Common use of Pflichten des Auftragnehmers Clause in Contracts

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckenutzen. (2) Der Auftragnehmer bestätigtsichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten allgemeinen und technischen und organisatorischen Maßnahmen entsprechend Art. 25 DSGVO zu. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass ihm sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die einschlägigenden Forderungen der DSGVO entsprechen. Dies beinhaltet insbesondere • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet mit denen die Grundsätze ordnungsgemäßer Datenverarbeitung. personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (3) Der Auftragnehmer verpflichtet sichZutrittskontrolle), • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), • dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung die Vertraulichkeit streng Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), • dafür Sorge zu wahren. tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (4) PersonenWeitergabekontrolle), • dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), • dafür Sorge zu tragen, dass personenbezogene Daten, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenverarbeitet werden, haben sich schriftlich zur Vertraulichkeit nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), • dafür Sorge zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zutragen, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind angemessen regelmäßig (Verfügbarkeitskontrolle), • dafür Sorge zu wiederholen. Der Auftragnehmer trägt dafür Sorgetragen, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenzu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:   (optional)   (optional) Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er unverzüglich an die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber weiterleiten. für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (9) Soweit gesetzlich verpflichtet, bestellt Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer eine fachkundige und zuverlässige Person ist als Beauftragten Beauftragte/r für den DatenschutzDatenschutz bestellt: Name   Telefon   E-Mail   Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DSGVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. § 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis Art. 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: a) Der Auftragnehmer verarbeitet personenbezogene bestellt einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und Art. 39 DS-GVO ausübt, schriftlich. Als Datenschutzbeauftragter ist beim Auftragnehmer bestellt: Xxxxxx X. Xxxxxxx TMH-Dat UG (haftungsbeschränkt) Xx Xxxxxxx 00 00000 Xxxxxxxxxxxxx Web: xxx.xxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Die Kontaktdaten des Datenschutzbeauftragten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Seine jeweils aktuellen Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt. b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der AN setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der AN und jede dem AN unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenentsprechend der Weisung des AG verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, der Auftragnehmer ist dass sie gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeverpflichtet sind. (2c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1]. d) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungAG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. (3e) Der Auftragnehmer verpflichtet sich, bei Die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenAufsichtsbehörde, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt. (5f) Der Auftragnehmer sichert zuSoweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenAN nach besten Kräften zu unterstützen. (7g) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendDer AN kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, verpflichtet sich der Auftragnehmer den Auftraggeber um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem AG im Auftrag betroffen istRahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Artikel 28 Abs. 3 Satz 2 lit. a DS- GVO) 5.2. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (2) 5.3. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Massnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 5.4. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. 5.5. Bei der Erfüllung der Rechte der betroffenen Personen nach Artikel 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Artikel 28 Abs. 3 Satz 2 lit e und dieses Vertrags vertraut gemacht wurdenf DS-GVO). Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. 5.6. Der Auftragnehmer trägt dafür Sorgewird den Auftraggeber unverzüglich darauf aufmerksam machen, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Artikel 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (6) Im Zusammenhang mit 5.7. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung dies mittels einer Weisung verlangt und Fortschreibung berechtigte Interessen des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auftragnehmers dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht entgegenstehen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 5.8. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden5.9. Der Auftragnehmer teilt dem erklärt sich damit einverstanden, dass der Auftraggeber unverzüglich - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Kontaktdaten des Datenschutzbeauftragten mit Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder begründetdurch vom Auftraggeber beauftragte Dritte zu kontrollieren, weshalb kein Beauftragter bestellt wurdeinsbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Artikel 28 Abs. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit3 Satz 2 lit. h DS-GVO). (10) Die 5.10. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. 5.11. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung erfolgt grundsätzlich innerhalb einschlägigen datenschutzrechtlichen Vorschriften der EU oder des EWRDS-GVO bekannt sind. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Er verpflichtet sich, die vom Auftraggeber schriftlich definierten Geheimnisschutzregeln zu beachten. 5.12. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 5.13. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Artikel 28 Abs. 3 Satz 2 b und Artikel 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. 5.14. Sofern anwendbar: Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Artikel 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Artikel 42 Abs. 7 DS- GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetliegt ein Ausnahmefall im Sinne des Artikel 28 Abs. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten3 a) DS-GVO vor. Der Auftragnehmer verwendet darüber hinaus informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die zur Verarbeitung überlassenen Daten für keine anderenUmsetzung der Weisung solange aussetzen, insbesondere nicht für eigene Zweckebis sie vom Auftraggeber bestätigt oder abgeändert wurde. (2) Der Auftragnehmer bestätigtwird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindsie den besonderen Anforderungen des Datenschutzes gerecht wird. Er beachtet wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die Grundsätze ordnungsgemäßer Datenverarbeitungden Anforderungen der DatenschutzGrundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. (3) Der Auftragnehmer verpflichtet sich, unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Verarbeitung die Vertraulichkeit streng zu wahrenErfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Artt. 33 bis 36 DS-GVO genannten Pflichten. (4) PersonenDer Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenaußerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, haben dass sich schriftlich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich verpflichtet haben oder einer einschlägigen Geheimhaltungspflicht angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. (5) Der Auftragnehmer sichert zuunterrichtet den Auftraggeber unverzüglich, dass die bei wenn ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Verletzungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenSchutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass trifft die erforderlichen Maßnahmen zur Auftragsverarbeitung eingesetzte Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenspricht sich hierzu unverzüglich mit dem Auftraggeber ab. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und nennt dem Auftraggeber auf Anforderung unverzüglich zuzuleitenden Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. (7) Wird Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. (8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch Aufsichtsbehörden den Auftraggeber oder andere Stellen gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. (9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. (10) Im Falle einer Kontrolle unterzogen oder machen Inanspruchnahme des Auftraggebers durch eine betroffene Personen ihm gegenüber Rechte geltendPerson hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber- Daten ausschließlich wie vertraglich vereinbart anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 5.2 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde, bei Ordnungswidrigkeits- oder wie vom Strafverfahren, bei der Geltendmachung eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder bei der Geltendmachung eines anderen Anspruchs im Rahmen des Zumutbaren und Erforderlichen, soweit ein Zusammenhang mit dieser Auftragsverarbeitung besteht. 5.3 Sofern der Auftragnehmer von einer Kontrolle oder Maßnahme einer Aufsichtsbehörde betroffen ist, die sich auch auf diese Auftragsverarbeitung bezieht, hat der Auftragnehmer den Auftraggeber angewiesenhierüber zu informieren. Dies gilt auch, es sei dennsoweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. 5.4 Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß Art. 28 Abs. 3 Satz 2 lit. b) DS-GVO schriftlich auf die Vertraulichkeit zu verpflichten und sie zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut zu machen. Dies ist nicht erforderlich, wenn die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 5.5 Sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind, ist der Auftragnehmer verpflichtet, einen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis fachkundigen, für die Aufgaben nach Art. 39 DS-GVO fähigen und zuverlässigen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetseine Tätigkeit gemäß Art. Sofern solche Verpflichtungen 38, 39 DS-GVO und § 38 Abs. 2 BDSG ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mindestens in Textform (z.B. E-Mail) mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Sollte keine Bestellpflicht für ihn einen betrieblichen Datenschutzbeauftragten bestehen, teilt benennt der Auftragnehmer diese gegenüber dem Auftraggeber vor mindestens in Textform (z.B. E-Mail) einen Ansprechpartner für datenschutzrechtliche Belange und teilt dem Auftraggeber dessen Kontaktdaten mit. Sollte der Verarbeitung Auftragnehmer seinen Sitz außerhalb der EU haben, benennt er gegenüber dem Auftraggeber einen Vertreter nach Art. 27 Abs. 1 DS-GVO in der EU und teilt dem Auftraggeber dessen Kontaktdaten mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. . 5.6 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderenunterliegt der behördlichen Aufsicht nach § 40 BDSG sowie den Bußgeld- und Strafvorschriften in § 42, insbesondere nicht für eigene Zwecke43 BDSG sowie in Art. 83 Abs. 4-6 DS- GVO nach Maßgabe von § 41 BDSG. (2) 5.7 Der Auftragnehmer bestätigtstellt sicher, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindsich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber nach Anlage 2 zu treffenden technischen und organisatorischen Maßnahmen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istRahmen der Kontrollrechte nach Ziffer 8 dieses Vertrages nachzuweisen. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 2 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenführt für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendEin betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit da die Verarbeitung im Auftrag betroffen istgesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. (8) Auskünfte an Dritte oder den Betroffenen darf Dem Auftraggeber wird hinsichtlich der Auftragnehmer nur Verarbeitung der von ihm überlassenen Daten das Recht – grundsätzlich nach vorheriger Zustimmung Terminvereinbarung - Einsichtnahme und Kontrolle, sei es auch durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenvon ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. (9) Soweit gesetzlich verpflichtetDer Auftragnehmer verpflichtet sich, bestellt dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Einhaltung der Auftraggeber direkt an den Datenschutzbeauftragten wenden. in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (10) Der Auftragnehmer teilt dem Auftraggeber unverzüglich unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten des Datenschutzbeauftragten mit im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder begründet, weshalb kein Beauftragter bestellt wurdeUnregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenArt. 34 DSGVO.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie von Betroffenen nur im Rahmen des Auftrages und den Weisungen des Auftrag- gebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikels 28 Abs. 3a DS-GVO vor. Der Auftrag- nehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen an- wendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen bis sie vom Auftraggeber angewiesenbestätigt oder abgeändert wurde. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Daten- schutz-Grundverordnung (Art. 32 DS-GVO) entsprechen. Der Auftragnehmer hat technische und organisatori- sche Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (siehe Anhang über technische und organisatorische Maßnahmen nach Art. 32 DS-GVO). Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmenseiner Möglichkeiten bei der Er- füllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. Unterstützende Tätigkeiten, die über die vertraglich vereinbar- te Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt und sind folglich zusätzlich gegen- über dem Auftragnehmer zu vergüten. Der Auftragnehmer gewährleistet, dass es sei dennden mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen per Ver- pflichtung untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragneh- mer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit ver- pflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulich- keits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. Der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetunterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes perso- nenbezogener Daten des Auftraggebers bekannt werden. Sofern solche Verpflichtungen für ihn bestehen, teilt Er trifft die erforderlichen Maßnahmen zur Sicherung der Auftragnehmer diese Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber vor ab. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Da- tenschutzfragen. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Ge- währleistung der Sicherheit der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboteneinzusetzen. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm anderen Zwecke als die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenVertragserfüllung. Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist soweit dem nicht berechtigte Interessen des Auftragnehmers entgegenstehen. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Auftrag- nehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftragge- bers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich diese der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Auftraggeber. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung Falle einer Inanspruchnahme des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der AufsichtsbehördeAuftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprü- che nach Art. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Verein- barungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftraggeber unterliegt, hierzu verpflichtet ist (z. B. Er- mittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer diese dem Auftraggeber diese rechtliche Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht ei- ne solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderenande- ren, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogene Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftragge- ber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Fol- genabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenf DS-GVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftrag- geber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszu - setzen, bis die durch den Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen diese mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an nach vorheriger Terminvereinba- rung berechtigt ist, die Einhaltung der Vorschriften über den Datenschutzbeauftragten wendenDatenschutz und die Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftrag- geber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsicht - nahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt sichert zu, dass er, soweit er- forderlich, bei diesen Kontrollen unterstützend mitwirkt. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer über- wacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragter für den Datenschutz Xxxx Xxxxxxxx Xxxxxxxxxx, 03643 559-145, E-Mail: xxxxxxxxxxx@xxx.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitzuteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. Technische und organisatorische Massnahmen (1TOM) 2.1 Der Auftragnehmer setzt die in Annex 3 dokumentierten technischen und organisatorischen Massnahmen (nachfolgend „TOM“) um und erhält dies aufrecht, welche die Grundlage des vorliegenden Auftrags darstellen. Die Parteien sind sich einig, dass diese TOM ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme, insbesondere unter Berücksichtigung der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des Trennungsgebots, sicherstellen. Die konkreten TOM sind im Einzelfall abhängig von den TOM der jeweils eingebundenen Unterauftragsverarbeiter, die vom Auftragnehmer auf Anfrage zur Verfügung gestellt werden. Dem Auftragnehmer ist es gestattet, seinen Geschäftsbetrieb derart zu organisieren, dass Mitarbeiter auch “remote” bzw. im Home-Office ihren Tätigkeiten zur Erfüllung des Vertragszweckes des Hauptvertrages nachkommen können, solange dabei ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme, sichergestellt wird. 2.2 Die TOM beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind dem Auftraggeber mitzuteilen. 2.3 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich ausschliesslich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 2.4 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen. Personen des Auftragnehmers, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich sind zur Vertraulichkeit zu verpflichtenverpflichtet, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 2.5 Der Auftragnehmer sichert zu, dass macht die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes vertraut und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) 2.6 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. 2.7 Der Auftragnehmer hat einen Datenschutzbeauftragten benannt (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitens. Annex 1). (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. 2.8 Der Auftragnehmer teilt dem Auftraggeber unverzüglich durch ihn oder die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber bei ihm beschäftigten Personen verursachten Verstösse gegen Vorschriften zum Schutz personenbezogener Daten unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb 2.9 Soweit sich eine betroffene Person bezüglich ihrer Datenschutzrechte, insbesondere auf Auskunft, Berichtigung, Löschung und Sperrung, unmittelbar an den Auftragnehmer wendet, wird der EU Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten und/oder des EWRden Betroffenen an den Auftraggeber verweisen. Jegliche Verlagerung Der Auftragnehmer selbst wird keine Entscheidung über die Berechtigung von Ersuchen der Betroffenen treffen und insbesondere auch keine Auskunftsverlangen von Betroffenen beantworten. 2.10 Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei dessen Einhaltung seiner Pflichten nach Art. 33 bis 36 DSGVO im Rahmen seiner Möglichkeiten unterstützen. Hierzu gehören insbesondere: ● die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Massnahmen; ● die unverzügliche Meldung von Verletzungen personenbezogener Daten an den Auftraggeber; ● die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen bei Datenschutzverletzungen zu unterstützen und ihm in ein Drittland darf nur mit Zustimmung diesem Zusammenhang sämtliche verfügbaren Informationen, soweit relevant, unverzüglich zur Verfügung zu stellen; ● die Unterstützung des Auftraggebers und unter den in Kapitel V der für dessen Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Folgenabschätzung; ● die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Bestimmungen dieses Vertrags erfolgenAufsichtsbehörde.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). (2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungKopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Kopien zur Auftragsabwicklung und zur Datensicherung sind von diesem Verbot ausgenommen. (3) Der Auftragnehmer verpflichtet sichsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, bei der Verarbeitung dass die Vertraulichkeit streng zu wahrenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) PersonenDer Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Kenntnis von Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenVerantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (5) Der Auftragnehmer sichert zuhat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, dass die bei ihm zur zu löschen oder deren Verarbeitung eingesetzten Personen vor Beginn einzuschränken, wenn der Verarbeitung mit den relevanten Bestimmungen Auftraggeber dies mittels einer Weisung verlangt soweit dies technisch möglich ist und berechtigte Interessen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAuftragnehmers dem nicht entgegenstehen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auskünfte über personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. (7) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber sowie von ihm beauftragte Dritte bei Verdacht auf Nichteinhaltung der Regelungen dieses Vertrages - grundsätzlich nach Terminvereinbarung vier Wochen im voraus - berechtigt sind, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Direkt an 28 Abs. 3 Satz 2 lit. h DS-GVO). Kosten wie zusätzlicher Personalaufwand, Reisekosten, Dokumentationen und alle damit im Zusammenhang stehenden Aufwände und Aktivitäten, die dem Auftragnehmer durch diese Prüfungstätigkeit des Auftraggebers oder durch ihn gerichtete Anfragen wird er unverzüglich an den beauftragte Dritte entstehen, übernimmt der Auftraggeber weiterleitenvollständig auf erstes Anfordern. (8) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellensichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für den Beauftragten keine Interessenskonflikte bestehensie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden28 Abs. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde3 Satz 2 lit. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitb und Art. 29 DS-GVO). (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen). Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die Vertraulichkeit streng zu wahren. technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (4Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) Personeninnerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Daten, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenverarbeitet werden, haben sich schriftlich zur Vertraulichkeit zu verpflichtennicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer sichert zugerichtet und lässt dieser erkennen, dass die bei der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgebetriebenen Datenanwendung hält, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten und dies dem Antragsteller mitzuteilen. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden). Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit oder begründetdem Auftragsverhältnis stehen, weshalb kein Beauftragter bestellt wurdedem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten8. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (32) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (43) PersonenDie eingesetzten Mitarbeiter sind auf Datenschutz und Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DSGVO verpflichtet. Mitarbeitende, die Kenntnis von den im Auftrag verarbeiteten auf besondere Kategorien personenbezogener Daten erhalten zugreifen können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensind nach § 203 Strafgesetzbuch auf Verschwiegenheit verpflichtet. (54) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen gemäß der jeweils geltenden gesetzlichen Bestimmungen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (65) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (76) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber ihre Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 7) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) 8) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten unter xxxxxxxxxxx@xxxx.xx wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (109) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (10) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen. (11) Der Auftragnehmer selbst führt für die Verarbeitung ein Verzeichnis der bei ihm stattfindenden Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 1 und 2 DSGVO sowie § 31 KDG. Er stellt dem Auftraggeber auf Anforderung die für die Übersicht nach § 31 KDG notwendigen Angaben zur Verfügung. Des Weiteren stellt er das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung.

Pflichten des Auftragnehmers. (1) Der Jegliche Verarbeitung der personenbezogenen Daten durch den Auftragnehmer verarbeitet personenbezogene Daten oder durch etwaige Unterauftragsverarbeiter, die diesem Rahmenvertrag unterfällt, erfolgt ausschließlich wie vertraglich vereinbart oder wie auf Grundlage dieses Rahmenvertrages, der jeweiligen Einzelvereinbarung sowie den vom Auftraggeber angewiesenerteilten Weisungen. Dies gilt nicht, es sei denn, wenn der Auftragnehmer ist gesetzlich zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer diese dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei dennsofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation im Rahmen der Verarbeitung der personenbezogenen Daten so gestalten, die Mitteilung ist ihm gesetzlich verbotendass sie den gesetzlichen Anforderungen sowie den in diesem Vertrag bzw. der jeweiligen Einzelvereinbarung vereinbarten Anforderungen gerecht wird. 3) Eine Änderung der in einer Einzelvereinbarung vereinbarten technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das jeweils vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckehat den Auftraggeber über wesentliche Änderungen unaufgefordert zu informieren. (24) Der Auftragnehmer berichtigt oder löscht personenbezogene Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht bereits anderweitig vereinbart. 5) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitunger einen betrieblichen Datenschutzbeauftragten bestellt hat und wird diesen gegenüber dem Auftraggeber in Textform benennen. (36) Zur Verarbeitung der personenbezogenen Daten befugte Personen sind vom Auftragnehmer zur Vertraulichkeit zu verpflichten oder haben einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterliegen. Dies ist dem Auftraggeber auf Wunsch nachzuweisen. 7) Der Auftragnehmer verpflichtet sichist verpflichtet, bei dem Auftraggeber jeden (drohenden) Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung die Vertraulichkeit streng von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist oder zu wahrenerfolgen droht. (4) Personen8) Sofern es zu einer unzulässigen Verarbeitung oder Offenbarung personenbezogenen Daten gekommen sein sollte, trifft der Auftragnehmer die Kenntnis von den im Auftrag verarbeiteten erforderlichen Maßnahmen zur Sicherung der Daten erhalten können, haben sowie zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhierzu unverzüglich mit dem Auftraggeber zum weiteren Vorgehen ab. (59) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenEinhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, insbesondere Meldepflichten bei Erstellung und Fortschreibung des Verzeichnisses der VerarbeitungstätigkeitenDatenpannen, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenFolgeabschätzungen und vorherige Konsultationen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber Überprüfungen in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an eine Stelle des Auftraggebers weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Der Auftragnehmer sichert zu, dass - insofern eine gesetzliche Notwendigkeit vorliegt - ein Datenschutzbeauftragter bestellt wurde. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten. 1 Nichtzutreffendes bitte streichen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten. 1 Nichtzutreffendes bitte streichen.

