Verordnung zur Regelung der Rechtsbeziehungen bei der Datenverarbeitung im Auftrag zwischen den Gerichten und Staatsanwaltschaften sowie dem Ministerium der Justiz Vom 20. April 2021
Verordnung zur Regelung der Rechtsbeziehungen bei der Datenverarbeitung im Auftrag zwischen den Gerichten und Staatsanwaltschaften sowie dem Ministerium der Justiz Vom 20. April 2021
Zum 16.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe
Nichtamtliches Inhaltsverzeichnis
| Titel | Gültig ab |
|---|---|
| Verordnung zur Regelung der Rechtsbeziehungen bei der Datenverarbeitung im Auftrag zwischen den Gerichten und Staatsanwaltschaften sowie dem Ministerium der Justiz vom 20. April 2021 | 07.05.2021 |
| Eingangsformel | 07.05.2021 |
| § 1 - Anwendungsbereich | 07.05.2021 |
| § 2 - Grundsatz der Rücksichtnahme | 07.05.2021 |
| § 3 - Gegenstand und Dauer der Verarbeitung | 07.05.2021 |
| § 4 - Datenschutzrechtliche Verantwortlichkeit und Weisungsrecht | 07.05.2021 |
| § 5 - Pflichten des Auftragsverarbeiters | 07.05.2021 |
| § 6 - Sicherheit der Datenverarbeitung | 07.05.2021 |
| § 7 - Verschwiegenheit | 07.05.2021 |
| § 8 - Weitere Auftragsverarbeiter | 07.05.2021 |
| § 9 - Unterstützungspflicht | 07.05.2021 |
| § 10 - Pflichten des Auftragsverarbeiters nach Beendigung des Auftrags | 07.05.2021 |
| § 11 - Nachweis der Konformität | 07.05.2021 |
| § 12 - Inkrafttreten | 07.05.2021 |
Aufgrund des § 4 Absatz 3 des Gesetzes über den Einsatz der Informationstechnik bei den Gerichten und Staatsanwaltschaften vom 8. März 2021 (Amtsbl. I S. 737) verordnet das Ministerium der Justiz:
§ 1 Anwendungsbereich
(1) Diese Rechtsverordnung ist anzuwenden, soweit das Ministerium der Justiz (Auftragsverarbeiter) bei der Erbringung von IT-Dienstleistungen für ein Gericht oder eine Staatsanwaltschaft (Verantwortliche) nach § 4 Absatz 1 des Gesetzes über den Einsatz der Informationstechnik bei den Gerichten und Staatsanwaltschaften personenbezogene Daten verarbeitet.
(2) Diese Rechtsverordnung ersetzt vertragliche Regelungen von Auftragsverarbeitungsverhältnissen nach Absatz 1, die bei Inkrafttreten dieser Verordnung bestehen.
(3) Verantwortlicher und Auftragsverarbeiter können die Rechtsbeziehungen einzelner Auftragsverarbeitungsverhältnisse nach Absatz 1 abweichend von dieser Rechtsverordnung durch Vertrag regeln.
§ 2 Grundsatz der Rücksichtnahme
Verantwortlicher und Auftragsverarbeiter haben auf die Interessen des jeweils anderen und möglicher weiterer Betroffener angemessen Rücksicht zu nehmen und sich abzustimmen.
§ 3 Gegenstand und Dauer der Verarbeitung
(1) Mit Begründung eines Auftragsverarbeitungsverhältnisses teilt der Verantwortliche dem Auftragsverarbeiter Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen mit. Satz 1 gilt auch, wenn sich die mitzuteilenden Angaben wesentlich ändern.
(2) Die Verarbeitung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artikel 44 bis 47 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) erfüllt sind.
(3) Der Auftragsverarbeiter führt ein Verzeichnis sämtlicher Kategorien von Verarbeitungstätigkeiten, die er als Auftragsverarbeiter ausführt und aus dem sich die Angaben aus Absatz 1 Satz 1 ergeben. Der Verantwortliche hat dem Auftragsverarbeiter zu Beginn der Auftragsverarbeitungstätigkeit den für das entsprechende Verfahren maßgeblichen Inhalt seines Verarbeitungsverzeichnisses mitzuteilen. Die bisher geführten Verzeichnisse sind an die nach Artikel 30 der Verordnung (EU) 2016/679 geforderten Inhalte anzupassen. Diese Pflicht trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter.
