Common use of Pflichten des Auftragnehmers Clause in Contracts

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckenutzen. (2) Der Auftragnehmer bestätigtsichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten allgemeinen und technischen und organisatorischen Maßnahmen entsprechend Art. 25 DSGVO zu. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass ihm sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die einschlägigenden Forderungen der DSGVO entsprechen. Dies beinhaltet insbesondere • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet mit denen die Grundsätze ordnungsgemäßer Datenverarbeitung. personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (3) Der Auftragnehmer verpflichtet sichZutrittskontrolle), • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), • dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung die Vertraulichkeit streng Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), • dafür Sorge zu wahren. tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (4) PersonenWeitergabekontrolle), • dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), • dafür Sorge zu tragen, dass personenbezogene Daten, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenverarbeitet werden, haben sich schriftlich zur Vertraulichkeit nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), • dafür Sorge zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zutragen, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind angemessen regelmäßig (Verfügbarkeitskontrolle), • dafür Sorge zu wiederholen. Der Auftragnehmer trägt dafür Sorgetragen, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenzu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:   (optional)   (optional) Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er unverzüglich an die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber weiterleiten. für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (9) Soweit gesetzlich verpflichtet, bestellt Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer eine fachkundige und zuverlässige Person ist als Beauftragten Beauftragte/r für den DatenschutzDatenschutz bestellt: Name   Telefon   E-Mail   Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DSGVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. § 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Artikel 28 Abs. 3 Satz 2 lit. a DS- GVO) 5.2. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (2) 5.3. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Massnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 5.4. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. 5.5. Bei der Erfüllung der Rechte der betroffenen Personen nach Artikel 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Artikel 28 Abs. 3 Satz 2 lit e und dieses Vertrags vertraut gemacht wurdenf DS-GVO). Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. 5.6. Der Auftragnehmer trägt dafür Sorgewird den Auftraggeber unverzüglich darauf aufmerksam machen, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Artikel 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (6) Im Zusammenhang mit 5.7. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung dies mittels einer Weisung verlangt und Fortschreibung berechtigte Interessen des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auftragnehmers dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht entgegenstehen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 5.8. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden5.9. Der Auftragnehmer teilt dem erklärt sich damit einverstanden, dass der Auftraggeber unverzüglich - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Kontaktdaten des Datenschutzbeauftragten mit Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder begründetdurch vom Auftraggeber beauftragte Dritte zu kontrollieren, weshalb kein Beauftragter bestellt wurdeinsbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Artikel 28 Abs. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit3 Satz 2 lit. h DS-GVO). (10) Die 5.10. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. 5.11. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung erfolgt grundsätzlich innerhalb einschlägigen datenschutzrechtlichen Vorschriften der EU oder des EWRDS-GVO bekannt sind. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Er verpflichtet sich, die vom Auftraggeber schriftlich definierten Geheimnisschutzregeln zu beachten. 5.12. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 5.13. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Artikel 28 Abs. 3 Satz 2 b und Artikel 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. 5.14. Sofern anwendbar: Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Artikel 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Artikel 42 Abs. 7 DS- GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber- Daten ausschließlich wie vertraglich vereinbart anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 5.2 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde, bei Ordnungswidrigkeits- oder wie vom Strafverfahren, bei der Geltendmachung eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder bei der Geltendmachung eines anderen Anspruchs im Rahmen des Zumutbaren und Erforderlichen, soweit ein Zusammenhang mit dieser Auftragsverarbeitung besteht. 5.3 Sofern der Auftragnehmer von einer Kontrolle oder Maßnahme einer Aufsichtsbehörde betroffen ist, die sich auch auf diese Auftragsverarbeitung bezieht, hat der Auftragnehmer den Auftraggeber angewiesenhierüber zu informieren. Dies gilt auch, es sei dennsoweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. 5.4 Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß Art. 28 Abs. 3 Satz 2 lit. b) DS-GVO schriftlich auf die Vertraulichkeit zu verpflichten und sie zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut zu machen. Dies ist nicht erforderlich, wenn die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 5.5 Sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind, ist der Auftragnehmer verpflichtet, einen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis fachkundigen, für die Aufgaben nach Art. 39 DS-GVO fähigen und zuverlässigen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetseine Tätigkeit gemäß Art. Sofern solche Verpflichtungen 38, 39 DS-GVO und § 38 Abs. 2 BDSG ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mindestens in Textform (z.B. E-Mail) mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Sollte keine Bestellpflicht für ihn einen betrieblichen Datenschutzbeauftragten bestehen, teilt benennt der Auftragnehmer diese gegenüber dem Auftraggeber vor mindestens in Textform (z.B. E-Mail) einen Ansprechpartner für datenschutzrechtliche Belange und teilt dem Auftraggeber dessen Kontaktdaten mit. Sollte der Verarbeitung Auftragnehmer seinen Sitz außerhalb der EU haben, benennt er gegenüber dem Auftraggeber einen Vertreter nach Art. 27 Abs. 1 DS-GVO in der EU und teilt dem Auftraggeber dessen Kontaktdaten mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. . 5.6 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderenunterliegt der behördlichen Aufsicht nach § 40 BDSG sowie den Bußgeld- und Strafvorschriften in § 42, insbesondere nicht für eigene Zwecke43 BDSG sowie in Art. 83 Abs. 4-6 DS- GVO nach Maßgabe von § 41 BDSG. (2) 5.7 Der Auftragnehmer bestätigtstellt sicher, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindsich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber nach Anlage 2 zu treffenden technischen und organisatorischen Maßnahmen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istRahmen der Kontrollrechte nach Ziffer 8 dieses Vertrages nachzuweisen. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetliegt ein Ausnahmefall im Sinne des Artikel 28 Abs. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten3 a) DS-GVO vor. Der Auftragnehmer verwendet darüber hinaus informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die zur Verarbeitung überlassenen Daten für keine anderenUmsetzung der Weisung solange aussetzen, insbesondere nicht für eigene Zweckebis sie vom Auftraggeber bestätigt oder abgeändert wurde. (2) Der Auftragnehmer bestätigtwird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindsie den besonderen Anforderungen des Datenschutzes gerecht wird. Er beachtet wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die Grundsätze ordnungsgemäßer Datenverarbeitungden Anforderungen der DatenschutzGrundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. (3) Der Auftragnehmer verpflichtet sich, unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Verarbeitung die Vertraulichkeit streng zu wahrenErfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Artt. 33 bis 36 DS-GVO genannten Pflichten. (4) PersonenDer Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenaußerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, haben dass sich schriftlich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich verpflichtet haben oder einer einschlägigen Geheimhaltungspflicht angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. (5) Der Auftragnehmer sichert zuunterrichtet den Auftraggeber unverzüglich, dass die bei wenn ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Verletzungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenSchutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass trifft die erforderlichen Maßnahmen zur Auftragsverarbeitung eingesetzte Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenspricht sich hierzu unverzüglich mit dem Auftraggeber ab. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und nennt dem Auftraggeber auf Anforderung unverzüglich zuzuleitenden Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. (7) Wird Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. (8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch Aufsichtsbehörden den Auftraggeber oder andere Stellen gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. (9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. (10) Im Falle einer Kontrolle unterzogen oder machen Inanspruchnahme des Auftraggebers durch eine betroffene Personen ihm gegenüber Rechte geltendPerson hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis Art. 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: a) Der Auftragnehmer verarbeitet personenbezogene bestellt einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und Art. 39 DS-GVO ausübt, schriftlich. Als Datenschutzbeauftragter ist beim Auftragnehmer bestellt: Xxxxxx X. Xxxxxxx TMH-Dat UG (haftungsbeschränkt) Xx Xxxxxxx 00 00000 Xxxxxxxxxxxxx Web: xxx.xxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Die Kontaktdaten des Datenschutzbeauftragten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Seine jeweils aktuellen Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt. b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der AN setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der AN und jede dem AN unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenentsprechend der Weisung des AG verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, der Auftragnehmer ist dass sie gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeverpflichtet sind. (2c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1]. d) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungAG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. (3e) Der Auftragnehmer verpflichtet sich, bei Die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenAufsichtsbehörde, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt. (5f) Der Auftragnehmer sichert zuSoweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenAN nach besten Kräften zu unterstützen. (7g) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendDer AN kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, verpflichtet sich der Auftragnehmer den Auftraggeber um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem AG im Auftrag betroffen istRahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und dieses Vertrags vertraut gemacht wurdenf DS-GVO). Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS- GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

Pflichten des Auftragnehmers. (1) Der Jegliche Verarbeitung der personenbezogenen Daten durch den Auftragnehmer verarbeitet personenbezogene Daten oder durch etwaige Unterauftragsverarbeiter, die diesem Rahmenvertrag unterfällt, erfolgt ausschließlich wie vertraglich vereinbart oder wie auf Grundlage dieses Rahmenvertrages, der jeweiligen Einzelvereinbarung sowie den vom Auftraggeber angewiesenerteilten Weisungen. Dies gilt nicht, es sei denn, wenn der Auftragnehmer ist gesetzlich zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer diese dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei dennsofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation im Rahmen der Verarbeitung der personenbezogenen Daten so gestalten, die Mitteilung ist ihm gesetzlich verbotendass sie den gesetzlichen Anforderungen sowie den in diesem Vertrag bzw. der jeweiligen Einzelvereinbarung vereinbarten Anforderungen gerecht wird. 3) Eine Änderung der in einer Einzelvereinbarung vereinbarten technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das jeweils vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckehat den Auftraggeber über wesentliche Änderungen unaufgefordert zu informieren. (24) Der Auftragnehmer berichtigt oder löscht personenbezogene Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht bereits anderweitig vereinbart. 5) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitunger einen betrieblichen Datenschutzbeauftragten bestellt hat und wird diesen gegenüber dem Auftraggeber in Textform benennen. (36) Zur Verarbeitung der personenbezogenen Daten befugte Personen sind vom Auftragnehmer zur Vertraulichkeit zu verpflichten oder haben einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterliegen. Dies ist dem Auftraggeber auf Wunsch nachzuweisen. 7) Der Auftragnehmer verpflichtet sichist verpflichtet, bei dem Auftraggeber jeden (drohenden) Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung die Vertraulichkeit streng von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist oder zu wahrenerfolgen droht. (4) Personen8) Sofern es zu einer unzulässigen Verarbeitung oder Offenbarung personenbezogenen Daten gekommen sein sollte, trifft der Auftragnehmer die Kenntnis von den im Auftrag verarbeiteten erforderlichen Maßnahmen zur Sicherung der Daten erhalten können, haben sowie zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhierzu unverzüglich mit dem Auftraggeber zum weiteren Vorgehen ab. (59) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenEinhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, insbesondere Meldepflichten bei Erstellung und Fortschreibung des Verzeichnisses der VerarbeitungstätigkeitenDatenpannen, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenFolgeabschätzungen und vorherige Konsultationen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. 4.1 Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei die Auftragsdaten nur zur Erbringung der Verarbeitung die Vertraulichkeit streng vertraglich vereinbarten Leistungen und auf der Grundlage dieser ABV zu wahrenbearbeiten. 4.2 Weitergehende schriftliche Weisungen wird er nur anneh- men, soweit diese nicht gegen offensichtliche datenschutz- rechtliche Bestimmungen verstossen. Er kann sie dann ablehnen, wenn sie unzumutbar sind, durch Änderung der vertraglich vereinbarten Leistungen zu Mehrkosten führen oder durch sie gesetzliche oder behördliche Auflagen nicht erfüllt werden können. 4.3 Er verpflichtet sich, angemessene technische und organi- satorische Massnahmen (4TOM) Personenzu treffen, um die Vertrau- lichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Bearbeitung von Auftragsdaten zu gewährleisten. Da die TOM dem technischen Fortschritt unterliegen, ist er berech- tigt, alternative und adäquate Massnahmen umzusetzen, sofern das Sicherheitsniveau der hier festgelegten Massnah- men nicht unterschritten wird. Die TOM sind in der Beilage 1 detailliert aufgeführt. 4.4 Er verpflichtet sich, unverzüglich schriftlich zu informieren, wenn ihm eine Verletzung der Datensicherheit bekannt wird, die Kenntnis von Auftragsdaten betrifft. Er wird unverzüglich die erforder- lichen Massnahmen treffen, um den Schutz der Auftragsda- ten sicherzustellen und darüber informieren. Darüber hinaus verpflichtet er sich auf schriftliche Anforderung die erforder- lichen Informationen zur Verfügung zu stellen, damit etwai- ge Meldeund Dokumentationspflichten im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung Datensicherheitsverletzung nachgekommen werden kann. 4.5 Er unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich auf schriftliche Anforderung und gegen an- gemessene zusätzliche Vergütung bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung von Be- troffenenrechten und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber Datenschutz-Folgeabschätzungen in Bezug auf Anforderung unverzüglich zuzuleitendie Auftragsdaten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend4.6 Wendet sich ein Betroffener mit seinen Betroffenenrechten direkt an uns, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenver- weisen. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen4.7 Er stellt sicher, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich die bei Ihm mit der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Auftragsbearbeitung befassten Personen die Kontaktdaten des Datenschutzbeauftragten mit oder begründetDatenschutzgrundsätze einhalten, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitund verpflichtet sie zur Vertraulichkeit, auch über die Dauer ihrer Tätigkeit hinaus. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb 4.8 Er wird die Auftragsdaten nach Beendigung der EU Zusammen- arbeit auf Verlangen zurückgeben oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenlöschen, soweit dem keine gesetzlichen Aufbewahrungsfristen oder berechtigten Interessen entgegenstehen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (32) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (43) PersonenDie eingesetzten Mitarbeiter sind auf Datenschutz und Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DSGVO verpflichtet. Mitarbeitende, die Kenntnis von den im Auftrag verarbeiteten auf besondere Kategorien personenbezogener Daten erhalten zugreifen können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensind nach § 203 Strafgesetzbuch auf Verschwiegenheit verpflichtet. (54) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen gemäß der jeweils geltenden gesetzlichen Bestimmungen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (65) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (76) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber ihre Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 7) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) 8) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten unter xxxxxxxxxxx@xxxx.xx wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (109) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (10) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen. (11) Der Auftragnehmer selbst führt für die Verarbeitung ein Verzeichnis der bei ihm stattfindenden Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 1 und 2 DSGVO sowie § 31 KDG. Er stellt dem Auftraggeber auf Anforderung die für die Übersicht nach § 31 KDG notwendigen Angaben zur Verfügung. Des Weiteren stellt er das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten. 1 Nichtzutreffendes bitte streichen.