Pflichten des Auftragnehmers. (1) 2.1 Der Auftragnehmer verarbeitet personenbezogene darf die Daten ausschließlich wie vertraglich vereinbart nicht für andere Zwecke verarbeiten oder wie vom nutzen, als für die sie ihm übergeben werden und ist insbesondere nicht berechtigt, sie ohne schriftliche Zustimmung des Auftraggebers an Dritte weiterzugeben. 2.2 Der Auftragnehmer stellt auf Anforderung dem Auftraggeber angewiesen, es sei denn, die für das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO notwendigen Angaben zur Verfügung. 2.3 Soweit gesetzlich vorgeschrieben benennt der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten eine*n Beauftragte*n für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten der/des Beauftragten für den Datenschutz mit. Ein Wechsel der/des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer ist dem Auftraggeber unverzüglich mitmitzuteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung 2.4 Kopien und Duplikate von Daten werden nicht ohne Wissen des Auftraggebers und unter den in Kapitel V erstellt. Hiervon ausgenommen sind Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie personenbezogene Daten, die im Hinblick auf die Einhaltung gesetzlicher Anforderungen (insbesondere Aufbewahrungspflichten) erforderlich sind. 2.5 Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f) DSGVO bei der Erstellung einer Datenschutz-Grundverordnung enthaltenen Bedingungen sowie Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offenzulegen. 2.6 Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist gestattet soweit die Maßnahmen nach Art. 32 DSGVO auch in diesem Fall sichergestellt werden. 2.7 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers; insbesondere solche Vorfälle, die einen Zugriff durch Unbefugte möglich machen. 2.8 Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den Auftraggeber gemäß Art. 28 Abs. 3 lit. f) DSGVO bei der Einhaltung seiner Meldepflichten unterstützen. 2.9 Der Auftragnehmer ist darüber hinaus verpflichtet, unverzüglich mitzuteilen, welche Maßnahmen durch den Auftragnehmer getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern. 2.10 Der Auftragnehmer hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Bestimmungen dieses Vertrags erfolgenAufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen, zu informieren. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermitteln. 2.11 Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat er den Auftragnehmer zu informieren, der ihn diesbezüglich nach besten Kräften unterstützt. 2.12 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. 2.13 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung des Auftraggebers verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und dieses Vertrags vertraut gemacht wurdenf DS-GVO). Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS- GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden– grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist gestattet, sofern die Maßnahmen nach Art. 32 DS-GVO auch in diesem Fall sichergestellt sind. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: - Anwaltsgeheimnis (Verschwiegenheit nach §2 BORA) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte für den Datenschutz die ITR Datenschutz GmbH Xxxxxxxxxxx 0 00000 Xxxxxxx T: +00 00 000 000 00 E: xxxxx@xxxx.xx xxx.xxxx.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitzuteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen, vor Aufnahme der Tätigkeit, zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Artikel 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Artikel 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz- Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Artikel 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungs- ergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder den Betroffenen darf in dessen Auftrag zu vernichten. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Europäischen Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (3) Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Vertraulichkeit streng zu wahrenVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (4) PersonenDer Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Da ausschließlich über einen dedizierten VPN-Zugang auf die Kenntnis von den Daten des Auftraggebers zugegriffen wird, sind die technisch-organisatorischen Maßnahmen zur Wahrung der Datensicherheit und Integrität im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenVerarbeitungsverzeichnis des Auftraggebers dokumentiert. (5) Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer sichert zuergreift die technischen und organisatorischen Maßnahmen, dass damit der Auftraggeber die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Betroffenenrechte nach Kapitel III der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes DSGVO (Information, Auskunft, Berichtigung und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenüberlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer trägt dafür Sorgedarf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung Antragsteller ihn irrtümlich für den Auftraggeber der Datenschutzanforderungen laufend angemessen angeleitet von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und überwacht werdendies dem Antragsteller mitzuteilen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendurchzuführen (sicherzustellen). (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Der Auftragnehmer unterstützt den Auftraggeber im erforderlichen Umfang zu unterstützenbei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, soweit Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Verarbeitung im Auftrag betroffen istAufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation. (8) Auskünfte an Dritte oder den Betroffenen darf der Der Auftragnehmer nur wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenArt 30 DSGVO zu erstellen hat. (9) Soweit gesetzlich verpflichtetDem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, bestellt sei es auch durch ihn beauftragte Dritte, der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenDatenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer teilt verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen zur Kontrolle der Einhaltung der in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitdieser Vereinbarung genannten Verpflichtungen notwendig sind. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten. Wenn der EU Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und unter ordnungsgemäßen Datenverarbeitung dienen, sind durch den in Kapitel V Auftragnehmer entsprechend der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. (11) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Bestimmungen dieses Vertrags erfolgenAnsicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenist verpflichtet, es sei denn, alle im Rahmen der Auftragnehmer ist gesetzlich Auf- tragsverarbeitung erlangten Kenntnisse von Betriebsgeheim- nissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu behandeln. Dies gilt unbeschadet einer bestimmten Verarbeitung verpflichtetim Haupt- vertrag geltenden Vereinbarung zur Verschwiegenheit. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, Die Verpflichtung nach diesen Bestimmungen besteht über die Mitteilung ist ihm gesetzlich verbotenBe- endigung des Hauptvertrages hinaus. Der Auftragnehmer verwendet darüber hinaus erklärt verbindlich, alle mit der Datenver- arbeitung betrauten Personen vor ihrer Tätigkeit nachweislich zur Vertraulichkeit verpflichtet zu haben. Auf Verlangen ist dem Auftraggeber dieser Nachweis zu erbringen. Die Verschwiegen- heit kann sich auch aus gesetzlichen Bestimmungen ergeben. Die Verschwiegenheitsverpflichtung besteht insbesondere auch nach Tätigkeitsende und dem Ausscheiden beim Auftrag- nehmer fort. Gültig ab: 01.09.2022 AGB AVV xtAT 1.0 Seite 1/5 Im Falle einer behördlichen Anordnung an den Auftragnehmer, Daten des Auftraggebers bekanntzugeben, muss der Auftrag- nehmer dem Auftraggeber diesen Umstand sofort mitteilen und die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindBehörde an diesen verweisen. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Alle Kontakte des Auf- tragnehmers mit der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Behörde geschehen nur im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung Einvernehmen mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholendem Auftraggeber. Der Auftragnehmer trägt dafür Sorgewird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den be- sonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur Auftragsverarbeitung eingesetzte ange- messenen Sicherung der Daten des Auftraggebers vor Miss- brauch und Verlust treffen, die den Anforderungen der ent- sprechenden datenschutzrechtlichen Bestimmungen entspre- chen. Diese Maßnahmen muss der Auftragnehmer auf Anfrage dem Auftraggeber und ggf. den Aufsichtsbehörden gegenüber nachweisen. Die technischen und organisatorischen Maßnah- men unterliegen dem technischen Fortschritt und der Weiter- entwicklung. Insoweit ist es dem Auftragnehmer gestattet, al- ternative, nachweislich adäquate Maßnahmen umzusetzen, um dem Stand der Technik zu entsprechen. Dabei muss sicher- gestellt sein, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu do- kumentieren. Eine Darstellung dieser technischen und organi- satorischen Maßnahmen erfolgt im Anhang „Anhang AGB AVV – TOMs“ zu diesen AGB AVV. Wendet sich eine Person zur Wahrnehmung ihrer Rechte nach Kapitel III der DSGVO an den Auftragnehmer, verweist dieser die Person unverzüglich an den Auftraggeber, sofern eine Zu- ordnung zum Auftraggeber möglich ist. Der Auftragnehmer wird gegenüber der Person keine Auskunft zum Inhalt der An- frage geben. Ist der Auftraggeber aufgrund geltender Daten- schutzgesetze gegenüber einer betroffenen Person verpflich- tet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird der Auftragnehmer, soweit dies möglich ist, den Auftraggeber dabei unterstützen, diese In- formationen bereitzustellen, vorausgesetzt der Auftraggeber hat den Auftragnehmer hierzu schriftlich aufgefordert. Der Auftragnehmer unterrichtet den Auftraggeber unverzüg- lich bei Verstößen des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen hinsichtlich gegen Vorschrif- ten zum Schutz personenbezogener Daten des Auftraggebers oder der Erfüllung im Vertrag getroffenen Festlegungen. Der Auftragneh- mer hat den Auftraggeber unverzüglich und nachweislich dar- über zu informieren, wenn bloß der Datenschutzanforderungen laufend angemessen angeleitet Verdacht einer Verletzung des Schutzes personenbezogener Daten (Data Breach) besteht, bei dem Daten, für die der Auftraggeber verantwortlich ist, be- troffen sind. Der Auftragnehmer trifft die erforderlichen Maß- nahmen zur Sicherung der Daten und überwacht werden. (6) zur Minderung möglicher nachteiliger Folgen für die Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Die Verständigung des Auftraggebers hat jedenfalls binnen 24 Stunden, nachdem der Vorfall bekannt wurde bzw. bekannt sein musste, zu erfolgen. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfül- lung der Informationspflichten gegenüber der jeweils zuständi- gen Aufsichtsbehörde bzw. den von einer Verletzung des Schut- zes personenbezogener Daten Betroffenen nach Art. 33, 34 DSGVO. Ist gemäß Art. 35 DSGVO die Vornahme einer Daten- schutzfolgenabschätzung erforderlich, unterstützt der Auftrag- nehmer den Auftraggeber mit den ihm dazu zur Verfügung ste- henden Informationen. Im Zusammenhang mit Falle der beauftragten Verarbeitung Notwendigkeit einer vor- herigen Konsultation der zuständigen Aufsichtsbehörde (Art. 36 DSGVO) unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich auch hierbei. Der Auftragnehmer selbst führt für die Verarbeitung ein Ver- zeichnis der bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung ihm stattfindenden Verarbeitungstätigkeiten im Sinne des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der AufsichtsbehördeArt. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und 30 DSGVO. Er stellt dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird An- forderung die für die Übersicht nach Art. 30 DSGVO notwendi- gen Angaben zur Verfügung. Jede Verarbeitung des Auftragnehmers in einem Drittland be- darf der vorherigen schriftlichen Zustimmung des Auftragge- bers und darf nur erfolgen, wenn die besonderen Vorausset- zungen der Art. 44 ff. DSGVO erfüllt sind. Bei einer Verarbeitung in einem sicheren Drittstaat wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich seine Zu- stimmung nicht unbillig verweigern. Die Einhaltung der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf diesbe- züglichen Vorgaben der Auftragnehmer nur nach vorheriger Zustimmung DSGVO wird durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendengewährleistet. Der Auftragnehmer teilt bestellt einen unabhängigen, fachkundigen und zuverlässigen Datenschutzbeauftragten, sofern dies nach dem Unionsrecht oder dem Recht des Mitgliedstaates, dem der Auftragnehmer unterliegt, gefordert wird. Der Auftragnehmer gewährleistet, dass die Anforderungen an den Datenschutzbe- auftragten und seine Tätigkeit gemäß Art. 38 DSGVO erfüllt werden. Die Kontaktdaten des Datenschutzbeauftragten wer- den dem Auftraggeber zum Zweck der direkten Kontaktauf- nahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitgeteilt. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene wird in seinem Verantwortungsbereich technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten ausschließlich wie vertraglich vereinbart des Auftraggebers treffen, die die Ver- traulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusam- menhang mit dieser Auftragsverarbeitung auf Dauer sicherstellen sowie die Fähigkeit haben, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem phy- sischen oder wie technischen Zwischenfall rasch wiederherzustellen. 5.2 Der Auftraggeber hat diese vom Auftraggeber angewiesenAuftragnehmer angebotenen Datensicherheitsmaßnahmen geprüft und übernimmt die Verantwortung, dass diese für seine Daten zum Zeitpunkt des Vertragsschlusses ausreichend sind. 5.3 Eine Änderung der getroffenen TOMs bleibt dem Auftragnehmer vorbehalten, es sei denn, dass das dort niedergelegte Schutzniveau damit unterschritten wird. 5.4 Der Auftragnehmer hat ein Verfahren zur regelmäßigen Überprüfung der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt Wirksamkeit der Auftragnehmer diese dem Auftraggeber vor TOMs zur Gewährleistung der Sicherheit der Verarbeitung mitetabliert. 5.5 Der Auftragnehmer gewährleistet, es sei denndass die mit der Verarbeitung der Daten des Auftragge- bers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen diese Daten nur gemäß den Weisungen des Auftraggebers verarbeiten, die Mitteilung ist ihm sofern sie nicht gesetzlich verbotenzur Verarbeitung verpflichtet sind. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtgewährleistet ferner, dass ihm sich die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung der Daten des Auftraggebers eingesetzten Personen vor Beginn zur Vertraulich- keit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht un- terliegen. Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort. 5.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der Verarbeitung mit den relevanten Bestimmungen Daten des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass kann in diesem Fall einstweilig und nach eigenem Ermessen in seinem Verantwortungsbereich angemes- sene Maßnahmen zum Schutze der Daten des Auftraggebers und zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenMinderung möglicher nachteiliger Folgen treffen. Der Auftragnehmer teilt informiert den Auftraggeber über etwaige von ihm getroffene Maßnahmen möglichst zeitnah. 5.7 Für im Rahmen dieses Vertrages anfallende Datenschutzanfragen steht dem Auftraggeber unverzüglich die Kontaktdaten das Datenschutzteam des Datenschutzbeauftragten mit Auftragnehmers unter Xxxxxxxxxxx@xxxxxx-xxxxxxx.xx oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitun- ter Tel +00 0000 00-00000 zur Verfügung. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb 5.8 Der Auftragnehmer ist verpflichtet, ein Verarbeitungsverzeichnis gemäß Art. 30 II DSGVO zu führen. Der Auftragnehmer ist befugt, das diesen AV-Vertrag betreffende Verzeichnis ei- ner Aufsichtsbehörde oder einem Dritten auf dessen Anfrage zur Verfügung zu stellen. Der Auftraggeber kann dieses Verzeichnis beim Auftragnehmer anfordern, sofern eine Aufsichts- behörde dies von ihm verlangt oder der EU Auftraggeber Audits oder Zertifizierungen durchführt. 5.9 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verar- beitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO geregelten Pflichten des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Auftraggebers. 5.10 Der Auftragnehmer kann für die Unterstützung vorhergehender Ziffern 5.7 und 5.8 eine an- gemessene Vergütung und die Erstattung von Aufwendungen verlangen. 5.11 Sollten die Daten des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.beim Auftragnehmer durch Pfändung oder Beschlag- nahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 4.1 Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. 4.2 Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. 4.3 Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 1 zu wahrenentnehmen). 4.4 Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (4) PersonenInformation, die Kenntnis von den Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5Einzelfall) Der innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer sichert zugerichtet und lässt dieser erkennen, dass die bei der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgebetriebenen Datenanwendung hält, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleitenweiterzuleiten und dies dem Antragsteller mitzuteilen. 4.5 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (9Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). 4.6 Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art nach Art 30 DSGVO zu errichten hat. 4.7 Der Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. 4.7.1 Der Auftragnehmer hat den Auftraggeber unverzüglich und nachweislich darüber zu informieren, wenn bloß der Verdacht einer Verletzung des Schutzes personenbezogener Daten (Data Breach) Soweit gesetzlich besteht, bei dem Daten, für die der Auftraggeber verantwortlich ist, betroffen sind. 4.8 Der Auftragnehmer ist nach Beendigung der Vereinbarung verpflichtet, bestellt alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. 4.9 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine fachkundige und zuverlässige Person als Beauftragten für den DatenschutzWeisung des Auftraggebers verstößt gegen Datenschutz- bestimmungen der Union oder Mitgliedstaaten. 4.10 Der Auftragnehmer hat die übermittelten personenbezogenen Daten nach Abschluss des Auftrags zu löschen, sofern dies nicht gesetzlichen Verpflichtungen widerspricht. Es ist Der Auftragnehmer hat sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt auch alle von diesem eingesetzten Sub- Auftragsverarbeiter dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitnachkommen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers wirkt der Auftragnehmer im notwendigen Umfang mit und unterstützt den Auftraggeber soweit möglich in angemessener Art und Weise (2) Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Der Auftragnehmer macht den Auftraggeber darauf aufmerksam, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Der Auftragnehmer berichtigt, löscht oder schränkt die Verarbeitung an personenbezogene Daten aus dem Auftragsverhältnis ein, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen erteilt der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer wirkt, soweit erforderlich, bei diesen Kontrollen unterstützend mit. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, wahrt bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Vertraulichkeit. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass macht die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten für sie maßgebenden Bestimmungen des Datenschutzes vertraut und dieses Vertrags vertraut gemacht wurdenverpflichtet diese für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit (Art. Entsprechende Schulungs- 28 Abs. 3 Satz 2 lit. b und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenArt. 29 DS-GVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.datenschutzrechtlichen Vorschriften in seinem Betrieb. Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Erfordernis hierzu vorliegt

