art. 30 Abs. 2 DSGVO den erforderlichen Inhalt vor. Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
Zusammenarbeit mit der Aufsichtsbehörde
Art. 31 DSGVO verpflichtet den Auftragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen zu arbeiten. Diese Pflicht gilt jedoch nur hinsichtlich Sachverhaltsaufklärungen, die sich ausschließlich mithilfe des Auftragsverarbeiters erreichen lassen. Eine bloße Arbeitserleichterung der Aufsichtsbehörde ist hiermit nicht gemeint.
Bestellen eines Datenschutzbeauftragten
Der Auftragsverarbeiter hat unter den Voraussetzungen des Art. 37 Abs. 1 DSGVO einen (internen oder externen) Datenschutzbeauftragten zu benennen (mehr dazu im kostenlosen Whitepaper zum betrieblichen Datenschutzbeauftragten nach DSGVO).
Vertreter für Auftragsverarbeiter in Drittländern
Auftragsverarbeiter, die keine Niederlassung in der EU haben und personenbezogene Daten von EU-Bürgern verarbeiten, müssen gem. Art. 27 Abs. 1 DSGVO schriftlich einen Vertreter in der Union bestellen.
Übermittlungen von Daten an Drittländer und internationale Organisationen
Der Auftragsverarbeiter hat ebenfalls die Beschränkungen für Datenübermittlungen an Drittländer und internationale Organisationen gem. Art. 44 DSGVO zu beachten. Hiernach dürfen personenbezogene Daten nur dann übermittelt werden, wenn die Verarbeitung insgesamt den Anforderungen der DSGVO genügt und im Empfängerland vergleichbare datenschutzrelevante Schutzmechanismen für Betroffene vorgesehen sind.
Risiken und Haftung des Auftragsverarbeiters
Der Dienstleister haftet als Auftragsverarbeiter nach Art. 82 Abs. 1, Abs. 2 S. 2 DSGVO bei Verletzung seiner hier aufgeführten Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden. Selbst wenn der Verantwortliche an der Datenverarbeitung beteiligt und dieser für den Schaden verantwortlich ist, kann der Auftragsverarbeiter aufgrund der gesamtschuldnerischen Haftung nach Art. 82 Abs. 4 DSGVO vollumfänglich in Anspruch genommen werden. Erst nachträglich kann der Auftragsverarbeiter im Innenverhältnis vom Verantwortlichen den Anteil des Schadensersatzes zurückfordern. Der Auftragsverarbeiter kann sich gem. Art. 82 Abs. 3, Abs. 4 DSGVO nur dann von der Haftung befreien, wenn er nachweisen kann, dass er sämtliche Verpflichtungen bei der Datenverarbeitung erfüllt hat und „in keinerlei Hinsicht […] verantwortlich ist“.
Drohende Geldbußen für Auftragsverarbeiter
Verarbeiter bzw. Dienstleister sollten die hier aufgeführten Pflichten im Rahmen der Auftragsverarbeitung also nicht auf die leichte Schulter nehmen. Denn werden diese Pflichten nicht erfüllt, drohen zusätzlich zur oben genannten Haftung je nach Art und Schwere der Pflichtverletzung und unabhängig davon ob ein Schaden eintritt, Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Umsatzes des vorangegangenen Jahres – je nachdem, welcher Betrag höher ist!
DATENÜBERMITTLUNG AN DRITTLÄNDER - GELTUNG DER DSGVO
- Die DSGVO ist in allen EU Ländern als unmittelbar geltendes Recht anwendbar (Vollharmonisierung zur Gewährleistung des freien Waren- (Daten-) verkehrs). Damit besteht in allen EU Ländern das gleiche Schutzniveau. Gleiches gilt für EWR Länder soweit sie einen Beschluss zur Anwendung der DSGVO fassen. Datentransfer ist auch an Nicht EU Länder (Drittländer) denkbar; auch
- Weitergabe aus einem Drittland in ein anders Drittland. Wie kann in solchen Fällen ein angemessenes Schutzniveau der personenbezogenen Daten sichergestellt werden?
