Common use of Auftragsdatenverarbeitung Clause in Contracts

Auftragsdatenverarbeitung. 9.1 Insofern A-Trust als Auftragsdatenverarbeiterin für Unternehmen tätig wird (Verarbeitung von personenbezogenen Daten, auch kurz als „Daten“ bezeichnet), gelten folgende Bestimmungen. Wenn in Folge der datenschutzrechtliche Begriff des „Verantwortlichen“ verwendet wird, sollen alle Geschlechter davon miterfasst sein. 9.2 Gegenstand und Zweck der Auftragsverarbeitung, Kategorien von betroffenen Personen und Datenarten ergeben sich aus dem jeweiligen Angebot. 9.3 Die Speicherung oder sonstigen Verarbeitung der Daten wird durch A-Trust prinzipiell innerhalb Deutschlands oder Österreichs vorgenommen, es sei denn das jeweilige Angebot sieht Anderes vor. Die beabsichtigte Verarbeitung der Daten in einem Drittland durch A-Trust ist jedenfalls ausgeschlossen. 9.4 A-Trust ist verpflichtet, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. 9.5 Sofern Rechtsvorschriften A-Trust verpflichten, Daten auf eine andere, als in dieser Anlage vorgesehene, Art und Weise zu verarbeiten, unterrichtet A-Trust den Verantwortlichen über diese rechtlichen Anforderungen zumindest 14 Tage vor Aufnahme der Verarbeitung und gibt dabei auch die sich daraus ergebenden Änderungen bekannt. Der Verantwortliche hat das Recht, bis zu dem in der Mitteilung angeführten Datum – zumindest aber für eine Dauer von 7 Tagen ab ihrem Erhalt – der Aufnahme der Verarbeitung schriftlich zu widersprechen. Eine Ausnahme von dieser Mitteilungspflicht besteht nur dann, wenn die betreffende Rechtsvorschrift eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietet. 9.6 A-Trust sichert zu, ausschließlich Personen mit der Verarbeitung von Daten des Verantwortlichen zu betrauen, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung für diese Personen auch nach Beendigung ihrer Tätigkeit und nach ihrem Ausscheiden bei A-Trust aufrecht. 9.7 A-Trust verpflichtet sich, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen angepasste, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 9.8 A-Trust stellt die technischen und organisatorischen Voraussetzungen sicher, damit der Verantwortliche seine datenschutzrechtlichen Informations-, Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Übertragungspflichten sowie alle sonstigen Pflichten gegenüber betroffenen Personen, die sich durch die Verarbeitung personenbezogener Daten aus Rechtsvorschriften ergeben, innerhalb der vorgegebenen Fristen erfüllen kann. 9.9 A-Trust verpflichtet sich unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung; Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen; Datenschutz- Folgenabschätzung und Konsultation der Datenschutzbehörde) zu unterstützen. 9.10 Wenn A-Trust eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet sie diese unverzüglich dem Verantwortlichen. 9.11 Darüber hinaus unterstützt A-Trust den Verantwortlichen dabei, seiner Meldeverpflichtung über die Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und betroffenen Personen fristgerecht nachzukommen. Zu diesem Zweck überlässt der A-Trust dem Verantwortlichen alle notwendigen Informationen. 9.12 Nach Abschluss der Erbringung von Verarbeitungsleistungen hat A-Trust alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, nach Xxxx des Verantwortlichen, die er A-Trust binnen vier Wochen nach Vertragsbeendigung mitteilt, entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Erfolgt keine solche fristgerechte Mitteilung, löscht A-Trust die Daten unverzüglich, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. 9.13 A-Trust ist verpflichtet, die Daten an den Verantwortlichen nach Erbringung der Verarbeitungsleistungen zurückzugeben. Er hat dieser Verpflichtung längstens binnen einer Woche nach Erbringung der Verarbeitungsleistungen oder der Instruktion durch den Verantwortlichen nachzukommen. 9.14 Wenn A-Trust der Ansicht ist, dass eine Bestimmung dieser Anlage oder eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen der Europäischen Union oder Deutschlands verstößt, ist A-Trust verpflichtet, den Verantwortlichen unverzüglich darüber zu informieren. 9.15 A-Trust sichert dem Verantwortlichen zu, dass ihm unterstellte Personen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur zur Erfüllung des Dienstleistungsvertrags oder zur Erfüllung einer Weisung des Verantwortlichen oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeiten. 9.16 A-Trust hat die Verpflichtung, alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Anlage niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, nach vorheriger schriftlicher Absprache mit dem Auftraggeber zu ermöglichen und dazu beizutragen.