§ 4 Datenschutzrechtliche Verantwortlichkeit und Weisungsrecht
(1) Für die Beurteilung der Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein das Gericht oder die Staatsanwaltschaft als datenschutzrechtlich verantwortliche Stelle verantwortlich. Soweit die Datenverarbeitung der Fachaufsicht des Ministeriums der Justiz unterliegt, bleibt diese unberührt. Der Verantwortliche informiert den Auftragsverarbeiter über neue rechtlich zu beachtende Anforderungen an die Datenverarbeitung.
(2) Der Auftragsverarbeiter wird angewiesen, personenbezogene Daten des Verantwortlichen in Übereinstimmung mit den gesetzlichen Vorgaben zu verarbeiten, um die in § 3 Absatz 1 beschriebene Datenverarbeitung auszuführen und den damit im Zusammenhang stehenden technischen Support zu erbringen, sowie die zusätzlich in anderen schriftlichen, allgemeinen oder einzelfallbezogenen Weisungen dokumentierten und vom Verantwortlichen vorgegebenen Anweisungen zu beachten. Der Auftragsverarbeiter hat erteilte Weisungen zu bestätigen und zu dokumentieren.
(3) Weisungen können auch in einem elektronischen Format, insbesondere auch durch die Nutzung von Fachanwendungen (einschließlich durch die Einstellungen und Softwarefunktionalitäten der Fachanwendung), erteilt werden.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich schriftlich oder elektronisch, falls er der Auffassung ist, dass eine Weisung gegen gesetzliche Vorschriften verstößt. Er ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
(2) Berichtigungen, Löschungen oder Einschränkungen der Verarbeitung von personenbezogenen Daten werden im Regelfall von den Bediensteten der Gerichte und Staatsanwaltschaften selbst unmittelbar im Fernzugriff vorgenommen. Soweit dies mit angemessenem Aufwand nicht möglich ist, kann der Verantwortliche mittels einer Weisung verlangen, dass der Auftragsverarbeiter personenbezogene Daten aus dem Auftragsverhältnis berichtigt, löscht oder deren Verarbeitung einschränkt. Ergeht eine Weisung zur Berichtigung, Löschung oder Einschränkung der Verarbeitung, hat der Auftragsverarbeiter die Daten so früh, wie es angemessen und praktikabel ist, zu ändern bzw. löschen.
(3) Die Herausgabe personenbezogener Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Verantwortlichen erteilen. Erfolgt die Herausgabe aufgrund einer gerichtlichen Anordnung, bedarf es keiner Zustimmung des Verantwortlichen. Der Auftragsverarbeiter hat den Verantwortlichen aber unverzüglich über die Herausgabe zu informieren.
(4) Bei Erhalt einer Anfrage von einer betroffenen Person hinsichtlich der Wahrnehmung von Rechten nach Kapitel III der Verordnung (EU) 2016/679 wird der Auftragsverarbeiter die betroffene Person bitten, ihre Anfrage direkt an den Verantwortlichen zu stellen.
§ 6 Sicherheit der Datenverarbeitung
(1) Der Auftragsverarbeiter ergreift alle nach Artikel 32 der Verordnung (EU) 2016/679 erforderlichen Maßnahmen und passt diese der technischen und organisatorischen Weiterentwicklung an. Der Auftragsverarbeiter trifft für die Sicherheit erhebliche Entscheidungen, die seinen Aufgabenbereich betreffen, zur Organisation der Datenverarbeitung und zu den angewandten Verfahren in alleiniger Verantwortung.
(2) Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Verantwortlichen nach Artikel 33 und Artikel 34 der Verordnung (EU) 2016/679. Der Auftragsverarbeiter hat den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Artikel 33 und 34 der Verordnung (EU) 2016/679 angemessen zu unterstützen (Artikel 28 Absatz 3 Satz 2 Buchstabe f der Verordnung (EU) 2016/679).
§ 7 Verschwiegenheit
Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und gewährleistet, dass sich diese für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Artikel 28 Absatz 3 Satz 2 Buchstabe b und Artikel 29 der Verordnung (EU) 2016/679).
