Artikel 9 Datenschutzklauseln und spezifische Garantien

1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:

  1. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
  2. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
  3. die Art und den Zweck der Bekanntgabe von Personendaten;
  4. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
  5. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
  6. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
  7. die Massnahmen zur Gewährleistung der Datensicherheit;
  8. die Pflicht, Verletzungen der Datensicherheit zu melden;
  9. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
  10. die Rechte der betroffenen Person, insbesondere:
    1. das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
    2. das Recht, der Datenbekanntgabe zu widersprechen,
    3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
    4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.

2 Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.

3 Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:

  1. unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
  2. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.

DSV