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene wird in seinem Verantwortungsbereich technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denndes Auftraggebers treffen, die Mitteilung ist ihm gesetzlich verbotendie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit dieser Auftragsverarbeitung auf Dauer sicherstellen sowie die Fähigkeit haben, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Der Die vom Auftragnehmer verwendet darüber hinaus getroffenen technischen und organisatorischen Maßnahmen sind in Anhang 2 niedergelegt (im Folgenden „technische und organisatorische Maßnahmen“). Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die zur Verarbeitung überlassenen alleinige Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zweckeein angemessenes Schutzniveau bieten. . (2) Der Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer bestätigtvorbehalten, wobei jedoch sichergestellt sein muss, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitungdas im Anhang 2 niedergelegte Schutzniveau nicht unterschritten wird. (3) Der Auftragnehmer verpflichtet sich, bei hat ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng zu wahrenetabliert. (4) PersonenDer Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, diese außerhalb der vereinbarten Weisungen zu verarbeiten. Der Auftragnehmer gewährleistet ferner, dass sich die Kenntnis von den im Auftrag verarbeiteten ihm zur Verarbeitung der Daten erhalten können, haben sich schriftlich des Auftraggebers eingesetzten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich verpflichtet haben oder einer einschlägigen Geheimhaltungspflicht angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort. (5) Der Auftragnehmer sichert zuunterrichtet den Auftraggeber unverzüglich, dass die bei wenn ihm zur Verarbeitung eingesetzten Personen vor Beginn Verletzungen des Schutzes der Verarbeitung mit den relevanten Bestimmungen Daten des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass kann nach eigenem Ermessen in seinem Verantwortungsbereich angemessene Maßnahmen zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Sicherung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet Daten des Auftraggebers und überwacht werdenzur Minderung möglicher nachteiliger Folgen treffen. Der Auftragnehmer informiert den Auftraggeber über etwaige von ihm getroffene Maßnahmen. (6) IDer Ansprechpartner beim Auftragnehmer für im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Rahmen des AV-Vertrags anfallende Datenschutzfragen ist in Anhang 1 benannt. Der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung über einen Wechsel des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung Ansprechpartners unverzüglich zuzuleitenin Textform informieren. (7) Wird Sofern der Auftragnehmer gemäß Anhang 1 ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-GVO führt, ist er befugt, dass diesen AV-Vertrag betreffende Verzeichnis einer Aufsichtsbehörde auf deren Anfrage zur Verfügung zu stellen bzw. kann der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen dieses Verzeichnis beim Auftragnehmer anfordern, sofern eine Aufsichtsbehörde dies von ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istverlangt. (8) Auskünfte an Dritte oder Der Auftraggeber ist für die Erfüllung der in den Betroffenen darf der Artikeln 32 bis 36 DS-GVO geregelten Pflichten verantwortlich. Der Auftragnehmer nur nach vorheriger Zustimmung durch unterstützt den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenunter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der dort genannten Pflichten. (9) Soweit gesetzlich verpflichtetSollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, bestellt durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern das betreffende Recht eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendensolche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer teilt dem wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten allein beim Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitliegen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an einen der unten genannten Weisungsberechtigten des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftraggebers weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er unverzüglich an die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber weiterleiten. für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (9) Soweit gesetzlich verpflichtet, bestellt Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer eine fachkundige und zuverlässige Person ist als Beauftragten Beauftragter für den DatenschutzDatenschutz Xxxx Xxxxxxx Xxxxxxxxxxxx, Eschenbacher IT-Consulting & Service, Xxxxxxxxxxx 00, 00000 Xxxxxxxx, Tel. Es 0000 000000, xxxxxxxxxxx@xxxxx-xxxxxx.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehendem Auftraggeber unverzüglich mitzuteilen. In Zweifelsfällen kann sich Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DS-GVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich wie im Rahmen der mit dem Auftraggeber vertraglich vereinbart oder wie getroffenen Vereinbarungen und unter Einhaltung der ggf. vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich erteilten ergänzenden Weisungen zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeverarbeiten. (2) Der Auftragnehmer bestätigtverpflichtet sich, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt im Auftrag des Auftragnehmers verarbeiteten Daten im erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sichist verpflichtet, bei dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung durch ihn oder andere mit der Verarbeitung beschäftigte Personen erfolgt ist, unverzüglich in Textform mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die Vertraulichkeit streng zu wahrender Auftragnehmer im Auftrag des Auftraggebers verarbeitet. (4) PersonenDer Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die Kenntnis von den der Auftragnehmer im Auftrag verarbeiteten des Auftraggebers erbringt, betreffen kann. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits so wird er - sofern gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenzulässig - den Auftraggeber unverzüglich darüber informieren und die Behörde an diesen verweisen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der diesem im Falle von Datenschutzverletzungen obliegenden Meldepflichten nach Art. 33, dass 34 DSGVO. Insbesondere wird der Auftraggeber dem Auftragnehmer jeden unbefugten Zugriff auf personenbezogene Daten, die bei ihm im Auftrag des Auftraggebers verarbeitet werden, unverzüglich mitteilen. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen: • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze; • eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Verarbeitung eingesetzten Personen vor Beginn Behebung der Verarbeitung mit den relevanten Bestimmungen Verletzung des Datenschutzes Schutzes personenbezogener Daten und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass gegebenenfalls Maßnahmen zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAbmilderung ihrer möglichen nachteiligen Auswirkungen. (6) Im Zusammenhang mit Der Auftraggeber ist für die Wahrung der beauftragten Verarbeitung unterstützt der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenPflicht, Anträge von Betroffenen nach Art. 12 bis 23 DSGVO zu bearbeiten, zu unterstützen. Der Auftragnehmer hat dabei insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der VerarbeitungstätigkeitenSorge dafür zu tragen, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördedass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten12 Abs. 3 DSGVO nachkommen kann. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Der Auftragnehmer den Auftraggeber im erforderlichen Umfang führt ein Verzeichnis zu unterstützen, soweit die Verarbeitung allen Kategorien von im Auftrag betroffen istdes Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gemäß § 30 Abs. 2 DSGVO enthält. Der Auftragnehmer stellt das Verzeichnis dem Auftraggeber auf Anforderung zur Verfügung. (8) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung Auskünfte an Dritte oder den Betroffenen darf zu erteilen und insbesondere die Umsetzung der Auftragnehmer nur nach vorheriger Zustimmung technischen und organisatorischen Maßnahmen nachzuweisen. Für die Ermöglichung von Kontrollen durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenkann der Auftragnehmer einen Vergütungsanspruch geltend machen. (9) Soweit gesetzlich Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, bestellt der Auftragnehmer eine fachkundige alle Verarbeitungsergebnisse und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenUnterlagen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendie Daten enthalten, zu vernichten. Der Auftragnehmer teilt dem Auftraggeber unverzüglich hat die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitdie unverzügliche Vernichtung von Verarbeitungsergebnissen und Daten enthaltenden Unterlagen auch bei Subunternehmern herbeizuführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rah- men der Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auf- traggeber unverzüglich darüber zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, informieren und die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeBehörde an diesen zu verweisen. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer ange- messenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVer- schwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Be- endigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewähr- leistung der Sicherheit der Verarbeitung die Vertraulichkeit streng zu wahrennach Art 32 DSGVO ergriffen hat. (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auf- traggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entschei- dungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Ver- letzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschät- zung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht der Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen eingeräumt. Der Auftrag- nehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungser- gebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber auf dessen Wunsch hin zu über- geben oder den Betroffenen darf in dessen Auftrag zu vernichten. Dies unter der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenVoraussetzung, dass keine offenen Honoraransprüche des Auftragnehmers vorliegen. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstoße gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMit- gliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenübertragenen Leistungen nach den allge- mein anerkannten Regeln der Technik, den öffentlich-rechtlichen Bestimmungen und sonstigen technischen Bestimmungen und Richtlinien zu erbringen. Der Auftragnehmer verwendet darüber hinaus Er hat seine Leis- tungen unter besonderer Beachtung des Erfordernisses der Wirtschaftlichkeit der zu errichtenden Anlage sowohl in Bezug auf die zur Verarbeitung überlassenen Daten für keine anderenHerstellung als auch auf den späteren Betrieb zu erbringen. Baukosten dürfen nicht mit der Folge eingespart werden, dass die Einsparungen durch absehbare höhere Nutzungskosten (insbesondere nicht für eigene ZweckeBetriebs- und Instandsetzungskosten) unverhältnismäßig gemindert werden. (2) Der Auftragnehmer bestätigthat die gesetzlichen Bestimmungen und die Verwaltungsvor- schriften für das Öffentliche Bauwesen in der jeweils geltenden Fassung zu beach- ten, dass ihm insbesondere die einschlägigenBundeshaushaltsordnung (BHO) und ihre Verwaltungsvor- schriften (VV-BHO). Der AN hat darüber hinaus die RBBau sowie die Vorgaben des Leitfadens „Wirtschaftlichkeitsuntersuchungen bei der Vorbereitung von Hochbau- maßnahmen des Bundes“ des Bundesministeriums für Umwelt, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungNaturschutz, Bau- und Reaktorsicherheit („WU Hochbau“) zu berücksichtigen. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung hat die Vertraulichkeit streng Interessen des Auftraggebers zu wahren. Er darf keine Unternehmer- oder Lieferanteninteressen vertreten. Der Auftraggeber ist außerdem verpflichtet, in jedem Stadium der Abwicklung dieses Vertrages eng mit dem Auftrag- geber zusammenzuarbeiten, den Auftraggeber fortlaufend zu informieren und alle auftretenden oder vorhersehbaren Probleme in enger Zusammenarbeit mit dem Auf- traggeber zu klären. (4) PersonenDer Auftragnehmer hat die Planungsvorbereitung des Auftraggebers (Anlage 2) so- wie sämtliche für die Auftragsabwicklung notwendigen Leistungen Dritter zu prüfen, gegebenenfalls zu koordinieren und in seine Planung und sonstigen Leistungen zu integrieren. Wird die Kenntnis von Hinzuziehung weiterer Sonderfachleute oder Gutachter erforder- lich, so hat der Auftragnehmer den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenAuftraggeber hierauf rechtzeitig hinzuweisen. (5) Der Auftragnehmer sichert zuhat Zeichnungen, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Beschreibungen, Berechnungen und sonstige Unterlagen sowie Daten unter Beachtung der Verarbeitung mit geltenden technischen Normen zu er- stellen, aufeinander abzustimmen und sachlich in sich schlüssig und in sachgerech- ter Paketierung dem Auftraggeber vorzulegen. Sie müssen den relevanten Bestimmungen Vorgaben der RBBau und des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenWU Hochbau entsprechen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt Hat der Auftragnehmer Bedenken gegen die von dem Auftraggeber übergebenen Unterlagen und/oder die einzuhaltenden Bestimmungen oder stellt er insoweit Lü- cken, Überschneidungen, Unklarheiten oder Widersprüche fest, hat der Auftragneh- mer den Auftraggeber soweit erforderlich bei unverzüglich hierauf schriftlich hinzuweisen und darzulegen, wie diesen Bedenken Rechnung getragen werden kann oder wie diese Lücken, Überschneidungen, Unklarheiten oder Widersprüche geschlossen, verhindert oder beseitigt werden können. Verletzt der Erfüllung seiner datenschutzrechtlichen PflichtenAuftragnehmer diese Überprüfungs- und Mittei- lungspflicht, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und so ist er dem Auftraggeber auf Anforderung unverzüglich zuzuleitenzum Ersatz des daraus entstehenden Scha- dens verpflichtet. Aus verbliebenen Unklarheiten oder Widersprüchen kann der Auf- tragnehmer keinerlei Rechte ableiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet DHV darf die durch den Auftraggeber übermittelten oder auf andere Art und Weise verfügbar gemachten personenbezogene Daten ausschließlich wie vertraglich vereinbart nur im Rahmen eines Auftrags durch den Auftraggeber einsehen, verarbeiten, speichern oder wie vom Auftraggeber angewiesenanders nutzen, es sei dennwenn nicht eine Ausnahmeregelung lt. Art. 28 (3a) DSGVO oder eine andere gesetzliche Bestimmung vorliegt. Ein Auftrag zur Datenverarbeitung ergibt sich aus einem bestehenden Software-Nutzungsvertrag, aus einem Vertrag zur Bereitstellung von Dienstleistungen, aus einem Auftrag zur Entwicklung, Erstellung von Produkten, deren Installation, Auslieferung und Wartung. Umfang und Inhalt der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenentsprechenden beauftragten Datenverarbeitung ergibt aus den Regelungen eines solchen Vertrages, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von aus den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich Anhang aufgeführten Produkteigenschaften oder einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zuvergleichbaren Festlegung in Schrift- oder Textform. DHV wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn sie den besonderen Anforderungen des Datenschutzes gerecht wird. DHV wird technische und organisatorische Maßnahmen treffen, um einen angemessenen Schutz der vom Auftraggeber übermittelten personenbezogenen Daten zu gewährleisten. Diese erfolgen lt. Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung mit den relevanten Bestimmungen sowie unter Berücksichtigung des Datenschutzes Risikos für die Rechte und dieses Vertrags vertraut gemacht wurdenFreiheiten der von der Datenverarbeitung betroffenen natürlichen Personen. Entsprechende Schulungs- Dem Auftraggeber sind diese Maßnahmen bekannt und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer er trägt dafür Sorgedie Verantwortung dafür, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich diese für die Risiken der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. DHV darf diese Maßnahmen anpassen oder ändern, sofern dadurch das vereinbarte Schutzniveau nicht unterschritten wird. DHV wird sicherstellen, dass alle mit der Verarbeitung der Daten beauftragten Verarbeitung unterstützt Mitarbeiter der Auftragnehmer DHV auf die Einhaltung der entsprechenden gesetzlichen Regelungen zum Datenschutz verpflichtet sind und einer entsprechenden Verschwiegenheitspflicht unterliegen. XXX unterrichtet den Auftraggeber soweit erforderlich bei unverzüglich, wenn DHV eine Verletzung des Schutzes personenbezogener Daten des Auftraggebers bekannt wird. Nach Ende des Nutzungsvertrages oder Auftrages zur Datenverarbeitung übergibt DHV die Daten auf Anforderung an den Auftraggeber und löscht die Daten im Verantwortungsbereich der Erfüllung seiner datenschutzrechtlichen PflichtenDHV. Hierbei können berechtigte Interessen der DHV überwiegen, insbesondere bei Erstellung wenn beispielsweise die besondere Art der Speicherung eine Löschung der Daten nur mit unverhältnismäßig hohem Aufwand möglich wäre (z.B. in Datensicherungen), eine Verarbeitung der Daten zu anderem Zwecke durch technische und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeorganisatorische Maßnahmen aber ausgeschlossen ist. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird zur Übergabe der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Daten an den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung erfolgt durch den Auftraggeber erteilenin einer Frist von 6 Wochen nach Ende des Auftrages zur Datenverarbeitung. Direkt an ihn gerichtete Anfragen wird er unverzüglich Verstreicht diese Frist ohne entsprechende Anweisung zur Übergabe der Daten an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtetAuftraggeber, bestellt der Auftragnehmer werden die Daten gelöscht. Eine über diese Regelung hinausgehende Aufbewahrungspflicht seitens DHV besteht nicht, sofern sich eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutzsolche nicht aus einer gesetzlichen Vorgabe ergibt. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Entstehen durch abweichende Vorgaben des Auftraggebers und unter den in Kapitel V bei Herausgabe oder Löschung der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Daten zusätzliche Kosten, so trägt diese der Bestimmungen dieses Vertrags erfolgenAuftraggeber.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass informieren und die bei ihm zur Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Daten für eigene Zwecke des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten und dies dem Antragsteller mitzuteilen. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (9) Soweit gesetzlich Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, bestellt alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine fachkundige Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung2 {Ausschließliche Durchführung innerhalb der EU/des EWR} Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt. {Bei Durchführung, wenn auch nur teilweise, außerhalb der EU/des EWR} Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw des EWR durchgeführt, und zuverlässige Person als Beauftragten zwar in [Staaten aufzählen]. Das angemessene Datenschutzniveau ergibt sich aus3 einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO. einer Ausnahme für den Datenschutzbestimmten Fall nach Art 49 Abs 1 DSGVO. Es verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO. Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO. genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO. einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO. von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO. einer Ausnahme für den Einzelfall nach Art 49 Abs 1 Unterabsatz 2 DSGVO. Sub-Auftragsverarbeiter4 {Verbot der Hinzuziehung eines Sub-Auftragsverarbeiters} Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen. {Zulässigkeit der Hinzuziehung eines bestimmten Sub-Auftragsverarbeiters} Der Auftragnehmer ist befugt folgendes Unternehmen als Sub-Auftragsverarbeiter hinzuziehen: [Firmenname und Sitz ergänzen, Art der Tätigkeiten]. Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters. {Zulässigkeit der Hinzuziehung von Sub-Auftragsverarbeitern} Der Auftragnehmer kann Sub-Auftragsverarbeiter [Tätigkeiten] hinzuziehen. Er hat den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Auftraggeber von der Auftraggeber direkt an den Datenschutzbeauftragten wendenbeabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer teilt schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber unverzüglich für die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.Pflichten des Sub-Auftragsverarbeiters. [Ort], am [Datum] [Ort], am [Datum] Für den Auftraggeber: Für den Auftragnehmer: .................................................... [Name samt Funktion] .................................................... [Name samt Funktion] Anlage ./1 – Technisch-organisatorische MaSSnahmen5

