48 BlnDSG Auftragsverarbeitung — Order processing

German Original (Official) Version

§ 48 BlnDSG Auftragsverarbeitung

  1. 1Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. 2Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.
  2. Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
  3. 1Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. 2Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. 3Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.
  4. 1Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon auf Grund anderer Vorschriften verbindlich sind. 2Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.
  5. 1Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. 2Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter
    1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;
    2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
    3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
    4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;
    5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 62 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;
    6. Überprüfungen, die von dem Verantwortlichen oder einer oder einem von diesem beauftragten Prüferin oder Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;
    7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
    8. alle gemäß § 50 erforderlichen Maßnahmen ergreift und
    9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in §§ 50 bis 53 und 55 genannten Pflichten unterstützt.
  6. Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen.
  7. Die Absätze 1 bis 6 gelten entsprechend, wenn die Wartung automatisierter Verfahren durch Dritte im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
  8. Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

English Machine Translated Version

Section 48 Order processing

  1. 1If personal data are processed on behalf of a controller by other persons or bodies, the controller shall ensure compliance with the provisions of this Act and other provisions on data protection. 2The rights of the data subjects to information, rectification, erasure, restriction of processing and compensation shall in this case be asserted against the controller.
  2. A controller may only entrust the processing of personal data to processors who ensure, by means of appropriate technical and organisational measures, that the processing is carried out in compliance with the legal requirements and that the rights of the data subjects are protected.
  3. 1Processors may not involve other Processors without the prior written consent of the Controller. 2Where the controller has granted the processor general authorisation to use additional processors, the processor shall inform the controller of any intended use or substitution. 3In this case, the controller may prohibit the involvement or replacement.
  4. 1Where a processor involves another processor, it shall impose the same obligations on that processor under its contract with the controller pursuant to paragraph 5 as apply to the controller, to the extent that those obligations are not already binding on the other processor under other provisions. 2If a further processor fails to comply with those obligations, the processor instructing it shall be liable to the controller for compliance with the obligations of the further processor.
  5. 1Processing by a processor shall be carried out on the basis of a contract or other legal instrument binding the processor to the controller and specifying the subject-matter, duration, nature and purpose of the processing, the type of personal data, the categories of data subjects and the rights and obligations of the controller. 2The contract or other legal instrument shall in particular provide that the processor shall
    1. acts only on the documented instructions of the controller; if the processor is of the opinion that an instruction is unlawful, it shall inform the controller without delay;
    2. ensures that the persons authorised to process the personal data have committed themselves to confidentiality insofar as they are not subject to an appropriate statutory duty of confidentiality;
    3. assists the data controller with appropriate means to ensure compliance with the provisions on the rights of the data subject;
    4. returns or deletes all personal data after completion of the provision of the processing services, at the choice of the controller, and destroys existing copies, unless there is an obligation to store the data under a legal provision;
    5. provides the responsible person with all the necessary information, in particular the records drawn up in accordance with § 62, to prove compliance with his obligations;
    6. enables and contributes to reviews carried out by the responsible person or an examiner appointed by the responsible person;
    7. complies with the conditions set out in paragraphs 3 and 4 for the use of the services of another processor;
    8. takes all measures required under section 50; and
    9. taking into account the nature of the processing and the information available to him, assists the controller in complying with the obligations referred to in sections 50 to 53 and 55.
  6. The contract referred to in paragraph 5 shall be drawn up in writing or electronically.
  7. Paragraphs 1 to 6 shall apply mutatis mutandis if the maintenance of automated procedures is carried out by third parties on behalf and access to personal data cannot be excluded in the process.
  8. A processor who determines the purposes and means of processing in breach of this provision shall be deemed to be a controller in respect of that processing.

Previous: 47 BlnDSG Rechtsschutz gegen Entscheidungen oder bei Untätigkeit der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit — Legal protection against decisions or failure to act by the Berlin Commissioner for Data Protection and Freedom of Information (Berliner Beauftragter für Datenschutz und Informationsfreiheit)

BLNDSG Outline

Next: 49 BlnDSG Gemeinsam Verantwortliche — Gemeinsam Verantwortliche

Scroll to Top