Auftragsdatenverarbeitung. 9.1 Insofern A-Trust als Auftragsdatenverarbeiterin für Unternehmen tätig wird (Verarbeitung von personenbezogenen Daten, auch kurz als „Daten“ bezeichnet), gelten folgende Bestimmungen. Wenn in Folge der datenschutzrechtliche Begriff des „Verantwortlichen“ verwendet wird, sollen alle Geschlechter davon miterfasst sein. 9.2 Gegenstand und Zweck der Auftragsverarbeitung, Kategorien von betroffenen Personen und Datenarten ergeben sich aus dem jeweiligen Angebot. 9.3 Die Speicherung oder sonstigen Verarbeitung der Daten wird durch A-Trust prinzipiell innerhalb Deutschlands oder Österreichs vorgenommen, es sei denn das jeweilige Angebot sieht Anderes vor. Die beabsichtigte Verarbeitung der Daten in einem Drittland durch A-Trust ist jedenfalls ausgeschlossen. 9.4 A-Trust ist verpflichtet, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. 9.5 Sofern Rechtsvorschriften A-Trust verpflichten, Daten auf eine andere, als in dieser Anlage vorgesehene, Art und Weise zu verarbeiten, unterrichtet A-Trust den Verantwortlichen über diese rechtlichen Anforderungen zumindest 14 Tage vor Aufnahme der Verarbeitung und gibt dabei auch die sich daraus ergebenden Änderungen bekannt. Der Verantwortliche hat das Recht, bis zu dem in der Mitteilung angeführten Datum – zumindest aber für eine Dauer von 7 Tagen ab ihrem Erhalt – der Aufnahme der Verarbeitung schriftlich zu widersprechen. Eine Ausnahme von dieser Mitteilungspflicht besteht nur dann, wenn die betreffende Rechtsvorschrift eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietet. 9.6 A-Trust sichert zu, ausschließlich Personen mit der Verarbeitung von Daten des Verantwortlichen zu betrauen, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung für diese Personen auch nach Beendigung ihrer Tätigkeit und nach ihrem Ausscheiden bei A-A- Trust aufrecht. 9.7 A-Trust verpflichtet sich, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen angepasste, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 9.8 A-Trust stellt die technischen und organisatorischen Voraussetzungen sicher, damit der Verantwortliche seine datenschutzrechtlichen Informations-, Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Übertragungspflichten sowie alle sonstigen Pflichten gegenüber betroffenen Personen, die sich durch die Verarbeitung personenbezogener Daten aus Rechtsvorschriften ergeben, innerhalb der vorgegebenen Fristen erfüllen kann. 9.9 A-Trust verpflichtet sich unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung; Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen; Datenschutz- Folgenabschätzung und Konsultation der Datenschutzbehörde) zu unterstützen. 9.10 Wenn A-Trust eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet sie er diese unverzüglich dem Verantwortlichen. 9.11 Darüber hinaus unterstützt A-Trust den Verantwortlichen dabei, seiner Meldeverpflichtung über die Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und betroffenen Personen fristgerecht nachzukommen. Zu diesem Zweck überlässt der A-Trust dem Verantwortlichen alle notwendigen Informationen. 9.12 Nach Abschluss der Erbringung von Verarbeitungsleistungen hat A-Trust alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, nach Xxxx des Verantwortlichen, die er A-Trust binnen vier Wochen nach Vertragsbeendigung mitteilt, entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Erfolgt keine solche fristgerechte Mitteilung, dann löscht A-Trust die Daten unverzüglich, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. 9.13 A-Trust ist verpflichtet, die Daten an den Verantwortlichen nach Erbringung der Verarbeitungsleistungen zurückzugeben. Er , er hat dieser Verpflichtung längstens binnen einer Woche nach Erbringung der Verarbeitungsleistungen oder der Instruktion durch den Verantwortlichen nachzukommen. 9.14 Wenn A-Trust der Ansicht ist, dass eine Bestimmung dieser Anlage oder eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen der Europäischen Union oder Österreichs bzw Deutschlands verstößt, ist A-Trust verpflichtet, den Verantwortlichen unverzüglich darüber zu informieren. 9.15 A-Trust sichert dem Verantwortlichen zu, dass ihm unterstellte Personen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur zur Erfüllung des Dienstleistungsvertrags oder zur Erfüllung einer Weisung des Verantwortlichen oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeiten. 9.16 A-Trust hat die Verpflichtung, alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Anlage niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, nach vorheriger schriftlicher Absprache mit dem Auftraggeber zu ermöglichen und dazu beizutragen.