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rah- men der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zu- lässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu ver- weisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer ange- messenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVer- schwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewähr- leistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auf- traggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entschei- dungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und über- lässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Ver- letzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschät- zung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Daten- verarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Ver- einbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungser- gebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten1. Wenn der Auf- tragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMit- gliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder wie vom Auftraggeber angewiesender Mitgliedstaaten, es sei denn, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und dieses Vertrags vertraut gemacht wurdenf DS-GVO). Entsprechende Schulungs- Er hat die dazu erforderlichen Angaben jeweils unverzüglich an das Referat Datenschutz und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenInformationssicherheit weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenbestätigt, dass ihm die für den Beauftragten keine Interessenskonflikte bestehendie Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. In Zweifelsfällen kann sich der Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber direkt an den Datenschutzbeauftragten wendenobliegen. Der Auftragnehmer teilt verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau Xxxxxx, Xxxxxx, Technische Leitung, xxxxxxx@xxxxxxxxx.xxx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetmitzuteilen. Der Auftragnehmer verpflichtet sich, weshalb kein Beauftragter bestellt wurdeden Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. Änderungen in der Person oder 41 Abs. 4 DS-GVO und den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich mitzu informieren. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet gestaltet in seinem Verantwortungsbereich die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes unter Berücksichtigung des Berufsgeheimnisschutzes des Auftraggebers gerecht wird. Der Auftragnehmer verpflichtet sichsichert zu, dass er die bei der Verarbeitung Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und diese auf das Daten- geheimnis und die Vertraulichkeit streng zu wahren. (4) Personenverpflichtet worden sind. Dabei berücksichtigt der Auftragnehmer auch, dass ihm vom Auftraggeber Daten zur Verfügung gestellt werden, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnendem besonderen Berufsgeheimnis- schutz unterfallen. Die Verpflichtung ist so zu fassen, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit dass sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) auch nach Beendigung eines Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleibt. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Form nachzuweisen. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Soweit gesetzlich vorgeschrieben, bestellt der Verarbeitung mit Auftragnehmer schriftlich einen Beauftragten für den relevanten Bestimmungen Da- tenschutz. Die Kontaktdaten des Datenschutzes und dieses Vertrags vertraut gemacht wurdenBeauftragten für den Datenschutz werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig Über einen Wechsel der Person des Beauftragten für Daten- schutz beim Auftragnehmer ist der Auftraggeber unverzüglich zu wiederholenunterrichten. Der Auftragnehmer trägt dafür Sorgedarf die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich im Geltungsbereich der EU-DSGVO erheben, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich verarbeiten oder nutzen. Die Erhebung, Verarbeitung oder Nut- zung von personenbezogenen Daten in einem Drittland bedarf der Erfüllung vorherigen schriftlichen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen der Datenschutzanforderungen laufend angemessen angeleitet für den Auftraggeber einschlägigen Datenschutzgesetze erfüllt sind. Der Auftragnehmer unterstützt den Auftraggeber bei allen gesetzlichen Informations- und überwacht werden. (6) IAuskunfts- pflichten, die im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsdatenverarbeitung stehen. Auskünfte an Betroffene oder Dritte darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers erteilen. Soweit ein Betroffener seine Rechte nach den einschlägigen Datenschutzgesetzen unmittelbar gegenüber dem Auf- tragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber soweit erforderlich weiterleiten. Der Auftragnehmer unterstützt den Auftraggeber auch bei erforderlichen Datenschutz- Folgeabschätzungen. Dem Auftragnehmer ist bekannt, dass der Erfüllung Auftraggeber Berufsgeheimnisträger ist und Verstöße dagegen nach § 203 StGB strafbewährt sind. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumen- tiert. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Xxx- xxxx solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenertei- len. Der Auftragnehmer teilt bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auf- trag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetobliegen: (Bankgeheimnis, weshalb kein Beauftragter bestellt wurde. Änderungen in Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt auftragsgemäßen Verarbeitung der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Ver- trages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Be- trieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung zur Zeit nicht vorliegt.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer nur nach vorheriger Zustimmung durch einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber erteilenunverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenDesgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt rechtsverbindlich, dass für den Beauftragten keine Interessenskonflikte bestehener alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. In Zweifelsfällen kann sich Insbesondere bleibt die Verschwiegenheitsverpflichtung der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitaufrecht. (10) Die Auftragsverarbeitung erfolgt grundsätzlich Der Auftragnehmer erklärt sich rechtsverbindlich einverstanden, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind den festgelegten technischen und organisatorischen Maßnahmen der NFM zu entnehmen). (11) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der EU gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (12) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten, sofern diese im Geltungsbereich des Dienstleistungsvertrages befindlich sind (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). (13) Der Auftragnehmer bestätigt, dass er ein Verarbeitungsverzeichnis nach Art 30 DSGVO errichtet hat. (14) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (15) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung nach Wunsch des Auftraggebers und unter in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. (16) Der Auftragnehmer hat den in Kapitel V Auftraggeber zu informieren, falls er der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Bestimmungen dieses Vertrags erfolgenUnion oder der Mitgliedstaaten.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 – 36 der DS-GVO genannten Pflichten zur Sicherstellung der Sicherheit personenbezogener Daten, in Bezug auf Meldepflichten bei Datenpannen, der Erstellung von Datenschutz-Folgeabschätzungen und vorherigen Konsultationen. 3.2 Der Auftragnehmer ist verpflichtet, personenbezogene Daten, die ihm auf der Grundlage des mit dem Auftraggeber geschlossenen Hauptvertrages zugänglich werden, ausschließlich im Rahmen der getroffenen Weisungen des Auftraggebers zu verarbeiten. Der Auftragnehmer darf die Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten (Artikel 29 DS-GVO) außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Auftraggebers gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Kopien der erhobenen oder zur Datenverarbeitung überlassenen Daten werden nicht erstellt. Hiervon ausgenommen sind Sicherungskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung. Der Auftragnehmer hat personenbezogene Daten zu berichtigen, zu löschen oder zu sperren, wenn der Auftraggeber ihn hierzu anweist. 3.3 Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im, bzw. gehen in das Eigentum des Auftraggebers über. Sie werden besonders gekennzeichnet und unterliegen der laufenden – automatisierten – Verwaltung. Ein- und Ausgang werden dokumentiert. Der Auftragnehmer wird diese so sorgfältig verwahren, dass sie Dritten nicht zugänglich sind. 3.4 Der Auftragnehmer wird gemäß Artikel 32 DS-GVO zur ordnungsgemäßen Erfüllung seiner vertraglichen Verpflichtungen im Rahmen der Auftragsverarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen insbesondere seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht und ein angemessenes Schutzniveau erreicht wird. Er wird sich hierbei soweit möglich insbesondere auch der Pseudonymisierung und der Verschlüsselung personenbezogener Daten bedienen. Er wird ferner technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Anforderungen der Datenschutz-Grundverordnung (Artikel 28 Abs. 3 lit. c, Artikel 24, Artikel 32 DS-GVO insbesondere i.V.m. Artikel 5 Abs. 2 DS-GVO) genügen. Dies beinhaltet insbesondere: 3.4.1 Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 3.4.2 zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3.4.3 zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich wie vertraglich vereinbart auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder wie vom Auftraggeber angewiesenentfernt werden können (Zugriffskontrolle), 3.4.4 zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 3.4.5 zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in die Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 3.4.6 zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 3.4.7 zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind sowie bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Verfügbarkeitskontrolle), 3.4.8 zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Der Auftragnehmer stellt insbesondere sicher, dass sie jederzeit von sonstigen Datenbeständen getrennt zu Verfügung gestellt werden können (Trennungskontrolle). Der Auftragnehmer stellt sicher, dass über ein von ihm implementiertes Verfahren die regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit sowie die Nachweisbarkeit der vorstehend aufgeführten technischen und organisatorischen Maßnahmen gewährleistet ist. In Bezug auf die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter Wirksamkeit kann der Auftragnehmer auf von ihm vorgelegte, höchstens drei Jahre alte Zertifizierungen nach Artikel 42 DS-GVO verweisen, deren Einhaltung in angemessenen Zeiträumen geprüft und bestätigt wurde. 3.5 Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Er stellt ferner sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß Artikel 29 DS-GVO diese Daten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland zur Verarbeitung verpflichtet sind, ausschließlich auf Weisung des Verantwortlichen verarbeiten und in die Schutzbestimmungen der Datenschutz- Grundverordnung eingewiesen worden sind. Die Auftragsverarbeitung in Privatwohnungen ist nur mit vorheriger Zustimmung des Auftraggebers und nur im Einzelfall gestattet. Vor der Einrichtung eines Tele-Heimarbeitsplatzes ist zu prüfen, ob die Verarbeitung personenbezogener Daten zwingend erforderlich ist oder ob eine Verarbeitung von Vorgängen auch ohne Personenbezug oder in pseudonymisierter Form möglich ist. Soweit die Auftragsverarbeitung in einer Privatwohnung erfolgt, stellt der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehensicher, teilt der dass die bestehenden Kontrollrechte des Auftraggebers durch diesen im vollen Umfang ausgeübt werden können. 3.6 Der Auftragnehmer diese benennt dem Auftraggeber vor gegenüber unverzüglich nach Unterzeichnung des zugrundeliegenden Hauptvertrages den Datenschutzbeauftragten, der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenseine Tätigkeit gem. Artikel 38 und 39 DS-GVO ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zwecke der Kontaktaufnahme mitgeteilt. Jeder Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. 3.7 Der Auftragnehmer verwendet darüber hinaus die übergibt dem Auftraggeber auf dessen Anforderung das gemäß Artikel 30 Abs. 2 DS-GVO von ihm hinsichtlich seiner beauftragten Verarbeitungstätigkeiten zu führende Verarbeitungsverzeichnis und stellt dieses auf Anfrage der Aufsichtsbehörde zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeVerfügung. (2) 3.8 Der Auftragnehmer bestätigtunterrichtet den Auftraggeber ferner unverzüglich bei schwerwiegenden Störungen des Betriebsablaufs, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Verdacht auf Datenschutzverletzungen oder über andere datenschutzrelevante Unregelmäßigkeiten bei der Verarbeitung die Vertraulichkeit streng zu wahrender Daten. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn 3.9 Nach Abschluss der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt vertraglichen Arbeiten hat der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWRauf dessen schriftliche Anforderung sämtliche in seinen Besitz gelangten Unterlagen, die im Zusammenhang mit dem Auftragsverhältnis stehen auszuhändigen. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Datenträger, die Daten des Auftraggebers und unter als „verantwortliche Stelle“ beinhalten, sind hinsichtlich der betreffenden Daten insoweit physisch zu löschen. Die Löschung ist dem Auftraggeber schriftlich zu bestätigen. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, die auf Einzelanweisungen beruhen, welche über den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenvertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

Pflichten des Auftragnehmers. (1) . Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber angewiesenbestätigt oder abgeändert wurde. Den Auftragnehmer trifft keinerlei Verpflichtung, es sei dennWeisungen des Auftraggebers (datenschutz-) rechtlich zu prüfen. Der Auftragnehmer wird den Auftraggeber jedoch unverzüglich informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragnehmer ist gesetzlich berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 2. Die Weisungen werden anfänglich durch den Hauptvertrag (und/oder in der Leistungsbeschreibung) festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle (Anhang 3) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu einer bestimmten bestätigen. 3. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. a. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung verpflichtetauf Dauer sicherstellen. b. Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten nach Art. Sofern solche Verpflichtungen 30 Abs. 2 DS-GVO, die er im Auftrag eines Verantwortlichen durchführt. c. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für ihn bestehendie Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung, teilt Weiterentwicklung oder Anpassung der getroffenen Sicherheitsmaßnahmen an den technischen Fortschritt bleibt dem Auftragnehmer diese vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und die Dokumentation dem Auftraggeber vor unaufgefordert zur Verfügung gestellt. 4. Sollten die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht mehr genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenpersonenbezogener Daten. 5. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung vom Auftraggeber überlassenen Daten für keine anderenzu keinem anderen Zweck, insbesondere als im Dienstvertrag oder dieser AGB festgelegt. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht für eigene Zweckeerstellt. (2) Der Auftragnehmer bestätigt6. Die Datenträger, dass ihm die einschlägigenvon Auftraggeber zur Verfügung gestellt bzw. für den Auftraggeber genutzt werden, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindwerden besonders gekennzeichnet und unterliegen der laufenden -automatisierten- Verwaltung. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungEingang und Ausgang werden dokumentiert. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen7. Der Auftragnehmer trägt dafür Sorgeunterstützt, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenvereinbart, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützenRahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. Für Unterstützungsleistungen, soweit die Verarbeitung nicht im Auftrag betroffen ist. Hauptvertrag (8) Auskünfte an Dritte und/oder den Betroffenen darf in der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9Leistungsbeschreibung) Soweit gesetzlich verpflichtetenthalten oder auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, bestellt kann der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenVergütung verlangen. 8. Der Auftragnehmer teilt gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. . Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 9. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen ist Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitgeteilt. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass informieren und die bei ihm zur Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Daten für eigene Zwecke des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige weiterzuleiten und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendies dem Antragsteller mitzuteilen. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, weshalb kein Beauftragter bestellt wurdealle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU oder bzw des EWREWR durchgeführt. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter Sub-Auftragsverarbeiter Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen. [Ort], am [Datum] [Ort], am [Datum] Für den in Kapitel V der DatenschutzAuftraggeber: Für den Auftragnehmer: .................................................... [Zeichnungsberechtigter Hafnerbetrieb] .................................................... [Zeichnungsberechtigter Steuerberater] Anlage ./1 – Technisch-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.organisatorische MaSSnahmen1

Pflichten des Auftragnehmers. (1) 9.4.1 Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Kunden erheben, verarbeiten oder nutzen. 9.4.2 Der Auftragnehmer ist in seinem Verantwortungsbereich zur Umsetzung und Einhaltung der vereinbarten allgemeinen, technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG verpflichtet. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Kunden vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetz entsprechen. Dies beinhaltet insbesondere a) Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle), b) zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), c) dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten ausschließlich wie vertraglich vereinbart bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder wie vom Auftraggeber angewiesenentfernt werden können (Zugriffskontrolle), d) dafür Sorge zu tragen, es sei denndass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, der Auftragnehmer kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist gesetzlich (Weitergabekontrolle), e) dafür Sorge zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehentragen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mitdass nachträglich geprüft und festgestellt werden kann, es sei dennob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), f) dafür Sorge zu tragen, dass personenbezogene Daten, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle), g) dafür Sorge zu tragen, dass personenbezogene Daten erhalten könnengegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), h) dafür Sorge zu tragen, haben sich schriftlich zur Vertraulichkeit dass zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenunterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). (5) 9.4.3 Zusätzliche besondere Maßnahmen können von den Parteien vereinbart werden, insbesondere im Hinblick auf die Art des Datenaustausches, die Bereitstellung von Daten und besondere Umstände der Verarbeitung der Daten. 9.4.4 Der Auftragnehmer sichert zustellt auf Anforderung dem Kunden die für die Übersicht nach § 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung. 9.4.5 Der Auftragnehmer stellt sicher, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn mit der Verarbeitung der Daten des Kunden befassten Mitarbeiter gemäß § 5 BDSG (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetz sowie anderen Vorschriften über den Datenschutz und mit den relevanten Bestimmungen jeweiligen besonderen Erfordernissen des Datenschutzes und dieses Vertrags durch entsprechende Schulungen vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenDas Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. 9.4.6 Der Auftragnehmer teilt dem Kunden die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit. 9.4.7 Der Auftragnehmer unterrichtet den Kunden unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen im Sinne § 42a BDSG oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Kunden. 9.4.8 Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Kunden. Der Auftragnehmer trägt dafür Sorgehat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. Der Auftragnehmer ist verpflichtet, dem Kunden jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Der Auftragnehmer stellt sicher, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Daten bzw. Datenträger nach Beendigung der Erfüllung Auftragsdatenverarbeitung an den Kunden zurück oder durch eigene Datenvernichter oder Entsorgungsunternehmen vernichtet werden. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAuftragnehmer auf Grund einer Einzelbeauftragung durch den Kunden. In besonderen, vom Kunden zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe. (6) I9.4.9 Nach Abschluss der vereinbarten Arbeiten oder zuvor nach Aufforderung durch den Kunden – spätestens mit Beendigung des Vertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsdatenverarbeitung stehen, dem Kunden auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Die Durchführung der Löschung ist auf Anforderung zu belegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch der Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über die Beendigung der vereinbarten Arbeiten / der Leistungserfüllung hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Beendigung der vereinbarten Arbeiten / der Leistungserfüllung dem Kunden übergeben. Das Verfahren wird in einer zwischen den Auftraggeber soweit erforderlich bei Parteien zu regelnden Ausstiegsvereinbarung festgelegt. Eine Aufbewahrung der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung Daten und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenDokumente über den Austrittszeitpunkt hinaus erfolgt nur nach Abschluss eines entsprechenden gesondert zu vergütenden Datenvorhaltungsvertrages. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend9.4.10 Der Auftragnehmer ist verpflichtet, verpflichtet sich der Auftragnehmer den Auftraggeber alle im erforderlichen Umfang Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Kunden vertraulich zu unterstützen, soweit die behandeln. 9.4.11 Die Verarbeitung von Daten im Auftrag betroffen ist. (8) Auskünfte an Dritte außerhalb von Betriebsstätten des Auftragnehmers oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es von Subunternehmern ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter Kunden zulässig. Eine Verarbeitung von Daten für den Kunden in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenPrivatwohnungen ist nur mit Zustimmung des Kunden im Einzelfall zulässig.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten4.1. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen darf Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den betroffenen Personen nur im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5Rahmen des Auf- trages und der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnah- mefall im Sinne des Artikel 28 Abs. 3 a) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenDS-GVO vor. Der Auftragnehmer trägt dafür Sorgeinformiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Weisung gegen an- wendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenWeisung so- lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemesse- nen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Daten- schutz-Grundverordnung (6Art. 32 DS-GVO) Igenügen. Der Auftragnehmer hat techni- sche und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bie- ten. a) Für die Einhaltung der vereinbarten Schutzmaßnahmen und deren Wirksamkeit wird auf die Anlage zu den technisch-organisatorischen Maßnahmen verwiesen, deren Vorlage dem Auftraggeber für den Nachweis geeigneter Garantien ausreicht. 4.3. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragneh- mer vorbehalten, wobei jedoch sichergestellt wird, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 4.4. Der Auftragnehmer unterstützt der Auftragnehmer - soweit vereinbart - den Auftraggeber soweit erforderlich im Rahmen seiner Möglichkeiten bei der Erfüllung seiner datenschutzrechtlichen der Anfragen und Ansprüche betroffenen Per- sonen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS- GVO genannten Pflichten. 4.5. Der Auftragnehmer gewährleistet, insbesondere bei Erstellung dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und Fortschreibung des Verzeichnisses andere für den Auftragnehmer tätigen Per- sonen untersagt ist, die Daten außerhalb der VerarbeitungstätigkeitenWeisung zu verarbeiten. Ferner gewähr- leistet der Auftragnehmer, bei Durchführung dass sich die zur Verarbeitung der Datenschutzfolgeabschätzung und personenbezogenen Da- ten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer notwendigen Konsultation der Aufsichtsbehördeangemesse- nen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Ver- schwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.6. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Ver- letzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Angaben Maßnahmen zur Sicherung der Daten und Dokumentationen sind vorzuhalten zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber auf Anforderung unverzüglich zuzuleitenab. (74.7. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. 4.8. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) Wird DS- GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 4.9. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Da- tenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkon- forme Vernichtung von Datenträgern und sonstige Materialien auf Grund einer Einzel- beauftragung durch Aufsichtsbehörden den Auftraggeber oder andere Stellen gibt diese Datenträger an den Auftragge- ber zurück, sofern nicht im Vertrag bereits vereinbart. 4.10. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbe- wahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. 4.11. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. 4.12. Im Falle einer Kontrolle unterzogen oder machen Inanspruchnahme des Auftraggebers durch eine betroffene Personen ihm gegenüber Rechte geltendPerson hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer Auftragneh- mer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkei- ten (jedoch beschränkt auf die Tätigkeiten im Rahmen der Auftragsverarbeitung) zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen über- lassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut ver- traut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen ange- messen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung Auftragsverar- beitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber Auf- traggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere insbeson- dere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der AufsichtsbehördeAuf- sichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber Auf- traggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftrag- nehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung Zustim- mung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person Per- son als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten Daten- schutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten Kontakt- daten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich ausschließlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags dieser Vereinbarung vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags dieser Vereinbarung erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene hat Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich nur nach Weisung des Auftraggebers unter Beachtung von Xxxx. 7 dieser Vereinbarung zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenverarbeiten. Der Auftragnehmer verwendet darüber hinaus hat ausschließlich nach Weisung des Auftraggebers die zur Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung überlassenen einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten für keine anderenoder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, insbesondere nicht für eigene Zweckewird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten. (2) Der Auftragnehmer bestätigtstellt sicher und kontrolliert regelmäßig, dass ihm die einschlägigenDatenverarbeitung und - nutzung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindder Unterauftragnehmer nach Ziff. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung10 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt. (3) Der Auftragnehmer verpflichtet sichdarf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsdatenverarbeitung keine Kopien oder Duplikate der Daten des Auftraggebers anfertigen. Hiervon ausgenommen sind jedoch Kopien, bei soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Verarbeitung Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die Vertraulichkeit streng zu wahrenzur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (4) Personen, Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Kenntnis von den Aufsichtsbehörde im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenRahmen des Zumutbaren und Erforderlichen, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegendiese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten in Höhe von 150 Euro pro Stunde. (5) Der Auftragnehmer sichert zu, dass teilt dem Auftraggeber die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung Kontaktdaten des betrieblichen Datenschutzbeauftragten mit (sofern ein solcher vom Auftragnehmer nach den relevanten gesetzlichen Bestimmungen zu bestellen ist) und den Ansprechpartner für im Rahmen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenanfallende Datenschutzfragen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich hat die bei der Erfüllung seiner datenschutzrechtlichen PflichtenVerarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Art. 28 Abs. 3 S. 2 lit. b, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten29, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde32 Abs. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten4 DSGVO zur Vertraulichkeit zu verpflichten. (7) Wird Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Daten des Auftraggebers gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus dieser Vereinbarung verstoßen haben und die Voraussetzungen der Art. 33, 34 DSGVO vorliegen. Soweit den Auftraggeber durch Aufsichtsbehörden oder andere Stellen gesetzliche Informationspflichten wegen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendunrechtmäßigen Kenntniserlangung von Daten des Auftraggebers (insbesondere nach Art. 33, verpflichtet sich 34 DSGVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im erforderlichen Umfang Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte . Meldungen nach Art. 33 oder 34 DSGVO für den Betroffenen Auftraggeber darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.Weisung durchführen