Pflichten des Auftragnehmers. (1) 2.1 Der Auftragnehmer verarbeitet personenbezogene darf die Daten ausschließlich wie vertraglich vereinbart nicht für andere Zwecke verarbeiten oder wie vom nutzen, als für die sie ihm übergeben werden und ist insbesondere nicht berechtigt, sie ohne schriftliche Zustimmung des Auftraggebers an Dritte weiterzugeben. 2.2 Der Auftragnehmer stellt auf Anforderung dem Auftraggeber angewiesen, es sei denn, die für das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO notwendigen Angaben zur Verfügung. 2.3 Soweit gesetzlich vorgeschrieben benennt der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten eine*n Beauftragte*n für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten der/des Beauftragten für den Datenschutz mit. Ein Wechsel der/des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer ist dem Auftraggeber unverzüglich mitmitzuteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung 2.4 Kopien und Duplikate von Daten werden nicht ohne Wissen des Auftraggebers und unter den in Kapitel V erstellt. Hiervon ausgenommen sind Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie personenbezogene Daten, die im Hinblick auf die Einhaltung gesetzlicher Anforderungen (insbesondere Aufbewahrungspflichten) erforderlich sind. 2.5 Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f) DSGVO bei der Erstellung einer Datenschutz-Grundverordnung enthaltenen Bedingungen sowie Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offenzulegen. 2.6 Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist gestattet soweit die Maßnahmen nach Art. 32 DSGVO auch in diesem Fall sichergestellt werden. 2.7 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers; insbesondere solche Vorfälle, die einen Zugriff durch Unbefugte möglich machen. 2.8 Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den Auftraggeber gemäß Art. 28 Abs. 3 lit. f) DSGVO bei der Einhaltung seiner Meldepflichten unterstützen. 2.9 Der Auftragnehmer ist darüber hinaus verpflichtet, unverzüglich mitzuteilen, welche Maßnahmen durch den Auftragnehmer getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern. 2.10 Der Auftragnehmer hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Bestimmungen dieses Vertrags erfolgenAufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen, zu informieren. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermitteln. 2.11 Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat er den Auftragnehmer zu informieren, der ihn diesbezüglich nach besten Kräften unterstützt. 2.12 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. 2.13 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung des Auftraggebers verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Verein- barungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftraggeber unterliegt, hierzu verpflichtet ist (z. B. Er- mittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer diese dem Auftraggeber diese rechtliche Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht ei- ne solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderenande- ren, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogene Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftragge- ber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Fol- genabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenf DS-GVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftrag- geber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszu - setzen, bis die durch den Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen diese mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an nach vorheriger Terminvereinba- rung berechtigt ist, die Einhaltung der Vorschriften über den Datenschutzbeauftragten wendenDatenschutz und die Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftrag- geber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsicht - nahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt sichert zu, dass er, soweit er- forderlich, bei diesen Kontrollen unterstützend mitwirkt. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer über- wacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragter für den Datenschutz Xxxx Xxxxxxxx Xxxxxxxxxx, 03643 559-145, E-Mail: xxxxxxxxxxx@xxx.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitzuteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie von Betroffenen nur im Rahmen des Auftrages und den Weisungen des Auftrag- gebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikels 28 Abs. 3a DS-GVO vor. Der Auftrag- nehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen an- wendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen bis sie vom Auftraggeber angewiesenbestätigt oder abgeändert wurde. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Daten- schutz-Grundverordnung (Art. 32 DS-GVO) entsprechen. Der Auftragnehmer hat technische und organisatori- sche Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (siehe Anhang über technische und organisatorische Maßnahmen nach Art. 32 DS-GVO). Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmenseiner Möglichkeiten bei der Er- füllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. Unterstützende Tätigkeiten, die über die vertraglich vereinbar- te Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt und sind folglich zusätzlich gegen- über dem Auftragnehmer zu vergüten. Der Auftragnehmer gewährleistet, dass es sei dennden mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen per Ver- pflichtung untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragneh- mer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit ver- pflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulich- keits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. Der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetunterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes perso- nenbezogener Daten des Auftraggebers bekannt werden. Sofern solche Verpflichtungen für ihn bestehen, teilt Er trifft die erforderlichen Maßnahmen zur Sicherung der Auftragnehmer diese Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber vor ab. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Da- tenschutzfragen. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Ge- währleistung der Sicherheit der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboteneinzusetzen. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm anderen Zwecke als die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenVertragserfüllung. Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist soweit dem nicht berechtigte Interessen des Auftragnehmers entgegenstehen. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Auftrag- nehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftragge- bers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich diese der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Auftraggeber. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung Falle einer Inanspruchnahme des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der AufsichtsbehördeAuftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprü- che nach Art. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber Überprüfungen in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an eine Stelle des Auftraggebers weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Der Auftragnehmer sichert zu, dass - insofern eine gesetzliche Notwendigkeit vorliegt - ein Datenschutzbeauftragter bestellt wurde. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen). Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die Vertraulichkeit streng zu wahren. technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (4Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) Personeninnerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Daten, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenverarbeitet werden, haben sich schriftlich zur Vertraulichkeit zu verpflichtennicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer sichert zugerichtet und lässt dieser erkennen, dass die bei der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgebetriebenen Datenanwendung hält, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten und dies dem Antragsteller mitzuteilen. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden). Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit oder begründetdem Auftragsverhältnis stehen, weshalb kein Beauftragter bestellt wurdedem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten8. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. Technische und organisatorische Massnahmen (1TOM) 2.1 Der Auftragnehmer setzt die in Annex 3 dokumentierten technischen und organisatorischen Massnahmen (nachfolgend „TOM“) um und erhält dies aufrecht, welche die Grundlage des vorliegenden Auftrags darstellen. Die Parteien sind sich einig, dass diese TOM ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme, insbesondere unter Berücksichtigung der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des Trennungsgebots, sicherstellen. Die konkreten TOM sind im Einzelfall abhängig von den TOM der jeweils eingebundenen Unterauftragsverarbeiter, die vom Auftragnehmer auf Anfrage zur Verfügung gestellt werden. Dem Auftragnehmer ist es gestattet, seinen Geschäftsbetrieb derart zu organisieren, dass Mitarbeiter auch “remote” bzw. im Home-Office ihren Tätigkeiten zur Erfüllung des Vertragszweckes des Hauptvertrages nachkommen können, solange dabei ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme, sichergestellt wird. 2.2 Die TOM beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind dem Auftraggeber mitzuteilen. 2.3 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich ausschliesslich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 2.4 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen. Personen des Auftragnehmers, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich sind zur Vertraulichkeit zu verpflichtenverpflichtet, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 2.5 Der Auftragnehmer sichert zu, dass macht die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes vertraut und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) 2.6 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. 2.7 Der Auftragnehmer hat einen Datenschutzbeauftragten benannt (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitens. Annex 1). (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. 2.8 Der Auftragnehmer teilt dem Auftraggeber unverzüglich durch ihn oder die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber bei ihm beschäftigten Personen verursachten Verstösse gegen Vorschriften zum Schutz personenbezogener Daten unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb 2.9 Soweit sich eine betroffene Person bezüglich ihrer Datenschutzrechte, insbesondere auf Auskunft, Berichtigung, Löschung und Sperrung, unmittelbar an den Auftragnehmer wendet, wird der EU Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten und/oder des EWRden Betroffenen an den Auftraggeber verweisen. Jegliche Verlagerung Der Auftragnehmer selbst wird keine Entscheidung über die Berechtigung von Ersuchen der Betroffenen treffen und insbesondere auch keine Auskunftsverlangen von Betroffenen beantworten. 2.10 Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei dessen Einhaltung seiner Pflichten nach Art. 33 bis 36 DSGVO im Rahmen seiner Möglichkeiten unterstützen. Hierzu gehören insbesondere: ● die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Massnahmen; ● die unverzügliche Meldung von Verletzungen personenbezogener Daten an den Auftraggeber; ● die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen bei Datenschutzverletzungen zu unterstützen und ihm in ein Drittland darf nur mit Zustimmung diesem Zusammenhang sämtliche verfügbaren Informationen, soweit relevant, unverzüglich zur Verfügung zu stellen; ● die Unterstützung des Auftraggebers und unter den in Kapitel V der für dessen Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Folgenabschätzung; ● die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Bestimmungen dieses Vertrags erfolgenAufsichtsbehörde.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). (2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungKopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Kopien zur Auftragsabwicklung und zur Datensicherung sind von diesem Verbot ausgenommen. (3) Der Auftragnehmer verpflichtet sichsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, bei der Verarbeitung dass die Vertraulichkeit streng zu wahrenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) PersonenDer Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Kenntnis von Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenVerantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (5) Der Auftragnehmer sichert zuhat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, dass die bei ihm zur zu löschen oder deren Verarbeitung eingesetzten Personen vor Beginn einzuschränken, wenn der Verarbeitung mit den relevanten Bestimmungen Auftraggeber dies mittels einer Weisung verlangt soweit dies technisch möglich ist und berechtigte Interessen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAuftragnehmers dem nicht entgegenstehen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auskünfte über personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. (7) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber sowie von ihm beauftragte Dritte bei Verdacht auf Nichteinhaltung der Regelungen dieses Vertrages - grundsätzlich nach Terminvereinbarung vier Wochen im voraus - berechtigt sind, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Direkt an 28 Abs. 3 Satz 2 lit. h DS-GVO). Kosten wie zusätzlicher Personalaufwand, Reisekosten, Dokumentationen und alle damit im Zusammenhang stehenden Aufwände und Aktivitäten, die dem Auftragnehmer durch diese Prüfungstätigkeit des Auftraggebers oder durch ihn gerichtete Anfragen wird er unverzüglich an den beauftragte Dritte entstehen, übernimmt der Auftraggeber weiterleitenvollständig auf erstes Anfordern. (8) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellensichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für den Beauftragten keine Interessenskonflikte bestehensie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden28 Abs. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde3 Satz 2 lit. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitb und Art. 29 DS-GVO). (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten. 1 Nichtzutreffendes bitte streichen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 2 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenführt für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendEin betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit da die Verarbeitung im Auftrag betroffen istgesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. (8) Auskünfte an Dritte oder den Betroffenen darf Dem Auftraggeber wird hinsichtlich der Auftragnehmer nur Verarbeitung der von ihm überlassenen Daten das Recht – grundsätzlich nach vorheriger Zustimmung Terminvereinbarung - Einsichtnahme und Kontrolle, sei es auch durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenvon ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. (9) Soweit gesetzlich verpflichtetDer Auftragnehmer verpflichtet sich, bestellt dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Einhaltung der Auftraggeber direkt an den Datenschutzbeauftragten wenden. in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (10) Der Auftragnehmer teilt dem Auftraggeber unverzüglich unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten des Datenschutzbeauftragten mit im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder begründet, weshalb kein Beauftragter bestellt wurdeUnregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenArt. 34 DSGVO.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Datenschutzes und dieses Vertrags vertraut gemacht wurdenAuftraggebers weiterzuleiten: Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer trägt dafür Sorgeist berechtigt, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung zu üblichen Bürozeiten und mit angemessener Vorlaufzeit - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mit- wirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auf- trag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Die/Der Beauftragte(r) für den Datenschutz Herr/Frau des Auftragnehmers ergibt sich aus Anlage 1. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich an mitzuteilen. Der Auftragnehmer verpflichtet sich, den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtetüber den Ausschluss von etwaig genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer erhaltenen, bestellt für den Auftraggeber relevanten Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren. Für Verpflichtungen aus diesem Vertrag gilt: Kosten für etwaige Unterstützungsleistungen benennt der Auftragnehmer eine fachkundige vorab und zuverlässige Person als Beauftragten für den Datenschutzsind vom Auftraggeber zu zahlen. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 f DS-GVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DS-GVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen über- lassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . • Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) . • Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) . • Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) . • Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Be- ginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen an- gemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung Auftrags- verarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend lau- fend angemessen angeleitet und überwacht werden. (6) . • Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) zuzulei- ten. • Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftrag- nehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) . • Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) . • Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person Per- son als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten Daten- schutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten Kontakt- daten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer Auf- tragnehmer dem Auftraggeber unverzüglich mit. (10) . • Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung Verlage- rung in ein Drittland darf nur mit ausdrücklicher Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. • Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verant- wortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) 4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Sofern der Auftragnehmer ist gesetzlich zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehengesetzlich verpflichtet ist (z.B. bei Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden), teilt der Auftragnehmer diese er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei dennsofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 4.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich, die Mitteilung ist ihm gesetzlich verbotenwenn er der Auffassung ist, dass eine vom Auftraggeber erteilte Weisung gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Umsetzung der entsprechenden Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wurde. 4.3 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) 4.4 Kopien oder Duplikate der personenbezogenen Daten wird der Auftragnehmer ohne Wissen des Auftraggebers nicht erstellen. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 4.5 Der Auftragnehmer bestätigtsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. 4.6 Der Auftragnehmer sichert zu, dass ihm die einschlägigenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, allgemeinen datenschutzrechtlichen Vorschriften bekannt sinddie vom Auftraggeber stammen bzw. Er beachtet für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die Grundsätze ordnungsgemäßer Datenverarbeitunglaufende Verwendung werden dokumentiert. (3) 4.7 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers wird der Auftragnehmer im notwendigen Umfang mitwirken und den Auftraggeber soweit möglich angemessen unterstützen. 4.8 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit streng zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 4.9 Der Auftragnehmer sichert zu, dass er die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. 4.10 Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich überwacht die Einhaltung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdendatenschutzrechtlichen Vorschriften in seinem Betrieb. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der 4.11 Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde informieren, soweit erforderlich sie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenAuftragsverarbeitung beim Auftragnehmer ermittelt. 4.12 Als Datenschutzbeauftragte ist beim Auftragnehmer Xxxx Xxxxxx Xxxxxxxxxx (7xxxxxxxxxxx@xxxxxxx.xx) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilenbestellt. Direkt an ihn gerichtete Anfragen Ein Wechsel des Datenschutzbeauftragten wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitgeteilt. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenanderen Verarbei- tung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumen- tiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbe- sondere folgende Überprüfungen in seinem Bereich durchzuführen: Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftrag- geber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Da- tenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben dem Auftraggeber unverzüglich an folgende Stelle weiterzuleiten: Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Xxx- xxxx solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu lö- schen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenertei- len. Der Auftragnehmer teilt dem erklärt sich damit einverstanden, dass der Auftraggeber unverzüglich - grundsätzlich nach Ter- minvereinbarung - berechtigt ist, die Kontaktdaten Einhaltung der Vorschriften über Datenschutz und Datensicher- heit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mit- wirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auf- tragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privat- wohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwe- cke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auf- trag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Ver- trages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Be- trieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau (Vorname, Name, Organisationseinheit, Telefon) bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Sofern einschlägig: Der Auftragnehmer verpflichtet sich den Auftraggeber über den Ausschluss von genehmigten Verhal- tensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS- GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus ist verpflichtet, die übertragenen Aufgaben ausschließlich im Rahmen der getroffenen Vereinbarungen und Weisungen des Auftraggebers wahrzunehmen. 2. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit be- rechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt. 3. Der Auftraggeber hat die durchgeführten Arbeiten in angemessener Weise mit Zeitpunkt, Art und Weise der ausgeführten Arbeiten bzw. der vorgenommenen Änderungen und der ausführenden Person zu dokumentieren 4. Nach Ende der Beauftragung, hat der Auftragnehmer alle den Auftrag betreffende Unter- lagen (System- und Anwendungsdokumentation, Administrations- und Konfigurationsun- terlagen) dem Auftraggeber auszuhändigen oder auf sein Verlangen hin zu vernichten. Ausgenommen hiervon sind Unterlagen die der Auftragnehmer zur Verarbeitung überlassenen Erfüllung gesetzlicher, z.B. steuerlicher oder handelsrechtlicher, Vorschriften benötigt 5. Im Rahmen der Auftragsabwicklung erhaltene Daten für keine anderenund Datenträger sind dem Auftrag- geber zu übergeben oder auf sein Verlangen hin zu löschen bzw. ordnungsgemäß zu vernichten. 6. Die Beauftragung von Unterauftragnehmern ist nur mit schriftlicher Zustimmung des Auf- traggebers zugelassen. Die Zustimmung kann nur erteilt werden, wenn der Auftragneh- mer Namen und Anschrift des Unterauftragnehmers und die von diesem durchzuführen- den Arbeiten mitteilt. Der Auftragnehmer muss versichern, dass er den Unterauftragneh- mer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen techni- schen und organisatorischen Maßnahmen sorgfältig ausgewählt hat 7. Der Auftragnehmer sichert zu, dass die Arbeiten, soweit sie nicht vor Ort beim Auftragge- ber vorgenommen werden, ausschließlich im Gebiet der Bundesrepublik Deutschland er- bracht werden. Jede Verlagerung von Tätigkeiten in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind. 8. Der Auftragnehmer verpflichtet sich, bei der Durchführung des Auftrags das Datenge- heimnis zu wahren. Soweit im Rahmen einer zu erbringenden Leistung ein Zugriff auf personenbezogene Daten, insbesondere nicht für eigene ZweckeKundendaten, erforderlich ist, hat der Auftrag- nehmer den Auftraggeber vorab darauf hinzuweisen. Der Zugriff ist nur mit Zustimmung des Auftraggebers zulässig. 9. Datenträger mit personenbezogenen Daten, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden (2) z.B. Sicherungsdatenträger), sind eindeutig zu kennzeich- nen. Eingang und Ausgang bzw. der Verbleib sind zu dokumentieren. 10. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen Vorschriften des Bundesdatenschutzgesetzes sowie folgende datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. : § 203 Strafgesetzbuch (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis Verletzung von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5Privatgeheimnissen) Der Auftragnehmer sichert zu, dass er die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftig- ten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholensie auf das Datengeheimnis nach § 5 Bundesda- tenschutzgesetz (BDSG) schriftlich verpflichtet. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich überwacht die Einhal- tung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenhier angegebenen datenschutzrechtlichen Vorschriften. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde11. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). 5.2 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt, hiervon ausgenommen sind Backups und Failover-Lösungen sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) 5.3 Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden; eine physische Trennung ist jedoch nicht erforderlich. 5.4 Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. 5.5 Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: Einhaltung der technischen und organisatorischen Maßnahmen (siehe Anhang 1) Das Ergebnis der Kontrollen ist zu dokumentieren. 5.6 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Datenschutzes Auftraggebers weiterzuleiten: Namentliche Nennung des Datenschutzbeauftragten des Auftraggebers inkl. Email und dieses Vertrags vertraut gemacht wurdenTelefon 5.7 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer trägt dafür Sorgeist berechtigt, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich die Durchführung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (6) Im Zusammenhang mit 5.8 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu anonymisieren, zu löschen oder deren Verarbeitung einzuschränken, wenn der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung dies mittels einer Weisung verlangt und Fortschreibung berechtigte Interessen des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auftragnehmers dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht entgegenstehen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 5.9 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der 5.10 Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). 5.11 Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetsichert zu, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitdass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. 5.12 Die Verarbeitung von Daten in Privatwohnungen (10Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS- GVO sind auch in diesem Fall sicherzustellen. 5.13 Zur Aufrechterhaltung eines 24/7 Serverbetriebs wird der Wartungszugriff auf die datenverarbeitenden Systeme durch IT-Administratoren des Auftragnehmers auch außerhalb der Betriebsstätten des Auftragnehmers explizit erlaubt. 5.14 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. 5.15 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 5.16 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. 5.17 Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Xxxx Xxxx Xxxxxx, Datenschutzmanagement, Gesellschaft für Personaldienstleistungen mbH, Xxxxxxxxxxxxxxxxx 00, 00000 Xxxxxx, Tel.: 0000 00000-00, Email: xxxxxx@xxx00.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) 4.1. Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenvon betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetes liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten3 a) DSGVO vor. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine andereninformiert den Auftraggeber unverzüglich, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtwenn er der Auffassung ist, dass ihm eine Weisung des Auftraggebers gegen die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei DSGVO oder gegen andere Datenschutzbestimmungen der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Europäischen Union oder der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenMitgliedsstaaten verstößt. Der Auftragnehmer trägt dafür Sorgedarf die Umsetzung einer solchen Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Erfüllung Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzanforderungen laufend angemessen angeleitet der DSGVO genügen. Der Auftragnehmer hat technische und überwacht werden. (6) Iorganisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeauf Dauer sicherstellen. Die erforderlichen Angaben zu treffenden Maßnahmen umfassen insbesondere die in Anlage 2 zu dieser Vereinbarung aufgeführten Maßnahmen. Dem Auftraggeber sind diese technischen und Dokumentationen sind vorzuhalten organisatorischen Maßnahmen bekannt und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit er trägt die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenVerantwortung dafür, dass diese für den Beauftragten keine Interessenskonflikte bestehendie Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. In Zweifelsfällen kann sich Diese Maßnahmen unterliegen dem technischen Fortschritt und der Auftraggeber direkt an den Datenschutzbeauftragten wendenWeiterentwicklung. Der Auftragnehmer teilt darf alternative Maßnahmen einsetzen, wenn diese mindestens das Sicherheitsniveau der gemäß Anlage 2 vereinbarten Maßnahmen erreichen. 4.3. Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner (des Auftraggebers) Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen auf Anfrage ferner bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten. 4.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft in solchen Fällen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitab. (104.6. Der Auftragnehmer gewährleistet, seiner Pflicht nach Art. 32 Abs. 1 lit. d) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der EU oder des EWRWirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 4.7. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Der Auftragnehmer ist verpflichtet, nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten des Auftraggebers und unter den in Kapitel V nach dessen Xxxx entweder zu löschen oder zurück zu geben, sofern nicht nach dem Unionsrecht oder dem Recht der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Mitgliedstaaten eine Verpflichtung zur Speicherung der Bestimmungen dieses Vertrags erfolgenpersonenbezogenen Daten besteht.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. 4.1 Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei die Auftragsdaten nur zur Erbringung der Verarbeitung die Vertraulichkeit streng vertraglich vereinbarten Leistungen und auf der Grundlage dieser ABV zu wahrenbearbeiten. 