Common use of Kontrollrechte des Verantwortlichen Clause in Contracts

Kontrollrechte des Verantwortlichen. (1) Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DS-GVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. (2) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch: a) die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; b) die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; c) aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); d) eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz oder ISO/IEC); e) Jahresberichte durch den Auftragsverarbeiter. (3) Sofern darüberhinausgehende Informationen vom Verantwortlichen benötigt werden, um seinen eigenen Audit Verpflichtungen nachzukommen oder wenn seitens der zuständigen Behörde ein entsprechender Auftrag vorliegt, wird der Verantwortliche den Auftragsverarbeiter schriftlich davon in Kenntnis setzen, sodass dieser diese Informationen liefern kann bzw. dem Verantwortlichen Zugang zu den Informationen einräumen kann. (4) Sofern die oben angeführten Informationen nicht ausreichend erachtet werden, um die Audit Verpflichtung gemäß dem anwendbaren Recht zu erfüllen, oder wenn eine materielle Datenschutzverletzung stattgefunden hat, für die den Auftragsverarbeiter eine Verantwortung trifft, hat der Verantwortliche das Recht, im Einvernnehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die einen Monat im Vorhinein anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen. (5) Um eine Überprüfung durchzuführen, sendet der Verantwortliche einen detaillierten Audit-/Kontroll-Plan mindestens zwei Wochen vor dem geplanten Prüfungstermin an den Auftragsverarbeiter und gibt darin den Umfang, die Dauer der Überprüfung sowie das Startdatum der Prüfung bekannt. Der Auftragsverarbeiter überprüft den Audit- /Kontroll-Plan und übermittelt an den Verantwortlichen hierzu alle wesentlichen Bedenken und Fragen, wie beispielsweise Anfragen zu Informationen, die die Sicherheit, Privatsphäre oder Beschäftigungspolitik des Auftragsverarbeiters beeinträchtigen können. In jedem Fall arbeitet der Auftragsverarbeiter mit dem Verantwortlichen kooperativ zusammen, um einen abschließenden Audit-/Kontroll- Plan zu vereinbaren. (6) Die Überprüfung findet während der regulären Geschäftszeiten, gemäß den Betriebsrichtlinien der jeweiligen Betriebsstätte des Auftragsverarbeiters statt und darf den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen. Der Auftragsverarbeiter strengt sich angemessen an, um dem Prüfer die angeforderten Informationen zur Verfügung zu stellen. (7) Der Verantwortliche trägt die Kosten für die Durchführung der Kontrollen selbst. Für weitergehende Unterstützungsleistungen kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen. Hierfür legt der Auftragsverarbeiter ein Angebot, welches einvernehmlich abzustimmen ist.

Kontrollrechte des Verantwortlichen. (1) Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DS-GVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. (2) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch: a) die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; b) die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-DS- GVO; c) aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); d) eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-BSI- Grundschutz oder ISO/IEC); e) Jahresberichte durch den Auftragsverarbeiter. (3) Sofern darüberhinausgehende Informationen vom Verantwortlichen benötigt werden, um seinen eigenen Audit Verpflichtungen nachzukommen oder wenn seitens der zuständigen Behörde ein entsprechender Auftrag vorliegt, wird der Verantwortliche den Auftragsverarbeiter schriftlich davon in Kenntnis setzen, sodass dieser diese Informationen liefern kann bzw. dem Verantwortlichen Zugang zu den Informationen einräumen kann. (4) Sofern die oben angeführten Informationen nicht ausreichend erachtet werden, um die Audit Verpflichtung gemäß dem anwendbaren Recht zu erfüllen, oder wenn eine materielle Datenschutzverletzung stattgefunden hat, für die den Auftragsverarbeiter eine Verantwortung trifft, hat der Verantwortliche das Recht, im Einvernnehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die einen Monat im Vorhinein anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen. (5) Um eine Überprüfung durchzuführen, sendet der Verantwortliche einen detaillierten Audit-/KontrollAudit- /Kontroll-Plan mindestens zwei Wochen vor dem geplanten Prüfungstermin an den Auftragsverarbeiter und gibt darin den Umfang, die Dauer der Überprüfung sowie das Startdatum der Prüfung bekannt. Der Auftragsverarbeiter überprüft den Audit- /KontrollAudit-/Kontroll-Plan und übermittelt an den Verantwortlichen hierzu alle wesentlichen Bedenken und Fragen, wie beispielsweise Anfragen zu Informationen, die die Sicherheit, Privatsphäre oder Beschäftigungspolitik des Auftragsverarbeiters beeinträchtigen können. In jedem Fall arbeitet der Auftragsverarbeiter mit dem Verantwortlichen kooperativ zusammen, um einen abschließenden Audit-/Kontroll- Audit-/Kontroll-Plan zu vereinbaren. (6) Die Überprüfung findet während der regulären Geschäftszeiten, gemäß den Betriebsrichtlinien der jeweiligen Betriebsstätte des Auftragsverarbeiters statt und darf den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen. Der Auftragsverarbeiter strengt sich angemessen an, um dem Prüfer die angeforderten Informationen zur Verfügung zu stellen. (7) Der Verantwortliche trägt die Kosten für die Durchführung der Kontrollen selbst. Für weitergehende Unterstützungsleistungen kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen. Hierfür legt der Auftragsverarbeiter ein Angebot, welches einvernehmlich abzustimmen ist.