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:  Soweit seitens des Auftragnehmers eine Erhebung, Verarbeitung oder Nutzung der Daten erfolgt, ist dies nur zulässig im Rahmen der vertraglichen Vereinbarungen zwischen Auftraggeber und Auftragnehmer. Soweit der Auftragnehmer Zugriff auf Daten des Auftraggebers hat, verwendet er diese nicht für vertragsfremde Zwecke, insbesondere gibt er diese an Dritte nur weiter, soweit hierzu eine gesetzliche Verpflichtung besteht. Kopien von Daten dürfen nur mit Zustimmung des Auftraggebers erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder Erfüllung vertraglicher oder gesetzlicher Verpflichtungen erforderlich sind.  Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenentsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.  Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechen Art. 28 Abs. 3 Satz 2 lit. c, 32 DSGVO und der Anlage (Technische und organisatorische Maßnahmen nach Art. 32 DSGVO).  Der Auftraggeber und der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt arbeiten auf Anfrage mit der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, Aufsichtsbehörde bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenErfüllung ihrer Aufgaben zusammen.  Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie nicht bereits gesetzlich sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.  Soweit der Auftraggeber seinerseits einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zuKontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtennach besten Kräften zu unterstützen.  Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeitenum zu gewährleisten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber dass die Verarbeitung in seinem Verantwortungsbereich im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarung. Zweck, es sei denn, Art und Umfang der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetDatenverarbeitung richten sich ausschließlich nach den Weisungen des Auftraggebers. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei dennDer Auftragsverarbeiter hat nur nach Weisung des Verantwortlichen die Daten, die Mitteilung ist ihm gesetzlich verbotenim Auftrag verarbeitet werden, zu berichtigen, zu löschen, einzuschränken oder zu sperren. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten für keine anderenwenden sollte, insbesondere nicht für eigene Zweckewird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitungwird den Auftraggeber bei der Durchführung von Kontrollen durch den Auftraggeber unterstützen und an der vollständigen und zügigen Abwicklung der Kontrolle mitwirken. (3) Der Auftragnehmer verpflichtet sichbestätigt, bei der Verarbeitung die Vertraulichkeit streng zu wahrendass er einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 38 EU- DSGVO bestellt hat und wird diesen gegenüber dem Auftraggeber schriftlich oder in Textform (z.B. E- Mail) auf Anfrage an xxxxxxx@xxx0xxxxxxxx.xx benennen. (4) Personen, die Kenntnis von den Der Auftragnehmer sichert im Auftrag verarbeiteten Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegendie vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. (5) Der Auftragnehmer sichert zuist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die bei ihm zur Verarbeitung eingesetzten Personen Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenunbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer trägt dafür Sorgewird Änderungen in der Organisation der Datenverarbeitung im Auftrag, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich die für die Sicherheit der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDaten erheblich sind, vorab mit dem Auftraggeber abstimmen. (6) IDer Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffene Vereinbarung und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zusammenhang Zuge der Verarbeitung von Daten durch ihn oder andere mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenbeschäftigten Personen erfolgt ist. (7) Wird Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendberechtigt ist, verpflichtet sich die Einhaltung der Auftragnehmer den Auftraggeber datenschutzrechtlichen Vorschriften und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu unterstützenkontrollieren, soweit insbesondere durch die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige Einholung von Auskünften und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendie Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetsichert zu, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitdass er, soweit erforderlich, bei diesen Kontrollen mitwirkt. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) . Der Auftragnehmer verarbeitet personenbezogene hat eigene Pflichten gem. Art. 28 bis 33 DS-GVO, i.E.: a) Er gewährleistet und kontrolliert regelmäßig, dass die Auftrags- verarbeitung nach dem Auftrag im eigenen Verantwortungsbereich (einschl. Unterauftragnehmer) in Übereinstimmung mit der VAV und der gesetzlichen Vorschriften erfolgt. b) Er darf ohne vorherige dokumentierte Zustimmung des Auftraggeber keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind Kopien, die zur Gewährleistung einer ordnungsgemäßen Verarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem jeweiligen Auftrag erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. c) Er unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Auftragsverarbeitung betreffen. Den hierbei entstehenden Aufwand trägt der Auftraggeber. d) Er hat dem Auftraggeber auf Anforderung eine Übersicht über die in Art. 30 Abs. 2 DS-GVO genannten Angaben auszuhändigen. e) Er setzt zur Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, Art. 29, Art. 32 Abs. 4 DS- GVO bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Personen aufseiten des Auftragnehmer, die Zugang zu Auftraggeber-Daten haben, dürfen diese ausschließlich wie vertraglich vereinbart oder wie vom entsprechend der Weisung des Auftraggeber angewiesenund die VAV verarbeiten, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. f) Er gewährleistet die Umsetzung und Einhaltung der vereinbarten TOM. g) Die Vertragspartner arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Hierzu leistet der Auftragnehmer ist gesetzlich die notwendigen Beiträge. Hierdurch entstehenden Auf- wand hat der Auftraggeber zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecketragen. (2h) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maß- nahmen der Verarbeitung die Vertraulichkeit streng Aufsichtsbehörde zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichteninformieren, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensich auf die Auftragsverarbeitung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt. (5i) Der Auftragnehmer sichert zuSoweit der Auftraggeber einer Kontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn dieser nach besten Kräften zu unterstützen. Den hierbei entstehenden Aufwand trägt der Auftraggeber. j) Tätigkeiten, die der Verantwortliche im Verhältnis zu betroffenen Personen schuldet, z.B. die Umsetzung von Löschkonzepten, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft, sind nur dann und insoweit unmittelbar durch den Auftragnehmer durchzuführen, als sie gemäß dem jeweiligen Auftrag vom vereinbarten Leistungsumfang ausdrücklich umfasst sind. Der dadurch anfallende Aufwand wird von dem Auftraggeber gesondert getragen. Eine Pflicht zur Bestellung eines DSB besteht beim Auftragnehmer aufgrund der Unternehmensgröße nicht. 3. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung von dessen in Art. 32 bis 36 DS-GVO genannten Pflichten zur Sicherheit von personenbezogenen Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen. Zu den Pflichten gehören für die Auftragsverarbeitung u.a. a) die Sicherstellung eines angemessenen Schutzniveaus durch die TOM, die die Umstände und Zwecke der Verarbeitung unterstützt sowie die b. prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignis- sen ermöglichen, b) die Verpflichtung, Verletzungen von Auftraggeber-Daten unverzüglich an den Auftraggeber zu melden, c) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen, d) die Unterstützung des Auftraggebers für eine von diesem etwa vorzunehmende Datenschutz- Folgenabschätzung, e) die Unterstützung des Auftraggeber im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde. Sofern und soweit die Leistungen und Tätigkeiten nicht in der Leistungsbeschreibung gemäß dem anwendbaren Auftrag enthalten sind oder der Auftraggeber nachweist, dass sie auf ein Verschulden des Auftragnehmer zurückzuführen sind, kann der Auftragnehmer für die nach Ziff. 2 anfallenden Tätigkeiten eine gesonderte Vergütung beanspruchen. 4. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Auftragsverarbeitung gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus der VAV oder dem anwendbaren Auftrag verstoßen hat/ haben, sofern und soweit deshalb die Gefahr besteht, dass Auftraggeber-Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. a) Der Auftragnehmer trägt dafür Sorge, dass der o.a. Kreis von Beteiligten zur Geheimhaltung gem. § 203 StGB verpflichtet wird. Dementsprechend wahrt der o.a. Kreis von Beteiligten in Kenntnis der strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht und den sonst anwendbaren rechtlichen Vorschriften fremde Geheimnisse, die von dem Auftraggeber zugänglich gemacht werden. b) Der o.a. Kreis von Beteiligten verpflichtet sich, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Erfüllung eines Auftrags erforderlich ist. c) Dem o.a. Kreis von Beteiligten ist bekannt, dass sich die Verschwiegenheitspflicht nicht nur auf fremde Geheimnisse erstreckt, sondern auf alle Tatsachen, die in Ausübung oder aus Anlass der Tätigkeit für den Auftraggeber, der einer beruflichen Verschwiegenheitsverpflichtung unterliegt, anvertraut oder bekannt werden. Hierzu gehört auch schon die Kenntnis, welche Mandate betreut werden. d) Bei der Inanspruchnahme von Leistungen, die unmittelbar einem einzelnen Mandat oder einer einzelnen Person dienen, ist der Auftraggeber verpflichtet, die Einwilligung des Mandanten in die Zugänglichmachung von fremden Geheimnissen einzuholen. e) Die vorstehend vereinbarte Pflicht zur Verschwiegenheit besteht nicht, soweit der Auftragnehmer auf Grund einer behördlichen oder gerichtlichen Entscheidung zur Offenlegung von vertraulichen Informationen des Auftraggeberauftaggeber verpflichtet ist/wurde. Soweit dies im Einzelfall zulässig und möglich ist, wird der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenüber die Pflicht zur Offenlegung möglichst vorab in Kenntnis setzen. f) Dem Auftragnehmer ist die Rechtslage zu §§ 53a i.V.m. 53, 97 StPO, §§ 383 f ZPO bekannt (7) Wird Mitwirkung an der Auftraggeber durch Aufsichtsbehörden oder andere Stellen beruflichen Tätigkeit eines Auftraggebers, der einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenberuflichen Verschwiegenheitsverpflichtung unterliegt). Der Auftragnehmer teilt dem o.a. Kreis von Beteiligten wird bei Gerichten und Behörden über Tatsachen, die mit der Tätigkeit bekannt werden, ohne vorherige Genehmigung des Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit nicht aussagen oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitsonst Auskunft erteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet darf personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Sofern der Auftragnehmer ist gesetzlich durch nationales oder europäisches Recht zu einer bestimmten hiervon abweichenden Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenverpflichtet ist, teilt der Auftragnehmer diese dem weist er den Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenauf diesen Umstand hin, soweit das betreffende Recht einen Hinweis nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer trägt dafür Sorgewird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Erfüllung personenbezogenen Daten des Auftraggebers treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenschutzanforderungen laufend angemessen angeleitet Systeme und überwacht werden. (6) IDienste im Zusammenhang mit der beauftragten Verarbeitung personenbezogener Daten auf Dauer gewährleisten. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt. Der Auftraggeber trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch gewährleistet sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf Rahmen seiner Möglichkeiten und der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilenvertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt 32 bis 36 DS-GVO genannten Pflichten. Hierfür kann der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenangemessene Vergütung verlangen. Der Auftragnehmer teilt gewährleistet, dass es seinen mit der Verarbeitung der personenbezogenen Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisungen des Auftraggebers zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- oder Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen Datenschutzbeauftragten nach Art. 37 DS-GVO zu bestellen, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Sofern der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, nennt er dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Erster Ansprechpartner in Datenschutzfragen: Name: Xxxxx Xxxxxx Anschrift: Xxxxxxxxxxxxx 00, 00000 Xxxxxxxxx E-Mail: xxxxx.xxxxxx@xxxx.xxx Telefonnummer: +49(711)3423–2679 Sowie die Kontaktdaten des Datenschutzbeauftragten mit des Auftragnehmers: Name: Xxxxxxxx Xxxxxx Anschrift: Xxxxxxxxxxxxx 00-00, 00000 Xxxxxxxxx E-Mail: Xxxxxxxx.Xxxxxx0@xx.xxxxx.xxx Telefonnummer: +00(000)000-00000 Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. Der Auftragnehmer berichtigt oder begründetlöscht die personenbezogenen Daten, weshalb kein Beauftragter bestellt wurdewenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Änderungen in Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. Da die personenbezogenen Daten integrierter Bestandteil der EU oder des EWRzur Fehleranalyse übergebenen Mess- und Protokolldateien sind, und diese Mess- und Protokolldateien ggf. Jegliche Verlagerung die Fehlersuche in ein Drittland darf nur mit Zustimmung weiteren Support-Calls des Auftraggebers unterstützen können, werden die übergebenen Mess- und unter den in Kapitel V Protokolldateien beim Auftragnehmer erst 5 Jahre nach Schließung des jeweiligen Support-Calls gelöscht. Es obliegt dem Auftraggeber, Sicherungskopien von seinen personenbezogenen Daten anzufertigen. Die Pflicht des Auftragnehmers zur Herausgabe von personenbezogenen Daten, auf die der DatenschutzAuftraggeber selbst Zugriff hat, besteht nicht. Der Auftragnehmer verpflichtet sich zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenGVO.

Pflichten des Auftragnehmers. (1) 4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Sofern der Auftragnehmer ist gesetzlich zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehengesetzlich verpflichtet ist (z.B. bei Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden), teilt der Auftragnehmer diese er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei dennsofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 4.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich, die Mitteilung ist ihm gesetzlich verbotenwenn er der Auffassung ist, dass eine vom Auftraggeber erteilte Weisung gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Umsetzung der entsprechenden Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wurde. 4.3 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) 4.4 Kopien oder Duplikate der personenbezogenen Daten wird der Auftragnehmer ohne Wissen des Auftraggebers nicht erstellen. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 4.5 Der Auftragnehmer bestätigtsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. 4.6 Der Auftragnehmer sichert zu, dass ihm die einschlägigenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, allgemeinen datenschutzrechtlichen Vorschriften bekannt sinddie vom Auftraggeber stammen bzw. Er beachtet für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die Grundsätze ordnungsgemäßer Datenverarbeitunglaufende Verwendung werden dokumentiert. (3) 4.7 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers wird der Auftragnehmer im notwendigen Umfang mitwirken und den Auftraggeber soweit möglich angemessen unterstützen. 4.8 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit streng zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 4.9 Der Auftragnehmer sichert zu, dass er die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. 4.10 Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich überwacht die Einhaltung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdendatenschutzrechtlichen Vorschriften in seinem Betrieb. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der 4.11 Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde informieren, soweit erforderlich sie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenAuftragsverarbeitung beim Auftragnehmer ermittelt. 4.12 Als Datenschutzbeauftragte ist beim Auftragnehmer Xxxx Xxxxxx Xxxxxxxxxx (7xxxxxxxxxxx@xxxxxxx.xx) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilenbestellt. Direkt an ihn gerichtete Anfragen Ein Wechsel des Datenschutzbeauftragten wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitgeteilt. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Sofern der Auftragnehmer ist gesetzlich durch na- tionales oder europäisches Recht zu einer bestimmten hiervon abweichende Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenverpflichtet ist, teilt der Auftragnehmer diese dem weist er – sofern dies rechtlich zulässig ist – den Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit auf diesen Umstand hin. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen daten- schutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüg- lich den relevanten Bestimmungen Auftraggeber. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragnehmer berechtigt, die Durchführung der Weisung auszusetzen. 3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Anlage 2 beschriebenen technischen und dieses Vertrags vertraut gemacht wurdenorganisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen. Entsprechende Schulungs- Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Belastbarkeit der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet Systeme und überwacht werden. (6) IDienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt Verarbei- tung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenzu verar- beitenden Daten ein angemessenes Schutzniveau bieten. (7) Wird 3.3 Eine Änderung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendgetroffenen technischen und organisatorischen Maßnahmen bleibt dem Auf- tragnehmer vorbehalten, verpflichtet sich der wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 3.4 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten und der ver- traglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflich- ten. 3.5 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Auftraggebers zu verarbeiten. Ferner gewährleistet der Auf- tragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheits- pflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendi- gung des Auftrages fort. 3.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Umfang zu unterstützen, soweit die Verarbeitung Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteili- ger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 3.7 Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Auftrag betroffen istRahmen des Vertrages anfallende Datenschutzfragen. (8) Auskünfte an Dritte 3.8 Der Auftragnehmer gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisa- torischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 3.9 Der Auftragnehmer berichtigt oder den Betroffenen darf löscht die vertragsgegenständlichen Daten, wenn der Auftrag- geber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Lö- schung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer nur nach vorheriger Zustimmung die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Mate- rialien auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag be- reits vereinbart. 3.10 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Der Auftragnehmer weist unaufge- fordert dem Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird in Textform mit Datumsangabe nach, dass er unverzüglich sämtliche Datenträger sowie sonstigen Unterlagen an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtetherausgegeben oder datenschutzkonform ver- nichtet oder gelöscht und somit keine Daten des Auftraggebers zurückbehalten hat. Dokumenta- tionen, bestellt die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutzüber das Vertragsende hinaus aufzubewahren. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen Er kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt sie zu seiner Entlastung bei Vertragsende dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.übergeben

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene wird in seinem Verantwortungsbereich technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten ausschließlich wie vertraglich vereinbart des Auftraggebers treffen, die die Ver- traulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusam- menhang mit dieser Auftragsverarbeitung auf Dauer sicherstellen sowie die Fähigkeit haben, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem phy- sischen oder wie technischen Zwischenfall rasch wiederherzustellen. Die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sind in Anhang 1 niedergelegt (im Folgenden „TOMs“). 5.2 Dem Auftraggeber angewiesensind diese TOMs bekannt. Er trägt die alleinige Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemes- senes Schutzniveau bieten 5.3 Er wird den Auftragnehmer von allen Ansprüchen Dritter freistellen, die daraus resultieren oder damit zusammenhängen, dass diese TOMs nicht ausreichend sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 5.4 Eine Änderung der getroffenen TOMs bleibt dem Auftragnehmer vorbehalten, es sei denn, dass das im Anhang 1 niedergelegte Schutzniveau damit unterschritten wird. 5.5 Der Auftragnehmer hat ein Verfahren zur regelmäßigen Überprüfung der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt Wirksamkeit der Auftragnehmer diese dem Auftraggeber vor TOMs zur Gewährleistung der Sicherheit der Verarbeitung mitetabliert. 5.6 Der Auftragnehmer gewährleistet, es sei denndass die mit der Verarbeitung der Daten des Auftragge- bers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen diese Daten nur gemäß den Weisungen des Auftraggebers verarbeiten, die Mitteilung ist ihm sofern sie nicht gesetzlich verbotenzur Verarbeitung verpflichtet sind. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtgewährleistet ferner, dass ihm sich die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung der Daten des Auftraggebers eingesetzten Personen vor Beginn zur Vertraulich- keit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht un- terliegen. Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort. 5.7 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der Verarbeitung mit den relevanten Bestimmungen Daten des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass kann in diesem Fall einstweilig und nach eigenem Ermessen in seinem Verantwortungsbereich angemes- sene Maßnahmen zum Schutze der Daten des Auftraggebers und zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenMinderung möglicher nachteiliger Folgen treffen. Der Auftragnehmer informiert den Auftraggeber über etwaige von ihm getroffene Maßnahmen möglichst zeitnah. (6) I5.8 Für im Zusammenhang mit Rahmen dieses Vertrages anfallende Datenschutzanfragen steht dem Auftraggeber das Datenschutzteam des Auftragnehmers unter Xxxxxxxxxxx@xxxxxx-xxxxxxx.xx oder un- ter Tel +00 0000 00-00000 zur Verfügung. 5.9 Der Auftragnehmer ist verpflichtet, ein Verarbeitungsverzeichnis gemäß Art. 30 II DSGVO zu führen. Der Auftragnehmer ist befugt, das diesen AV-Vertrag betreffende Verzeichnis ei- ner Aufsichtsbehörde oder einem Dritten auf dessen Anfrage zur Verfügung zu stellen. Der Auftraggeber kann dieses Verzeichnis beim Auftragnehmer anfordern, sofern eine Aufsichts- behörde dies von ihm verlangt oder der beauftragten Verarbeitung Auftraggeber Audits oder Zertifizierungen durchführt. 5.10 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verar- beitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO geregelten Pflichten des Auftraggebers. 5.11 Der Auftragnehmer kann für die Unterstützung vorhergehender Ziffern 5.7 und 5.8 eine an- gemessene Vergütung und die Erstattung von Aufwendungen verlangen. 5.12 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlag- nahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenunver- züglich darüber zu informieren, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer sofern das betreffende Recht eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendensolche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder wird den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.Dritten

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenf DS-GVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich bestätigt, dass ihm die Kontaktdaten des Datenschutzbeauftragten mit oder begründetfür die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, weshalb kein Beauftragter bestellt wurde. Änderungen in bei der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt auftragsgemäßen Verarbeitung der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenGVO).