4.2 Weitergehende schriftliche Weisungen wird er nur annehmen, soweit diese nicht gegen offensichtliche datenschutzrechtliche Bestimmungen verstossen. Er kann sie dann ablehnen, wenn sie unzumutbar sind, durch Änderung der vertraglich vereinbarten Leistungen zu Mehrkosten führen oder durch sie gesetzliche oder behördliche Auflagen nicht erfüllt werden können. 4.3 Er verpflichtet sich, angemessene technische und organisatorische Massnahmen (4TOM) Personenzu treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Bearbeitung von Auftragsdaten zu gewährleisten. Da die TOM dem technischen Fortschritt unterliegen, ist er berechtigt, alternative und adäquate Massnahmen umzusetzen, sofern das Sicherheitsniveau der hier festgelegten Massnahmen nicht unterschritten wird. Die TOM sind in der Beilage 1 detailliert aufgeführt. 4.4 Er verpflichtet sich, unverzüglich schriftlich zu informieren, wenn ihm eine Verletzung der Datensicherheit bekannt wird, die Kenntnis von Auftragsdaten betrifft. Er wird unverzüglich die erforderlichen Massnahmen treffen, um den Schutz der Auftragsdaten sicherzustellen und darüber informieren. Darüber hinaus verpflichtet er sich auf schriftliche Anforderung die erforderlichen Informationen zur Verfügung zu stellen, damit etwaige Melde- und Dokumentations- pflichten im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung Datensicherheitsverletzung nachgekommen werden kann. 4.5 Er unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich auf schriftliche Anforderung und gegen angemessene zusätzliche Vergütung bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung von Betroffenenrechten und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber Daten- schutz-Folgeabschätzungen in Bezug auf Anforderung unverzüglich zuzuleitendie Auftragsdaten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend4.6 Wendet sich ein Betroffener zur Geltendmachung seiner Betroffenenrechte direkt an ihn, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenverweisen. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen4.7 Er stellt sicher, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich die bei ihm mit der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Auftragsbearbeitung befassten Personen die Kontaktdaten des Datenschutzbeauftragten mit oder begründetDatenschutzgrundsätze einhalten, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitund verpflichtet sie zur Vertraulichkeit, auch über die Dauer ihrer Tätigkeit hinaus. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb 4.8 Nach Abschluss der EU Leistungserbringung wird er die Auftragsdaten gemäss den Bestimmungen des Hauptvertrages zurückgeben oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenlöschen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetliegt ein Ausnahmefall im Sinne des Artikel 28 Abs. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten3 a) DS-GVO vor. Der Auftragnehmer verwendet darüber hinaus informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die zur Verarbeitung überlassenen Daten für keine anderenUmsetzung der Weisung solange aussetzen, insbesondere nicht für eigene Zweckebis sie vom Auftraggeber bestätigt oder abgeändert wurde. (2) Der Auftragnehmer bestätigtwird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindsie den besonderen Anforderungen des Datenschutzes gerecht wird. Er beachtet wird technische und organisatorische Maßnahmen (geregelt in Anlage 1) zum angemessenen Schutz der Daten des Auftraggebers treffen, die Grundsätze ordnungsgemäßer Datenverarbeitungden Anforderungen der Datenschutz Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. (3) Der Auftragnehmer verpflichtet sich, unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Verarbeitung die Vertraulichkeit streng zu wahrenErfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Artt. 33 bis 36 DS-GVO genannten Pflichten. (4) PersonenDer Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenaußerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, haben dass sich schriftlich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich verpflichtet haben oder einer einschlägigen Geheimhaltungspflicht angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. (5) Der Auftragnehmer sichert zuunterrichtet den Auftraggeber unverzüglich, dass die bei wenn ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Verletzungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenSchutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass trifft die erforderlichen Maßnahmen zur Auftragsverarbeitung eingesetzte Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenspricht sich hierzu unverzüglich mit dem Auftraggeber ab. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und nennt dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Anfragen sind schriftlich an den Ansprechpartner zu richten. Ansprechpartner im Rahmen des Vertrages: Xxxxx Xxxxxxxxx – xxxx@xxxxxx.xxx (7) Wird Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. (8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch Aufsichtsbehörden den Auftraggeber oder andere Stellen gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. Eine Vergütung hierfür ist gesondert zu vereinbaren. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren. Eine Vergütung hierfür ist gesondert zu vereinbaren. (9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. (10) Im Falle einer Kontrolle unterzogen oder machen Inanspruchnahme des Auftraggebers durch eine betroffene Personen ihm gegenüber Rechte geltendPerson hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. Eine Vergütung ist in einem solchen Fall gesondert zu vereinbaren. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenanderen Verarbei- tung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumen- tiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber Überprüfungen in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auf- traggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: – Weisungsbefugter (s.o.) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu lö- schen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensi- cherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Ein- holung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbei- tungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mit- wirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auf- tragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privat- wohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwe- cke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: – – Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Xxxxxxxx- ter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes ver- traut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnis- ses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in sei- nem Betrieb. Beim Auftragnehmer ist als Beauftragter für den Datenschutz: Dipl.-Ing. Xxxxxx Xxxxxxxxx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer erhebt, verarbeitet personenbezogene oder nutzt die Daten und die daraus erzielten Verarbeitungsergebnisse ausschließlich für die Erfüllung des im Hauptvertrag festgelegten Zweckes und der in diesem Zusammenhang schriftlich erteilten Weisungen des Auftraggebers. Er bewahrt die Daten unter Verschluss bzw. unter Einsatz entsprechender technischer Mittel vor unbefugtem Zugriff gesichert nur solange auf, wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, für die Erfüllung der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetgenannten Leistungen erforderlich ist. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenEr gibt sie nicht an Dritte weiter. Der Auftragnehmer verwendet darüber hinaus verpflichtet sich, keine Kopien oder Duplikate der Datenbestände bzw. Datenbanken ohne Wissen des Auftraggebers zu erstellen oder die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeandere Zwecke zu nutzen. (2) Der Auftragnehmer bestätigtträgt die Gewähr dafür, dass ihm die einschlägigenin der Anlage zu § 78a SGB X bzw. § 9 BDSG genannten technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit getroffen sind und eingehalten werden. Ein vorhandenes Sicherheitshandbuch ist zur Verfügung zu stellen oder es ist Einsichtnahme zu ermöglichen. Das Sicherheitshandbuch wird Gegenstand des Vertragsverhältnisses. Sofern ergänzende Weisungen des Auftraggebers schriftlich ergangen sind (vgl. Nr. 4 Abs. 3 dieser Anlage), allgemeinen datenschutzrechtlichen Vorschriften bekannt sindträgt der Auftragnehmer auch die Gewähr für deren Einhaltung. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungIn begründeten Fällen können durch bevollmächtigte Personen des Auftraggebers Einzelanweisungen auch mündlich erteilt werden. Diese bedürfen der unverzüglichen schriftlichen Bestätigung. Die in Anhang A beschriebenen Maßnahmen sind Mindeststandard und der technischen Entwicklung anzupassen. Abweichungen oder Veränderungen sind nur zur Verbesserung des Datenschutzes und der Datensicherheit zulässig. (3) Der Auftragnehmer verpflichtet sichbenennt seine Betriebsstätten und Geschäftsräume, bei die an der Verarbeitung Auftragserfüllung beteiligt werden sollen sowie deren Betriebs- und Geschäftszeiten in Anhang A. Eine Veränderung der Standorte oder Betriebsstätten, an denen die Vertraulichkeit streng zu wahrenDaten verarbeitet und genutzt werden, bedarf der schriftlichen Zustimmung des Auftraggebers. Die Datenverarbeitung oder –nutzung in Privatwohnungen (Heim – oder Telearbeitsplätze) ist nicht gestattet. Datenverarbeitung außerhalb des Geltungsbereichs des Sozialgesetzbuches oder eines Mitgliedsstaates der EU oder anderen Vertragsstaaten des Abkommens über den EWR ist nur zulässig, wenn der Auftraggeber die Zulässigkeit im Sinne der maßgeblichen EU-Richtlinien festgestellt hat. (4) PersonenDer Auftragnehmer stellt sicher, dass ein Zugriff auf die Kenntnis Daten des Auftraggebers von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenanderen Stellen ausgeschlossen ist. (5) Der Auftragnehmer sichert zuverweist an den Auftraggeber, wenn von Betroffenen die Rechte gemäß §§ 81 – 84 SGB X geltend gemacht werden. Er stellt sicher, dass die Daten von Betroffenen bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber Bedarf auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Anweisung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenberichtigt, gelöscht oder gesperrt werden können.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und dieses Vertrags vertraut gemacht wurdenf DSGVO). Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den gemäß Punkt 4 benannten Ansprechpartner weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-rechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz bestellt: Xx. Xxxxxxxxx Xxxxxx Rechtsanwalt, Dipl.-Kfm. Externer Datenschutzbeauftragter IITR Datenschutz GmbH Xxxxxxxxxxx 0 00000 Xxxxxxx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng zu wahrennach Art 32 DSGVO ergriffen hat. (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenSchutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer trägt dafür Sorgewird darauf hingewiesen, dass zur er für die vorliegende Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (6) Im Zusammenhang Wendet sich eine betroffene Person mit der beauftragten Verarbeitung unterstützt Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber soweit erforderlich bei verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der Erfüllung betroffenen Person möglich ist. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner datenschutzrechtlichen PflichtenMöglichkeiten. Der Auftragnehmer haftet nicht, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses wenn das Ersuchen der Verarbeitungstätigkeitenbetroffenen Person vom Auftraggeber nicht, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht richtig oder nicht fristgerecht beantwortet wird. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder den Betroffenen darf in dessen Auftrag zu vernichten. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich wie im Rahmen der mit dem Auftraggeber vertraglich vereinbart oder wie getroffenen Vereinbarungen und unter Einhaltung der ggf. vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich erteilten ergänzenden Weisungen zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeverarbeiten. (2) Der Auftragnehmer bestätigtverpflichtet sich, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt im Auftrag des Auftragnehmers verarbeiteten Daten im erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sichist verpflichtet, bei dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung durch ihn oder andere mit der Verarbeitung beschäftigte Personen erfolgt ist, unverzüglich in Textform mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die Vertraulichkeit streng zu wahrender Auftragnehmer im Auftrag des Auftraggebers verarbeitet. (4) PersonenDer Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die Kenntnis von den der Auftragnehmer im Auftrag verarbeiteten des Auftraggebers erbringt, betreffen kann. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits so wird er - sofern gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenzulässig - den Auftraggeber unverzüglich darüber informieren und die Behörde an diesen verweisen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der diesem im Falle von Datenschutzverletzungen obliegenden Meldepflichten nach Art. 33, dass 34 DSGVO. Insbesondere wird der Auftraggeber dem Auftragnehmer jeden unbefugten Zugriff auf personenbezogene Daten, die bei ihm im Auftrag des Auftraggebers verarbeitet werden, unverzüglich mitteilen. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen: • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze; • eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Verarbeitung eingesetzten Personen vor Beginn Behebung der Verarbeitung mit den relevanten Bestimmungen Verletzung des Datenschutzes Schutzes personenbezogener Daten und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass gegebenenfalls Maßnahmen zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAbmilderung ihrer möglichen nachteiligen Auswirkungen. (6) Im Zusammenhang mit Der Auftraggeber ist für die Wahrung der beauftragten Verarbeitung unterstützt der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenPflicht, Anträge von Betroffenen nach Art. 12 bis 23 DSGVO zu bearbeiten, zu unterstützen. Der Auftragnehmer hat dabei insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der VerarbeitungstätigkeitenSorge dafür zu tragen, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördedass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten12 Abs. 3 DSGVO nachkommen kann. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Der Auftragnehmer den Auftraggeber im erforderlichen Umfang führt ein Verzeichnis zu unterstützen, soweit die Verarbeitung allen Kategorien von im Auftrag betroffen istdes Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gemäß § 30 Abs. 2 DSGVO enthält. Der Auftragnehmer stellt das Verzeichnis dem Auftraggeber auf Anforderung zur Verfügung. (8) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung Auskünfte an Dritte oder den Betroffenen darf zu erteilen und insbesondere die Umsetzung der Auftragnehmer nur nach vorheriger Zustimmung technischen und organisatorischen Maßnahmen nachzuweisen. Für die Ermöglichung von Kontrollen durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenkann der Auftragnehmer einen Vergütungsanspruch geltend machen. (9) Soweit gesetzlich Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, bestellt der Auftragnehmer eine fachkundige alle Verarbeitungsergebnisse und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenUnterlagen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendie Daten enthalten, zu vernichten. Der Auftragnehmer teilt dem Auftraggeber unverzüglich hat die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitdie unverzügliche Vernichtung von Verarbeitungsergebnissen und Daten enthaltenden Unterlagen auch bei Subunternehmern herbeizuführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an einen der unten genannten Weisungsberechtigten des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftraggebers weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er unverzüglich an die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber weiterleiten. für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (9) Soweit gesetzlich verpflichtet, bestellt Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer eine fachkundige und zuverlässige Person ist als Beauftragten Beauftragter für den DatenschutzDatenschutz Xxxx Xxxxxxx Xxxxxxxxxxxx, Eschenbacher IT-Consulting & Service, Xxxxxxxxxxx 00, 00000 Xxxxxxxx, Tel. Es 0000 000000, xxxxxxxxxxx@xxxxx-xxxxxx.