(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikel 32 bis 36 genannten Pflichten unterstützt;
g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
(4) Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
(5) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
(6) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
(7) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikel 42 und 43 erteilten Zertifizierung sind.
(8) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
(9) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
(10) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
(11) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.
Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
Artikel 6: Rechtmäßigkeit der Verarbeitung
Artikel 7: Bedingungen für die Einwilligung
Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten
Artikel 11: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Artikel 15: Auskunftsrecht der betroffenen Person
Artikel 16: Recht auf Berichtigung
Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)
Artikel 18: Recht auf Einschränkung der Verarbeitung
Artikel 20: Recht auf Datenübertragbarkeit
Artikel 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Artikel 24: Verantwortung des für die Verarbeitung Verantwortlichen
Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Artikel 26: Gemeinsam Verantwortliche
Artikel 28: Auftragsverarbeiter
Artikel 29: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Artikel 30: Verzeichnis von Verarbeitungstätigkeiten
Artikel 31: Zusammenarbeit mit der Aufsichtsbehörde
Artikel 32: Sicherheit der Verarbeitung
Artikel 33: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Artikel 35: Datenschutz-Folgenabschätzung
Artikel 36: Vorherige Konsultation
Artikel 37: Benennung eines Datenschutzbeauftragten
Artikel 38: Stellung des Datenschutzbeauftragten
Artikel 39: Aufgaben des Datenschutzbeauftragten
Artikel 44: Allgemeine Grundsätze der Datenübermittlung
Artikel 45: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Artikel 46: Datenübermittlung vorbehaltlich geeigneter Garantien
Artikel 47: Verbindliche interne Datenschutzvorschriften
Artikel 48: Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Artikel 49: Ausnahmen für bestimmte Fälle
Artikel 50: Internationale Zusammenarbeit zum Schutz personenbezogener Daten
Artikel 61: Gegenseitige Amtshilfe
Artikel 62: Gemeinsame Maßnahmen der Aufsichtsbehörden
Artikel 64: Stellungnahme des Ausschusses
Artikel 65: Streitbeilegung durch den Ausschuss
Artikel 66: Dringlichkeitsverfahren
Artikel 67: Informationsaustausch
Artikel 68: Europäischer Datenschutzausschuss
Artikel 70: Aufgaben des Ausschusses
Artikel 77: Recht auf Beschwerde bei einer Aufsichtsbehörde
Artikel 78: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
Artikel 80: Vertretung von betroffenen Personen
Artikel 81: Aussetzung des Verfahrens
Artikel 82: Haftung und Recht auf Schadenersatz
Artikel 83: Allgemeine Bedingungen für die Verhängung von Geldbußen
Artikel 85: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
Artikel 86: Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
Artikel 87: Verarbeitung der nationalen Kennziffer
Artikel 88: Datenverarbeitung im Beschäftigungskontext