Auftragsdatenverarbeitung. 9.1 Insofern A-Trust als Auftragsdatenverarbeiterin Die Auftragsdatenverarbeitung belässt die Verantwortung für Unternehmen tätig wird (Verarbeitung von personenbezogenen Datendie Daten beim Auftraggeber und schaltet den Auftragnehmer nur zu dem Zweck ein, auch kurz als „Daten“ bezeichnet)dass er mit seinen technischen Mitteln nach Weisung des Auftraggebers bestimmte Formen der Datenerhebung oder Datenverarbeitung durchführt. Die Voraussetzungen, gelten folgende Bestimmungen. Wenn in Folge der datenschutzrechtliche Begriff des „Verantwortlichen“ verwendet wirddie an ein Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer zu stellen sind, sollen alle Geschlechter davon miterfasst sein. 9.2 Gegenstand und Zweck der Auftragsverarbeitung, Kategorien von betroffenen Personen und Datenarten ergeben sich aus dem jeweiligen Angebot. 9.3 Die Speicherung § 11 BDSG. Auftragsdatenverarbeitung ist nach allgemeiner Auffassung auch innerhalb eines Konzerns möglich. Als Beispiel wird etwa die Gehaltsabrechnung genannt, mit deren technischer Durchführung ein bestimmtes Konzernunternehmen betraut wird. Taeger/Gabel-Zöll § 32 Rn. 40; Taeger/Gabel-Gabel § 11 Rn. 23 Auch die Muttergesellschaft der konzernverbundenen Unternehmen kann Auftragnehmer sein, doch dürfen keine Anhaltspunkte dafür bestehen, dass diese Weisungen in Bezug auf die fraglichen Daten erteilt und auf diese Weise die Entscheidungsbefugnis der Tochtergesellschaft partiell oder sonstigen Verarbeitung der ganz wieder aufhebt. Taeger/Gabel-Gabel § 11 Rn. 22; Xxxxx/Xxxxxxxx/Schneider-Moos/Zeiter Teil V Kap. 1 Rn. 14 Werden die inhaltlichen Entscheidungsbefugnisse über den Umgang mit den Daten wird durch A-Trust prinzipiell innerhalb Deutschlands oder Österreichs vorgenommenauf den Auftragnehmer übertragen, es sei denn das jeweilige Angebot sieht Anderes so liegt keine Auftragsdatenverarbeitung mehr vor. Vielmehr handelt es sich dann um eine Funktionsübertragung; eine bestimmte Aufgabe wird nicht mehr vom Arbeitgeber sondern von einer anderen Einheit erledigt. Insoweit liegt dann eine Datenübermittlung vor; § 11 BDSG findet keine Anwendung mehr. Die beabsichtigte Verarbeitung Abgrenzung ist nicht immer ganz unproblematisch. So ist etwa der Daten in einem Drittland durch A-Trust ist jedenfalls ausgeschlossen. 9.4 A-Trust ist verpflichtet, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. 9.5 Sofern Rechtsvorschriften A-Trust verpflichten, Daten auf eine andere, als in dieser Anlage vorgesehene, Art und Weise zu verarbeiten, unterrichtet A-Trust den Verantwortlichen über diese rechtlichen Anforderungen zumindest 14 Tage vor Aufnahme Rahmen der Verarbeitung und gibt dabei auch die sich daraus ergebenden Änderungen bekannt. Der Verantwortliche hat das Recht, bis zu dem in der Mitteilung angeführten Datum – zumindest aber für eine Dauer von 7 Tagen ab ihrem Erhalt – der Aufnahme der Verarbeitung schriftlich zu widersprechen. Eine Ausnahme von dieser Mitteilungspflicht besteht nur dannAuftragsdatenverarbeitung noch nicht gesprengt, wenn die betreffende Rechtsvorschrift eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietet. 9.6 A-Trust sichert zu, ausschließlich Personen mit der Verarbeitung von Daten des Verantwortlichen zu betrauen, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung für diese Personen auch nach Beendigung ihrer Tätigkeit und nach ihrem Ausscheiden bei A-Trust aufrecht. 