§ 8 Weitere Auftragsverarbeiter
(1) Der Auftragsverarbeiter ist allgemein berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen. Er ist bei Inanspruchnahme weiterer Auftragsverarbeiter vertretungs- und weisungsbefugt sowie berechtigt, die jeweilige Unter-Auftragsverarbeitungsvereinbarung abzuschließen. Datenschutzrechtlich Verantwortlicher im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 bleibt das Gericht oder die Staatsanwaltschaft.
(2) Der Auftragsverarbeiter nimmt nicht öffentliche Stellen als weitere Auftragsverarbeiter nur in Anspruch, soweit dies nicht durch oder aufgrund eines Gesetzes ausgeschlossen oder eingeschränkt ist. Der Verantwortliche informiert den Auftragsverarbeiter bei Begründung eines Auftragsverarbeitungsverhältnisses oder bei Änderung der Rechtslage darüber, inwiefern die Verarbeitung der betroffenen Daten durch nicht öffentliche Stellen durch oder aufgrund Gesetzes ausgeschlossen oder eingeschränkt ist.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über die bei Inkrafttreten dieser Verordnung hinzugezogenen weiteren Auftragsverarbeiter sowie über jede beabsichtigte Hinzuziehung oder Ersetzung von weiteren Auftragsverarbeitern. Der Verantwortliche kann gegen die Hinzuziehung oder Ersetzung Einspruch beim Auftragsverarbeiter erheben. Der Einspruch ist innerhalb von 2 Wochen nach Bereitstellung der Information über die Hinzuziehung oder Ersetzung gegenüber dem Auftragsverarbeiter schriftlich oder elektronisch zu erheben.
(4) Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die Vorgaben dieser Verordnung und sonstige Vereinbarungen, die aufgrund des Auftragsverarbeitungsverhältnisses zwischen dem Auftragsverarbeiter und dem Verantwortlichen bestehen, auch gegenüber dem weiteren Auftragsverarbeiter gelten.
§ 9 Unterstützungspflicht
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen
1.
nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrung der in Kapitel III der Verordnung (EU) 2016/679 benannten Rechte der betroffenen Personen und
2.
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 der Verordnung (EU) 2016/679 genannten Pflichten.
(2) Unterstützungspflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen aufgrund anderer Rechtsvorschriften bleiben unberührt.
§ 10 Pflichten des Auftragsverarbeiters nach Beendigung des Auftrags
Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen, zu vernichten oder zurückzugeben. Die Löschung oder Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
§ 11 Nachweis der Konformität
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 der Verordnung (EU) 2016/679 niedergelegten Pflichten zur Verfügung.
(2) Der Verantwortliche ist berechtigt, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen durch Überprüfungen zu überzeugen. Eine Überprüfung erfolgt grundsätzlich nach Terminvereinbarung. Beauftragt der Verantwortliche einen sachkundigen Dritten mit der Durchführung der Überprüfung, so ist dieser nach dem Verpflichtungsgesetz vom 2. März 1974 (BGBl. I S. 469, 547), zuletzt geändert durch § 1 Nummer 4 des Gesetzes vom 15. August 1974 (BGBl. I S. 1942), in der jeweils geltenden Fassung zu verpflichten, sofern er nicht bereits nach diesem Gesetz verpflichtet ist oder den danach Verpflichteten gleichsteht. Bei Kontrollen in Sicherheitsbereichen des Auftragsverarbeiters oder eines von ihm beauftragten weiteren Auftragsverarbeiters unterliegen der Verantwortliche oder ein von ihm beauftragter Dritte den dort allgemein geltenden Regelungen zum begleiteten Aufenthalt. Verarbeitet der Auftragsverarbeiter personenbezogene Daten mehrerer Verantwortlicher, so bestimmen diese einen gemeinsamen Prüfer, der mögliche Überprüfungen durchführt. Das Ergebnis der Überprüfung ist allen Verantwortlichen dieses Kreises zur Verfügung zu stellen. Das Recht eines Verantwortlichen, Überprüfungen durchzuführen, bleibt unberührt.
§ 12 Inkrafttreten
Diese Verordnung tritt am Tag nach der Verkündung in Kraft.
Feedback