- Regelung in Art. 44 - 49 DSGVO
ZWEI VORAUSSETZUNGEN FÜR EINE DATENÜBERMITTLUNG IN EIN DRITTLAND
- Die Datenübermittlung selbst als Datenverarbeitungsvorgang bedarf einer Einwilligung des Betroffenen oder eines anderen gesetzlichen Erlaubnistatbestandes (Art. 6 Abs. 1 lit. a – f DSGVO).
- In dem Drittland muss ein angemessenes Schutzniveau gewährleistet sein.
Nur wenn beide Voraussetzungen vorliegen, dürfen Daten an einen Empfänger in einem Drittland übertragen werden!
WANN GEHT DIE DSGVO VON EINEM ANGEMESSEN SCHUTZNIVEAU IN EINEM DRITTLAND AUS?
- Angemessenheitsbeschluss durch die Europäische Kommission (Art. 45 DSGVO)
- Geeignete Garantien durch Standardvertragsklauseln
- Geeignete Garantien durch verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules (Art. 47 DSGVO). BCR sind bindende Unternehmensrichtlinien, welche unternehmensinterne Datentransfers erlauben.
- Geeignete Garantien durch genehmigte Verhaltensregeln und Zertifizierungsmechanismen
- Sonstige Ausnahmen (Art. 49 DSGVO)
ANGEMESSENHEITSBESCHLUSS DURCH DIE EUROPÄISCHE KOMMISSION (ART. 45 DSGVO)
- EU Kommission fasst Angemessenheitsbeschluss, wonach das Drittland ein angemessenes Schutzniveau bietet.
- Kriterien in Art. 45 Abs. 2 DSGVO; diese müssen nicht alle gleichermaßen erfüllt sein, sondern es erfolgt eine Gesamtschau aller Umstände des Einzelfalls.
- Erlassene Angemessenheitsbeschlüsse bleiben solange in Kraft bis sie geändert, ersetzt oder aufgehoben werden (Art. 45 Abs. 9 DSGVO).
Europäischer Wirtschaftsraum
- Der EWR besteht aus der Europäische Union und der EFTA (Island, Liechtenstein, Norwegen)
- Die EU-Mitgliedstaaten sind Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Vereinigtes Königreich, Republik Zypern
Die Schweiz hat eine Sonderrolle im EWR, gehört aber "pragmatisch" dazu.
Weitere Erläuterungen zum Thema vom Europäischen Parlament
ANGEMESSENHEITSBESCHLÜSSE DER EU KOMMISSION EXISTIEREN FÜR FOLGENDE LÄNDER
Andorra Guernsey Jersey Schweiz | Argentinien Isle of Man Kanada Japan | Färöer Israel Neuseeland Vereinigte Staaten |
---|---|---|
Der EU-US PRIVACY SHIELD beruht auf einer informellen Absprache zwischen der EU und den USA aus der Zeit der Obama Administration und ist nur bedingt mit den Angemessenheitsbeschlüssen für die anderen Länder vergleichbar.
Die USA sichern hiernach wirksame Aufsichtsmaßnahmen gegenüber Unternehmen sowie Beschränkungen, Garantien und Aufsichtsmechanismen bei Zugriff auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit und eine weitgehende Gleichstellung von EU-Bürgern bei der Rechtsverfolgung in den USA zu.
Das EU-US Privacy Shield funktioniert als Selbstzertifizierungsmechanismus, d.h. die US Unternehmen müssen sich bei der Federal Trade Commission registrieren und ihre Datenschutz Policy vorlegen.
Klagen aus Irland und Frankreich gegen Privacy Shield anhängig.
Die Kommission verhandelt derzeit noch mit Südkorea und steht im diesbezüglichen Dialog mit Indien, Brasilien und Paraguay.