9.7 A-Trust verpflichtet sich, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen angepasste, geeignete technische und organisatorische Maßnahmen zu ergreifen, um Personalverwaltung anhand feststehender Kriterien auf ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 9.8 A-Trust stellt die technischen und organisatorischen Voraussetzungen sicher, damit der Verantwortliche seine datenschutzrechtlichen Informations-, Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Übertragungspflichten sowie alle sonstigen Pflichten gegenüber betroffenen Personen, die sich durch die Verarbeitung personenbezogener Daten aus Rechtsvorschriften ergeben, innerhalb der vorgegebenen Fristen erfüllen kann. 9.9 A-Trust verpflichtet sich unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung; Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen; Datenschutz- Folgenabschätzung und Konsultation der Datenschutzbehörde) zu unterstützen. 9.10 Wenn A-Trust eine Verletzung des Schutzes personenbezogener Daten bekannt anderes Konzernunternehmen übertragen wird, meldet sie diese unverzüglich dem Verantwortlichendoch ist die Grenze zur Funktionsübertragung eindeutig überschritten, wenn der Datenempfänger zur eigenständigen Erledigung der Aufgabe ermächtigt wird. Taeger/Gabel-Gabel § 11 Rn. 23; Thüsing-Thüsing/Granetzny § 16 Rn. 21 ff. 9.11 Darüber hinaus unterstützt A; Forgó/Xxxxxxxx/Schneider-Trust den Verantwortlichen dabeiMoos/Zeiter Teil V Kap. 1 Rn. 13 ff. S. auch Arbeitsbericht „Konzerninterner Datentransfer“ S. 3 ff. Soweit die Arbeitgeberseite die Absicht hat, seiner Meldeverpflichtung über die Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und betroffenen Personen fristgerecht nachzukommen. Zu diesem Zweck überlässt der A-Trust dem Verantwortlichen alle notwendigen Informationen. 9.12 Nach Abschluss der Erbringung von Verarbeitungsleistungen hat A-Trust alle personenbezogenen Datennicht nur einzelne technische Vorgänge, die im Auftrag des Verantwortlichen verarbeitet wurden, nach Xxxx des Verantwortlichen, die er A-Trust binnen vier Wochen nach Vertragsbeendigung mitteilt, entweder sondern auch Entscheidungskompetenzen zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Erfolgt keine solche fristgerechte Mitteilung, löscht A-Trust die Daten unverzüglich, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. 9.13 A-Trust ist verpflichtet, die Daten an den Verantwortlichen nach Erbringung der Verarbeitungsleistungen zurückzugeben. Er hat dieser Verpflichtung längstens binnen einer Woche nach Erbringung der Verarbeitungsleistungen oder der Instruktion durch den Verantwortlichen nachzukommen. 9.14 Wenn A-Trust der Ansicht ist, dass eine Bestimmung dieser Anlage oder eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen der Europäischen Union oder Deutschlands verstößtzentralisieren, ist A-Trust verpflichtet, den Verantwortlichen unverzüglich darüber zu informierendie Auftragsdatenverarbeitung kein taugliches Mittel. 9.15 A-Trust sichert dem Verantwortlichen zu, dass ihm unterstellte Personen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur zur Erfüllung des Dienstleistungsvertrags oder zur Erfüllung einer Weisung des Verantwortlichen oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeiten. 9.16 A-Trust hat die Verpflichtung, alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Anlage niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, nach vorheriger schriftlicher Absprache mit dem Auftraggeber zu ermöglichen und dazu beizutragen.

