Verordnung zur Regelung der Rechtsbeziehungen bei der „Datenverarbeitung im Auftrag“ zwischen den Dienststellen und Einrichtungen des Landes (Dienststellen der öffentlichen Hand) und dem Auftragsverarbeiter (IT-DLZ) Vom 28. April 2021
Verordnung zur Regelung der Rechtsbeziehungen bei der „Datenverarbeitung im Auftrag“ zwischen den Dienststellen und Einrichtungen des Landes (Dienststellen der öffentlichen Hand) und dem Auftragsverarbeiter (IT-DLZ) Vom 28. April 2021
Zum 16.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe
Nichtamtliches Inhaltsverzeichnis
| Titel | Gültig ab |
|---|---|
| Verordnung zur Regelung der Rechtsbeziehungen bei der „Datenverarbeitung im Auftrag“ zwischen den Dienststellen und Einrichtungen des Landes (Dienststellen der öffentlichen Hand) und dem Auftragsverarbeiter (IT-DLZ) vom 28. April 2021 | 21.05.2021 |
| Eingangsformel | 21.05.2021 |
| § 1 - Anwendungsbereich | 21.05.2021 |
| § 2 - Gegenstand und Dauer der Verarbeitung | 21.05.2021 |
| § 3 - Weisungsrecht | 21.05.2021 |
| § 4 - Pflichten des Auftragsverarbeiters | 21.05.2021 |
| § 5 - Sicherheit der Datenverarbeitung | 21.05.2021 |
| § 6 - Verschwiegenheit | 21.05.2021 |
| § 7 - Weitere Auftragsverarbeiter (Subunternehmer) | 21.05.2021 |
| § 8 - Unterstützungspflicht | 21.05.2021 |
| § 9 - Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags | 21.05.2021 |
| § 10 - Nachweis der Konformität | 21.05.2021 |
| § 11 - Inkrafttreten | 21.05.2021 |
Aufgrund des § 4 Absatz 1 Satz 4 des Gesetzes zur Errichtung eines Landesamtes für IT-Dienstleistungen (IT-Dienstleistungszentrum, IT-DLZ) (Artikel 3 des Gesetzes Nr. 1881) vom 2. Dezember 2015 (Amtsbl. I S. 967), zuletzt geändert durch das Gesetz Nr. 2022 vom 8. März 2021 (Amtsbl. I S. 737), verordnet die Landesregierung:
§ 1 Anwendungsbereich
(1) Diese Rechtsverordnung ist anzuwenden, sobald eine staatliche Stelle (Auftragsverarbeiter) personenbezogene Daten im Auftrag einer anderen öffentlichen Stelle (Verantwortlicher) verarbeitet, für die der Anwendungsbereich des Gesetzes zur Errichtung eines Landesamtes für IT-Dienstleistungen oder des E-Government-Gesetzes im Saarland vom 15. November 2017 (Amtsbl. I S. 1007), zuletzt geändert durch Artikel 2 des Gesetzes vom 15. Mai 2019 (Amtsbl. I S. 653), in der jeweils geltenden Fassung, und nicht der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) eröffnet ist. Diese Verordnung ersetzt bestehende einzelvertragliche Regelungen zur Auftragsverarbeitung. Mittels individualvertraglicher Vereinbarung kann von den Vorschriften dieser Regelungen abgewichen werden.
(2) Verantwortlicher und Auftragsverarbeiter haben auf die Interessen des jeweils anderen und möglicher weiterer Betroffener angemessen Rücksicht zu nehmen und sich abzustimmen.
§ 2 Gegenstand und Dauer der Verarbeitung
(1) Mit Begründung eines Auftragsverarbeitungsverhältnisses teilt der Verantwortliche dem Auftragsverarbeiter Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen mit. Satz 1 gilt auch, wenn sich die mitzuteilenden Angaben wesentlich ändern.
(2) Die Verarbeitung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artikel 44 bis 47 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) erfüllt sind.
