Common use of Kontrollrechte des Auftraggebers Clause in Contracts

Kontrollrechte des Auftraggebers. 4.1 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung überzeugen kann. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nach. 4.2 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, zu überzeugen.

Kontrollrechte des Auftraggebers. 4.1  Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung Art. 28 DS-GVO überzeugen kann, wenn der Auftraggeber konkret vorträgt,dass technisch-organisatorische Maßnahmen das Schutzniveau des Art. Der Auftragnehmer weist dem Auftraggeber 32 DSGVO unterschreiten und insgesamt die Einhaltung Sicherheit der in dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nach. 4.2 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen Verarbeitung nicht zu offenbarenmehr gewährleistet wird. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühendann das Recht, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter Auftragnehmer, Überprüfungen durchzuführen oder über vom Auftragnehmer beauftragte unabhängige durch im Einzelfall zu benennende Prüfer auf Kosten des Auftraggebers durchführen zu ermöglichen. 4.4 lassen.  Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung technischen und organisatorischen Maßnahmen gemäß Anlage 1 anstatt einer Vor-Ort-Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-IT- Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-IT- Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von sichvon der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen MassnahmenMaßnahmen gemäß Anlage 1 zu diesem Vertrag zu überzeugen. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DS-GVOim Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen.  Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. DerAuftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu überzeugenInformationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten. Tel.: +00 (0)00 000 000-0 Fax: +00 (0)00 000 000-00000 Xxxxxx-Xxxxxx-Xxxx-Xxx 0 X - 00000 Xxxxxxx Tel.: +00 (0)000 00 000-0 Fax: +00 (0)000 00 000-00000 Xxxxxxxxxxx 00, Xxxx 00 X X - 00000 Xxxxxxx Tel.: +00 (0)00 00 000-0 Fax: +00 (0)00 00 000-00000 Tel.: +00 (0)000 00 000-0 Fax: +00 (0)000 00 000-00000 Euro-Konto IBAN: XX00 0000 0000 0000 0000 00 SWIFT/BIC: XXXXXXXXXXX USD-Konto IBAN: XX00 0000 0000 0000 0000 00 SWIFT/BIC: XXXXXXXXXXX  Der Auftraggeber hat den Auftragnehmer rechtzeitig (mindestens vier Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle gemäß den Vorgaben dieser Ziffer 8 pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.  Der Auftragnehmer erhält vom Auftraggeber eine Aufwandsentschädigung, wenn die Art und Weise einer Kontrolle unverhältnismäßig den Auftragnehmer beeinträchtigt.  Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer Auftraggeber hat das Recht, im Benehmen mit der ecotel und unter Berücksichtigung der nachfolgenden Bestimmungen Überprüfungen durchzuführen oder durch im Einzelfall zu benennendem Prüfer durchführen zu lassen und sich durch Stichprobenkontrollen von der Einhaltung dieser Vereinbarung durch ecotel zu überzeugen. • Audits müssen in der Regel rechtzeitig (10 Arbeitstage zuvor) unter Benennung des Auditumfangs angekündigt werden. • Audits werden am Geschäftssitz der ecotel und/oder am Geschäftssitz eines in die Audits einbezogenen Auftragnehmers der ecotel während der normalen Geschäftszeiten durchgeführt und dauern nicht länger als zwei (2) Geschäftstage. • Bei der Planung und Durchführung von Kontrollen wird berücksichtigt, dass der Geschäftsbetrieb der auditierten Stelle nicht gefährdet oder beeinträchtigt wird. • Es sind die Vertraulichkeitsbestimmungen (NDA) der ecotel sowie von einbezogenen Auftragnehmern der ecotel vor der Durchführung eines Audits von allen beteiligten Stellen zu bestätigen. (2) ecotel stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers von ecotel nach dieser Vereinbarung Art. 28 DSGVO überzeugen kann. Der Auftragnehmer weist ecotel verpflichtet sich, dem Auftraggeber auf Anforderung die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMaßnahmen nachzuweisen. Die Art und der Umfang von zur Verfügung gestellten Informationen richtet sich nach gesetzlichen sowie regulatorischen Vorgaben zum Schutz vertraulicher Daten. 4.2 (3) Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des AuftragnehmersNachweis solcher Maßnahmen, die nicht für die vereinbarten Kontrollzwecke relevant sindnur den konkreten Auftrag betreffen, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen kann erfolgen durch den Auftraggeber • aktuelle Testate, Berichte oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Datenschutzauditoren, Qualitätsauditoren) oder ● ); • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● Datenschutzaudit (z.B. nach BSI-Grundschutz); (4) Insofern ecotel i.S.d. Abs. 3 Sicherheitsberichte zur Verfügung stellt erkennt der Auftraggeber an, dass es seine Absicht ist, sich normalerweise auf die Bereitstellung dieser Sicherheitsberichte zur Kontrolle der Einhaltung genehmigter Verhaltensregeln gemder Pflichten dieser Vereinbarung durch ecotel zu verlassen. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werdenInsofern begründete Zweifel daran bestehen, müssen sie es dem Auftraggeber in angemessener Weise ermöglichendass die Sicherheitsberichte ausreichen, um sich von der Einhaltung der in dieser Vereinbarung festgelegten Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, zu überzeugen, oder dies erforderlich ist, um zu überprüfen, ob und unter welchen Bedingungen personenbezogene Daten an Behörden weitergegeben wurden (wobei der Zugriff nicht über das hinausgeht, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist), gestattet ecotel dem Auftraggeber (oder von ihm beauftragten Drittprüfern) die Durchführung einer Prüfung, wobei eine solche Prüfung auf den relevanten Zweck, wie zuvor dargelegt, beschränkt sein muss. (5) Der Auftraggeber darf bei einer (1) Gelegenheit innerhalb eines zusammenhängenden Zeitraums von zwölf (12) Monaten (im Hinblick auf den unter Abs. 4 genannten Zweck auch in kürzeren Abständen, wenn dies vernünftigerweise erforderlich ist) Überprüfungen durchführen. (6) Wo es aus Gesundheits- und Sicherheitsgründen während Pandemien notwendig oder angemessen ist, finden keine Audits am Geschäftssitz von ecotel und/oder bei Auftragnehmern der ecotel statt und alle Audits beschränken sich auf die Bereitstellung von Kopien relevanter Zusammenfassungen von externen Sicherheitszertifizierungen oder Sicherheitsberichten i.S.d. Abs. 3. (7) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann ecotel einen Vergütungsanspruch geltend machen.

Kontrollrechte des Auftraggebers. 4.1 a) Der Auftragnehmer Auftraggeber hat das Recht, im Einvernehmen mit Kicktipp Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch Kicktipp in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen. b) Rechtzeitig im Sinne der vorstehenden Regelung ist in der Regel 2 Wochen vor beabsichtigter Durchführung der Kontrollen. Eine Überprüfung durch den Auftraggeber darf in der Regel nur einmal pro Kalenderjahr erfolgen. Weitere anlasslose Überprüfungen sind nur gegen Kosten- erstattung und Abstimmung mit Kicktipp möglich. c) Der Auftraggeber ist verpflichtet, während einer Stichprobenkontrolle in den Geschäftsräumen vom Kicktipp den Betriebsablauf nicht zu stören, sowie lediglich unter strikter Geheimhaltung der Betriebs- und Geschäftsgeheimnisse von Kicktipp die Kontrollen durchzuführen. Beauftragt der Auftraggeber einen Prüfer mit der Durchführung der Kontrollen, so hat der Auftraggeber diesen schriftlich entsprechend zu verpflichten. Dies gilt auch für die Verpflichtung zur Geheimhaltung und Verschwiegenheit, sofern nicht bereits eine berufliche Verschwiegenheitsverpflichtung des Prüfers besteht. Die Verpflichtungsvereinbarung ist Kicktipp auf Anfrage unverzüglich vorzulegen. Der Auftraggeber darf keine Wettbewerber von Kicktipp mit der Kontrolle beauftragen. d) Kicktipp stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung Art. 28 DSGVO überzeugen kann. Der Auftragnehmer weist Kicktipp verpflichtet sich, dem Auftraggeber auf Anforderung die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMaßnahmen nachzuweisen. 4.2 e) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann Kicktipp einen Vergütungsanspruch geltend machen. f) Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des AuftragnehmersNachweis solcher Maßnahmen, die nicht für nur den konkreten Auftrag betreffen, kann erfolgen durch • die vereinbarten Kontrollzwecke relevant sindEinhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO; • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO; • aktuelle Testate, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber Berichte oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Datenschutzauditoren, Qualitätsauditoren) oder ● ); • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen Datenschutzaudit (z.B. nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, zu überzeugenBSI- Grundschutz).