Auftragsdatenverarbeitung. 9.1 Insofern A-Trust als Auftragsdatenverarbeiterin Sofern und soweit PARTSLIFE personenbezo- gene Daten im Auftrag des Kunden im Rah- men eine Auftragsdatenverarbeitung nach § 11 BDSG erhebt, verarbeitet oder nutzt, gel- ten die folgenden Bestimmungen: 12.1 Die Auftragsdatenverarbeitung erfolgt durch PARTSLIFE im Auftrag des Kunden gemäß § 11 BDSG. Der Kunde bleibt die für Unternehmen tätig wird die Auftrags- datenverarbeitung verantwortliche Stelle gemäß § 3 Abs. 7 BDSG. Gegenstand des Auf- tragsverhältnisses sind der zwischen den Par- teien abgeschlossene Vertrag. In diesem Ver- trag oder einer Zusatzvereinbarung hierzu werden die Parteien die Angaben nach § 11 Abs. 2 S. 2 Nr. 1 BDSG (Verarbeitung von personenbezogenen DatenGegenstand und Dau- er des Auftrags) sowie § 11 Abs. 2 S. 2 Nr. 2 BDSG (Umfang, auch kurz als „Daten“ bezeichnet), gelten folgende Bestimmungen. Wenn in Folge der datenschutzrechtliche Begriff des „Verantwortlichen“ verwendet wird, sollen alle Geschlechter davon miterfasst sein. 9.2 Gegenstand Art und Zweck der Auftragsverarbeitungvorgese- henen Auftragsdatenverarbeitung, Kategorien von betroffenen Personen und Datenarten ergeben sich aus dem jeweiligen Angebot. 9.3 Die Speicherung oder sonstigen Verarbeitung Art der Daten wird durch A-Trust prinzipiell innerhalb Deutschlands oder Österreichs vorgenommen, es sei denn das jeweilige Angebot sieht Anderes vorund Kreis der Betroffenen) festlegen. Die beabsichtigte Verarbeitung Eine hiervon abweichende Auftragsdatenver- arbeitung der PARTSLIFE vom Kunden über- lassenen personenbezogenen Daten in einem Drittland durch A-Trust ist jedenfalls aus- drücklich ausgeschlossen. 9.4 A-Trust ist verpflichtet12.2 Weisungen hat der Kunde PARTSLIFE schrift- lich mitzuteilen. Mündlich durch den Kunden erteilte Weisungen bedürfen der späteren schriftlichen Bestätigung. PARTSLIFE ver- pflichtet sich, personenbezogene Daten nur auf dokumentierte die Auftragsdatenverarbeitung ausschließlich im Rahmen des Vertrags und der Weisungen des Kunden durchzuführen. PARTSLIFE wird den Kunden unverzüglich da- rauf hinweisen, wenn eine Weisung des Verantwortlichen Kun- den nach Ansicht von PARTSLIFE gegen das BDSG oder andere gesetzliche Vorschriften verstößt. PARTSLIFE ist berechtigt, die Durch- führung der entsprechenden Weisung solan- ge auszusetzen, bis der Kunde die Weisung überprüft und gegenüber PARTSLIFE als aus- zuführende Weisung bestätigt hat. Werden durch eine Weisung des Kunden die Leis- tungspflichten von PARTSLIFE nach dem Ver- trag erweitert oder sonst geändert, sind die durch die Ausführung der Weisung PARTSLIFE entstandenen Kosten von dem Kunden zu verarbeitener- setzen. 9.5 Sofern Rechtsvorschriften A-Trust verpflichten, Daten auf eine andere, als in dieser Anlage vorgesehene, Art und Weise zu verarbeiten, unterrichtet A-Trust den Verantwortlichen über diese rechtlichen Anforderungen zumindest 14 Tage vor Aufnahme der Verarbeitung und gibt dabei auch die sich daraus ergebenden Änderungen bekannt. 12.3 Der Verantwortliche hat das Recht, bis zu dem in der Mitteilung angeführten Datum – zumindest aber für eine Dauer von 7 Tagen ab ihrem Erhalt – der Aufnahme der Verarbeitung schriftlich zu widersprechen. Eine Ausnahme von dieser Mitteilungspflicht besteht nur dannKunde informiert PARTSLIFE unverzüglich, wenn die betreffende Rechtsvorschrift eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietetder Kunde Fehler oder Unregelmäßig- keiten bei der Prüfung der Auftragsdatenver- arbeitung oder einer der Kontrollen nach Ziff. 12.5 feststellt. Hierbei handelt es sich um Mitwirkungspflicht des ANSCHLUSSKUNDEN nach Ziff. 20 dieser AGB. 9.6 A-Trust sichert zu12.4 PARTSLIFE stellt sicher, ausschließlich Personen mit bei der Verarbeitung von Daten des Verantwortlichen zu betrauen, Auftragsda- tenverarbeitung die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung für diese Personen auch nach Beendigung ihrer Tätigkeit gemäß § 9 BDSG und nach ihrem Ausscheiden bei A-Trust aufrecht. 