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehendem Auftraggeber unverzüglich mitzuteilen. In Zweifelsfällen kann sich Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DS-GVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden, es sei denn, sofern der Auftragnehmer ist gesetzlich nicht zu einer bestimmten anderen Verarbeitung verpflichtetdurch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). Sofern solche Verpflichtungen für ihn bestehen, In diesem Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine derartige Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Kunden nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Kunden verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Kunden stammen bzw. für den Kunden genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Kunden die in einem gesonderten Dokument festgelegten Überprüfungen in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Rechte von betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Kunden, bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Kunden hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Kunden, soweit möglich, angemessen zu unterstützen (2Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Der Auftragnehmer hat die dazu erforderlichen Angaben jeweils unverzüglich an den Kunden weiterzuleiten. Der Auftragnehmer wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden erteilte Weisung seiner Ansicht nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist dazu berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Kunden nach Überprüfung bestätigt oder geändert wird. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Kunde dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder an die Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Kunden erteilen. Der Auftragnehmer erklärt sich damit einverstanden, dass der Kunde ‒ grundsätzlich nach Terminvereinbarung ‒ dazu berechtigt ist, die Einhaltung der Vorschriften für Datenschutz und Datensicherheit sowie die Einhaltung der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Kunden beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Kunden gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicherzustellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sichsich auch dazu, die folgenden für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Kunden obliegen, z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB. Einzelheiten dazu werden in einem gesonderten Dokument vereinbart. Der Auftragnehmer verpflichtet sich dazu, die Vertraulichkeit bei der auftragsgemäßen Verarbeitung die Vertraulichkeit streng der personenbezogenen Daten des Kunden zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur . Diese Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und dieses Vertrags vertraut gemacht wurdenfür die Zeit ihrer Tätigkeit, wie auch nach Beendigung des Beschäftigungsverhältnisses, in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Entsprechende Schulungs- 28 Abs. 3 Satz 2 lit. b und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenArt. 29 DSGVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich überwacht die Einhaltung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenVorschriften in seinem Betrieb. Der Auftragnehmer teilt dem Auftraggeber verpflichtet sich dazu, den Kunden über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitzu informieren. a. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten 142. Unterauftragsverhältnisse mit Subunternehmern (10Art. 28 Abs. 3 Satz 2 lit. d DSGVO) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder 143. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. C DSGVO) 144. Verpflichtungen des EWRAuftragnehmers nach Beendigung des Auftrags, Art. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.28 Abs. 3 Satz 2 lit. g DSGVO

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist den behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng zu wahrennach Art 32 DSGVO ergriffen hat. (4) PersonenDer Auftragnehmer ergreift die nötigen technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördedass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird, hinsichtlich der Verarbeitung der von ihm überlassenen Daten, das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten, solange keine gesetzliche Aufbewahrungsplicht für die Daten besteht. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtetDer Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, bestellt falls er der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenAnsicht ist, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung eine Weisung des Auftraggebers und unter den in Kapitel V gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten verstößt.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart verein- bart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer ei- ner bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen einschlägi- gen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Be- ginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen an- gemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung Auf- tragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber Auf- traggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere insbe- sondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der AufsichtsbehördeAuf- sichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftrag- nehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung Zustim- mung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt be- stellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung Verlage- rung in ein Drittland darf nur mit ausdrücklicher Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er, soweit ver- pflichtet, einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Da- tenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderun- gen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags dieser Vereinbarung vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags dieser Vereinbarung erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene hat Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich nur nach Weisung des Auftraggebers unter Beachtung von Xxxx. 7 dieser Vereinbarung zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenverarbeiten. Der Auftragnehmer verwendet darüber hinaus hat ausschließlich nach Weisung des Auftraggebers die zur Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung überlassenen einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten für keine anderenoder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, insbesondere nicht für eigene Zweckewird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten. (2) Der Auftragnehmer bestätigtstellt sicher und kontrolliert regelmäßig, dass ihm die einschlägigenDatenverarbeitung und - nutzung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindder Unterauftragnehmer nach Ziff. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung10 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt. (3) Der Auftragnehmer verpflichtet sichdarf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsdatenverarbeitung keine Kopien oder Duplikate der Daten des Auftraggebers anfertigen. Hiervon ausgenommen sind jedoch Kopien, bei soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Verarbeitung Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die Vertraulichkeit streng zu wahrenzur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (4) Personen, Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Kenntnis von den Aufsichtsbehörde im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenRahmen des Zumutbaren und Erforderlichen, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegendiese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten in Höhe von 150 Euro pro Stunde. (5) Der Auftragnehmer sichert zu, dass teilt dem Auftraggeber die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung Kontaktdaten des betrieblichen Datenschutzbeauftragten mit (sofern ein solcher vom Auftragnehmer nach den relevanten gesetzlichen Bestimmungen zu bestellen ist) und den Ansprechpartner für im Rahmen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenanfallende Datenschutzfragen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich hat die bei der Erfüllung seiner datenschutzrechtlichen PflichtenVerarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Art. 28 Abs. 3 S. 2 lit. b, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten29, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde32 Abs. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten4 DSGVO zur Vertraulichkeit zu verpflichten. (7) Wird Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Daten des Auftraggebers gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus dieser Vereinbarung verstoßen haben und die Voraussetzungen der Art. 33, 34 DSGVO vorliegen. Soweit den Auftraggeber durch Aufsichtsbehörden oder andere Stellen gesetzliche Informationspflichten wegen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendunrechtmäßigen Kenntniserlangung von Daten des Auftraggebers (insbesondere nach Art. 33, verpflichtet sich 34 DSGVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im erforderlichen Umfang Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte . Meldungen nach Art. 33 oder 34 DSGVO für den Betroffenen Auftraggeber darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.Weisung durchführen

Pflichten des Auftragnehmers. (1) . Der Auftragnehmer verarbeitet darf personenbezogene Daten ausschließlich wie vertraglich vereinbart nur im Rahmen des Auftrages und auf Weisung des Auftraggebers verarbeiten, sofern er nicht durch das Recht der Union oder wie vom Auftraggeber angewiesender Mitgliedstaaten, es sei denn, dem der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetunterliegt, hierzu verpflichtet ist. Sofern solche Verpflichtungen für ihn bestehen, In einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Dem Auftragnehmer ist es sei denngestattet, die Mitteilung ist ihm gesetzlich verbotenverfahrens- und sicherheitstechnisch erforderliche Kopien oder Duplikate zu erstellen (z.B. Datensicherungen, Caching, Log-Dateien etc.). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine andereninformiert den Auftraggeber unverzüglich, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtwenn er der Auffassung ist, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholeneine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer trägt dafür Sorgedarf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Erfüllung Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzanforderungen laufend angemessen angeleitet Datenschutz-Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und überwacht werden. (6) Iorganisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt auf Dauer sicherstellen (vgl. Anlage 1). Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenvorbehalten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeitenwobei jedoch sichergestellt sein muss, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der 3. Der Auftragnehmer unterstützt den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istRahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden4. Der Auftragnehmer teilt gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 6. Beim Auftragnehmer ist als Ansprechpartner und Beauftragter für den Datenschutz Xxxx Xxxxxx Xxxxxx, 0821 - 32871103, xxxxxxxxxxx@xxxxxx.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetmitzuteilen. 7. Der Auftragnehmer gewährleistet, weshalb kein Beauftragter bestellt wurdeseinen Pflichten nach Art. Änderungen in 32 Abs. 1 lit. d) DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 8. Im Rahmen der beauftragten Dienstleistung verarbeitete Daten wird der Auftragnehmer auf Weisung des Auftraggebers aushändigen, berichtigen oder löschen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren. 9. Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen nach Xxxx des Verantwortlichen entweder zurückzugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur weiteren Speicherung der personenbezogenen Daten besteht. Die Löschung ist dem Auftraggeber unverzüglich mitmit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. 10. Die Datenverarbeitung durch den Auftragnehmer findet ausschließlich in Ländern statt, die der Europäischen Union oder dem Europäischen Wirtschaftsraum (10EU/EWR) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenangehören.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 – 36 der DS‐GVO genannten Pflichten zur Sicherstellung der Sicherheit personenbezogener Daten, in Bezug auf Meldepflichten bei Datenpannen, der Erstellung von Datenschutz‐Folgeabschätzungen und vorherigen Konsultationen. 3.2 Der Auftragnehmer ist verpflichtet, personenbezogene Daten, die ihm auf der Grundlage des mit dem Auftraggeber geschlossenen Hauptvertrages zugänglich werden, ausschließlich im Rahmen der von dem Auftraggeber getroffenen Weisungen zu verarbeiten. Der Auftragnehmer darf die Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten (Artikel 29 DS‐GVO) außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3a) DS‐GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Auftraggebers gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Kopien von erhobenen oder zur Datenverarbeitung überlassenen Daten werden nicht erstellt. Hiervon ausgenommen sind Sicherungskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung. Der Auftragnehmer hat personenbezogene Daten zu berichtigen, zu löschen oder zu sperren, vorbehaltlich einer anderweitigen Verpflichtung nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland, wenn der Auftraggeber, ihn hierzu anweist. 