Kontrollrechte des Auftraggebers. 4.1 7.1 Der Auftragnehmer stellt sicherAuftraggeber hat das Recht, dass sich der Auftraggeber von der die Einhaltung der Pflichten gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftragnehmers nach dieser Vereinbarung überzeugen kannAuftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren. Der Auftragnehmer weist dem Auftraggeber ist berechtigt die Einhaltung der in dieser Vereinbarung diesem Auftragsverarbeitungsvertrag niedergelegten Pflichten insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMitteln, u.a. auch Selbstaudits, Zertifikaten, etc. nachzuweisen. 4.2 7.2 Der Auftragnehmer ist berechtigtdem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, unter soweit dies zur Durchführung der Kontrolle i. S. d. Absatzes 1 erforderlich ist. 7.3 Der Auftraggeber kann, sofern im Einzelfall erforderlich, eine Einsichtnahme in die vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und - programme verlangen. 7.4 Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Berücksichtigung Frist die Kontrolle im Sinne des Absatzes 1 in der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen Betriebsstätte des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbarenden jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber ist wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht berechtigtunverhältnismäßig zu stören. Die Parteien gehen davon aus, Zugang dass eine Kontrolle höchstens einmal jährlich erforderlich ist. Weitere Prüfungen sind vom Auftraggeber unter Angabe des Anlasses zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, begründen. Im Falle von Vor-Ort-Kontrollen wird der Auftraggeber dem Auftragnehmer die nicht entstehenden Aufwände inkl. der Personalkosten für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Betreuung und Begleitung der Kontrollpersonen vor Ort in angemessenen Umfang ersetzen. Die Grundlagen der Kostenberechnung werden dem Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem vom Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der vor Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführtmitgeteilt. Der Auftragnehmer darf diese die Kontrollen von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 7.5 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung technischen und organisatorischen Maßnahmen anstatt einer Vor-Ort-Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen. Sollte der Auftraggeber begründete Zweifel an der Eignung des Prüfdokuments i.S.d. Satzes 1 haben, kann eine Vor-Ort-Kontrolle durch den Auftraggeber erfolgen. Dem Auftraggeber ist bekannt, dass eine Vor-Ort-Kontrolle in Rechenzentren nicht oder nur in begründeten Ausnahmefällen möglich ist. 7.6 Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i. S. d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen vom Auftragnehmer zu informieren. 7.7 Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach Ziffer 5.3 auf Verlangen nach.

Kontrollrechte des Auftraggebers. 4.1 Der (1) Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Art. 28 Abs. 3 lit. h DSGVO stellt der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach getroffenen technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung überzeugen kann. . (2) Der Auftragnehmer weist gewährt dem Auftraggeber die Einhaltung der in zur Durchführung dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen Kontrollen erforderlichen Zugangs-, Auskunfts- und organisatorischen Massnahmen mit geeigneten Mitteln nachEinsichtsrechte. 4.2 (3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Gewährleistung Geschäfte des Auftragnehmers sind oder wenn der Informationssicherheit sowie rechtliche und Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Verpflichtungen) Informationen nicht zu offenbarenRegelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten Kosten, zu Qualitätsprüfungs- und Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten (4) Der Auftraggeber ist berechtigt, im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit (strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten denen die Daten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese verarbeitet werden, zu betreten, um sich von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich Einhaltung der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machenMaßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen Sofern ein Einspruchsrecht. Die Parteien gehen davon aus, dass Unterauftragnehmer eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigtzulassen sollte (z.B. Microsoft beim Betrieb von Rechenzentren), Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit werden dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als Auftraggeber auf Anfrage alternative geeignete Nachweise vorgelegt (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichenz.B. Auditberichte unabhängiger Auditoren). 4.4 (5) Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung anstatt einer Vor-Ort- Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Datenschutzaudit, einer Bestätigung der Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVODSGVO oder der Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Sollen solche Nachweise anerkannt Art. 42 DSGVO erbracht werden, müssen sie wenn diese Prüfungsberichte es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen. (6) Zur Durchführung der Kontrolle muss der Auftragnehmer nur eine solche Person zulassen, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen über den Betrieb des Auftragnehmers, dessen Ausstattung, Geschäftsgeheimnisse des Auftragnehmers und Sicherheitsmaßnahmen, verpflichtet ist. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. Eine die Kontrolle im Namen des Auftraggebers durchführende Person muss mindestens eine Woche vor Durchführung der Kontrolle ihre Legitimation durch den Auftraggeber schriftlich oder per Telefax nachweisen. (7) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von schwerwiegenden Vorkommnissen durchzuführen. (8) Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber. Das Ergebnis der Prüfung wird dem Auftragnehmer auf Verlangen in geeigneter Form (Gutachten, Testat, Berichte, Berichtsauszüge, etc.) zur Verfügung gestellt. Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 150 Euro pro Stunde.