GEEIGNETE GARANTIEN DURCH STANDARDVERTRAGSKLAUSELN
- Um ein Datenschutzdefizit in einem Drittland auszugleichen, können das datenübermittelnde Unternehmen und der Empfänger im Drittland Standardvertragsklauseln vereinbaren.
- Die Standardvertragsklauseln werden in einem Prüfverfahren durch die EU Kommission (Art. 46 Abs. 2 lit. c DSGVO) oder von einer Aufsichtsbehörde erlassen und durch die EU Kommission genehmigt (Art. 46 Abs. 2 lit. d DSGVO).
DURCH DIE EU KOMMISSION ERLASSENE UND GENEHMIGTE STANDARDVERTRAGSKLAUSELN (ART. 46 ABS. 5 DSGVO)
Controller-to-Controller Set I (2001/497/EG)
Controller-to-Controller Set II (2004/915/EG) „unternehmensfreundlich“
Controller-to-Processor (2010/87/EU)
VERWENDUNG DER STANDARDVERTRAGSKLAUSELN
Die Standardvertragsklauseln sind vollständig und unverändert zu übernehmen.
Kombination von einzelnen Klauseln aus den verschiedenen Sets ist nicht möglich.
Integration der Klauseln eines Sets in umfangreiches Vertragswerk möglich (z.B. in Cloudvertrag).
Verschärfung der Klauseln wohl möglich (deutsche Datenschutzbehörden raten jedoch ab).
GEEIGNETE GARANTIEN DURCH SOGENANNTE. BINDING CORPORATE RULES (BCR) (ART. 47 DSGVO)
- Verbindliche interne Datenschutzvorschriften können eine ausreichende Garantie für den internationalen Datentransfer innerhalb einer multinationalen Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bilden.
- Gruppenmitglieder legen eine globale Datenschutzpolitik (gruppeninterner Datenschutzstandard) in Bezug auf die internationale Datenübermittlung an Gruppenmittglieder in Drittländern ohne angemessenes Datenschutzniveau fest.
ANFORDERUNGEN AN VERBINDLICHE INTERNET DATENSCHUTZVORSCHRIFTEN
- Rechtlich bindend für alle Mitglieder der Unternehmensgruppe.
- Betroffenen Personen müssen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung personenbezogener Daten übertragen werden.
- Mindestangaben nach § 47 Abs. 2 DSGVO.
- Genehmigung der verbindlichen internen Datenschutzvorschriften durch die zuständige Aufsichtsbehörde im Kohärenzverfahren (Art. 63 ff. DSGVO).
GEEIGNETE GARANTIEN DURCH GENEHMIGTE VERHALTENSREGELN UND ZERTIFIZIERUNGS-MECHANISMEN
- Soweit ersichtlich sind bislang nur Verhaltensregeln (Art. 40, 41 DSGVO) von der Versicherungswirtschaft (GDV) existent. Zertifizierungsmechanismen (Art. 42, 43 DSGVO) soweit ersichtlich bislang noch nicht genehmigt.
- Idee: Selbstregulierungsinstrumente stellen sicher, dass ein bestimmtes Datenschutzniveau besteht und können daher als Garantie dienen.
- Problem: Unternehmen müssen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente zur Anwendung verpflichtet werden.
SONSTIGE AUSNAHMEN (ART. 49 DSGVO)
Wenn keine der vorgenannten Garantien gegeben ist, ist eine Übermittlung personenbezogener Daten in ein Drittland in bestimmen Ausnahmefällen dennoch möglich.
- Aufzählung in Art. 49 Abs. 1 DSGVO ist abschließend und Tatbestände sind eng auszulegen.
- Übermittlung ist für Erfüllung des Vertrages mit dem Betroffenen erforderlich. (z.B. Übermittlung von Daten zum Gast an ein Hotel im Drittland durch Reiseveranstalter nicht Personaldaten bei Outsourcing der Personalabteilung in Drittland
- Übermittlung ist für den Vertrag mit einem Dritten erforderlich.
- Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
- Wichtige Gründe des öffentlichen Interesses z.B. Datenaustausch von Steuer- und Zollbehörden
- Schutz lebenswichtiger Interessen sofern Betroffener physisch oder rechtlich außerstande ist, Einwilligung zuerteilen.
- Übermittlung erfolgt aus öffentlichen Registern.
- Wahrung der zwingenden berechtigten Interessen des Verantwortlichen sofern
- Die Übermittlung nicht wiederholt erfolgt.
- Die Übermittlung betrifft nur eine begrenzte Zahl von Betroffenen.
- Berechtigte Interessen des Verantwortlichen werden nicht von den Interessen, Rechten und Freiheiten des Betroffenen überwogen.
- Verantwortlicher hat alle Umstände der Datenübermittlung beurteilt und geeignete Garantien vorgesehen
EINWILLIGUNG (ART. 49 ABS. 1 LIT. A DSGVO)
- Ausdrückliche Einwilligung des Betroffenen in die Übermittlung der personenbezogenen Daten in ein „unsicheres“ Drittland möglich.
- Idee: Recht auf informelle Selbstbestimmung ermöglich dem Betroffenen über seine personenbezogenen Daten nach freien Ermessen zu disponieren.
- Einwilligung muss sich auf die konkrete beabsichtigte Übermittlung beziehen.
- Betroffener muss vorweg über die möglichen Risiken einer Datenübermittlung bei Fehlen eines Angemessenheitsbeschlusses und anderweitiger geeigneter Garantien unterrichtet werden.
FAZIT FÜR DEN DATENSCHUTZBEAUFTRAGTEN
Datenverarbeitungsvorgängen bei denen personenbezogene Daten ins Ausland übertragen werden, ist besondere Aufmerksamkeit zu schenken.
Eine Übertragung von personenbezogen Daten in ein Drittland ist nur zulässig, wenn ein Angemessenheitsbeschluss existiert, geeignete Garantien vorliegen oder eine sonstige Ausnahme vorliegt.
Ggf. ist eine doppelte Absicherung zu erwägen, z.B. Vereinbarung von Standartvertragsklauseln mit Geschäftspartnern in Großbritannien (Brexit).
Verzeichnis von Verarbeitungstätigkeiten Artikel 30 DSGVO
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.
Checkliste nach Art. 28 und 29 DSGVO
müssen im AV-Vertrag aufgenommen werden
Wer ist der Verantwortliche für die Datenverarbeitung?
Was ist der Gegenstand und die Dauer der Verarbeitung?
Welcher Art ist die Verarbeitung und zu welchem Zweck findet sie statt?
Welcher Art sind die personenbezogenen Daten und Kategorien betroffener Personen?
Welchen Umfang haben die Weisungsbefugnisse?
Inwieweit hat der Auftragsverarbeiter eine Informationspflicht,
falls eine Weisung gegen Datenschutzrecht verstößt?
Welche Pflichten und Rechte hat der Verantwortliche?
Außerdem müssen folgende Informationen enthalten sein
eine Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit
ein Nachweis über die Durchführung technischer und organisatorischer Maßnahmen (TOM)
durch den Auftragsverarbeiter
eine Regelung bezüglich ausdrücklicher Zustimmung, allgemeiner Genehmigung
oder Verbot zu dem Hinzuziehen von Subunternehmern
ein Hinweis, dass Subunternehmern dieselben vertraglichen Pflichten auferlegt werden
Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Beantwortung
von Betroffenenanträgen nach Art. 12-22 DSGVO sowie dessen Pflichten aus Art. 32-36 DSGVO
Löschung oder Herausgabe der Daten nach Wahl des Verantwortlichen nach Beendigung des Auftrags
Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO durch den Auftragsverarbeiter,
sowie Unterstützungspflicht bei Überprüfungen oder Vor-Ort-Kontrollen durch den Verantwortlichen