(3) Der Auftragsverarbeiter führt ein Verzeichnis sämtlicher Kategorien von Verarbeitungstätigkeiten, die er als Auftragsverarbeiter ausführt und aus dem sich die Angaben aus Absatz 1 Satz 1 ergeben. Der Verantwortliche hat dem Auftragsverarbeiter zu Beginn der Auftragsverarbeitungstätigkeit den für das entsprechende Verfahren maßgeblichen Inhalt seines Verarbeitungsverzeichnisses mitzuteilen. Die bisher geführten Verzeichnisse sind an die nach Artikel 30 der Verordnung (EU) 2016/679 geforderten Inhalte anzupassen. Diese Pflicht trifft sowohl den Verantwortlichen als auch den Auftragverarbeiter.
§ 3 Weisungsrecht
(1) Der Auftragsverarbeiter wird angewiesen, personenbezogene Daten des Verantwortlichen in Übereinstimmung mit den gesetzlichen Vorgaben zu verarbeiten,
1.
um die in § 2 Absatz 1 beschriebene Datenverarbeitung auszuführen und den damit im Zusammenhang stehenden technischen Support zu erbringen, sowie
2.
die zusätzlich in anderen schriftlichen, allgemeinen oder individuellen Weisungen dokumentierten und vom Verantwortlichen vorgegebenen Anweisungen zu beachten.
Die Weisungen sind vom Auftragsverarbeiter zu dokumentieren.
(2) Weisungen können auch in einem elektronischen Format, insbesondere auch durch die Nutzung von Fachanwendungen (einschließlich durch die Einstellungen und Softwarefunktionalitäten der Fachanwendung), erteilt werden. Der Auftragsverarbeiter hat erteilte Weisungen zu bestätigen und zu dokumentieren.
(3) Die Beurteilung der Rechtmäßigkeit der Verarbeitung gemäß Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 sowie die Wahrung der Rechte der betroffenen Personen nach den Artikeln 12 bis 22 der Verordnung (EU) 2016/679 obliegen allein dem Verantwortlichen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich schriftlich, falls er der Auffassung ist, dass eine Weisung gegen gesetzliche Vorschriften verstößt. Er ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
(2) Der Auftragsverarbeiter hat personenbezogne Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Verantwortliche dies mittels einer Weisung verlangt. Ergeht die Weisung zur Löschung, hat der Auftragsverarbeiter diese Daten so früh, wie es angemessen und praktikabel ist, zu löschen; das Löschen der Daten im Bereich der „Back-up-Systeme“ ist spätestens nach einer Dauer von 30 Tagen sicherzustellen.
(3) Die Herausgabe personenbezogener Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Verantwortlichen erteilen. Erfolgt die Herausgabe aufgrund einer gerichtlichen Anordnung (beispielsweise Pfändung oder Beschlagnahme), bedarf es keiner Zustimmung des Verantwortlichen. Der Auftragsverarbeiter hat den Verantwortlichen aber unverzüglich über die Herausgabe zu informieren.
(4) Bei Erhalt einer Anfrage von einer betroffenen Person hinsichtlich der Wahrnehmung von Rechten nach Kapitel III der Verordnung (EU) 2016/679 wird der Auftragsverarbeiter die betroffene Person bitten, ihre Anfrage direkt an den Verantwortlichen zu stellen.
§ 5 Sicherheit der Datenverarbeitung
(1) Der Auftragsverarbeiter ergreift alle nach Artikel 32 der Verordnung (EU) 2016/679 erforderlichen Maßnahmen und passt diese der technischen und organisatorischen Weiterentwicklung an. Soweit ein Anschluss- und Benutzungszwang gegeben ist, trifft der· Auftragsverarbeiter für die Sicherheit erhebliche Entscheidungen, die seinen Aufgabenbereich betreffen, zur Organisation der Datenverarbeitung und zu den angewandten Verfahren in alleiniger Verantwortung; andernfalls sind diese Entscheidungen mit dem Verantwortlichen abzustimmen.
