- 1Der Verarbeiter hat die Umsetzung der im Vorfeld der Verarbeitung dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Durchführung zu dokumentieren und dem Verantwortlichen auf Nachfrage zur Prüfung zu übergeben. 2Soweit eine Prüfung/ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
- 1Der Verarbeiter hat die Sicherheit gem. §§ 29 Abs. 4 lit. c), 26 KDG insbesondere in Verbindung mit § 7 Abs. 1 und 2 KDG und den einschlägigen Regelungen der jeweils geltenden KDG-DVO herzustellen. 2Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. 3Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von § 26 Abs. 1 und 3 KDG zu berücksichtigen.
- 1Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Verarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. 2Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. 3Wesentliche Änderungen sind zu dokumentieren.