Kontrollrechte des Auftraggebers. 4.1 Der Auftraggeber hat das Recht im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbe- trieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu ge- ben und die entsprechenden Nachweise verfügbar zu machen. Für die dafür notwendigen Aufwendungen des Auftragnehmers bezahlt der Auftraggeber ein Entgelt und muss dem Auftragnehmer auch unter Berücksichtigung dessen aktueller Personalkapazität und Auf- tragslage ausreichend Zeit einräumen. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers vor Beginn der Datenverarbei- tung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung getroffenen technischen und organisatorischen Maß- nahmen überzeugen kann. Der Hierzu weist der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere auf Anfrage die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln Maßnahmen nach. 4.2 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers Dabei kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betref- fen, auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger un- abhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-IT- Sicherheitsabteilung, Datenschutzauditoren oder Datenschutzauditoren, Qualitätsauditoren) oder ● eine geeignete Zertifizierung einer geeigneten Zerti- fizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● Datenschutzaudit erbracht werden. Für die Einhaltung genehmigter Verhaltensregeln gemErmöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen. ArtDie notwendig werdende Beauftragung externer Dienstleister und die dafür notwendigen internen Kosten trägt der Auftraggeber. 40 DSGVOSofern durch die Wahrnehmung der Kontrollpflichten und Kontrollwünsche des Auftragneh- mers Aufwendungen entstehen, die nicht im Leistungsumfang geregelt sind, für die ein Ent- gelt bezahlt wird, sind Zusatzleistungen grundsätzlich dem Auftragnehmer nach Preisliste zu vergüten bzw. Sollen solche Nachweise anerkannt werden, müssen sie es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen dafür notwendige zu beauftragende Fremdleistungen mit einem zusätzlichen Aufgeld für Verwaltung und organisatorischen Massnahmen, Abrechnung zu überzeugenersetzen.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber nach Maßgabe der Absätze (2) und (3) von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer weist verpflichtet sich, dem Auftraggeber auf Anforderung die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMaßnahmen nachzuweisen. 4.2 (2) Der Auftragnehmer ist berechtigtNachweis solcher Maßnahmen, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen die den Auftrag betreffen, kann nach billigem Ermessen des Auftragnehmers (insbesondere im Hinblick auf erfolgen durch - die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbarenEinhaltung genehmigter Verhaltensregeln gemäß Art. Der Auftraggeber ist nicht berechtigt40 DS-GVO; - die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; - aktuelle Testate, Zugang zu Daten Berichte oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Datenschutzauditoren, Qualitätsauditoren) oder ● ); - eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits Datenschutzaudit (z.B. nach BSI- Grundschutz). (3) Ist der Auftraggeber der Ansicht, dass die in Absatz (2) beschriebenen Nachweise nicht ausreichen oder ● dass ein Verstoß gegen diese Vereinbarung oder die Einhaltung genehmigter Verhaltensregeln gemanwendbaren gesetzlichen Anforderungen vorliegt, hat der Auftraggeber das Recht, durch einen von ihm beauftragten unabhängigen und gesetzlich bzw. Artstandesrechtlich zur Verschwiegenheit verpflichteten Dritten („Auditor“) im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem Zu diesem Zweck hat der Auftraggeber in angemessener Weise ermöglichendas Recht, sich durch Stichprobenkontrollen – vorzunehmen durch den Auditor –, die rechtzeitig (in der Regel zwei (2) Wochen vor der geplanten Kontrolle) anzumelden sind, zu den üblichen Geschäftszeiten von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Zutritt zu den Räumlichkeiten des Auftragnehmers erfolgt ausschließlich im ständigen Beisein eines Vertreters des Auftragnehmers. Diesem Vertreter obliegt die Entscheidungsbefugnis über den Ablauf der Kontrolle insoweit, wie dies erforderlich ist, um Störungen des Betriebsablaufs des Auftragnehmers zu verhindern und Geheimhaltungspflichten des Auftragnehmers gegenüber Dritten zu wahren. (4) Betriebs- und Geschäftsgeheimnisse des Auftragnehmers, die dem Auftraggeber im Zuge einer solchen Kontrolle bekannt werden, sind vom Auftraggeber streng vertraulich zu behandeln. Aufzeichnungen hierüber dürfen nicht stattfinden, soweit dies nicht zwingend für die Ausübung des Kontrollrechts des Auftraggebers erforderlich ist. (5) Reguläre Kontrollen vor Ort seitens des Auftraggebers nach Maßgabe von Absatz (3) sind maximal einmal pro Kalenderjahr zulässig. Zusätzliche Kontrollen durch den Auftraggeber nach Maßgabe von Absatz (3) können nur aus wichtigem, vom Auftraggeber nachzuweisenden Grund durchgeführt werden. (6) Für die Ermöglichung von Kontrollen durch den Auftraggeber und zur Unterstützung des Auftraggebers bei diesen Kontrollen kann der Auftragnehmer die Erstattung ihm hierdurch entstehender, angemessener Aufwände verlangen, es sei denn, etwaige bei der Kontrolle festgestellte Mängel beruhen auf einem schuldhaften Verstoß des Auftragnehmers gegen diese Vereinbarung oder Weisungen des Auftraggebers.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers Auf- tragnehmers nach dieser Vereinbarung diesem Vertrag überzeugen kann. Der Auftragnehmer weist verpflichtet sich, dem Auftraggeber Auftragge- ber auf Anforderung die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen tech- nischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMaßnahmen nachzuweisen. 4.2 (2) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Gewährleistung Geschäfte des Auftragnehmers sind oder durch deren Offenbarung der Informationssicherheit sowie rechtliche und Auftragnehmer gegen gesetzliche oder andere vertragliche Verpflichtungen) Informationen nicht zu offenbarenRegelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den (3) Der Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich seinhat das Recht, werden diese im Benehmen mit dem Auftragnehmer zu den Überprüfungen (Auftragskon- trolle) im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers durchzufüh- ren oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Der Auftraggeber hat den Auf- tragnehmer rechtzeitig (in der Regel mindestens einen (1vier Wochen vorher) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglicheninformieren. 4.4 (4) Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung technischen und organisatori- schen Maßnahmen anstatt durch eine Vor-Ort-Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen aktuel- len Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder QualitätsauditorenQualitätsaudito- ren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits – z.B. nach ISO 27001 oder ● die Einhaltung genehmigter Verhaltensregeln gem. gemäß Art. 40 DSGVO. Sollen solche Nachweise anerkannt 42 DS-GVO – („Prüfungsberichts“) erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, orga- nisatorischen Maßnahmen zu überzeugen. Als Nachweis kommt auch die Einhaltung genehmigter Verhal- tensregeln gemäß Art. 40 DS-GVO in Betracht. (5) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten zur Vertraulichkeit zu verpflichten. Der Auftragnehmer ist ebenfalls berechtigt, von dem Drit- ten vor Prüfung eine Vertraulichkeitsverpflichtung zu verlangen, welche es untersagt, dass dem Auftrag- geber andere als datenschutzrelevante Umstände zum Auftrag und Dritten beliebige im Rahmen der Be- auftragung und Prüfung festgestellten Umstände mitgeteilt werden. Der Auftraggeber darf keinen Kon- kurrenten des Auftragnehmers mit der Kontrolle beauftragen. (6) Für die Unterstützung im Rahmen von Kontrollen des Auftraggebers kann der Auftragnehmer eine an- gemessene Zusatzvergütung für den dadurch begründeten Aufwand verlangen.

Kontrollrechte des Auftraggebers. 4.1 7.1 Der Auftraggeber, dessen Aufsichtsbehörde, die zuständigen Datenschutzbehörden, beauftragte Mitarbeiter und sonstige Beauftragte des Auftraggebers (z. B. Prüfdienstleister) sind befugt, Aus- künfte beim Auftragnehmer einzuholen, die Umsetzung der technischen und organisatorischen Maß- nahmen vor Ort während der Geschäftszeiten und nach Anmeldung (es sei denn, es ist Eile gebo- ten) beim Auftragnehmer zu überprüfen und dazu auch die prüfungsrelevanten Örtlichkeiten zu be- treten und Einsicht in die erforderlichen Unterlagen und Systeme/Programme - welche den Auf- traggeber betreffen - zu nehmen. Der Auftragnehmer stellt dabei sicher, dass sich der Auftraggeber Auftragge- ber von der Einhaltung der Pflichten des Auftragnehmers nach dieser Art. 28 DSGVO und der vertraglichen Vereinbarung überzeugen kann. . 7.2 Der Auftragnehmer weist hat dem Auftraggeber Einblicke in die Einhaltung tatsächlichen Konfigurationen mit geeig- neten technischen Verfahren zu gewähren. Falls der in dieser Vereinbarung niedergelegten Pflichten insbesondere Auftragnehmer seine Leistungen über ein Web- Frontend anbietet oder eine sonstige Verbindung ins Internet unterhält, erhält der Auftraggeber die Umsetzung Genehmigung, nach vorheriger Abstimmung mit dem Auftragnehmer die Wirksamkeit der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachSchutzmaßnahmen durch den Einsatz von entsprechenden Software-Tools zu überprüfen. 4.2 7.3 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des AuftragnehmersNachweis solcher Maßnahmen, die nicht für nur den konkreten Auftrag betreffen, kann auch erfol- gen durch die vereinbarten Kontrollzwecke relevant sindEinhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO, aktuelle Testate, Berichte oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, DatenschutzbeauftragterDatenschutzbeauf- tragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Datenschutzauditoren, Qualitätsauditoren) oder ● ), eine geeignete Zertifizierung Zertifi- zierung durch IT-Sicherheits- oder Datenschutzaudits Datenschutzaudit (z.B. nach BSI-Grundschutz). 7.4 Aufwände und Kosten, die beim Auftragnehmer im Zuge der Prüfung durch den Auftraggeber ent- stehen, trägt allein der Auftragnehmer. Eine Kostenverrechnung und -weitergabe an den Auftrag- geber oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem an vom Auftraggeber in angemessener Weise ermöglichen, sich von zur Durchführung der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, zu überzeugenPrüfung beauftragte Dritte ist ausgeschlos- sen.