Pflichten des Auftragnehmers. (1) 4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart im Rahmen der getroffenen Vereinbarungen und/oder wie unter Einhaltung der ggf. vom Auftraggeber angewiesenerteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach dieser Vereinbarung und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckedieser schriftlich zugestimmt hat. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 4.2 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Datenverarbeitung im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenper Fernwartung nur aus Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen. (5) 4.3 Der Auftragnehmer sichert zu, dass er sein Unternehmen und seine Betriebsabläufe so gestaltet hat, dass die bei ihm zur Verarbeitung eingesetzten Personen Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenunbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer trägt dafür Sorgewird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen. 4.4 Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer xxxxxxxx kann, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenHaftung zwischen den Parteien auszusetzen. (6) Im Zusammenhang mit der beauftragten 4.5 Die Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung von Daten im Auftrag betroffen ist. (8) Auskünfte an Dritte des Auftraggebers außerhalb von Betriebsstätten des Auftragnehmers oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es Subunternehmern ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig. 4.6 Sollte es notwendig sein, zur weiteren Bearbeitung Daten aus der Datenverarbeitungsanlage des Auftraggebers auf ein System des Auftragnehmers zu übertragen, so bedarf dies der ausdrücklichen Genehmigung des Auftraggebers in Form einer individuellen Vereinbarung zur Auftragsverarbeitung, in welcher der Grund für die Übertragung und unter den in Kapitel V die notwendigen Arbeiten im Detail zu dokumentieren sind. Davon ausgenommen sind lediglich Protokolldateien und Bildschirmabzüge (Screen Shots), die zur Feststellung der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung korrekten Funktion der Bestimmungen dieses Vertrags erfolgenDatenverarbeitungsanlage des Auftraggebers bzw. der Fehlerbehebung derselben dienen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorgehat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:  Unterweisung der Mitarbeiter  Kontrolle der Systeme auf Datensicherheit  Löschung von Daten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich sobald diese nicht mehr für den Betrieb benötigt, werden Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die entsprechende Stelle des Auftraggebers weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb.

Pflichten des Auftragnehmers. (1) Der 1)Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei dennhat einen Datenschutzbeauftragten benannt, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Kontaktdaten zum Zweck der direkten Kontaktaufnahme: ista Deutschland GmbH Datenschutzbeauftragter Xxxxxxxxxxx Xxxxxx 0 00000 Xxxxx E-Mail: Xxxxxxxxxxx@xxxx.xxx (2)Der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt setzt bei der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei dennDurchführung des Auftrags nur Beschäftigte ein, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung auf die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung verpflichtet und zuvor mit den für sie relevanten Bestimmungen des Datenschutzes und dieses Vertrags zum Datenschutz vertraut gemacht wurden. Entsprechende Schulungs- (3)Der Auftragnehmer ist zur Umsetzung und Sensibilisierungsmaßnahmen Einhaltung aller für diese Verein- barung erforderlichen technischen und organisatorischen Maßnahmen ge- mäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO (siehe Anlage 1) verpflichtet. (4)Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind angemessen Kopien, soweit sie zur Erfüllung der Vereinbarung und zur Gewährleistung einer ordnungsgemäßen Daten- verarbeitung erforderlich sind, sowie Daten, für die nach einer Rechtsvor- schrift eine Verpflichtung zur Speicherung besteht. (5)Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontroll- handlungen und Maßnahmen der Aufsichtsbehörde nach Art. 58 DS-GVO, so- weit sie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zu- ständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsver- arbeitung beim Auftragnehmer ermittelt. (6)Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, ei- nem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zu- sammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer jeweils zu unterstützen. (7)Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu wiederholen. Der Auftragnehmer trägt dafür Sorgegewährleisten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten die Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber in seinem Verantwortungsbereich im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder Einklang mit den Betroffenen darf An- forderungen des geltenden Datenschutzrechts erfolgt und der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilenSchutz der Rechte der betroffenen Person gewährleistet wird. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.84686/XII21

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten4.1. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen darf Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den betroffenen Personen nur im Auftrag verarbeiteten Daten erhalten könnenRahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenDSGVO vor. Der Auftragnehmer trägt dafür Sorgeinformiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Erfüllung Europäischen Union oder der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenMitgliedsstaaten verstößt. Der Auftragnehmer darf die Umsetzung einer solchen Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. (6) I4.2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der der DSGVO genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeauf Dauer sicherstellen. Die erforderlichen Angaben zu treffenden Maßnahmen umfassen insbesondere die in Anlage 2 zu dieser Vereinbarung aufgeführten Maßnahmen. Dem Auftraggeber sind diese technischen und Dokumentationen sind vorzuhalten organisatorischen Maßnahmen bekannt und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit er trägt die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenVerantwortung dafür, dass diese für den Beauftragten keine Interessenskonflikte bestehendie Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. In Zweifelsfällen kann sich Diese Maßnahmen unterliegen dem technischen Fortschritt und der Auftraggeber direkt an den Datenschutzbeauftragten wendenWeiterentwicklung. Der Auftragnehmer teilt darf alternative Maßnahmen einsetzen, wenn diese mindestens das Sicherheitsniveau der gemäß Anlage 2 vereinbarten Maßnahmen erreichen. 4.3. Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner (des Auftraggebers) Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen auf Anfrage ferner bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten. 4.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft in solchen Fällen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitab. (104.6. Der Auftragnehmer gewährleistet, seiner Pflicht nach Art. 32 Abs. 1 lit. d) Die DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 4.7. Der Auftragnehmer ist verpflichtet, nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten des Auftraggebers, die er im Rahmen der Auftragsverarbeitung erfolgt grundsätzlich innerhalb erhalten hat, nach dessen Xxxx entweder zu löschen oder zurück zu geben, sofern nicht nach dem Unionsrecht oder dem Recht der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V Mitgliedstaaten eine Verpflichtung zur Speicherung der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenpersonenbezogenen Daten besteht.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Dies gilt nicht, wenn mit Zustimmung eines Patienten die Weiterbehandlung durch den Auftragnehmer oder einen anderen Zahnarzt ohne Wissen des Auftraggebers erfolgen soll. Kopien oder Duplikate der personenbezogenen Daten eines Patienten sind für diesen Fall, wie für alle anderen Situationen, ohne Wissen des Auftraggebers nur mit Zustimmung des jeweiligen Patienten zulässig. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:   (optional)   (optional) Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er unverzüglich an die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber weiterleiten. für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (9) Soweit gesetzlich verpflichtet, bestellt Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer eine fachkundige und zuverlässige Person ist als Beauftragten Beauftragte/r für den DatenschutzDatenschutz bestellt: Name   Telefon   E-Mail   Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DSGVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. § 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen . Diese besteht auch nach Beendigung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenVertrages fort. Der Auftragnehmer trägt dafür Sorgeverpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer erklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art. 32 DSGVO ergriffen hat. Die entsprechenden Technischen und Organisatorischen Maßnahmen (TOM) sind als Anlage 1 Bestandteil dieser Vereinbarung. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung, Einschränkung der Verarbeitung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige weiterzuleiten und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendies dem Antragsteller mitzuteilen. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, weshalb kein Beauftragter bestellt wurdealle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten. Änderungen in der Person oder Die Speicherung und Archivierung von Daten gemäß gesetzlicher Pflicht bleibt unberührt. Der Auftragnehmer hat den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) 6.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). 6.2 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 6.3 Der Auftragnehmer verspflichtet sich, im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung gemäß der vereinbarten Maßnahmen vorzunehmen. 6.4 Er gewährleistet, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Das Ergebnis der Kontrollen ist zu dokumentieren. 6.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang gegen Vergütung mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (2) Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die weisungsberechtigte Person des Auftraggebers weiterzuleiten. 6.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. 6.7 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. 6.8 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung zu üblichen Bürozeiten und mit angemessener Vorlaufzeit - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer hat das Recht seinen Datenschutzbeauftragten hinzuziehen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrolle, sofern davon die Betriebsabläufe des Auftragnehmers gestört werden, nur im erforderlichen Umfang durchgeführt wird. 6.9 Der Auftragnehmer ist verpflichtet, soweit erforderlich, bei diesen Kontrollen gegen Vergütung unterstützend mitwirkt. 6.10 Für die Verarbeitung von Daten in Privatwohnungen oder mobil hat der Aufragnehmer mit seinen Mitarbeitern eine Regelung getroffen, die den datenschutzrechtlichen Anforderungen entspricht. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall getroffen. 6.11 Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er beachtet verpflichtet sich auch gemäß Anlage 1 für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die Grundsätze ordnungsgemäßer Datenverarbeitungdem Auftraggeber obliegen. (3) 6.12 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit streng zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 6.13 Der Auftragnehmer sichert zuverpflichtet sich, dass er die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und dieses Vertrags vertraut gemacht wurdenfür die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Entsprechende Schulungs- 28 Abs. 3 Satz 2 lit. b und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenArt. 29 DSGVO). 6.14 Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich überwacht die Einhaltung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6datenschutzrechtlichen Vorschriften in seinem Betrieb. Die/Der Beauftragte(r) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den DatenschutzDatenschutz Herr/Frau des Auftragnehmers ergibt sich aus Anlage 1. Es Ein Wechsel des Datenschutzbeauftragten ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetmitzuteilen. 6.15 Der Auftragnehmer verpflichtet sich, weshalb kein Beauftragter bestellt wurdeden Auftraggeber über den Ausschluss von etwaig genehmigten Verhaltensregeln nach Art. Änderungen in der Person oder 41 Abs. 4 DS-GVO und den innerbetrieblichen Aufgaben des Beauftragten teilt Widerruf einer erhaltenen, für den Auftraggeber relevanten Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren. 6.16 Für Verpflichtungen aus diesem Vertrag gilt: Kosten für etwaige Unterstützungsleistung en benennt der Auftragnehmer dem vorab und sind vom Auftraggeber unverzüglich mitzu zahlen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). (2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungKopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (3) Der Auftragnehmer verpflichtet sichsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, bei der Verarbeitung dass die Vertraulichkeit streng zu wahrenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) PersonenDie Datenträger, die Kenntnis von vom Auftraggeber stammen bzw. für den im Auftrag verarbeiteten Daten erhalten könnenAuftraggeber genutzt werden, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenwerden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. (5) Der Auftragnehmer sichert zuhat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber regelmäßig und unaufgefordert insbesondere Überprüfungen hinsichtlich der Sicherstellung der Richtigkeit, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Sicherheit, Integrität und Vertraulichkeit der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurdenDaten gem. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenArt. 5 DS-GVO durch geeignete technische Maßnahmen durchzuführen. Der Auftragnehmer trägt dafür Sorge, dass hat zudem vom Auftraggeber initiierte IT-Desaster-Recovery-Tests zu begleiten und aktiv zu unterstützen. Der Auftragnehmer hat grundsätzlich Maßnahmen zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Minimierung des Datenschutzrisikos zu unternehmen. Die Ergebnisse der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet Kontrollen sind zu dokumentieren und überwacht werdendem Auftraggeber zu übergeben. (6) Im Zusammenhang mit Bei der beauftragten Verarbeitung unterstützt Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördef DS-GVO). Die Er hat die dazu erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem jeweils unverzüglich an den Auftraggeber auf Anforderung unverzüglich zuzuleitenweiterzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Der Auftragnehmer wird den Auftraggeber im erforderlichen Umfang zu unterstützenunverzüglich darauf aufmerksam machen, soweit wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist dann berechtigt, die Verarbeitung im Auftrag betroffen istDurchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (8) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. (9) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber grundsätzlich nach Terminvereinbarung berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Bei IT-Recovery-Tests entfällt naturgemäß das Kriterium der Terminvereinbarung. (11) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des EWR. Jegliche Verlagerung in ein Drittland darf Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. (12) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB. (13) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (14) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei GVO). (15) Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. (16) Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, von betroffenen Personen nur im Rahmen des Auftrages und der dokumen- tierten Weisungen des Auftraggebers verarbeiten. Sofern der Auftragnehmer ist gesetzlich durch nationales oder europäi- sches Recht zu einer bestimmten hiervon abweichenden Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenverpflichtet ist, teilt der Auftragnehmer diese dem weist er – sofern dies rechtlich zulässig ist – den Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit auf diesen Umstand hin. 3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den relevanten Bestimmungen besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die entsprechenden techni- schen und dieses Vertrags vertraut gemacht wurdenorganisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen. Entsprechende Schulungs- Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Belastbarkeit der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet Systeme und überwacht werden. (6) IDienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt auf Dauer sicherstellen. Dem Auftraggeber sind diese tech- nischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der Auftragnehmer den Auftraggeber soweit erforderlich bei zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Es handelt sich hierbei um die in der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung Anlage 1 beschriebenen technischen und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenorganisatorischen Maßnahmen. (7) Wird 3.3 Eine Änderung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendgetroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, verpflichtet sich der wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht un- terschritten wird. 3.4 Der Auftragnehmer unterstützt den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istRahmen seiner Möglichkeiten und der vertraglich ge- schuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS- GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. (8) Auskünfte an Dritte 3.5 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Auftraggebers zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Ver- arbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder den Betroffenen darf der einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegen- heitspflicht besteht auch nach Beendigung des Auftrages fort. 3.6 Der Auftragnehmer nur nach vorheriger Zustimmung durch unterrichtet den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtetunverzüglich, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenwenn ihm Verletzungen des Schutzes per- sonenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maß- nahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 3.7 Der Auftraggeber teilt dem Auftragnehmer die Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie ggf. während der Vertragslauzeit auftretende Änderungen dieser in Textform mit. Sofern keine weisungsberechtigten Personen benannt sind, sind ausschließlich die Geschäftsführer-innen/ Inhaber-innen des Auftraggebers weisungsbefugt. 3.8 Der Auftragnehmer gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnah- men zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 3.9 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder begründeteine ent- sprechende Beschränkung der Datenverarbeitung nicht möglich, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt übernimmt der Auftragnehmer dem Auftraggeber unverzüglich mitdie daten- schutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftra- gung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU 3.10 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftrag- gebers entweder herauszugeben oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenzu löschen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass informieren und die bei ihm zur Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Daten für eigene Zwecke des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage /1 zu entnehmen). Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten und dies dem Antragsteller mitzuteilen. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (9) Soweit gesetzlich Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, bestellt alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine fachkundige Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung2 {Ausschließliche Durchführung innerhalb der EU/des EWR} Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt. {Bei Durchführung, wenn auch nur teilweise, außerhalb der EU/des EWR} Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw des EWR durchgeführt, und zuverlässige Person als Beauftragten zwar in [Staaten aufzählen]. Das angemessene Datenschutzniveau ergibt sich aus3 einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO. einer Ausnahme für den Datenschutzbestimmten Fall nach Art 49 Abs 1 DSGVO. Es verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO. Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO. genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO. einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO. von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO. einer Ausnahme für den Einzelfall nach Art 49 Abs 1 Unterabsatz 2 DSGVO. Sub-Auftragsverarbeiter4 {Verbot der Hinzuziehung eines Sub-Auftragsverarbeiters} Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen. {Zulässigkeit der Hinzuziehung eines bestimmten Sub-Auftragsverarbeiters} Der Auftragnehmer ist befugt folgendes Unternehmen als Sub-Auftragsverarbeiter hinzuziehen: [Firmenname und Sitz ergänzen, Art der Tätigkeiten]. Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters. {Zulässigkeit der Hinzuziehung von Sub-Auftragsverarbeitern} Der Auftragnehmer kann Sub-Auftragsverarbeiter [Tätigkeiten] hinzuziehen. Er hat den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Auftraggeber von der Auftraggeber direkt an den Datenschutzbeauftragten wendenbeabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer teilt schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber unverzüglich für die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.Pflichten des Sub-Auftragsverarbeiters. [Ort], am [Datum] [Ort], am [Datum] Für den Auftraggeber: Für den Auftragnehmer: .................................................... [Name samt Funktion] .................................................... [Name samt Funktion] Anlage ./1 – Technisch-organisatorische MaSSnahmen5

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (43) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (54) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (65) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenvorzuhalten. (76) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 7) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, 8) Der Auftragnehmer bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehenDatenschutzbeauftragten. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten diesen wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in werden auf der Person oder den innerbetrieblichen Aufgaben Homepage des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitAuftragnehmers veröffentlicht. (109) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.. Version vom 16.05.2018 - Seite 3 von 11