(2) Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Verantwortlichen nach Artikel 33 und Artikel 34 der Verordnung (EU) 2016/679. Der Auftragsverarbeiter hat den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Artikel 33 und 34 der Verordnung (EU) 2016/679 angemessen zu unterstützen (Artikel 28 Absatz 3 Satz 2 Buchstabe f der Verordnung (EU) 2016/679).
§ 6 Verschwiegenheit
Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und gewährleistet, dass sich diese für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Artikel 28 Absatz 3 Satz 2 Buchstabe b und Artikel 29 der Verordnung (EU) 2016/679).
§ 7 Weitere Auftragsverarbeiter (Subunternehmer)
(1) Der Auftragsverarbeiter ist allgemein berechtigt, weitere Auftragsverarbeiter (Subunternehmer) in Anspruch zu nehmen. Der Auftragsverarbeiter ist bei Inanspruchnahme weiterer Auftragsverarbeiter vertretungs- und weisungsbefugt. Er ist berechtigt, die jeweilige Unter-Auftragsverarbeitungsvereinbarung abzuschließen. Datenschutzrechtlich Verantwortlicher im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 bleibt der jeweilige Auftraggeber. Die Erteilung eines Auftrags zur Verarbeitung von Sozialdaten im Sinne des § 67 Absatz 2 des Zehnten Sozialgesetzbuches durch nicht öffentliche Stellen ist nur zulässig, wenn
1.
beim Verantwortlichen sonst Störungen im Betriebsablauf auftreten können oder
2.
die übertragenen Arbeiten beim Auftragsverarbeiter erheblich kostengünstiger besorgt werden können.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Veränderung von Subunternehmern. Der Verantwortliche kann gegen derartige Änderungen Einspruch beim Auftragsverarbeiter erheben. Der Einspruch ist innerhalb von 2 Wochen nach Bereitstellung der Information über die Änderung gegenüber dem Auftragsverarbeiter schriftlich oder elektronisch zu erheben. Wird dem Einspruch nicht abgeholfen, kann sich der Verantwortliche an die für den Auftragsverarbeiter zuständige oberste Landesbehörde wenden. Im Falle einer nicht zu behebenden Uneinigkeit kann das Anliegen an den IT-DLZ-Verwaltungsrat herangetragen werden. Soweit kein Anschluss- und Benutzungszwang gegeben ist, kann das Auftragsverarbeitungsverhältnis beendet werden.
(3) Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die Vorgaben dieser Verordnung und sonstige Vereinbarungen, die aufgrund des Auftragsverarbeitungsverhältnisses zwischen dem Auftragsverarbeiter und dem Verantwortlichen existieren, auch gegenüber dem Subunternehmer gelten. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm gemäß Satz 1 vertraglich auferlegt wurden.
§ 8 Unterstützungspflicht
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen
1.
nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrung der in Kapitel III der Verordnung (EU) 2016/679 benannten Rechte der betroffenen Personen und
2.
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 der Verordnung (EU) 2016/679 genannten Pflichten.
(2) Die Unterstützungspflicht des Auftragsverarbeiters gegenüber dem Verantwortlichen aufgrund anderer Rechtsvorschriften wird durch diese Verordnung nicht eingeschränkt.
§ 9 Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags
Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen, zu vernichten oder zurückzugeben. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
§ 10 Nachweis der Konformität
(1) Der Auftragsverarbeiter
1.
stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 der Verordnung (EU) 2016/679 niedergelegten Pflichten zur Verfügung und
2.
ermöglicht - grundsätzlich nach entsprechender Terminvereinbarung - Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.
(2) Verarbeitet ein Auftragsverarbeiter personenbezogene Daten mehrerer Verantwortlicher, so bestimmen diese aus ihrem Kreis einen Prüfer oder sie beauftragen einen externen Prüfer, der mögliche Überprüfungen nach Absatz 1 Nummer 2 durchführt. Das Ergebnis der Überprüfung ist allen Verantwortlichen dieses Kreises zur Verfügung zu stellen. Das Recht eines Verantwortlichen, Überprüfungen durchzuführen, bleibt unberührt.
§ 11 Inkrafttreten
Diese Verordnung tritt am Tag nach der Verkündung in Kraft.
Feedback