Kontrollrechte des Auftraggebers. 4.1 Der (1) Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach getroffenen technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung überzeugen kann. . (2) Der Auftragnehmer weist gewährt dem Auftraggeber die Einhaltung der in zur Durchführung dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen Kontrollen erforderlichen Zugangs-, Auskunfts- und organisatorischen Massnahmen mit geeigneten Mitteln nachEinsichtsrechte. 4.2 (3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Gewährleistung Geschäfte des Auftragnehmers sind oder wenn der Informationssicherheit sowie rechtliche und Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Verpflichtungen) Informationen nicht zu offenbarenRegelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten Kosten, zu Qualitätsprüfungs- und Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten (4) Der Auftraggeber ist berechtigt, im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit (strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten denen die Daten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese verarbeitet werden, zu betreten, um sich von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich Einhaltung der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte Maßnahmen gemäß der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis Anlage zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers dieser Vereinbarung zu ermöglichenüberzeugen. 4.4 (5) Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung anstatt einer Vor-Ort- Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutzaudit erbracht werden, müssen sie wenn diese Prüfungsberichte es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen. (6) Zur Durchführung der Kontrolle muss der Auftragnehmer nur eine solche Person zulassen, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen über den Betrieb des Auftragnehmers, dessen Ausstattung, Geschäftsgeheimnisse des Auftragnehmers und Sicherheitsmaßnahmen, verpflichtet ist. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. Eine die Kontrolle im Namen des Auftraggebers durchführende Person muss mindestens eine Woche vor Durchführung der Kontrolle ihre Legitimation durch den Auftraggeber schriftlich oder per Telefax nachweisen. (7) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von schwerwiegenden Vorkommnissen durchzuführen. (8) Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber. Das Ergebnis der Prüfung wird dem Auftragnehmer auf Verlangen in geeigneter Form (Gutachten, Testat, Berichte, Berichtsauszüge, etc.) zur Verfügung gestellt. Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 150 Euro pro Stunde.

Kontrollrechte des Auftraggebers. 4.1 1. Der Auftragnehmer stellt sicherAuftraggeber ist berechtigt, dass innerhalb der im anwendbaren Hauptvertrag vereinbarten Geschäftszeiten des Auftragnehmers, in Ermangelung einer solchen Vereinbarung arbeitstäglich montags bis freitags zwischen 9:00 und 18:00 Uhr, auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Be- triebs- und Geschäftsgeheimnissen des Auftragnehmers, die Geschäftsräume des Auftragnehmers in denen Auf- traggeber-Daten verarbeitet werden, zu betreten, um sich der Auftraggeber im gesetzlichen Rahmen von der Einhaltung der Pflichten TOM und der Ordnungsgemäßheit der Verarbeitung zu überzeugen sowie die mit den TOM und der Ordnungsge- mäßheit der Verarbeitung in Zusammenhang stehenden Unterlagen einzusehen (Kontrolle). 2. Sofern nicht anderweitig vereinbart, erfolgt eine Kontrolle durch den beruflich oder gesetzlich bzw. nach Maß- gabe von Ziffer V.4 zur Verschwiegenheit verpflichteten DSB des Auftragnehmers nach dieser Vereinbarung überzeugen kannAuftraggebers. 3. Der Auftragnehmer weist gewährt dem Auftraggeber bzw. dessen DSB oder Prüfer die Einhaltung zur Durchführung der in dieser Vereinbarung niedergelegten Pflichten insbesondere Kon- trolle erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. Eine Vor-Ort-Kontrolle ist grundsätzlich als Stichprobenkontrolle der für die Umsetzung Durchführung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachAuftragsverarbei- tung relevanten Bereiche auszugestalten. 4.2 4. Der Auftragnehmer ist berechtigt– nach eigenem Ermessen, jedoch unter angemessener Berücksichtigung der gesetzlichen bestehender gesetzlicher Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere – berechtigt, im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche Rahmen von Prüfungen und vertragliche Verpflichtungen) Informationen Kontrollen solche Informatio- nen nicht zu offenbaren, die Betriebsgeheimnisse des Auftragnehmers enthalten (z.B. Informationen zu Kosten, Qualitätsprüfungs- und Vertrags-Managementberichte) oder durch deren Offenbarung der Auftragnehmer gegen gesetzliche oder Verpflichtungen aus Verträgen mit Dritten (z.B. Daten anderer Kunden) verstoßen würde. 5. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhaltenhat den Auftragnehmer rechtzeitig - i.d. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit R. mindestens vier (in der Regel mindestens einen (14) Monat im Voraus) und nach Information Wochen vorher - über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführtin Textform zu informieren und den Prüfungs- umfang im Vorhinein zu dokumentieren. Der Auftragnehmer Auftraggeber darf diese in der Regel eine Kontrolle pro Kalenderjahr durchführen lassen, sofern nicht im Hauptver- trag weitere Kontrollen vereinbart sind. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen durchzuführen, wenn er Kenntnis von sicherheitsrelevanten Vorgängen mit möglichen Auswirkungen auf Auftraggeber-Daten erlangt. 6. Beauftragt der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich Auftraggeber seinen DSB oder einen externen Prüfer mit der Daten anderer Auftraggeber und Durchführung der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehenKontrolle, hat der Auftraggeber den DSB bzw. Xxxxxx schriftlich ebenso zu verpflichten, wie der Auftraggeber selbst aufgrund von dieser Xxxxxx XXX. gegenüber dem Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich verpflichtet ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich Zudem hat der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über Auftraggeber den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten Verschwiegenheit und Geheimhaltung zu verpflichten. Auf Verlangen des Auftraggebers zu ermöglichenAuftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. 4.4 7. Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden TOM anstatt einer Vor-Ort-Kontrolle auch a) durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger unab- hängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, ITexterne Datenschutz-Sicherheitsabteilung, Datenschutzauditoren Auditoren oder QualitätsauditorenQualitäts- Auditoren); b) oder ● durch eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutz-Auditoren erbracht werden, müssen sie wenn die entsprechenden Dokumente es dem Auftraggeber in angemessener Weise ermöglichenermögli- chen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, TOM zu überzeugen. 8. Der Auftragnehmer erhält vom Auftraggeber eine pauschalierte Aufwandsentschädigung für den im Rahmen einer Vor-Ort-Kontrolle anfallenden Aufwand in Höhe von 1.000,00 Euro zzgl. USt. pro Kontrolle. Ferner erhält der Auftragnehmer eine Vergütung von 160,00 Euro pro Arbeitsstunde zzgl. USt., wenn seitens des Auftragge- bers über die in Ziff. 7 genannten Testate/Berichte hinaus zusätzliche Auswertungen, Dokumentationen usw. gewünscht werden.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber nach Maßgabe der Absätze (2) und (3) von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer weist verpflichtet sich, dem Auftraggeber auf Anforderung die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMaßnahmen nachzuweisen. 4.2 (2) Der Auftragnehmer ist berechtigtNachweis solcher Maßnahmen, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen die den Auftrag betreffen, kann nach billigem Ermessen des Auftragnehmers (insbesondere im Hinblick auf erfolgen durch - die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbarenEinhaltung genehmigter Verhaltensregeln gemäß Art. Der Auftraggeber ist nicht berechtigt40 DS-GVO; - die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; - aktuelle Testate, Zugang zu Daten Berichte oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Datenschutzauditoren, Qualitätsauditoren) oder ● ); - eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits Datenschutzaudit (z.B. nach BSI IT- Grundschutz). (3) Ist der Auftraggeber der Ansicht, dass die in Absatz (2) beschriebenen Nachweise nicht ausreichen oder ● dass ein Verstoß gegen diese Vereinbarung oder die Einhaltung genehmigter Verhaltensregeln gemanwendbaren gesetzlichen Anforderungen vorliegt, hat der Auftraggeber das Recht, durch einen von ihm beauftragten unabhängigen und gesetzlich bzw. Artstandesrechtlich zur Verschwiegenheit verpflichteten Dritten („Auditor“) im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem Zu diesem Zweck hat der Auftraggeber in angemessener Weise ermöglichendas Recht, sich durch Stichprobenkontrollen – vorzunehmen durch den Auditor –, die rechtzeitig (in der Regel zwei (2) Wochen vor der geplanten Kontrolle) anzumelden sind, zu den üblichen Geschäftszeiten von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Zutritt zu den Räumlichkeiten des Auftragnehmers erfolgt ausschließlich im ständigen Beisein eines Vertreters des Auftragnehmers. Diesem Vertreter obliegt die Entscheidungsbefugnis über den Ablauf der Kontrolle insoweit, wie dies erforderlich ist, um Störungen des Betriebsablaufs des Auftragnehmers zu verhindern und Geheimhaltungspflichten des Auftragnehmers gegenüber Dritten zu wahren. (4) Betriebs- und Geschäftsgeheimnisse des Auftragnehmers, die dem Auftraggeber im Zuge einer solchen Kontrolle bekannt werden, sind vom Auftraggeber streng vertraulich zu behandeln. Aufzeichnungen hierüber dürfen nicht stattfinden, soweit dies nicht zwingend für die Ausübung des Kontrollrechts des Auftraggebers erforderlich ist. (5) Reguläre Kontrollen vor Ort seitens des Auftraggebers nach Maßgabe von Absatz (3) sind maximal einmal pro Kalenderjahr zulässig. Zusätzliche Kontrollen durch den Auftraggeber nach Maßgabe von Absatz (3) können nur aus wichtigem, vom Auftraggeber nachzuweisenden Grund durchgeführt werden. (6) Für die Ermöglichung von Kontrollen durch den Auftraggeber und zur Unterstützung des Auftraggebers bei diesen Kontrollen kann der Auftragnehmer die Erstattung ihm hierdurch entstehender, angemessener Aufwände verlangen, es sei denn, etwaige bei der Kontrolle festgestellte Mängel beruhen auf einem schuldhaften Verstoß des Auftragnehmers gegen diese Vereinbarung oder Weisungen des Auftraggebers.