9.7 A-Trust verpflichtet sich, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen angepasste, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 9.8 A-Trust stellt die An- lage hierzu erforderlichen technischen und organisatorischen Voraussetzungen sicherMaßnahmen auf seine Kos- ten zu treffen. Diese Maßnahmen sind in ei- nem Datensicherheitskonzept von PARTSLIFE festgeschrieben, damit dass PARTSLIFE dem Kunden jederzeit auf Anfrage zur Verfügung stellt. Das Datensicherheitskonzept von PARTSLIFE ist wegen Änderungen der Verantwortliche seine datenschutzrechtlichen Informations-gesetzlichen Rah- menbedingungen sowie zwingender gerichtli- cher oder behördlicher Vorgaben gegenüber einer der Parteien fortzuschreiben. PARTSLIFE gewährleistet, Auskunfts-dass durch derartige Fort- schreibungen das im Zeitpunkt der Unter- zeichnung des Vertrags bestehende Sicher- heitsniveau nicht unterschritten, Berichtigungs-, Löschungs-, Einschränkungs- und Übertragungspflichten sowie alle sonstigen Pflichten gegenüber betroffenen Personen, die sich durch die Verarbeitung personenbezogener Daten aus Rechtsvorschriften ergeben, innerhalb der vorgegebenen Fristen erfüllen kannsondern auf- rechterhalten oder ggf. erhöht wird. 9.9 A-Trust verpflichtet sich 12.5 Der Kunde, dessen Datenschutzbeauftragter oder ein sonst von dem Kunden beauftragter und von Berufs wegen zur Verschwiegenheit verpflichteter Dritter nehmen bei PARTSLIFE (a) die gemäß § 11 Abs. 2 S. 4, S. 5 BDSG zu dokumentierende erstmalige Überprüfung vor Beginn der Auftragsdatenverarbeitung vor, ob PARTSLIFE die erforderlichen techni- schen und organisatorischen Maßnahmen nach § 9 BDSG für die Auftragsdatenverarbei- tung im Auftrag des Kunden getroffen hat ("Erstkontrolle"), ferner (b) die gemäß § 11 Abs. 2 S. 4, S. 5 BDSG zu dokumentierende, in regelmäßigen Abständen nach der Erstkon- trolle erfolgende Überprüfung, ob PARTSLIFE die erforderlichen technischen und organisa- torischen Maßnahmen nach § 9 BDSG für die Auftragsdatenverarbeitung getroffen hat ("regelmäßige Kontrolle"). Die Kontrolldichte für die regelmäßigen Kontrollen bestimmt der Kunde nach pflichtgemäßem Ermessen unter Berücksichtigung der Art Interessen von PARTSLI- FE sowie der Verarbeitung Bedeutung der durch PARTSLIFE im Auftrag zu verarbeitenden personenbezo- genen Daten des Kunden; die Parteien gehen übereinstimmend davon aus, dass die regel- mäßige Kontrolle nicht mehr als einmal in zwei Jahren erforderlich ist. PARTSLIFE ver- pflichtet sich, Erstkontrolle und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung; Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen; Datenschutz- Folgenabschätzung und Konsultation der Datenschutzbehörde) regelmäßige Kontrolle zu unterstützen. 9.10 Wenn A-Trust eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet sie diese unverzüglich dem Verantwortlichen. 