Pflichten des Auftragnehmers. (1) Der Auftragnehmer erhebt, verarbeitet personenbezogene oder nutzt die Daten und die daraus erzielten Verarbeitungsergebnisse ausschließlich für die Erfüllung des im Hauptvertrag festgelegten Zweckes und der in diesem Zusammenhang schriftlich erteilten Weisungen des Auftraggebers. Er bewahrt die Daten unter Verschluss bzw. unter Einsatz entsprechender technischer Mittel vor unbefugtem Zugriff gesichert nur solange auf, wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, für die Erfüllung der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetgenannten Leistungen erforderlich ist. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenEr gibt sie nicht an Dritte weiter. Der Auftragnehmer verwendet darüber hinaus verpflichtet sich, keine Kopien oder Duplikate der Datenbestände bzw. Datenbanken ohne Wissen des Auftraggebers zu erstellen oder die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeandere Zwecke zu nutzen. (2) Der Auftragnehmer bestätigtträgt die Gewähr dafür, dass ihm die einschlägigenin der Anlage zu § 78a SGB X bzw. § 9 BDSG genannten technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit getroffen sind und eingehalten werden. Ein vorhandenes Sicherheitshandbuch ist zur Verfügung zu stellen oder es ist Einsichtnahme zu ermöglichen. Das Sicherheitshandbuch wird Gegenstand des Vertragsverhältnisses. Sofern ergänzende Weisungen des Auftraggebers schriftlich ergangen sind (vgl. Nr. 4 Abs. 3 dieser Anlage), allgemeinen datenschutzrechtlichen Vorschriften bekannt sindträgt der Auftragnehmer auch die Gewähr für deren Einhaltung. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungIn begründeten Fällen können durch bevollmächtigte Personen des Auftraggebers Einzelanweisungen auch mündlich erteilt werden. Diese bedürfen der unverzüglichen schriftlichen Bestätigung. Die in Anhang A beschriebenen Maßnahmen sind Mindeststandard und der technischen Entwicklung anzupassen. Abweichungen oder Veränderungen sind nur zur Verbesserung des Datenschutzes und der Datensicherheit zulässig. (3) Der Auftragnehmer verpflichtet sichbenennt seine Betriebsstätten und Geschäftsräume, bei die an der Verarbeitung Auftragserfüllung beteiligt werden sollen sowie deren Betriebs- und Geschäftszeiten in Anhang A. Eine Veränderung der Standorte oder Betriebsstätten, an denen die Vertraulichkeit streng zu wahrenDaten verarbeitet und genutzt werden, bedarf der schriftlichen Zustimmung des Auftraggebers. Die Datenverarbeitung oder –nutzung in Privatwohnungen (Heim – oder Telearbeitsplätze) ist nicht gestattet. Datenverarbeitung außerhalb des Geltungsbereichs des Sozialgesetzbuches oder eines Mitgliedsstaates der EU oder anderen Vertragsstaaten des Abkommens über den EWR ist nur zulässig, wenn der Auftraggeber die Zulässigkeit im Sinne der maßgeblichen EU-Richtlinien festgestellt hat. (4) PersonenDer Auftragnehmer stellt sicher, dass ein Zugriff auf die Kenntnis Daten des Auftraggebers von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenanderen Stellen ausgeschlossen ist. (5) Der Auftragnehmer sichert zuverweist an den Auftraggeber, wenn von Betroffenen die Rechte gemäß §§ 81 – 84 SGB X geltend gemacht werden. Er stellt sicher, dass die Daten von Betroffenen bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber Bedarf auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Anweisung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenberichtigt, gelöscht oder gesperrt werden können.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Datenschutzes und dieses Vertrags vertraut gemacht wurdenAuftraggebers weiterzuleiten: Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer trägt dafür Sorgeist berechtigt, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung zu üblichen Bürozeiten und mit angemessener Vorlaufzeit - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mit- wirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auf- trag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Die/Der Beauftragte(r) für den Datenschutz Herr/Frau des Auftragnehmers ergibt sich aus Anlage 1. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich an mitzuteilen. Der Auftragnehmer verpflichtet sich, den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtetüber den Ausschluss von etwaig genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer erhaltenen, bestellt für den Auftraggeber relevanten Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren. Für Verpflichtungen aus diesem Vertrag gilt: Kosten für etwaige Unterstützungsleistungen benennt der Auftragnehmer eine fachkundige vorab und zuverlässige Person als Beauftragten für den Datenschutzsind vom Auftraggeber zu zahlen. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 f DS-GVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DS-GVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den seine Leistungen ausschließlich im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit Rahmen des Auftrags und der Anweisungen des Auftraggebers zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenerbringen. Der Auftragnehmer trägt dafür Sorgedarf Daten des Auftraggebers nur insoweit verwenden, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich als dies zum Zwecke der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet seiner vertraglichen Verpflichtungen notwendig ist. Eine Verwendung von Daten des Auftraggebers für eigene Zwecke des Auftragnehmers ist ausgeschlossen. Der Auftragnehmer verpflichtet sich, personenbezogene Daten sowie sonstige Informationen des Auftraggebers (wie etwa Geschäfts- und überwacht werden. (6Betriebsgeheimnisse) Idie ihm im Zusammenhang mit der Vertragsbeziehung zur Kenntnis gelangen, streng vertraulich zu behandeln und diese Verpflichtung vertraglich allen Personen zu überbinden, die für ihn im Rahmen des Vertragsverhältnisses zwischen den Vertragsparteien tätig werden, sofern diese nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht (§ 6 DSG (2018)) unterliegen. Diese Verpflichtung gilt auch über das Vertragsende hinaus und bleibt hinsichtlich der beauftragten Verarbeitung unterstützt Personen auch nach Beendigung ihrer Tätigkeit bzw. Ausscheiden beim Auftragnehmer aufrecht. Bestehen Zweifel, ob eine Information der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenGeheimhaltungspflicht unterliegt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeist sie bis zur schriftlichen Freigabe durch die andere Vertragspartei als vertraulich zu behandeln. Die erforderlichen Angaben und Dokumentationen mit der Dienstleistung befassten Personen sind vorzuhalten und über die einschlägigen rechtlichen Bestimmungen im Sinne des § 6 DSG (2018) nachweislich informiert worden. Der Auftragnehmer hat die vertraglichen Verpflichtungserklärungen zum Datengeheimnis dem Auftraggeber auf Anforderung dessen Verlangen vorzulegen. Der Auftragnehmer wird Anfragen von betroffenen Personen, soweit diese Bezüge zur Vertragsbeziehung zwischen den Vertragsparteien aufweisen, unverzüglich zuzuleiten. an den Auftraggeber weiterleiten. Der Auftragnehmer hat die technischen und organisatorischen Voraussetzungen dafür zu treffen, dass der Auftraggeber seiner Pflicht zur Behandlung von Anträgen betreffend die Wahrnehmung der Rechte der betroffenen Person gemäß Kapitel III der DSGVO (7innerhalb der gesetzlichen Fristen) nachkommen kann (Art 28 Abs 3 lit e DSGVO). Wird der Auftraggeber durch Aufsichtsbehörden oder andere hierzu berechtigte Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Die Dienstleistung wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten ausschließlich innerhalb des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWREWR erbracht. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung ausschließlich nach vorheriger schriftlicher Genehmigung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags im Einklang mit Art 44 ff DSGVO erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz- Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. . (2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (23) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (34) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (45) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (56) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (67) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) 8) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 9) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. . (9) Soweit 10)Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Dies ist: (bitte Name und Kontaktdaten ergänzen). Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (1011) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (12) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) . Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie im Rahmen der getroffenen Verein- barungen, nach Weisungen des Auftraggebers sowie den gesetzlichen und liefervertraglichen Bestimmungen. Er hat personenbezogene Daten zu berücksichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung oder einer Weisung ver- langt oder vertraglich vereinbart oder wie / gesetzlich vorgesehen ist und sonstige gesetzliche Bestimmungen dem entgegen ste- hen. 2. Dem Auftraggeber sind insbesondere Kontrollen nach den gesetzlichen Bestimmungen des Art. 32 DSGVO zu ermöglichen. 3. Soweit ein Verzeichnis für Verarbeitungstätigkeiten erstellt wird, hat der Auftragnehmer hieran mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zu- zuleiten. 4. Die Datenträger, die vom Auftraggeber angewiesenstammen bzw. für den Auftraggeber genutzt werden, es sei dennwerden be- sonders gekennzeichnet und unterliegen der laufenden - automatisierten - Verwaltung. Eingang und Ausgang wer- den dokumentiert. 5. Der Auftragnehmer wird den Auftraggeber unverzüg- lich darauf aufmerksam machen, wenn eine vom Auf- traggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Wei- sung solange auszusetzen, bis sie durch den Verant- wortlichen beim Auftraggeber bestätigt oder geändert wird. Im Zweifel kann der Auftragnehmer die Zulässig- keit der Weisungsaufgabe vom Landesdatenschutzbe- auftragten überprüften lassen. 6. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit - unter Einhaltung einer angemessenen Ankündigungsfrist - dazu berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarung, insbesondere die Umsetzung der technischen und organisatorischen Maß- nahmen, im erforderlichen Umfang zu kontrollieren, ins- besondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Da- tenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, soweit es sich auf Daten des Auftraggebers be- zieht. Der Auftragnehmer sichert zu, dass er, soweit er- forderlich, bei diesen Kontrollen mitwirkt. Die in diesem Fall beim Auftragnehmer anfallenden Kosten übernimmt der Auftraggeber. Ohne gesonderte Kostenberechnung ist gesetzlich der Auftragnehmer verpflichtet, den Nachweis für die Umsetzung der technischen und organisatorischen Maß- nahmen, die nicht nur den konkreten Auftrag betreffen, durch Vorlage eines ausgefüllten Fragebogens (Anhang) zu einer bestimmten erbringen. 7. Die auf Weisung des Auftraggebers vom Auftragneh- mer verarbeiteten Daten werden im Rahmen der gesetz- lichen und vertraglichen vereinbarten Aufbewahrungs- pflichten gespeichert. Nach Ablauf der Aufbewahrungs- pflichten werden sie vom Auftragnehmer gelöscht. 8. Soweit mit der Verarbeitung verpflichtetoder Nutzung personen- bezogener Daten des Auftraggebers Unterauftragneh- mer einbezogen werden, wird dies grundsätzlich nur un- ter folgenden Voraussetzungen genehmigt: • Der Auftragnehmer hat die vertraglichen Vereinba- rungen mit dem Unterauftragnehmer so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsver- hältnis zwischen Auftraggeber und Auftragnehmer ent- sprechen. Sofern solche Verpflichtungen für ihn bestehen, •Auf Anfrage teilt der Auftragnehmer diese den Namen und An- schrift der Unterauftragnehmer dem Auftraggeber vor der Verarbeitung mit. • Der Auftragnehmer beauftragt ständig die GfI Gesellschaft für Informations- und Datenverarbeitung mbH (GfI), es sei dennXxxxxxxxx 0, die Mitteilung ist ihm gesetzlich verboten00000 Xxxxxx als Datenverar- beitungsunterauftragnehmer. Der Auftragnehmer verwendet darüber hinaus hat mit der GfI die gleichen vertraglichen Regelungen getroffen, wie sie mit dem Auftraggeber vereinbart sind. Dieses Auftragsdatenverarbeitungsverhältnis unterliegt der Kon- trolle und dem Zertifikat nach Ziffer II., Nr. 5. Auf Anfrage teilt der Auftragnehmer den Namen und die Anschrift an- derer Unterauftragnehmer dem Auftraggeber mit, soweit es solche gibt. Soweit Dienstleister beauftragt werden, die keine War- tungsarbeiten durchführen und entsprechend auch kei- nen Zugriff auf personenbezogene Daten haben, werden diese nicht als Unterauftragnehmer im Sinne dieser Re- gelung tätig. Dazu zählen z. B. der Betrieb der Telekom- munikationsanlagen und Reinigungsarbeiten. Der Auf- tragnehmer ist jedoch verpflichtet, zur Verarbeitung überlassenen Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers, auch bei ausgelagerten Nebenleis- tungen angemessene und gesetzeskonforme vertragli- che Vereinbarungen sowie Kontrollmaßnahmen zu er- greifen. Das Gleiche gilt für keine anderenvom Auftragnehmer zur Er- bringung der vertraglichen Leistungen eingesetzte freie Mitarbeiter als Erfüllungsgehilfen, insbesondere nicht für eigene Zweckewenn mit diesen die notwenigen Sorgfalts- und Geheimhaltungspflichten ver- traglich ver- einbart sind. 9. Die Verarbeitung und Nutzung der Daten findet aus- schließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in ei- nem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auf- traggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 45-49 DSGVO erfüllt sind. 10. Vom Auftragnehmer ist gemäß § 38 BDSG (2neu) ein Beauftragter für den Datenschutz bestellt. Auf Anfrage wird dem Auftraggeber der Name des Datenschutzbeauf- trag- ten mitgeteilt. 11. Der Auftragnehmer verpflichtet sich, bei der auftrags- gemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers, das Datengeheimnis zu wahren. 12. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen einschlä- gigen datenschutzrechtlichen Vorschriften des BDSG (neu) und der DSGVO bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sichbestätigt, bei dass ihm auch sozial-datenschutzrechtliche Vorschriften, hierbei insbesondere die mit der Verarbeitung die Vertraulichkeit streng zu wahren. (4) PersonenApotheker- tätigkeit und Rezeptabrechnung verbundenen daten- schutzrechtlichen Vorschriften, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) bekannt sind. Der Auftragnehmer sichert zu, dass er die bei ihm zur Verarbeitung eingesetzten Personen der Durch- führung der Arbeiten beschäftigten Mitarbeiter vor Beginn Auf- nahme der Verarbeitung Tätigkeit mit den relevanten Bestimmungen für sie maßgebenden Best- immungen des Datenschutzes vertraut macht und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholensie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Auftrag- nehmer überwacht die Einhaltung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenhier angegebenen datenschutzrechtlichen Vorschriften. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde13. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung schriftlicher Zustim- mung durch den Auftraggeber erteilen. Direkt Ausgenommen hiervon sind Auskünfte an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenGerichte, Ermittlungs- oder sonstige Behörden, soweit die gesetzliche Pflicht zur Auskunft besteht und erforderliche amtliche Beschlüsse vorliegen. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden14. Der Auftragnehmer teilt dem unterstützt den Auftraggeber unverzüglich ge- mäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnah- men, damit dieser seine bestehenden Pflichten gegen- über der betroffenen Person nach Kapitel 3 DSGVO er- füllen kann, z.B. die Kontaktdaten des Datenschutzbeauftragten mit Information und Auskunft an den Betroffenen, die Berichtigung oder begründetLöschung von Daten, weshalb kein Beauftragter bestellt wurde. Änderungen in die Einschränkung der Person Verarbeitung oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitdas Recht auf Datenübertragbarkeit und Widerspruch. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Verarbeitung zur Ausführung der Hosting- und Wartungsleistungen für die Software „Skyline CRM“ erforderlichen Tätigkeiten zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. (3) Wahrung der Vertraulichkeit streng zu wahrenund Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (4) PersonenDer Auftragnehmer erklärt rechtsverbindlich, die Kenntnis von den dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenAnhang (Technisch-organisatorische Maßnahmen). (5) Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer sichert zuergreift die technischen und organisatorischen Maßnahmen, dass damit der Auftraggeber die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Betroffenenrechte nach Kapitel III der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes DSGVO (Information, Auskunft, Berichtigung und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenüberlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer trägt dafür Sorgedarf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung Antragsteller ihn irrtümlich für den Auftraggeber der Datenschutzanforderungen laufend angemessen angeleitet von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und überwacht werdendies dem Antragsteller mitzuteilen. (6) Im Zusammenhang mit der beauftragten Verarbeitung Der Auftragnehmer unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, insbesondere bei Erstellung und Fortschreibung Meldungen von Verletzungen des Verzeichnisses Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der Verarbeitungstätigkeitenvon einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenDatenschutz-Folgeabschätzung, vorherige Konsultation. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben oder den Betroffenen darf in dessen Auftrag zu vernichten. Dokumentationen, die dem Nachweis der Auftragnehmer nur nach vorheriger Zustimmung auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenAuftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage /1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten. 1 Nichtzutreffendes bitte streichen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (2) Der Auftragnehmer bestätigtDie Datenträger, dass ihm die einschlägigenvom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindwerden besonders gekennzeichnet. Er beachtet Eingang und Ausgang sowie die Grundsätze ordnungsgemäßer Datenverarbeitunglaufende Verwendung werden dokumentiert. (3) Der Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer verpflichtet sich, bei der Verarbeitung im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die Vertraulichkeit streng zu wahrendazu erforderlichen Angaben jeweils unverzüglich an die oben genannte Stelle des Auftraggebers weiterzuleiten. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zuwird den Auftraggeber unverzüglich darauf aufmerksam machen, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurdenwenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer trägt dafür Sorgeist berechtigt, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber weiterleiten- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. (95) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenbestätigt, dass ihm die für den Beauftragten keine Interessenskonflikte bestehendie Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. (6) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenDiese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer teilt dem Auftraggeber unverzüglich sichert zu, dass er die Kontaktdaten bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurdeDatenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Änderungen 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitseinem Betrieb. (107) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWRDer Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers 41 Abs. 4 DS-GVO und unter den in Kapitel V der DatenschutzWiderruf einer etwaigen Zertifizierung nach Art. 42 Abs. 7 DS-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenGVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorgehat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: • Regelmäße Sicherheitsüberprüfungen der Software. • Datenschutzkonforme Löschung der Daten nach Beendigung der Laufzeit. • Sicherung der Datenträger mit einer aktuellen Verschlüsselung. • Datenträger, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Unterlagen sowie sämtliche sonstige Materialien werden nach Vertragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Sofern einschlägig: Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren. Der Auftragnehmer wird betroffene Personen, die sich mit Forderungen zur Löschung, Berichtigung oder Auskunft an den Auftragnehmer wenden, an den Auftraggeber verweisen, sofern eine Zuordnung zum Auftraggeber möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Aufraggeber weiter und unterstützt ihn im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Nicht, nicht richtige oder nicht fristgerechte Beantwortung auf das Ersuchen von betroffenen Personen durch den Auftraggeber.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass informieren und die bei ihm zur Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Daten für eigene Zwecke des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige weiterzuleiten und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendies dem Antragsteller mitzuteilen. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, weshalb kein Beauftragter bestellt wurdealle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung2 Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU oder bzw des EWREWR durchgeführt. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Im Falle der Domainregistrierung werden, je nach zu registrierender Domain, allfällig auch außerhalb der EU bzw. des Auftraggebers und unter den in Kapitel V EWR Datenerarbeitungstätigkeiten (Registrierung der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenDomain beim zuständigen Registrar) durchgeführt.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Synaptos verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält Synaptos einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber angewiesen, es sei denn, unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke von Synaptos eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigtSynaptos erklärt rechtsverbindlich, dass ihm alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet werden oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden bei Synaptos aufrecht. (3) Der Auftragnehmer verpflichtet sichSynaptos erklärt rechtsverbindlich, bei dass alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen werden (Einzelheiten sind der Anlage 1 zu wahrenentnehmen). (4) PersonenSynaptos ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an Synaptos gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat Synaptos den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuSynaptos unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) ISynaptos erstellt ein Verarbeitungsverzeichnis zu allen Kategorien der im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung Auftrag durchgeführten Tätigkeiten nach Art 30 DSGVO und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und stellt diese dem Auftraggeber auf Anforderung unverzüglich zuzuleitenzur Verfügung. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Synaptos verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Möchte der Auftraggeber die Dienstleistung im klassischen Sinne von Synaptos nicht mehr nutzen, so kann er die vollständige Datenübergabe verlangen oder Synaptos mit der Speicherung der Daten über die gesetzliche Aufbewahrungsfrist beauftragen. Im Falle der Speicherung über die gesetzliche Aufbewahrungsfrist läuft die Vereinbarung eingeschränkt weiter und es gilt nach wie vor die vorhandene Vereinbarung. Sonst gilt die Vereinbarung als beendet und Synaptos ist verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben und nach vollständiger Übergabe auf den Betroffenen darf der Auftragnehmer nur eigenen Systemen zu löschen. Wenn Synaptos die Daten in einem speziellen technischen Format verarbeitet, sind wir verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für Synaptos hat den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und dieses Vertrags vertraut gemacht wurdenf DSGVO). Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den gemäß Punkt 4 benannten Ansprechpartner weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-rechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz bestellt: Xx. Xxxxxxxxx Xxxxxx Rechtsanwalt, Dipl.-Kfm. Externer Datenschutzbeauftragter IITR Datenschutz GmbH Xxxxxxxxxxx 0 00000 Xxxxxxx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng zu wahrennach Art 32 DSGVO ergriffen hat. (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenSchutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer trägt dafür Sorgewird darauf hingewiesen, dass zur er für die vorliegende Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (6) Im Zusammenhang Wendet sich eine betroffene Person mit der beauftragten Verarbeitung unterstützt Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber soweit erforderlich bei verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der Erfüllung betroffenen Person möglich ist. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner datenschutzrechtlichen PflichtenMöglichkeiten. Der Auftragnehmer haftet nicht, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses wenn das Ersuchen der Verarbeitungstätigkeitenbetroffenen Person vom Auftraggeber nicht, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht richtig oder nicht fristgerecht beantwortet wird. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder den Betroffenen darf in dessen Auftrag zu vernichten. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten sichert zu datenschutzrechtlich ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der Auftragnehmer ist gesetzlich getroffenen Vereinbarungen und nach Weisungen des Auftraggebers zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenarbeiten. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren. Er hat personenbezogene Daten zu berichtigen, löschen und zu sperren, wenn der Auftraggeber dies in dem getroffenen Hauptvertrag oder einer Weisung verlangt. Insbesondere verwendet darüber hinaus der Auftragnehmer die etwaigen, zur Verarbeitung überlassenen Daten für keine anderenanderen Zwecke. Kopien oder Duplikate werden, insbesondere außer im Rahmen von Datensicherungen, ohne Wissen des Auftraggebers nicht für eigene Zweckeerstellt. Der Auftragnehmer tritt gegenüber dem Betroffenen nicht in eigenem Namen auf. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) . Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (63) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (4) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde(Art. Die 35 DSGVO) zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (75) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 6) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber dessen Kontrollrechte zu wahren, insbesondere erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Nachweis solcher Maßnahmen kann erfolgen durch: - die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) - die Zertifizierung nach genehmigtem Zertifizierungsverfahren (Art. 42 DSGVO) - aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragter, IT-Sicherheitsabteilung) (7) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) 8) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (109) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union (Art. 27 DSGVO). Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der EU oder Person des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenAnsprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags dieser Vereinbarung vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. . (10) Die 10)Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags dieser Vereinbarung erfolgen. (11)Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggeber angewiesen, es sei denn, n verarbeiten. Sofern der Auftragnehmer ist gesetzlich durch nationales oder europäisches Recht zu einer bestimmten hiervon abweichenden Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenverpflichtet ist, teilt der Auftragnehmer diese dem weist er – sofern dies rechtlich zulässig ist – den Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenauf diesen Umstand hin. Der Auftragnehmer trägt dafür Sorgeinformiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenWeisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. (6) I3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Ziffer 9 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggeber treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenzu verarbeitenden Daten ein angemessenes Schutzniveau bieten. (7) Wird 3.3 Eine Änderung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendgetroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmenden vorbehalten, verpflichtet sich der wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 3.4 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten und der vertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. 