Kontrollrechte des Auftraggebers. 4.1 Der Auftraggeber ist berechtigt, arbeitstäglich (montags bis freitags ohne Feiertage am Standort des Auftragnehmer) zwischen 9:00 und 18:00 Uhr, auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmer, die Geschäftsräume des Auftragnehmer stellt sicherin denen Auftraggeber-Daten verarbeitet werden, dass zu betreten, um sich der Auftraggeber im gesetzlichen Rahmen von der Einhaltung der Pflichten TOM und der Ordnungsgemäßheit der Verarbeitung zu überzeugen sowie die mit den TOM und der Ordnungsgemäßheit der Verarbeitung in Zusammenhang stehenden Unterlagen einzusehen (Kontrolle). Sofern nicht anderweitig vereinbart, erfolgt eine Kontrolle durch den beruflich oder gesetzlich bzw. nach Maßgabe von Ziffer VI.4 zur Verschwiegenheit verpflichteten DSB des Auftragnehmers nach dieser Vereinbarung überzeugen kannAuftraggeber. Der Auftragnehmer weist gewährt dem Auftraggeber bzw. dessen DSB oder Prüfer die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nach. 4.2 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung zur Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführterforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich istist grundsätzlich als Stichprobenkontrolle der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten. Der Auftragnehmer ist grundsätzlich nicht – nach eigenem Ermessen, jedoch unter Berücksichtigung bestehender gesetzlicher Verpflichtungen des Auftraggeber – berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sindRahmen von Prüfungen und Kontrollen solche Informationen nicht zu offenbaren, wird sich die Betriebsgeheimnisse des Auftragnehmers enthalten (z.B. Informationen zu Kosten, Qualitätsprüfungs- und Vertrags-Managementberichte) oder durch deren Offenbarung der Auftragnehmer darum bemühen, in Abstimmung gegen gesetzliche oder Verpflichtungen aus Verträgen mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über Dritten (z.B. Daten anderer Kun- den) verstoßen würde. Der Auftraggeber hat den Auftragnehmer als rechtzeitig - i.d.R. mindestens vier (Haupt-)Auftragsverarbeiter 4) Wochen vorher - über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände in Textform zu informieren und den Prüfungsumfang im Vorhinein zu dokumentieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen lassen, sofern nicht im Auftrag weitere Kontrollen vereinbart sind. Hiervon unbenommen ist das Recht des Auftraggeber, weitere Kontrollen durchzuführen, wenn er Kenntnis von sicherheitsrelevanten Vorgängen mit möglichen Auswirkungen auf Auftraggeber-Daten erlangt. Beauftragt der Auftraggeber seinen DSB oder über vom einen externen Prüfer mit der Durchführung der Kontrolle, hat der Auftraggeber den DSB bzw. Prüfer schriftlich ebenso zu verpflichten, wie der Auftraggeber selbst aufgrund von dieser Xxxxxx XXXX. xxxxxẍxxx dem Auftragnehmer beauftragte unabhängige Prüfer verpflichtet ist. Zudem hat der Auftraggeber den Prüfer auf Kosten Verschwiegenheit und Geheimhal- tung zu verpflichten. Auf Verlangen des Auftraggebers zu ermöglichen. 4.4 Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen unverzüglich vorzulegen. Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung TOM an- statt einer Vor-Ort- Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Berichtsauszügen unabhängiger Instanzen (z.B. WirtschaftsprüferWirtschaftsprüfer, Revision, Datenschutzbeauftragter, ITexterne Datenschutz-Sicherheitsabteilung, Datenschutzauditoren Auditoren oder Qualitätsauditoren) Qualitäts- Auditoren); oder ● durch eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutz-Auditoren erbracht werden, müssen sie wenn die entsprechenden Dokumente es dem Auftraggeber in angemessener Weise ermöglichenermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, TOM zu überzeugenüberzeugen.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nach. 4.2 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühendas Recht, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die mit 2 Wochen Vorlauf anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers am Ort der Datenverarbeitung zu ermöglichenüberzeugen. 4.4 (2) Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung technischen und organisatorischen Maßnahmen gemäß Anlage 1 anstatt einer Vor-Ort-Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 1 zu diesem Vertrag zu überzeugen. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DS-GVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. (3) Dem Auftraggeber ist bekannt, dass der Auftragnehmer zur Erfüllung seiner vertraglichen Verpflichtungen nach dieser Vereinbarungden benannten Subunternehmer einsetzt. Am Geschäftssitz des Auftragnehmers findet daher lediglich Zugriff auf diese Systeme statt, Ort der Datenverarbeitung ist damit das IT-System des Subunternehmers. Über diese Systeme des Subunternehmers und die Zugriffssysteme des Auftragnehmers verpflichtet sich dieser, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen MassnahmenMaßnahmen nachzuweisen. (4) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu überzeugenInformationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten. (5) Der Auftraggeber hat den Auftragnehmer rechtzeitig (mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. (6) Der Auftragnehmer erhält vom Auftraggeber eine Aufwandsentschädigung, wenn die Art und Weise einer Kontrolle unverhältnismäßig den Auftragnehmer beeinträchtigt. (7) Beauftragt der Auftraggeber auf seine Kosten einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.