9.11 Darüber hinaus unterstützt A-Trust den Verantwortlichen dabei, seiner Meldeverpflichtung über die Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und betroffenen Personen fristgerecht nachzukommendulden. Zu diesem Zweck überlässt räumt PARTSLIFE dem Kunden das Recht ein, sich nach rechtzeitiger Anmeldung zu Prüfzwe- cken in den Betriebsräumen von PARTSLIFE während der Aüblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Ange- messenheit der von PARTSLIFE getroffenen organisatorischen und technischen Maßnah- men zur Einhaltung der Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Bestimmungen zu überzeugen sowie ge- schäftliche Unterlagen, für den Kunden ver- arbeitete personenbezogene Daten sowie die für die Auftragsdatenverarbeitung verwende- ten Datenverarbeitungseinrichtungen von PARTSLIFE einzusehen und die zu diesem Zweck erforderlichen Auskünfte in einem PARTSLIFE zumutbaren Umfang einzuholen. Kann PARTSLIFE durch Testate, Berichte oder Gutachten (insbesondere von Wirtschaftsprü- fern, Compliance-Trust Beauftragten, Datenschutz- beauftragten) oder einer geeigneten Zertifi- zierung durch Dritte (beispielsweise Daten- schutzaudit, IT-Sicherheitsaudit) dem Verantwortlichen alle notwendigen InformationenKunden nachweisen, dass die von ihm nach Ziff. 12.4 getroffenen organisatorischen und techni- schen Maßnahmen den gesetzlichen Anforde- rungen des BDSG entsprechen, sieht der Kun- de von Kontrollen vor Ort bei PARTSLIFE ab. 9.12 Nach Abschluss 12.6 Ist der Erbringung von Verarbeitungsleistungen hat A-Trust alle personenbezogenen Kunde aufgrund geltender Daten- schutzgesetze gegenüber einer natürlichen Person verpflichtet, dieser Person Auskünfte zur Auftragsdatenverarbeitung zu erteilen, wird PARTSLIFE den Kunden bei der Ermitt- lung der zu diesem Zweck benötigten Infor- mationen unterstützen, soweit dies PARTSLI- FE zumutbar ist. Die Kosten hierfür trägt der Kunde. Wendet sich eine auskunftsberechtig- te Person unmittelbar an PARTSLIFE zwecks Beauskunftung, Berichtigung, Sperrung oder Löschung der bei der Auftragsdatenverarbei- tung über diese Person verarbeiteten perso- nenbezogenen Daten, wird PARTSLIFE diese Anfrage unverzüglich an den Kunden weiter- leiten. Ohne vorherige Zustimmung und eine entsprechende Weisung des Kunden wird PARTSLIFE die Anfrage nicht bearbeiten, ins- besondere keine personenbezogenen Daten berichtigen, sperren oder löschen. 12.7 Für den Ersatz von Xxxxxxx, die ein Betroffe- ner wegen einer nach dem BDSG oder ande- ren Vorschriften für den Datenschutz unzu- lässigen oder unrichtigen Auftragsdatenver- arbeitung durch PARTSLIFE erleidet, bleibt der Kunde gegenüber dem Betroffenen als verantwortliche Stelle im Auftrag Sinne des Verantwortlichen verarbeitet wurden, nach Xxxx des Verantwortlichen, die er A-Trust binnen vier Wochen nach Vertragsbeendigung mitteilt, entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten bestehtBDSG vorbehaltlich Ziff. Erfolgt keine solche fristgerechte Mitteilung, löscht A-Trust die Daten unverzüglich, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht9.3 und 9.4 verantwortlich. 9.13 A-Trust ist verpflichtet, die Daten an den Verantwortlichen nach Erbringung der Verarbeitungsleistungen zurückzugeben. Er hat dieser Verpflichtung längstens binnen einer Woche nach Erbringung der Verarbeitungsleistungen oder der Instruktion durch den Verantwortlichen nachzukommen. 9.14 Wenn A-Trust der Ansicht ist, dass eine Bestimmung dieser Anlage oder eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen der Europäischen Union oder Deutschlands verstößt, ist A-Trust verpflichtet, den Verantwortlichen unverzüglich darüber zu informieren. 9.15 A-Trust sichert dem Verantwortlichen zu, dass ihm unterstellte Personen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur zur Erfüllung des Dienstleistungsvertrags oder zur Erfüllung einer Weisung des Verantwortlichen oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeiten. 9.16 A-Trust hat die Verpflichtung, alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Anlage niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, nach vorheriger schriftlicher Absprache mit dem Auftraggeber zu ermöglichen und dazu beizutragen.