3.3 Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im, bzw. gehen in das Eigentum des Auftraggebers über. Sie werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Ein‐ und Ausgang werden dokumentiert. Der Auftragnehmer wird diese so sorgfältig verwahren, dass sie Dritten nicht zugänglich sind. 3.4 Der Auftragnehmer wird gemäß Artikel 32 DS‐GVO zur ordnungsgemäßen Erfüllung seiner vertraglichen Verpflichtungen im Rahmen der Auftragsverarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, insbesondere seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht und ein angemessenes Schutzniveau erreicht wird. Er wird sich hierbei soweit möglich insbesondere auch der Pseudonymisierung und der Verschlüsselung personenbezogener Daten bedienen. Er wird ferner technische und organisatorische Maßnahmen („TOMs“ Anhang 3) zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Anforderungen der Datenschutz‐Grundverordnung (Artikel 28 Abs. 3 lit. c, Artikel 24, Artikel 32 DS‐GVO insbesondere i.V.m. Artikel 5 Abs. 2 DS‐GVO i.V.m. § 64 BDSG) genügen. Dies beinhaltet insbesondere: 3.4.1 Unbefugten den Zugang zu Verarbeitungsanlagen, mit denen die Verarbeitung personenbezogener Daten durchgeführt wird, zu verwehren (Zugangskontrolle/Zutrittskontrolle), 3.4.2 zu verhindern, dass Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können (Datenträgerkontrolle/Weitergabekontrolle), 3.4.3 zu verhindern, dass personenbezogene Daten unbefugt eingegeben sowie gespeicherte personenbezogene Daten unbefugt zur Kenntnis genommen, verändert oder gelöscht werden (Speicherkontrolle/Zugangskontrolle), 3.4.4 zu verhindern, dass automatisierte Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung unbefugt genutzt werden (Benutzerkontrolle/Zugangskontrolle), 3.4.5 zu gewährleisten, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich wie vertraglich vereinbart zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. (Zugriffskontrolle), 3.4.6 zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogener Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder wie vom Auftraggeber angewiesenzur Verfügung gestellt wurden oder werden können (Übertragungskontrolle/Weitergabekontrolle), 3.4.7 zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle/Zugangskontrolle), 3.4.8 zu gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle/Weitergabekontrolle), 3.4.9 zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit/Verfügbarkeitskontrolle), 3.4.10 zu gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit/Incident‐Response‐Management), 3.4.11 zu gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität/Verfügbarkeitskontrolle), 3.4.12 zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen Auftraggebers verarbeitet werden können (Auftragskontrolle), 3.4.13 zu gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) 3.4.14 zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. (Trennbarkeit/Trennungsgebot/Trennungskontrolle). Näheres ergibt sich aus dem Anhang 3 ( Datensicherheit, TOM) zu dieser Vereinbarung. Der Auftragnehmer stellt ferner sicher, dass über ein von ihm implementiertes Verfahren (in Bezug auf Ziffer 3.4.1 – 3.4.7) die regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit sowie die Nachweisbarkeit der vorstehend aufgeführten technischen und organisatorischen Maßnahmen gewährleistet ist. 3.5 Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Er stellt ferner sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß Artikel 29 DS‐GVO diese Daten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland zur Verarbeitung verpflichtet sind, ausschließlich auf Weisung des Verantwortlichen verarbeiten und in die Schutzbestimmungen der Datenschutz‐Grundverordnung eingewiesen worden sind sowie ergänzend in die innerbetrieblichen Richtlinien des Auftragnehmers eingewiesen und zu deren Einhaltung verpflichtet worden sind. 3.6 Der Auftragnehmer ist gesetzlich benennt dem Auftraggeber gegenüber unverzüglich, soweit er zu einer bestimmten Verarbeitung verpflichtetBestellung gesetzlich verpflichtet ist, den Datenschutzbeauftragten, der seine Tätigkeit gem. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese Artikel 38 und 39 DS‐GVO ausübt. Dessen Kontaktdaten werden dem Auftraggeber vor zum Zwecke der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verbotenKontaktaufnahme mitgeteilt. Jeder Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. 3.7 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeübergibt dem Auftraggeber auf dessen Anforderung das gemäß Artikel 30 Abs. (2) 3.8 Der Auftragnehmer bestätigtunterrichtet den Auftraggeber ferner unverzüglich bei schwerwiegenden Störungen des Betriebsablaufs, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Verdacht auf Datenschutzverletzungen oder über andere datenschutzrelevante Unregelmäßigkeiten bei der Verarbeitung die Vertraulichkeit streng zu wahrender Daten. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn 3.9 Nach Abschluss der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt vertraglichen Arbeiten hat der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder auf dessen schriftliche Anforderung sämtliche in seinen Besitz gelangten Unterlagen des EWRAuftraggebers, die im Zusammenhang mit dem Auftragsverhältnis stehen, auszuhändigen. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Datenträger, die Daten des Auftraggebers und unter als „verantwortliche Stelle“ beinhalten, sind hinsichtlich der betreffenden Daten vorbehaltlich einer anderweitigen Verpflichtung nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland insoweit physisch zu löschen. Die Löschung ist dem Auftraggeber schriftlich zu bestätigen. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, die auf Einzelanweisungen beruhen, welche über den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenvertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) 3.2 Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 3.3 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) 3.4 Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 3.5 Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) 3.6 Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) 3.7 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 3.8 Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der 3.9 Der Auftragnehmer stellt eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) 3.10 Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. 3.11 Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: Die Überprüfung der technischen und organisatorischen Maßnahmen erfolgt jährlich durch die Datenschutzbeauftragte. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Der Auftragnehmer gewährleistet die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeiten - oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn gerichtete Anfragen wird der Auftragnehmer nach besten Kräften zu unterstützen. Wenn und soweit der Auftragnehmer im Zusammenhang mit der Verarbeitung von Daten eine Anfrage einer Aufsichtsbehörde oder sonstigen zuständigen Stelle erhält, hat er den Auftraggeber unverzüglich zu informieren und die Anfrage unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten. Die Verarbeitung von Daten in Privatwohnungen (9Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privat- wohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO und unter des BDSG bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte für den Datenschutz bestellt: Xxxx Xxxxx Xxxxxxxx, shQ Consulting, Xxxxxxxxxxxxxx 00, 00000 Xxxxxxxxxx Tel: +00 (0)0000 0000000 Mobil: +00 (0) 0000000000 eMail: xxxxx.xxxxxxxx@xxx-xxxxxxxxxx.xx Der Auftragnehmer unterhält eine Datenschutzorganisation, die den Nachweispflichten aus Art. 5 Abs. 2 DSGVO genügt und insbesondere die Anforderungen an eine datenschutzkonforme Gestaltung der Datenverarbeitung gem. Art. 25 DSGVO erfüllt. Auf Anfrage des Auftraggebers weist der Auftragnehmer das Vorhandensein der Datenschutzorganisation in geeigneter Weise nach. Insbesondere hat der Auftragnehmer ein internes Meldesystem vorzuhalten, das dem Auftraggeber die Einhaltung der Meldefrist aus Art. 33 DSGVO ermöglicht. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutz-behörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Entsprechend der Definition Art. 32 DS-GVO Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Datenschutzes und dieses Vertrags vertraut gemacht wurdenAuftraggebers weiterzuleiten: E-Mail: Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer trägt dafür Sorgeist berechtigt, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS- GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind (z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.). Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. ⌧ Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Beratungshaus Xxxx Xxxxxx Xx xxx Xxxxxxxxxxx 0x 00000 Xxxxxx Telefon: 0 34 31 – 60 58 28 E-Mail: xxxx.xxxxxx@x-xxxxxx.xx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Sofern einschlägig: Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers wirkt der Auftragnehmer im notwendigen Umfang mit und unterstützt den Auftraggeber soweit möglich in angemessener Art und Weise (2) Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Der Auftragnehmer macht den Auftraggeber darauf aufmerksam, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Der Auftragnehmer berichtigt, löscht oder schränkt die Verarbeitung an personenbezogene Daten aus dem Auftragsverhältnis ein, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen erteilt der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer wirkt, soweit erforderlich, bei diesen Kontrollen unterstützend mit. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, wahrt bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Vertraulichkeit. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass macht die bei ihm zur Verarbeitung eingesetzten Personen der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Beginn Aufnahme der Verarbeitung Tätigkeit mit den relevanten für sie maßgebenden Bestimmungen des Datenschutzes vertraut und dieses Vertrags vertraut gemacht wurdenverpflichtet diese für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit (Art. Entsprechende Schulungs- 28 Abs. 3 Satz 2 lit. b und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenArt. 29 DS-GVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.datenschutzrechtlichen Vorschriften in seinem Betrieb. Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Erfordernis hierzu vorliegt

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetliegt ein Ausnahmefall im Sinne des Art. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten28 Abs. 3 lit. a DS-GVO vor. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine andereninformiert den Auftraggeber unverzüglich, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtwenn er der Auffassung ist, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholeneine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer trägt dafür Sorgedarf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Erfüllung Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzanforderungen laufend angemessen angeleitet Datenschutz- Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und überwacht werden. (6) Iorganisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenvorbehalten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeitenwobei jedoch sichergestellt sein muss, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der 3.3 Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf Rahmen seiner Möglichkeiten bei der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilenErfüllung der Anfragen und Ansprüche betroffenen Personen gem. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V III der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei der Einhaltung der Bestimmungen dieses Vertrags erfolgenin Artt. 33 36 DS GVO genannten Pflichten. 3.4 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 3.5 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 3.6 Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. 3.7 Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 3.8 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. 3.9 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). 3.2 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 3.3 Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Das Ergebnis der Kontrollen ist zu dokumentieren. 3.4 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die weisungsberechtigte Person des Datenschutzes und dieses Vertrags vertraut gemacht wurdenAuftraggebers weiterzuleiten. 3.5 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer trägt dafür Sorgeist berechtigt, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich die Durchführung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (6) Im Zusammenhang mit 3.6 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung dies mittels einer Weisung verlangt und Fortschreibung berechtigte Interessen des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auftragnehmers dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht entgegenstehen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 3.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. 3.8 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Direkt an ihn gerichtete Anfragen wird 28 Abs. 3 Satz 2 lit. h DS-GVO). 3.9 Der Auftragnehmer ist verpflichtet, soweit erforderlich, bei diesen Kontrollen unterstützend mitzuwirken. 3.10 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Auf besondere Geheimnisschutzregeln weist der Auftraggeber den Auftragnehmer zuvor hin. 3.11 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 3.12 Der Auftragnehmer gewährleistet, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). 3.13 Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Die/Der Beauftragte(r) für den Datenschutz Herr/Frau des Auftragnehmers ergibt sich aus Anlage 1. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich an mitzuteilen. 3.14 Der Auftragnehmer verpflichtet sich, den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtetüber den Ausschluss von etwaig genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer erhaltenen, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den DatenschutzAuftraggeber relevanten Zertifizierung nach Art. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen42 Abs. In Zweifelsfällen kann sich 7 DS-GVO unverzüglich zu informieren 3.15 Mitteilungspflichten des Auftragnehmers bei Störungen der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten 3.16 Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DS-GVO. 3.17 Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DS-GVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). (2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungKopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Kopien zur Auftragsabwicklung und zur Datensicherung sind von diesem Verbot ausgenommen. (3) Der Auftragnehmer verpflichtet sichsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, bei der Verarbeitung dass die Vertraulichkeit streng zu wahrenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) PersonenDer Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Kenntnis von Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den im Auftrag verarbeiteten Daten erhalten können, haben sich Verantwortlichen beim Auftraggeber nach Überprüfung schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenbestätigt oder geändert wird. (5) Der Auftragnehmer sichert zuhat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, dass die bei ihm zur zu löschen oder deren Verarbeitung eingesetzten Personen vor Beginn einzuschränken, wenn der Verarbeitung mit den relevanten Bestimmungen Auftraggeber dies mittels einer Weisung verlangt soweit dies technisch möglich ist und berechtigte Interessen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAuftragnehmers dem nicht entgegenstehen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auskünfte über personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. (7) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber sowie von ihm beauftragte Dritte bei Nichteinhaltung der Regelungen dieses Vertrages - grundsätzlich nach Terminvereinbarung vier Wochen im voraus - berechtigt sind, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Direkt an 28 Abs. 3 Satz 2 lit. h DS-GVO). Kosten wie zusätzlicher Personalaufwand, Reisekosten, Dokumentationen und alle damit im Zusammenhang stehenden Aufwände und Aktivitäten, die dem Auftragnehmer durch diese Prüfungstätigkeit des Auftraggebers oder durch ihn gerichtete Anfragen wird er unverzüglich an den beauftragte Dritte entstehen, übernimmt der Auftraggeber weiterleitenvollständig auf erstes Anfordern. (8) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellensichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für den Beauftragten keine Interessenskonflikte bestehensie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden28 Abs. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde3 Satz 2 lit. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitb und Art. 29 DS-GVO). (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) 4.2 Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 4.3 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) . Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 4.4 Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) 4.5 Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.Angaben (7) 4.6 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 4.7 Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. 4.8 Der Auftragnehmer teilt sichert zu, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt zu haben, dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen erforderliche Zeit zur Erledigung seiner Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitgewährt wird. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen darf Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den betroffenen Personen nur im Auftrag verarbeiteten Daten erhalten könnenRahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenDS-GVO vor. Der Auftragnehmer trägt dafür Sorgeinformiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenWeisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz- Grundverordnung (6Art. 32 DS-GVO) Igenügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. 