Kontrollrechte des Auftraggebers. 4.1 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung Art. 28 DS-GVO überzeugen kann, wenn der Auftraggeber konkret vorträgt, dass technisch-organisatorische Maßnahmen das Schutzniveau des Art. Der Auftragnehmer weist dem Auftraggeber 32 DSGVO unterschreiten und insgesamt die Einhaltung Sicherheit der in dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nach. 4.2 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen Verarbeitung nicht zu offenbarenmehr gewährleistet wird. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühendann das Recht, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter Auftragnehmer, Überprüfungen durchzuführen oder über vom Auftragnehmer beauftragte unabhängige durch im Einzelfall zu benennende Prüfer auf Kosten des Auftraggebers durchführen zu ermöglichen. 4.4 lassen. • Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung technischen und organisatorischen Maßnahmen gemäß Anlage 1 anstatt einer Vor-Ort-Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-IT- Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen MassnahmenMaßnahmen gemäß Anlage 1 zu diesem Vertrag zu überzeugen. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DS-GVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. • Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu überzeugenInformationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten. • Der Auftraggeber hat den Auftragnehmer rechtzeitig (mindestens vier Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle gemäß den Vorgaben dieser Ziffer 8 pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. • Der Auftragnehmer erhält vom Auftraggeber eine Aufwandsentschädigung, wenn die Art und Weise einer Kontrolle unverhältnismäßig den Auftragnehmer beeinträchtigt. • Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer Tel.: +00 (0)00 000 000-0 Fax: +00 (0)00 000 000-00000 Xxxxxx-Xxxxxx-Xxxx-Xxx 0 X - 00000 Xxxxxxx Tel.: +00 (0)000 00 000-0 Fax: +00 (0)000 00 000-00000 Xxxxxxxxxxx 00, Xxxx 00 X X - 00000 Xxxxxxx Tel.: +00 (0)00 00 000-0 Fax: +00 (0)00 00 000-00000 Tel.: +00 (0)000 00 000-0 Fax: +00 (0)000 00 000-00000 Euro-Konto IBAN: XX00 0000 0000 0000 0000 00 SWIFT/BIC: XXXXXXXXXXX USD-Konto IBAN: XX00 0000 0000 0000 0000 00 SWIFT/BIC: XXXXXXXXXXX • beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.

Kontrollrechte des Auftraggebers. 4.1 Der Auftraggeber hat den Auftragnehmer stellt sicherunter dem Aspekt ausgewählt, dass sich dieser hinreichend Garantien dafür bietet, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung im Einklang mit den Anforderungen dem KDG erfolgt und den Schutz der Auftraggeber von Rechte der Einhaltung der Pflichten betroffenen Person gewährleistet. Er dokumentiert das Ergebnis seiner Auswahl. Hierfür kann er beispielsweise datenschutzspezifische Zertifizierungen oder Datenschutzsiegel und ‑prüfzeichen berücksichtigen, schriftliche Selbstauskünfte des Auftragnehmers einholen, sich ein Testat eines Sachverständigen vorlegen lassen oder sich nach dieser Vereinbarung überzeugen kann. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nach. 4.2 Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in persönlich oder durch einen sachkundigen Dritten, der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx nicht in einem Wettbewerbsverhältnis zu dem zum Auftragnehmer stehenstehen darf, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarungvereinbarten Regelungen überzeugen. Liegt ein Verstoß des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder der im Vertrag getroffenen Festlegungen vor, so kann eine darauf bezogene Prüfung auch ohne rechtzeitige Anmeldung vorgenommen werden. Eine Störung des Betriebsablaufs beim Auftragnehmer sollte auch hierbei weitestgehend vermieden werden. Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftraggeber im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags wird vom Auftragnehmer unterstützt. Insbesondere verpflichtet sich der technischen Auftragnehmer, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftraggeber hat den Auftragnehmer unverzüglich und organisatorischen Massnahmenvollständig zu informieren, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. Die Beauftragung von Unterauftragnehmern ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig, wenn der beauftragte Dritte Zugriff auf die personenbezogenen Daten des Auftraggebers erhält. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Dies gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Parteien sowie den in diesem AV-Vertrag beschriebenen Kontroll- und Überprüfungsrechten des Auftraggebers. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu überzeugenerhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. Die Liste genehmigter Unterauftragnehmer ist in Anlage C enthalten.

Kontrollrechte des Auftraggebers. 4.1 Der Auftragnehmer stellt sicherAuftraggeber verfügt über alle erforderlichen Rechte, um zu verifizieren, dass sich SAP die personenbezogenen Daten ordnungsgemäß in Übereinstimmung mit der Vereinbarung verarbeitet. Diese Kontrollrechte sind in Abstimmung mit SAP wahrzunehmen. Grundsätzlich kann der Auftraggeber während der Laufzeit der Vereinbarung eine jährliche schriftliche Eigenerklärung (z. B. einen so genannten SSAE16-CUS- II-Bericht) von SAP anfordern, die auf einer Prüfung durch einen unabhängigen Dritten basiert, bei der Einhaltung geprüft und bestätigt wird, dass die Verarbeitung von personenbezogenen Daten in Übereinstimmung mit den hierin vereinbarten Maßnahmen erfolgt. Hat der Pflichten des Auftragnehmers nach Auftraggeber berechtigten Grund zur Annahme, dass die Bestimmungen dieser Vereinbarung überzeugen kann. Der Auftragnehmer weist dem Anlage nicht eingehalten werden, insbesondere, wenn dies in den Ergebnissen der Prüfung ausdrücklich berichtet wird oder wenn SAP die Prüfung nicht pünktlich durchführen lässt, so darf der Auftraggeber die Einhaltung (oder ein unabhängiger dritter Prüfer, der in dieser Vereinbarung niedergelegten Pflichten seinem Auftrag handelt und der strikten Geheimhaltungspflicht unterliegt) die Kontrollumgebung und die Sicherheitsmethoden von SAP, die für die vereinbarungsgemäß verarbeiteten personenbezogenen Daten relevant sind, in jedem beliebigen Zwölf-Monats-Zeitraum auf eigene Kosten und nach vorheriger schriftlicher Ankündigung mit angemessener Frist (mindestens 30 Tage) und unter angemessenen Bedingungen hinsichtlich Zeit, Ort und Vorgehensweise prüfen. Nach Benachrichtigung von SAP kann die Kontrolle insbesondere während der üblichen Geschäftszeiten von SAP in den Einrichtungen von SAP, in denen die Umsetzung Verarbeitung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachpersonenbezogenen Daten erfolgt, durchgeführt werden. 4.2 Der Auftragnehmer ist berechtigt, unter SAP unterstützt den Auftraggeber während des gesamten Überprüfungsverfahrens in angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf Weise und stellt ihm die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) erforderlichen Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhaltenzur Verfügung. 4.3 Sollten SAP sichert die Verfügungsbefugnis und Kontrollrechte des Auftraggebers aus dieser Anlage gegenüber Unterauftragsverarbeitern von SAP, die ggf. in Kontakt mit den personenbezogenen Daten gelangen, vertraglich. Soweit geltendes Datenschutzrecht erfordert, dass ein Data Controller ein direktes Vertragsverhältnis mit SAP eingeht, autorisiert und bevollmächtigt SAP den Auftraggeber hiermit, die notwendige Vereinbarung mit dem Data Controller im Einzelfall Inspektionen durch Auftrag von SAP zu schließen, jedoch nur auf der Grundlage einer Vertragsvorlage, die SAP dem Auftraggeber auf Verlangen zur Verfügung stellt. 4.4 Von SAP in Verbindung mit den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung Kontrollrechten des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände Auftraggebers erbrachte Leistungen gehen auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichenAuftraggebers. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, zu überzeugen.