Auftragsdatenverarbeitung. 9.1 Insofern A-Trust als Auftragsdatenverarbeiterin für Unternehmen tätig wird (Verarbeitung von personenbezogenen Daten, auch kurz als „Daten“ bezeichnet), gelten folgende Bestimmungen. Wenn in Folge der datenschutzrechtliche Begriff des „Verantwortlichen“ verwendet wird, sollen alle Geschlechter davon miterfasst sein. 9.2 Gegenstand und Zweck der Auftragsverarbeitung, Kategorien von betroffenen Personen und Datenarten ergeben sich aus dem jeweiligen Angebot. 9.3 Die Speicherung oder sonstigen Verarbeitung der Daten wird durch A-Trust prinzipiell innerhalb Deutschlands oder Österreichs vorgenommen, es sei denn das jeweilige Angebot sieht Anderes vor. Die beabsichtigte Verarbeitung der Daten in einem Drittland durch A-Trust ist jedenfalls ausgeschlossen. 9.4 A-Trust ist verpflichtet, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. 9.5 Sofern Rechtsvorschriften A-Trust verpflichten, Daten auf eine andere, als in dieser Anlage vorgesehene, Art und Weise zu verarbeiten, unterrichtet A-Trust den Verantwortlichen über diese rechtlichen Anforderungen zumindest 14 Tage vor Aufnahme der Verarbeitung und gibt dabei auch die sich daraus ergebenden Änderungen bekannt. Der Verantwortliche hat das Recht, bis zu dem in der Mitteilung angeführten Datum – zumindest aber für eine Dauer von 7 Tagen ab ihrem Erhalt – der Aufnahme der Verarbeitung schriftlich zu widersprechen. Eine Ausnahme von dieser Mitteilungspflicht besteht nur dann, wenn die betreffende Rechtsvorschrift eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietet. 9.6 A-Trust sichert zu, ausschließlich Personen mit der Verarbeitung von Daten des Verantwortlichen zu betrauen, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung für diese Personen auch nach Beendigung ihrer Tätigkeit und nach ihrem Ausscheiden bei A-A- Trust aufrecht. 9.7 A-Trust verpflichtet sich, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen angepasste, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 9.8 A-Trust stellt die technischen und organisatorischen Voraussetzungen sicher, damit der Verantwortliche seine datenschutzrechtlichen Informations-, Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Übertragungspflichten sowie alle sonstigen Pflichten gegenüber betroffenen Personen, die sich durch die Verarbeitung personenbezogener Daten aus Rechtsvorschriften ergeben, innerhalb der vorgegebenen Fristen erfüllen kann. 9.9 A-Trust verpflichtet sich unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung; Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen; Datenschutz- Folgenabschätzung und Konsultation der Datenschutzbehörde) zu unterstützen. 9.10 Wenn A-Trust eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet sie er diese unverzüglich dem Verantwortlichen. 9.11 Darüber hinaus unterstützt A-Trust den Verantwortlichen dabei, seiner Meldeverpflichtung über die Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und betroffenen Personen fristgerecht nachzukommen. Zu diesem Zweck überlässt der A-Trust dem Verantwortlichen alle notwendigen Informationen. 9.12 Nach Abschluss der Erbringung von Verarbeitungsleistungen hat A-Trust alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, nach Xxxx des Verantwortlichen, die er A-Trust binnen vier Wochen nach Vertragsbeendigung mitteilt, entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Erfolgt keine solche fristgerechte Mitteilung, dann löscht A-Trust die Daten unverzüglich, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. 9.13 A-Trust ist verpflichtet, die Daten an den Verantwortlichen nach Erbringung der Verarbeitungsleistungen zurückzugeben. Er , er hat dieser Verpflichtung längstens binnen einer Woche nach Erbringung der Verarbeitungsleistungen oder der Instruktion durch den Verantwortlichen nachzukommen. 9.14 Wenn A-Trust der Ansicht ist, dass eine Bestimmung dieser Anlage oder eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen der Europäischen Union oder Deutschlands Österreichs verstößt, ist A-Trust verpflichtet, den Verantwortlichen unverzüglich darüber zu informieren. 9.15 A-Trust sichert dem Verantwortlichen zu, dass ihm unterstellte Personen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur zur Erfüllung des Dienstleistungsvertrags oder zur Erfüllung einer Weisung des Verantwortlichen oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeiten. 9.16 A-Trust hat die Verpflichtung, alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Anlage niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, nach vorheriger schriftlicher Absprache mit dem Auftraggeber zu ermöglichen und dazu beizutragen.