3.5 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggeber befassten Mitarbeitern und anderen für den Auftragnehmenden tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Auftraggeber zu verarbeiten. Ferner gewährleistet der Auftragnehmende, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 3.6 Der Auftragnehmer unterrichtet den Auftraggeber n unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggeber n bekannt werden. Der Auftragnehmer trifft die erforderlichen Umfang zu unterstützen, soweit Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 3.7 Der Auftragnehmer nennt dem Auftraggeber auf Anfrage den Ansprechpartner bzw. die Verarbeitung Ansprechpartnerin für im Auftrag betroffen istRahmen des Vertrages anfallende Datenschutzfragen. (8) Auskünfte an Dritte 3.8 Der Auftragnehmer gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 3.9 Der Auftragnehmer berichtigt oder den Betroffenen darf löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer nur nach vorheriger Zustimmung die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenn, sofern nicht im Vertrag bereits vereinbart. (9) Soweit gesetzlich verpflichtet3.10 Daten, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggeber direkt an den Datenschutzbeauftragten wendenn entweder herauszugeben oder zu löschen. Der Auftragnehmer teilt dem Auftraggeber unverzüglich ist berechtigt bis zur Erfüllung gesetzlicher oder vertraglicher Aufbewahrungsfristen die Kontaktdaten des Datenschutzbeauftragten mit Daten oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in eine Kopie der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitDaten aufzubewahren. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen darf Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den betroffenen Personen nur im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenDS-GVO vor. Der Auftragnehmer trägt dafür Sorgeinformiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenWeisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (6Art. 32 DS-GVO) Igenügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. 3. Die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen werden in Anhang B näher beschrieben. Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. 4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 5. Der Auftragnehmer unterstützt, soweit vereinbart, den Auftraggeber soweit erforderlich im Rahmen seiner Möglichkeiten bei der Erfüllung seiner datenschutzrechtlichen der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. 6. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Dies gilt insbesondere bei Erstellung unberechtigten oder unbeabsichtigten Zugriffen Dritter auf die Daten sowie bei unberechtigter Weitergabe der Daten an Dritte. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und Fortschreibung zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 7. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 8. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. 9. Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Verzeichnisses der VerarbeitungstätigkeitenAuftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeso dass sie Dritten nicht zugänglich sind. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Anforderung unverzüglich zuzuleitenjederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber. Die erfolgte Durchführung ist dem Auftraggeber auf Verlangen in Textform zu bestätigen. In besonderen Fällen erfolgt eine Aufbewahrung bzw. Übergabe. Eine Herausgabe von Datensicherungen (Backup) ist nicht geschuldet. Entstehen dem Auftragnehmer Kosten bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Der Auftraggeber trägt zudem die Kosten der Aufbewahrung durch den Auftragnehmer, soweit eine solche Pflicht vereinbart wird. (7) Wird 10. Die Übermittlung von Daten in Länder, die nicht Mitglied der Europäischen Union oder Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sind, findet im Moment nicht statt. Sollte es zu einer Datenübertragung in ein Land kommen, das nicht Mitglied der Europäischen Union oder ein Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum ist, sorgen der Auftraggeber und der Auftragnehmer durch Aufsichtsbehörden oder andere Stellen geeignete Maßnahmen für ein angemessenes Datenschutzniveau. 11. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Dies ist der Datenschutzbeauftragte: Xxxx Xxxxx, externer Datenschutzbeauftragter HUBIT Datenschutz Anschrift: Xxxx-Xxxxxxx-Xxx. 0, 00000 Xxxxxx Telefon: 0000-00000000 E-Mail: xxxx@xxxxx.xx Über einen Wechsel in der Person des Datenschutzbeauftragten ist der Auftraggeber unverzüglich in Textform zu informieren. 12. Im Falle einer Kontrolle unterzogen oder machen Inanspruchnahme des Auftraggebers durch eine betroffene Personen ihm gegenüber Rechte geltendPerson hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich hat hierfür die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitKosten zu tragen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene 3.1 Die Daten werden ausschließlich wie vertraglich vereinbart im Rahmen eines seitens des Auftraggebers erteilten schriftlichen Auftrages – auch in Bezug auf die allfällige Übermittlung personenbezogener Daten an ein Drittland oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich eine internationale Organisation - verarbeitet. Diese werden seitens des Auftragnehmers ausschließlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei dennZweck verarbeitet, die Mitteilung ist ihm gesetzlich verbotenim Vertrag angegebenen Leistungen zu erbringen. Der Auftragnehmer verwendet darüber hinaus erlaubt Zugriff auf die Daten nur, soweit dies zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeDurchführung des Vertrags erforderlich ist. (2) 3.2 Erhält moveIT einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er, sofern gesetzlich zulässig und sich diese auf einen von ihm erteilten Auftrag beziehen, den Auftraggeber unverzüglich darüber zu informieren und die Aufsichtsbehörde an diesen zu verweisen. 3.3 Der Auftragnehmer bestätigtdarf die Daten, die im Rahmen der Auftragsverarbeitung verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten, wobei weitere Maßnahmen im Umgang mit der betroffenen Person immer dem Auftraggeber obliegen. 3.4 Der Auftragnehmer erklärt gemäß § 6 DSG 2018 rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet und mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht hat. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer unbegrenzt aufrecht. (3) 3.5 Der Auftragnehmer hat den Schutz der Daten durch technische und organisatorische Maßnahmen sicherzustellen, die den Anforderungen von Artikel 32 DSGVO genügen. moveIT hält dabei die im Anhang dieser Vereinbarung näher spezifizierten, technischen und organisatorischen Anforderungen ein. Insbesondere ist der Auftragnehmer verpflichtet, unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen. 3.6 Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. 3.7 Der Auftragnehmer kann die Maßnahmen in Übereinstimmung mit dem Vertrag erweitern und verbessern. Dies kann zu einer Ablösung bestimmter Maßnahmen durch andere, mindestens genauso effektive Maßnahmen führen, die das gleiche Ziel erreichen. Wesentliche Änderungen sind schriftlich mit dem Auftraggeber zu vereinbaren. 3.8 Wird ein Antrag über Auskunft an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, so leitet der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiter und teilt dies dem Antragsteller mit. Der Auftragnehmer verpflichtet sich, bei nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen den Auftraggeber dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anfragen betroffener Personen, sofern sich diese auf einen vom Auftraggeber erteilten Auftrag zur Datenverarbeitung seitens des Auftragnehmers beziehen, auf Wahrnehmung der Verarbeitung die Vertraulichkeit streng zu wahrenKapitel III der in der DSGVO genannten Rechte der betroffenen Person nachzukommen. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 3.9 Der Auftraggeber und der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang arbeiten auf Anfrage mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich Aufsichtsbehörde bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenihrer Aufgaben zusammen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen). Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die Vertraulichkeit streng zu wahren. technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (4Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) Personeninnerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Daten, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenverarbeitet werden, haben sich schriftlich zur Vertraulichkeit zu verpflichtennicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer sichert zugerichtet und lässt dieser erkennen, dass die bei der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgebetriebenen Datenanwendung hält, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten und dies dem Antragsteller mitzuteilen. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenübertragung und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden). Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben oder begründet, weshalb kein Beauftragter bestellt wurdein dessen Auftrag zu vernichten. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenf DS-GVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. H DS-GVO). Der Auftragnehmer teilt sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird eine Ankündigungsfrist von vier Wochen vereinbar, die Kontaktaufnahme hierzu soll per Email an xxxxxxxxxxx@xxx-xxxxxxxx.xxx erfolgen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeitervor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Xxxx Xxxxxx Xxxxx, externer Datenschutzbeauftragter, Tel. 00000 0000 bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitzuteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten ausschließlich wie vertraglich vereinbart anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 5.2 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde, bei Ordnungswidrigkeits- oder wie vom Strafverfahren, bei der Geltendmachung eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder bei der Geltendmachung eines anderen Anspruchs im Rahmen des Zumutbaren und Erforderlichen, soweit ein Zusammenhang mit dieser Auftragsverarbeitung besteht. 5.3 Sofern der Auftragnehmer von einer Kontrolle oder Maßnahme einer Aufsichtsbehörde betroffen ist, die sich auch auf diese Auftragsverarbeitung bezieht, hat der Auftragnehmer den Auftraggeber angewiesenhierüber zu informieren. Dies gilt auch, es sei dennsoweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. 5.4 Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß Art. 28 Abs. 3 Satz 2 lit. b) DS-GVO schriftlich auf die Vertraulichkeit zu verpflichten und sie zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut zu machen. Dies ist nicht erforderlich, wenn die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 5.5 Sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind, ist der Auftragnehmer verpflichtet, einen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis fachkundigen, für die Aufgaben nach Art. 39 DS-GVO fähigen und zuverlässigen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetseine Tätigkeit gemäß Art. Sofern solche Verpflichtungen 38, 39 DS-GVO und § 38 Abs. 2 BDSG ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mindestens in Textform (z.B. E-Mail) mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Sollte keine Bestellpflicht für ihn einen betrieblichen Datenschutzbeauftragten bestehen, teilt benennt der Auftragnehmer diese gegenüber dem Auftraggeber vor mindestens in Textform (z.B. E-Mail) einen Ansprechpartner für datenschutzrechtliche Belange und teilt dem Auftraggeber dessen Kontaktdaten mit. Sollte der Verarbeitung Auftragnehmer seinen Sitz außerhalb der EU haben, benennt er gegenüber dem Auftraggeber einen Vertreter nach Art. 27 Abs. 1 DS-GVO in der EU und teilt dem Auftraggeber dessen Kontaktdaten mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. . 5.6 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderenunterliegt der behördlichen Aufsicht nach § 40 BDSG sowie den Bußgeld- und Strafvorschriften in § 42, insbesondere nicht für eigene Zwecke43 BDSG sowie in Art. 83 Abs. 4-6 DS-GVO nach Maßgabe von § 41 BDSG. (2) 5.7 Der Auftragnehmer bestätigtstellt sicher, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindsich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber nach Anlage 2 zu treffenden technischen und organisatorischen Maßnahmen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istRahmen der Kontrollrechte nach Ziffer 8 dieses Vertrages nachzuweisen. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng zu wahrennach Art 32 DSGVO ergriffen hat. (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf der Der Auftragnehmer nur ist nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenBeendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenanderen Verarbei- tung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumen- tiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbe- sondere folgende Überprüfungen in seinem Bereich durchzuführen: Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftrag- geber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Da- tenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben dem Auftraggeber unverzüglich an folgende Stelle weiterzuleiten: Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Xxx- xxxx solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu lö- schen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenertei- len. Der Auftragnehmer teilt dem erklärt sich damit einverstanden, dass der Auftraggeber unverzüglich - grundsätzlich nach Ter- minvereinbarung - berechtigt ist, die Kontaktdaten Einhaltung der Vorschriften über Datenschutz und Datensicher- heit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mit- wirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auf- tragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privat- wohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwe- cke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auf- trag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Ver- trages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Be- trieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau (Vorname, Name, Organisationseinheit, Telefon) bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Sofern einschlägig: Der Auftragnehmer verpflichtet sich den Auftraggeber über den Ausschluss von genehmigten Verhal- tensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS- GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1a) Der Auftragnehmer verarbeitet Die Verpflichtung des Auftragnehmers zur Einhaltung des Datenschutzes nach DSGVO, insbe- sondere zur Wahrung der Vertraulichkeit besteht umfassend. Es ist dem Auftragsverarbeiter untersagt, personenbezogene Daten ausschließlich wie vertraglich vereinbart unbefugt oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich unrechtmäßig zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor verarbeiten oder absicht- lich oder unabsichtlich die Sicherheit der Verarbeitung mit, es sei dennin einer Weise zu verletzen, die Mitteilung zur Ver- nichtung, zum Verlust, zur Veränderung, zu unbefugter Offenlegung oder unbefugtem Zugang führt. Es ist dem Auftragsverarbeiter nur gestattet, personenbezogene Daten in dem Umfang und in der Weise zu verarbeiten, wie es zur Erfüllung der ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckedurch den Auftraggeber übertra- genen Aufgaben erforderlich ist. (2b) Der Auftragnehmer bestätigtSoweit die Mitarbeiter des Auftragsverarbeiters und/oder etwaige Erfüllungsgehilfen, dass ihm die einschlägigeninsbe- sondere auch Subunternehmen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei im Rahmen der Geschäftsbeziehungen mit der Verarbeitung von personenbezogenen Daten betraut werden müssen, sind ihnen die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) gleichen Verpflichtun- gen aufzuerlegen. Der Auftragnehmer sichert zu, dass er die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten Bestimmungen für sie maßgebenden Bestim- mungen des Datenschutzes vertraut macht und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdensie auf das Datengeheimnis schriftlich verpflich- tet. c) Eine Übermittlung oder Verarbeitung personenbezogener Daten außerhalb der EU bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. Dies gilt auch für den Einsatz von IT in entsprechenden Drittländern. d) Der Auftragsverarbeiter verpflichtet sich, diejenigen technischen und organisatorischen Maß- nahmen zu treffen und aufrecht zu erhalten, die erforderlich sind, um die Anforderungen ge- mäß Art. 32 DSGVO zu gewährleisten (6siehe Anlage 2). e) IDatenschutzverletzungen, auch begründete Verdachtsfälle, sind beim Auftraggeber anzuzei- gen. Dabei sind mindestens die Angaben gemäß Art. 33 DSGVO bekannt zu geben. f) Der Auftragsverarbeiter ist verpflichtet, den Auftraggeber bei der Durchführung der Daten- schutzbestimmungen zu unterstützen, dies beinhaltet auch die stichprobenartige Kontrolle der technischen und organisatorischen Maßnahmen. g) Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer nach Xxxx des Auftragge- bers sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nut- zungsergebnisse, die im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtendem Auftragsverhältnis stehen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenauszuhändigen oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mit- gliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). (2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungKopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Kopien zur Auftragsabwicklung und zur Datensicherung sind von diesem Verbot ausgenommen. (3) Der Auftragnehmer verpflichtet sichsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, bei der Verarbeitung dass die Vertraulichkeit streng zu wahrenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) PersonenDer Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Kenntnis von Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den im Auftrag verarbeiteten Daten erhalten können, haben sich Verantwortlichen beim Auftraggeber nach Überprüfung schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenbestätigt oder geändert wird. (5) Der Auftragnehmer sichert zuhat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, dass die bei ihm zur zu löschen oder deren Verarbeitung eingesetzten Personen vor Beginn einzuschränken, wenn der Verarbeitung mit den relevanten Bestimmungen Auftraggeber dies mittels einer Weisung verlangt soweit dies technisch möglich ist und berechtigte Interessen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAuftragnehmers dem nicht entgegenstehen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auskünfte über personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. (7) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber sowie von ihm beauftragte Dritte bei Nichteinhaltung der Regelungen dieses Vertrages - grundsätzlich nach Terminvereinbarung vier Wochen im voraus - berechtigt sind, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Direkt an 28 Abs. 3 Satz 2 lit. h DS-GVO). Kosten wie zusätzlicher Personalaufwand, Reisekosten, Dokumentationen und alle damit im Zusammenhang stehenden Aufwände und Aktivitäten, die dem Auftragnehmer durch diese Prüfungstätigkeit des Auftraggebers oder durch ihn gerichtete Anfragen wird er unverzüglich an den beauftragte Dritte entstehen, übernimmt der Auftraggeber weiterleitenvollständig auf erstes Anfordern. (8) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellensichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für den Beauftragten keine Interessenskonflikte bestehensie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden28 Abs. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde3 Satz 2 lit. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitb und Art. 29 DS-GVO). (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers , es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). 5.2 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (2) 5.3 Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 5.4 Bilddaten werden grundsätzlich auf elektronischem Wege, insbesondere im Shop-System angeliefert, so dass eine Datenträgerbasierte Auftragserteilung die Ausnahme ist. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung des Druckauftrags für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: - Prüfung der Druckqualität; Einhaltung der getroffenen technischen und organisatorischen Maßnahmen Das Ergebnis der Kontrollen ist zu dokumentieren. 5.5 Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei gegebenenfalls erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördef DSGVO). Die Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: (Stelle des Auftraggebers) 5.6 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und Dokumentationen sind vorzuhalten und berechtigte Interessen des Auftragnehmers dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht entgegenstehen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 5.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der 5.8 Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). 5.9 Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. 5.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 5.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Ansprechpartner in Sachen Datenschutz ist Xxxx Xxxx Xxxxxxxx. E-Mail: xxxxxxxxxxx@xxxxx.xx 5.12 Der Auftragnehmer wird den in Kapitel V Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nach- zuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Bestimmungen dieses Vertrags erfolgenAufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen datenschutz- rechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. Dies betrifft insbesondere TimeWaver-Listen, die im System gespeichert werden und nach Vertragsbeendigung komplett gelöscht werden. (6) Alle persönlichen Daten werden ebenso nach Vertragsbeendigung gelöscht und müssen bei Wiedereintritt in ein Vertragsverhältnis neu eingegeben werden. Eine gewünschte Speicherung als „inaktiver Klient“ zur späteren Neuaktivierung, z.Bsp. für Akutfälle ist ausdrücklich schriftlich (auch per mail) zu vereinbaren. (7) Für Daten, die von Gesetzes wegen einer Speicherung auf Zeit unterliegen z.Bsp. Rechnungen, sind die jeweiligen vorgeschriebenen Fristen bindend. (8) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 9) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. . (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die 10)Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11)Der Auftraggeber stimmt einer regelmäßigen Nutzung des TimeWaver Systems mit den darin gespeicherten und zu verarbeiteten Daten im abschließbaren Büro der Privatwohnung des Auftragnehmers ausdrücklich zu, da dies hinsichtlich der Spezifik der Arbeit incl. des ständigen zeitnahen Zugriffs auf das System unabdingbar ist. Der Auftragnehmer sichert dabei zu, dass alle Daten vor dem Zugriff Dritter geschützt sind (Passwort) und räumt dem Auftraggeber ein Kontrollrecht auf ausdrückliche Anfrage ein.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten personenbezogenen Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die dafür erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. . (10) Die 10)Die Auftragsverarbeitung erfolgt grundsätzlich ausschließlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitglied- staaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlun- gen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen ei- nes wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezoge- nen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbei- tung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbar- ten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auf- traggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden do- kumentiert. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im not- wendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und dieses Vertrags vertraut gemacht wurdenf DSGVO). Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzli- che Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist be- rechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder ge- ändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsver- hältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auf- tragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätz- lich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im ange- messenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftrag- te Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer teilt sichert zu, dass er, soweit erforderlich, bei diesen Kon- trollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialge- heimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auf- traggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßge- benden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tä- tigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSG- VO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vor- schriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte/r für den Datenschutz bestellt: Telefon E-Mail Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitzu- teilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftraggeber erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit und vor Übermittlung der Daten an den Auftragnehmer zur Vertraulichkeit verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahrenhat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. (4) PersonenDer Auftragnehmer erklärt rechtsverbindlich, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich dass er alle erforderlichen Maßnahmen zur Vertraulichkeit Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenentnehmen). (5) Der Auftragnehmer sichert zuergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass die bei der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm zur Verarbeitung eingesetzten Personen vor Beginn betriebenen Datenanwendung hält, hat der Verarbeitung mit Auftragnehmer den relevanten Bestimmungen des Datenschutzes Antrag unverzüglich an den Auftraggeber weiterzuleiten und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdendies dem Antragsteller mitzuteilen. (6) Im Zusammenhang mit der beauftragten Verarbeitung Der Auftragnehmer unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenEinhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, insbesondere bei Erstellung und Fortschreibung Meldungen von Verletzungen des Verzeichnisses Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der Verarbeitungstätigkeitenvon einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenDatenschutz- Folgeabschätzung, vorherige Konsultation). (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendDer Auftragnehmer wird darauf hingewiesen, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu unterstützen, soweit die Verarbeitung im Auftrag betroffen isterrichten hat. (8) Auskünfte an Dritte oder den Betroffenen darf Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer nur nach vorheriger Zustimmung durch den verpflichtet sich, dem Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenjene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (9) Soweit gesetzlich Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, bestellt alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten. Wenn der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es die Daten in einem speziellen technischen Format verarbeitet, ist sicherzustellener verpflichtet, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder begründetin einem anderen, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitgängigen Format herauszugeben. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.