Kontrollrechte des Auftraggebers. 4.1 8.1 Der Auftragnehmer stellt sicherAuftraggeber ist berechtigt, dass im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Auftraggeber-Daten verarbeitet werden, zu betreten, um sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach aus dieser Vereinbarung überzeugen kannergebenden Pflichten, insbesondere der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag, zu überzeugen. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere auf Anforderung die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln Maßnahmen nach. 4.2 8.2 Der Auftragnehmer ist berechtigtgewährt dem Auftraggeber die zur Durchführung der Kontrollen nach Ziffer 8.1 erforderlichen Zugangs-, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche Auskunfts- und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Einsichtsrechte. 8.3 Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch hat den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit rechtzeitig (in der Regel mindestens einen (1zwei Wochen vorher) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführtzu informieren. Der Auftragnehmer Auftraggeber darf diese in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. 8.4 Beauftragt der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich Auftraggeber einen Dritten mit der Daten anderer Auftraggeber und Durchführung der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehenKontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 8 dieses Vertrags gegenüber dem Auftragnehmer gegen diesen ein Einspruchsrechtverpflichtet ist. Die Parteien gehen davon ausZudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich istder Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichenKontrolle beauftragen. 4.4 8.5 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstatt einer Vor-Ort-Kontrolle auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS- GVO, die Zertifizierung nach dieser Vereinbarung auch erbracht werden durch ● einem genehmigten Zertifizierungsverfahren nach Art. 42 DS-GVO, die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer Auftraggeber hat das Recht, im Benehmen mit der ecotel und unter Berück- sichtigung der nachfolgenden Bestimmungen Überprüfungen durchzuführen oder durch im Einzelfall zu benennendem Prüfer durchführen zu lassen und sich durch Stichprobenkontrollen von der Einhaltung dieser Vereinbarung durch die ecotel zu überzeugen. - Audits müssen in der Regel rechtzeitig (10 Arbeitstage zuvor) unter Benennung des Auditumfangs angekündigt werden. - Audits werden am Geschäftssitz der ecotel und/oder am Geschäftssitz eines in die Audits einbezogenen Auftragnehmers der ecotel während der normalen Geschäftszei- ten durchgeführt und dauern nicht länger als zwei (2) Geschäftstage. - Bei der Planung und Durchführung von Kontrollen wird berücksichtigt, dass der Ge- schäftsbetrieb der auditierten Stelle nicht gefährdet oder beeinträchtigt wird. - Es sind die Vertraulichkeitsbestimmungen (NDA) der ecotel sowie von einbezoge- nen Auftragnehmern der ecotel vor der Durchführung eines Audits von allen beteiligten Stellen zu bestätigen. (2) Die ecotel stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers der ecotel nach dieser Vereinbarung Art. 28 DSGVO überzeugen kann. Der Auftragnehmer weist Die ecotel verpflichtet sich, dem Auftraggeber auf Anforderung die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere erforderlichen Auskünfte zu erteilen und insbeson- dere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMaßnahmen nachzuwei- sen. Die Art und der Umfang von zur Verfügung gestellten Informationen richtet sich nach gesetzlichen sowie regulatorischen Vorgaben zum Schutz vertraulicher Daten. 4.2 (3) Der Auftragnehmer ist berechtigt, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des AuftragnehmersNachweis solcher Maßnahmen, die nicht für die vereinbarten Kontrollzwecke relevant sindnur den konkreten Auftrag betreffen, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen kann erfolgen durch den Auftraggeber - aktuelle Testate, Berichte oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Auftraggeber und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichen. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen Berichtsauszüge unabhängiger Instanzen (z.B. WirtschaftsprüferWirt- schaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Daten- schutzauditoren, Qualitätsauditoren) oder ● ); - eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● Datenschutzaudit (z.B. nach BSI-Grundschutz); (4) Insofern ecotel i.S.d. Abs. 3 Sicherheitsberichte zur Verfügung stellt erkennt der Auftraggeber an, dass es seine Absicht ist, sich normalerweise auf die Bereitstellung dieser Sicherheitsberichte zur Kontrolle der Einhaltung genehmigter Verhaltensregeln gemder Pflichten dieser Vereinba- rung durch die ecotel zu verlassen. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werdenInsofern begründete Zweifel daran bestehen, müssen sie es dem Auftraggeber in angemessener Weise ermöglichendass die Sicherheitsberichte ausreichen, um sich von der Einhaltung der in dieser Vereinbarung festgelegten Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, zu überzeugen, oder dies erforderlich ist, um zu überprüfen, ob und unter welchen Bedingungen personenbezogene Daten an Behörden weitergegeben wurden (wobei der Zugriff nicht über das hinausgeht, was in einer demokratischen Gesellschaft not- wendig und verhältnismäßig ist), gestattet ecotel dem Auftraggeber (oder von ihm be- auftragten Drittprüfern) die Durchführung einer Prüfung, wobei eine solche Prüfung auf den relevanten Zweck, wie zuvor dargelegt, beschränkt sein muss. (5) Der Auftraggeber darf bei einer (1) Gelegenheit innerhalb eines zusammenhän- genden Zeitraums von zwölf (12) Monaten (im Hinblick auf den unter Abs. 4 genannten Zweck auch in kürzeren Abständen, wenn dies vernünftigerweise erforderlich ist) Überprüfungen durchführen. (6) Wo es aus Gesundheits- und Sicherheitsgründen während Pandemien notwendig oder angemessen ist, finden keine Audits am Geschäftssitz von ecotel und/oder bei Auftragnehmern der ecotel statt und alle Audits beschränken sich auf die Bereitstel- lung von Kopien relevanter Zusammenfassungen von externen Sicherheitszertifizie- rungen oder Sicherheitsberichten i.S.d. Abs. 3. (7) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann die ecotel einen Vergütungsanspruch geltend machen.