3. Datenschutzbeauftragter: Es ist kein externer Datenschutzbeauftragter bestellt, da dies nach den derzeitigen gesetzlichen Anforderungen nicht erforderlich ist. Ansprechpartner für alle Fragen des Datenschutzes bei hyperspace ist Xxxx Xxxxxxxx, Mitglied der Geschäftsleitung. Er ist erreichbar unter der E-Mail xxxxxxxxxxx@xxxxxxxxxx.xx 4. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 5. Der Auftragnehmer unterstützt der Auftragnehmer soweit vereinbart den Auftraggeber soweit erforderlich im Rahmen seiner Möglichkeiten bei der Erfüllung seiner datenschutzrechtlichen der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten. (Anmerkung: Im Hauptvertrag können die Parteien hierzu eine Vergütungsregelung treffen). 6. Der Auftragnehmer gewährleistet, insbesondere bei Erstellung dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und Fortschreibung des Verzeichnisses andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der VerarbeitungstätigkeitenWeisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, bei Durchführung dass sich die zur Verarbeitung der Datenschutzfolgeabschätzung und personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer notwendigen Konsultation der Aufsichtsbehördeangemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 7. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 8. Der Auftragnehmer trifft die erforderlichen Angaben Maßnahmen zur Sicherung der Daten und Dokumentationen sind vorzuhalten zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber auf Anforderung unverzüglich zuzuleitenab. (79. Ansprechpartner beim Auftragnehmer für im Rahmen des Vertrages anfallende Datenschutzfragen ist Xxxx Xxxxxxxx, Geschäftsführer der hyperspace GmbH. Anfragen sind per E-Mail zu richten an: xxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxx.xx 10. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) Wird DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 11. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch Aufsichtsbehörden den Auftraggeber oder andere Stellen gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Hauptvertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Hauptvertrag bereits vereinbart. 12. Daten, exklusiv genutzte Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. 13. Im Falle einer Kontrolle unterzogen oder machen Inanspruchnahme des Auftraggebers durch eine betroffene Personen ihm gegenüber Rechte geltendPerson hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer Auftragnehmer, den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggeber angewiesen, es sei denn, n verarbeiten. Sofern der Auftragnehmer ist gesetzlich durch nationales oder europäisches Recht zu einer bestimmten hiervon abweichenden Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenverpflichtet ist, teilt der Auftragnehmer diese dem weist er – sofern dies rechtlich zulässig ist – den Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenauf diesen Umstand hin. Der Auftragnehmer trägt dafür Sorgeinformiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenWeisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. (6) I3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Ziffer 9 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggeber treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenzu verarbeitenden Daten ein angemessenes Schutzniveau bieten. (7) Wird 3.3 Eine Änderung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendgetroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmenden vorbehalten, verpflichtet sich der wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 3.4 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten und der vertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. 3.5 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggeber befassten Mitarbeitern und anderen für den Auftragnehmenden tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Auftraggeber zu verarbeiten. Ferner gewährleistet der Auftragnehmende, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 3.6 Der Auftragnehmer unterrichtet den Auftraggeber n unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggeber n bekannt werden. Der Auftragnehmer trifft die erforderlichen Umfang zu unterstützen, soweit Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 3.7 Der Auftragnehmer nennt dem Auftraggeber auf Anfrage den Ansprechpartner bzw. die Verarbeitung Ansprechpartnerin für im Auftrag betroffen istRahmen des Vertrages anfallende Datenschutzfragen. (8) Auskünfte an Dritte 3.8 Der Auftragnehmer gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 3.9 Der Auftragnehmer berichtigt oder den Betroffenen darf löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer nur nach vorheriger Zustimmung die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenn, sofern nicht im Vertrag bereits vereinbart. (9) Soweit gesetzlich verpflichtet3.10 Daten, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggeber direkt an den Datenschutzbeauftragten wendenn entweder herauszugeben oder zu löschen. Der Auftragnehmer teilt dem Auftraggeber unverzüglich ist berechtigt bis zur Erfüllung gesetzlicher oder vertraglicher Aufbewahrungsfristen die Kontaktdaten des Datenschutzbeauftragten mit Daten oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in eine Kopie der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitDaten aufzubewahren. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rah- men der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zu- lässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu ver- weisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer ange- messenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVer- schwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewähr- leistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auf- traggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entschei- dungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und über- lässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Ver- letzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschät- zung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Daten- verarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Ver- einbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungser- gebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten1. Wenn der Auf- tragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMit- gliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder wie vom Auftraggeber angewiesender Mitgliedstaaten, es sei denn, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und dieses Vertrags vertraut gemacht wurdenf DS-GVO). Entsprechende Schulungs- Er hat die dazu erforderlichen Angaben jeweils unverzüglich an das Referat Datenschutz und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenInformationssicherheit weiterzuleiten. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenbestätigt, dass ihm die für den Beauftragten keine Interessenskonflikte bestehendie Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. In Zweifelsfällen kann sich der Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber direkt an den Datenschutzbeauftragten wendenobliegen. Der Auftragnehmer teilt verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau Xxxxxx, Xxxxxx, Technische Leitung, xxxxxxx@xxxxxxxxx.xxx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetmitzuteilen. Der Auftragnehmer verpflichtet sich, weshalb kein Beauftragter bestellt wurdeden Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. Änderungen in der Person oder 41 Abs. 4 DS-GVO und den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich mitzu informieren. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers , es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). 5.2 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (2) 5.3 Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 5.4 Bilddaten werden grundsätzlich auf elektronischem Wege, insbesondere im Shop-System angeliefert, so dass eine Datenträgerbasierte Auftragserteilung die Ausnahme ist. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung des Druckauftrags für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: - Prüfung der Druckqualität; Einhaltung der getroffenen technischen und organisatorischen Maßnahmen Das Ergebnis der Kontrollen ist zu dokumentieren. 5.5 Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei gegebenenfalls erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördef DSGVO). Die Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: (Stelle des Auftraggebers) 5.6 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und Dokumentationen sind vorzuhalten und berechtigte Interessen des Auftragnehmers dem Auftraggeber auf Anforderung unverzüglich zuzuleitennicht entgegenstehen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 5.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der 5.8 Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). 5.9 Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. 5.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 5.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Ansprechpartner in Sachen Datenschutz ist Xxxx Xxxx Xxxxxxxx. E-Mail: xxxxxxxxxxx@xxxxx.xx 5.12 Der Auftragnehmer wird den in Kapitel V Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nach- zuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Bestimmungen dieses Vertrags erfolgenAufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich wie im Rahmen der mit dem Auftraggeber vertraglich vereinbart oder wie getroffenen Vereinbarungen und unter Einhaltung der ggf. vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich erteilten ergänzenden Weisungen zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeverarbeiten. (2) Der Auftragnehmer bestätigtverpflichtet sich, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt im Auftrag des Auftragnehmers verarbeiteten Daten im erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sichist verpflichtet, bei dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung durch ihn oder andere mit der Verarbeitung beschäftigte Personen erfolgt ist, unverzüglich in Textform mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die Vertraulichkeit streng zu wahrender Auftragnehmer im Auftrag des Auftraggebers verarbeitet. (4) PersonenDer Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die Kenntnis von den der Auftragnehmer im Auftrag verarbeiteten des Auftraggebers erbringt, betreffen kann. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits so wird er - sofern gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenzulässig - den Auftraggeber unverzüglich darüber informieren und die Behörde an diesen verweisen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der diesem im Falle von Datenschutzverletzungen obliegenden Meldepflichten nach Art. 33, dass 34 DSGVO. Insbesondere wird der Auftraggeber dem Auftragnehmer jeden unbefugten Zugriff auf personenbezogene Daten, die bei ihm im Auftrag des Auftraggebers verarbeitet werden, unverzüglich mitteilen. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen: • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze; • eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Verarbeitung eingesetzten Personen vor Beginn Behebung der Verarbeitung mit den relevanten Bestimmungen Verletzung des Datenschutzes Schutzes personenbezogener Daten und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass gegebenenfalls Maßnahmen zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAbmilderung ihrer möglichen nachteiligen Auswirkungen. (6) Im Zusammenhang mit Der Auftraggeber ist für die Wahrung der beauftragten Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12 bis 23 DSGVO zu bearbeiten, zu unterstützen. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann. (7) Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer vorliegenden Informationen unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtendessen Pflichten bezüglich der Sicherheit der Verarbeitung (wie in Artikel 32 DSGVO ausgeführt), insbesondere bei Erstellung der Datenschutz- Folgenabschätzungen (wie in Artikel 35 DSGVO ausgeführt) und Fortschreibung der vorherigen Konsultation (wie in Artikel 36 DSGVO ausgeführt) zu unterstützen. (8) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Verzeichnisses Auftraggebers durchgeführten Tätigkeiten der VerarbeitungstätigkeitenVerarbeitung, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördedas alle Angaben gemäß § 30 Abs. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und 2 DSGVO enthält. Der Auftragnehmer stellt das Verzeichnis dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenzur Verfügung. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenstellt sicher, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenvon der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer teilt verpflichtet sich, dem Auftraggeber unverzüglich auf Anforderung Auskünfte zu erteilen und insbesondere die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurdeUmsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Änderungen in der Person oder Für die Ermöglichung von Kontrollen durch den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber kann der Auftragnehmer dem Auftraggeber unverzüglich miteinen Vergütungsanspruch geltend machen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWRDer Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, zu vernichten. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers Der Auftragnehmer hat die unverzügliche Vernichtung von Verarbeitungsergebnissen und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie Daten enthaltenden Unterlagen auch bei Einhaltung der Bestimmungen dieses Vertrags erfolgenSubunternehmern herbeizuführen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:  Soweit seitens des Auftragnehmers eine Erhebung, Verarbeitung oder Nutzung der Daten erfolgt, ist dies nur zulässig im Rahmen der vertraglichen Vereinbarungen zwischen Auftraggeber und Auftragnehmer. Soweit der Auftragnehmer Zugriff auf Daten des Auftraggebers hat, verwendet er diese nicht für vertragsfremde Zwecke, insbesondere gibt er diese an Dritte nur weiter, soweit hierzu eine gesetzliche Verpflichtung besteht. Kopien von Daten dürfen nur mit Zustimmung des Auftraggebers erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder Erfüllung vertraglicher oder gesetzlicher Verpflichtungen erforderlich sind.  Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenentsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.  Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechen Art. 28 Abs. 3 Satz 2 lit. c, 32 DSGVO und der Anlage (Technische und organisatorische Maßnahmen nach Art. 32 DSGVO).  Der Auftraggeber und der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt arbeiten auf Anfrage mit der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, Aufsichtsbehörde bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenErfüllung ihrer Aufgaben zusammen.  Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie nicht bereits gesetzlich sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.  Soweit der Auftraggeber seinerseits einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zuKontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtennach besten Kräften zu unterstützen.  Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeitenum zu gewährleisten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber dass die Verarbeitung in seinem Verantwortungsbereich im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart im Rahmen der getroffenen Vereinbarungen und/oder wie unter Einhaltung der ggf. vom Auftraggeber angewiesenerteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach dieser Vereinbarung und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckedieser schriftlich zugestimmt hat. