5.4.1 Der Datenbearbeiter trifft die in Anhang 2 genannten
technischen und organisatorischen Massnahmen (TOM), um die Sicherheit der Personendaten zu gewährleisten, einschliesslich des Schutzes vor zufälliger oder unrechtmässiger Zerstörung, Verlust, Veränderung, unberechtigter Weitergabe oder unberechtigtem Zugriff auf diese Daten (Verletzung des Schutzes von Personendaten). Die Beurteilung eines angemessenen Sicherheitsniveaus, insbesondere die mit der Bearbeitung verbundenen Risiken, die Art der Personendaten sowie die Art, den Umfang, die Umstände und die Zwecke der Bearbeitung, obliegen der Verantwortlichen.
5.4.2 Im Falle einer Verletzung des Schutzes der Personendaten in Bezug auf Daten, die vom Datenbearbeiter bearbeitet werden, benachrichtigt dieser die Verantwortliche unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes der Personendaten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschliesslich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Massnahmen, die zur Abschwächung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.
5.4.3 Der Datenbearbeiter arbeitet nach Treu und Glauben mit der Verantwortlichen zusammen und unterstützt sie in jeder erforderlichen Weise, damit die Verantwortliche in der Lage ist, gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
5.4.4 Der Datenbearbeiter gewährt seinen Mitarbeiter*innen nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Datenbearbeiter stellt sicher, dass die Personen, die zur Bearbeitung der erhaltenen Personendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.