Kontrollrechte des Auftraggebers. 4.1 8.1 Der Auftragnehmer stellt sicherAuftraggeber ist berechtigt, dass im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Auftraggeber-Daten verarbeitet werden, zu betreten, um sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach aus dieser Vereinbarung überzeugen kannergebenden Pflichten, insbesondere der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag, zu überzeugen. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere auf Anforderung die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln Maßnahmen nach. 4.2 8.2 Der Auftragnehmer ist berechtigtgewährt dem Auftraggeber die zur Durchführung der Kontrollen nach Ziffer 8.1 erforderlichen Zugangs-, unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere im Hinblick auf die Gewährleistung der Informationssicherheit sowie rechtliche Auskunfts- und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Einsichtsrechte. 8.3 Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch hat den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit rechtzeitig (in der Regel mindestens einen (1zwei Wochen vorher) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführtzu informieren. Der Auftragnehmer Auftraggeber darf diese in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. 8.4 Beauftragt der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich Auftraggeber einen Dritten mit der Daten anderer Auftraggeber und Durchführung der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehenKontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 8 dieses Vertrags gegenüber dem Auftragnehmer gegen diesen ein Einspruchsrechtverpflichtet ist. Die Parteien gehen davon ausZudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich istder Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichenKontrolle beauftragen. 4.4 8.5 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstatt einer Vor-Ort-Kontrolle auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO, die Zertifizierung nach dieser Vereinbarung auch erbracht werden durch ● einem genehmigten Zertifizierungsverfahren nach Art. 42 DS-GVO, die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-IT- Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer stellt sicher, dass Auftraggeber überzeugt sich auf eigene Kosten vor der Auftraggeber Aufnahme der Datenverarbeitung und sodann regelmäßig von der Einhaltung der Pflichten des Auftragnehmers nach dieser Vereinbarung überzeugen kann. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten insbesondere die Umsetzung der den technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachMaßnahmen des Auftragsverarbeiters gemäß Anlage 2 und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte des Auftragsverarbeiters einholen, sich ein Testat eines Sachverständigen vorlegen lassen oder sich nach rechtzeitiger Terminabsprache ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters persönlich überzeugen. Der Auftragsverarbeiter verpflichtet sich, die Kontrollen des Auftraggebers in geeigneter Weise zu unterstützen und alle erforderlichen Kontrollmaßnahmen zu dulden. 4.2 (2) Der Auftragnehmer Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind. (3) Der Auftragsverarbeiter ist berechtigt, nach eigenem Ermessen unter angemessener Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers sowie der berechtigten Geheimhaltungsinteressen des Auftragnehmers (insbesondere Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Gewährleistung Geschäfte des Auftragsverarbeiters sind oder wenn der Informationssicherheit sowie rechtliche und Auftragsverarbeiter durch deren Offenbarung gegen gesetzliche oder andere vertragliche Verpflichtungen) Informationen nicht zu offenbarenRegelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des AuftragnehmersAuftragsverarbeiters, zu Informationen hinsichtlich Kosten Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des AuftragnehmersAuftragsverarbeiters, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke relevant sind, zu erhalten. 4.3 Sollten im Einzelfall Inspektionen durch (4) Der Auftraggeber hat den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit Auftragsverarbeiter rechtzeitig (in der Regel mindestens einen (1zwei Wochen vorher) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführtzu informieren. Der Auftragnehmer Auftraggeber darf diese in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. (5) Beauftragt der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich Auftraggeber einen Dritten mit der Daten anderer Auftraggeber und Durchführung der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehenKontrolle, hat der Auftragnehmer gegen diesen ein EinspruchsrechtAuftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 10 dieses Vertrags Xxxxxxxxxxxx Xxx. Die Parteien gehen davon aus00 00000 Xxxxxx Xxxxxxx Xx. Xxxxxx Xxxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxx Xxxxxxxxx (Vorsitzender) Malte von der Xxxx Xxxx´ Bernbee´Say HRB 160612 B Tax No.: 30/067/82795 VAT ID: DE814087813 Commerzbank AG IBAN XX00 0000 0000 0000 0000 00 BIC XXXXXXXX000 gegenüber dem Auftragsverarbeiter verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich istder Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragsverarbeiters hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich Auftraggeber darf keinen Wettbewerber des Auftragsverarbeiters mit der Auftragnehmer darum bemühen, in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichenKontrolle beauftragen. 4.4 (6) Nach Xxxx des Auftragnehmers Auftragsverarbeiters kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstelle einer Vor-Ort-Kontrolle auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, müssen sie wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglichenermöglicht, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

Kontrollrechte des Auftraggebers. 4.1 (1) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers Auftragneh- mers nach dieser Vereinbarung Art. 28 DSGVO überzeugen kann. Der Auftragnehmer weist verpflichtet sich, dem Auftraggeber auf Anforde- rung die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen mit geeigneten Mitteln nachorganisatori- schen Sicherheitsmaßnahmen nachzuweisen. 4.2 (2) Der Auftraggeber und der Auftragnehmer ist berechtigtverständigen sich darauf, unter angemessener Berücksichtigung dass der gesetzlichen Verpflichtungen Auftragnehmer den Nachweis der Umsetzung der technischen und organisatorischen Sicherheitsmaßnahmen auch durch geeignete und gültige Zertifi- kate erbringen kann, sofern der Gegenstand der Zertifizierung auch die Auftragsverarbeitung im konkreten Fall er- fasst. Hiervon unberührt bleibt die Möglichkeit des Auftraggebers sowie Auftraggebers, die Auftragskontrolle durch Inspektionen in der berechtigten Geheimhaltungsinteressen Betriebsstätte des Auftragnehmers (insbesondere zu den ausgewiesenen Geschäftszeiten und nach rechtzeitiger Anmeldung, durchzuführen bzw. durchführen zu lassen. Die Vorlage eines relevanten Zertifikats ersetzt jedoch nicht die Pflicht des Auftragnehmers zur Dokumentation der Sicherheitsmaßnahmen im Hinblick auf die Gewährleistung Sinne der Informationssicherheit sowie rechtliche und vertragliche Verpflichtungen) Informationen nicht zu offenbaren. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten sowie zu anderen vertraulichen Daten des Auftragnehmers, die nicht für die vereinbarten Kontrollzwecke relevant sind, zu erhaltenRegelung in Ziffer 3 dieser Ver - einbarung. 4.3 (3) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich Xxxxxx erforder - lich sein, werden diese im Benehmen mit dem Auftragnehmer zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit (in der Regel mindestens einen (1) Monat im Voraus) und nach Information über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände auf Kosten des Auftraggebers durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich hinsicht - lich der Daten anderer Auftraggeber Kunden und der eingerichteten technischen und organisatorischen Massnahmen Sicherheitsmaßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Xxxxxx in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Die Parteien gehen davon aus, dass eine Vor-Ort-Kontrolle höchstens einmal jährlich erforderlich ist. Der Auftragnehmer ist grundsätzlich nicht berechtigt, Inspektionen direkt . (4) Für die Unterstützung bei Subunternehmern durchzuführen. Sofern derartige Inspektionen im Einzelfall datenschutzrechtlich erforderlich sind, wird sich der Durchführung einer Inspektion kann der Auftragnehmer darum bemühen, eine angemessene Ver- gütung gemäß den in Abstimmung mit dem jeweiligen Subunternehmer eine mittelbare Inspektion über den Auftragnehmer als (Haupt-)Auftragsverarbeiter oder über vom Auftragnehmer beauftragte unabhängige Prüfer auf Kosten des Auftraggebers zu ermöglichender Leistungsvereinbarung benannten Verrechnungssätzen verlangen sofern der Aufwand für anlasslose Inspektionen je Jahr drei Zeitstunden übersteigt. 4.4 Nach Xxxx des Auftragnehmers kann der Nachweis der Einhaltung der Verpflichtungen nach dieser Vereinbarung auch erbracht werden durch ● die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder ● eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits oder ● die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO. Sollen solche Nachweise anerkannt werden, müssen sie es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der Verpflichtungen nach dieser Vereinbarung, insbesondere der technischen und organisatorischen Massnahmen, zu überzeugen.