Der Verarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieser Verordnung gesetzliche Pflichten gemäß §§ 26, 29 bis 33 KDG; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- 1Benennung eines betrieblichen Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 37, 38 KDG ausübt. Dessen Kontaktdaten werden dem Verantwortlichen zum Zweck der direkten Kontaktaufnahme mitgeteilt. 2Ein Wechsel des betrieblichen Datenschutzbeauftragten wird dem Verantwortlichen unverzüglich mitgeteilt.
- 1Die Wahrung der Vertraulichkeit gemäß §§ 26 Abs. 5, 29 Abs. 4 lit. b), 30 KDG. 2Der Verarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. 3Der Verarbeiter und jede dem Verarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in dieser Verordnung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- Die Umsetzung und Einhaltung aller für die Verarbeitung erforderlichen technischen und organisatorischen Maßnahmen gemäß §§ 29 Abs. 4 lit. c), 26 KDG.
- Der Verantwortliche und der Verarbeiter arbeiten auf Anfrage mit der kirchlichen Datenschutzaufsicht bei der Erfüllung ihrer Aufgaben zusammen.
- 1Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der kirchlichen Datenschutzaufsicht, soweit sie sich auf diese Verarbeitung beziehen. 2Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Verarbeitung beim Verarbeiter ermittelt.
- Soweit der Verantwortliche seinerseits einer Kontrolle der kirchlichen Datenschutzaufsicht, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Verarbeitung beim Verarbeiter ausgesetzt ist, hat ihn der Verarbeiter nach besten Kräften zu unterstützen.
- Der Verarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollrechte nach § 7 dieser Verordnung.