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 4.2 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Datenverarbeitung im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenper Fernwartung nur aus Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen. (5) 4.3 Der Auftragnehmer sichert zu, dass er sein Unternehmen und seine Betriebsabläufe so gestaltet hat, dass die bei ihm zur Verarbeitung eingesetzten Personen Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenunbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer trägt dafür Sorgewird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen. 4.4 Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer xxxxxxxx kann, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenHaftung zwischen den Parteien auszusetzen. (6) Im Zusammenhang mit der beauftragten 4.5 Die Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung von Daten im Auftrag betroffen ist. (8) Auskünfte an Dritte des Auftraggebers außerhalb von Betriebsstätten des Auftragnehmers oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es Subunternehmern ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig. 4.6 Sollte es notwendig sein, zur weiteren Bearbeitung Daten aus der Datenverarbeitungsanlage des Auftraggebers auf ein System des Auftragnehmers zu übertragen, so bedarf dies der ausdrücklichen Genehmigung des Auftraggebers in Form einer individuellen Vereinbarung zur Auftragsverarbeitung, in welcher der Grund für die Übertragung und unter den in Kapitel V die notwendigen Arbeiten im Detail zu dokumentieren sind. Davon ausgenommen sind lediglich Protokolldateien und Bildschirmabzüge (Screen Shots), die zur Feststellung der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung korrekten Funktion der Bestimmungen dieses Vertrags erfolgenDatenverarbeitungsanlage des Auftraggebers bzw. der Fehlerbehebung derselben dienen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (3) Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung im Sinne von § 6 DSG (2018) und § 11 UWG unterliegen. Insbesondere bleibt die Vertraulichkeit streng zu wahrenVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (4) PersonenDer Auftragnehmer erklärt rechtsverbindlich, die Kenntnis von den dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenAnhang (Technisch-organisatorische Maßnahmen). (5) Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer sichert zuergreift die technischen und organisatorischen Maßnahmen, dass damit der Auftraggeber die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Betroffenenrechte nach Kapitel III der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes DSGVO (Information, Auskunft, Berichtigung und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenüberlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer trägt dafür Sorgedarf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. Für die Erbringung dieser Leistungen kann der Auftragnehmer eine angemessene Vergütung zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAbrechnung bringen. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (sicherzustellen). Für die Erbringung dieser Leistungen kann der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiteneine angemessene Vergütung zur Abrechnung bringen. (7) Wird Der Auftragnehmer unterstützt den Auftraggeber bei der Auftraggeber durch Aufsichtsbehörden oder andere Stellen Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendVerletzung des Schutzes personenbezogener Daten betroffenen Person, verpflichtet sich Datenschutz-Folgeabschätzung, vorherige Konsultation. Für die Erbringung dieser Leistungen kann der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen isteine angemessene Vergütung zur Abrechnung bringen. (8) Auskünfte an Dritte oder den Betroffenen darf der Der Auftragnehmer nur wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenArt 30 DSGVO zu erstellen hat. (9) Soweit gesetzlich verpflichtetDem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, bestellt sei es auch durch ihn beauftragte Dritte, der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenDatenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer teilt verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Diese Kontrollen sind rechtzeitig anzukündigen und so durch zu führen, weshalb kein Beauftragter bestellt wurdedass der laufende Geschäftsbetrieb nicht gestört wird. Änderungen in Diese Kontrollen haben während der Person oder gewöhnlichen Geschäftstätigkeit zu erfolgen. Für die Ermöglichung von Kontrollen durch den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber kann der Auftragnehmer dem Auftraggeber unverzüglich miteinen Vergütungsanspruch geltend machen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben oder in dessen Auftrag zu vernichten. Wenn der EU Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und unter ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Gleiches gilt für Test- und Ausschussmaterial bzw. Test- und Ausschussdaten. Für die Erbringung dieser Leistungen kann der Auftragnehmer eine angemessene Vergütung zur Abrechnung bringen. (11) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. (12) Für Unterstützungsleistungen, die nicht in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung ggf. vereinbarten Leistungsvereinbarung enthalten sind oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Bestimmungen dieses Vertrags erfolgenAuftragnehmer eine Vergütung beanspruchen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen über- lassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut ver- traut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen ange- messen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung Auftragsverar- beitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber Auf- traggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere insbeson- dere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der AufsichtsbehördeAuf- sichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber Auf- traggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftrag- nehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung Zustim- mung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person Per- son als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten Daten- schutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten Kontakt- daten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich ausschließlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene wird in seinem Verantwortungsbereich XXX zum angemessenen Schutz der Daten ausschließlich wie vertraglich vereinbart des Auftraggebers treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit dieser Auftragsverarbeitung auf Dauer sicherstellen sowie die Fähigkeit ha- ben, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder wie technischen Zwischenfall rasch wiederherzustellen. Das im Anhang TOM beschriebene Datenschutzkon- zept stellt die Auswahl der technischen und organisatorischen Maßnahmen durch den Auftragnehmer pas- send zum von ihm ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detail- liert und unter besonderer Berücksichtigung der eigenen eingesetzten IT Systeme und Verarbeitungspro- zesse dar. Der Auftraggeber hat diese vom Auftraggeber angewiesenAuftragnehmer angebotenen Datensicherheitsmaßnahmen im Anhang TOM geprüft und übernimmt die Verantwortung, dass diese für seine Daten zum Zeitpunkt des Vertragsschlusses ausreichend sind. 5.2 Eine Änderung der getroffenen TOM bleibt dem Auftragnehmer vorbehalten, es sei denn, dass das dort niedergelegte Schutzniveau unterschritten wird. 5.3 Der Auftragnehmer hat ein Verfahren zur regelmäßigen Überprüfung der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt Wirksamkeit der Auftragnehmer diese dem Auftraggeber vor TOM und zur Gewährleistung der Sicherheit der Verarbeitung mitetabliert. 5.4 Der Auftragnehmer gewährleistet, es sei denndass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen diese Daten nur gemäß der Weisungen des Auftraggebers verarbeiten, die Mitteilung ist ihm sofern sie nicht gesetzlich verbotenzur Verarbeitung verpflichtet sind. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtgewährleistet ferner, dass ihm sich die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung der Daten des Auftraggebers eingesetzten Personen vor Beginn zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheits- pflicht unterliegen. Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort. 5.5 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der Verarbeitung mit den relevanten Bestimmungen Daten des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass kann in diesem Fall einstweilig und nach eigenem Ermessen in seinem Verantwortungsbereich angemessene Maßnahmen zum Schutze der Daten des Auftraggebers und zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenMinderung möglicher nachteiliger Folgen treffen. Der Auftragnehmer informiert den Auftraggeber über etwaige von ihm getroffene Maßnahmen möglichst zeitnah. (6) I5.6 Der Ansprechpartner beim Auftragnehmer für anfallende Datenschutzfragen ist im Zusammenhang mit Anhang „Konkretisierung der beauftragten Verarbeitung“ benannt. 5.7 Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO. Er ist befugt, das diese Rahmen-AV betreffende Verzeichnis einer Aufsichtsbehörde auf deren Anfrage zur Ver- fügung zu stellen bzw. der Auftraggeber kann dieses Verzeichnis beim Auftragnehmer anfordern, sofern eine Aufsichtsbehörde dies von ihm verlangt oder der Auftraggeber Audits oder Zertifizierungen durchführt. 5.8 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung unterstützt und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO gere- gelten Pflichten des Auftraggebers. 5.9 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenunverzüglich darüber zu informieren, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer sofern das be- treffende Recht eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendensolche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer teilt dem wird den Dritten unverzüglich darüber informieren, dass die Hoheit und das "Eigentum an den Daten" allein beim Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitliegen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen datenschutz- rechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. Dies betrifft insbesondere TimeWaver-Listen, die im System gespeichert werden und nach Vertragsbeendigung komplett gelöscht werden. (6) Alle persönlichen Daten werden ebenso nach Vertragsbeendigung gelöscht und müssen bei Wiedereintritt in ein Vertragsverhältnis neu eingegeben werden. Eine gewünschte Speicherung als „inaktiver Klient“ zur späteren Neuaktivierung, z.Bsp. für Akutfälle ist ausdrücklich schriftlich (auch per mail) zu vereinbaren. (7) Für Daten, die von Gesetzes wegen einer Speicherung auf Zeit unterliegen z.Bsp. Rechnungen, sind die jeweiligen vorgeschriebenen Fristen bindend. (8) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 9) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. . (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die 10)Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11)Der Auftraggeber stimmt einer regelmäßigen Nutzung des TimeWaver Systems mit den darin gespeicherten und zu verarbeiteten Daten im abschließbaren Büro der Privatwohnung des Auftragnehmers ausdrücklich zu, da dies hinsichtlich der Spezifik der Arbeit incl. des ständigen zeitnahen Zugriffs auf das System unabdingbar ist. Der Auftragnehmer sichert dabei zu, dass alle Daten vor dem Zugriff Dritter geschützt sind (Passwort) und räumt dem Auftraggeber ein Kontrollrecht auf ausdrückliche Anfrage ein.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten personenbezogenen Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die dafür erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. . (10) Die 10)Die Auftragsverarbeitung erfolgt grundsätzlich ausschließlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen). Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die Vertraulichkeit streng zu wahren. technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (4Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) Personeninnerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Daten, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenverarbeitet werden, haben sich schriftlich zur Vertraulichkeit zu verpflichtennicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer sichert zugerichtet und lässt dieser erkennen, dass die bei der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgebetriebenen Datenanwendung hält, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten und dies dem Antragsteller mitzuteilen. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenübertragung und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden). Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben oder begründet, weshalb kein Beauftragter bestellt wurdein dessen Auftrag zu vernichten. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei ihm zur Verarbeitung eingesetzten Personen vor Beginn erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Verarbeitung mit Auftragnehmer im notwendigen Umfang mitzuwirken und den relevanten Bestimmungen des Datenschutzes Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenf DS-GVO). Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer wird den Auftraggeber soweit erforderlich bei der Erfüllung unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. H DS-GVO). Der Auftragnehmer teilt sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird eine Ankündigungsfrist von vier Wochen vereinbar, die Kontaktaufnahme hierzu soll per Email an xxxxxxxxxxx@xxx-xxxxxxxx.xxx erfolgen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeitervor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Xxxx Xxxxxx Xxxxx, externer Datenschutzbeauftragter, Tel. 00000 0000 bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitmitzuteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den seine Leistungen ausschließlich im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit Rahmen des Auftrags und der Anweisungen des Auftraggebers zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenerbringen. Der Auftragnehmer trägt dafür Sorgedarf Daten des Auftraggebers nur insoweit verwenden, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich als dies zum Zwecke der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet seiner vertraglichen Verpflichtungen notwendig ist. Eine Verwendung von Daten des Auftraggebers für eigene Zwecke des Auftragnehmers ist ausgeschlossen. Der Auftragnehmer verpflichtet sich, personenbezogene Daten sowie sonstige Informationen des Auftraggebers (wie etwa Geschäfts- und überwacht werden. (6Betriebsgeheimnisse) Idie ihm im Zusammenhang mit der Vertragsbeziehung zur Kenntnis gelangen, streng vertraulich zu behandeln und diese Verpflichtung vertraglich allen Personen zu überbinden, die für ihn im Rahmen des Vertragsverhältnisses zwischen den Vertragsparteien tätig werden, sofern diese nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht (§ 6 DSG (2018)) unterliegen. Diese Verpflichtung gilt auch über das Vertragsende hinaus und bleibt hinsichtlich der beauftragten Verarbeitung unterstützt Personen auch nach Beendigung ihrer Tätigkeit bzw. Ausscheiden beim Auftragnehmer aufrecht. Bestehen Zweifel, ob eine Information der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenGeheimhaltungspflicht unterliegt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeist sie bis zur schriftlichen Freigabe durch die andere Vertragspartei als vertraulich zu behandeln. Die erforderlichen Angaben und Dokumentationen mit der Dienstleistung befassten Personen sind vorzuhalten und über die einschlägigen rechtlichen Bestimmungen im Sinne des § 6 DSG (2018) nachweislich informiert worden. Der Auftragnehmer hat die vertraglichen Verpflichtungserklärungen zum Datengeheimnis dem Auftraggeber auf Anforderung dessen Verlangen vorzulegen. Der Auftragnehmer wird Anfragen von betroffenen Personen, soweit diese Bezüge zur Vertragsbeziehung zwischen den Vertragsparteien aufweisen, unverzüglich zuzuleiten. an den Auftraggeber weiterleiten. Der Auftragnehmer hat die technischen und organisatorischen Voraussetzungen dafür zu treffen, dass der Auftraggeber seiner Pflicht zur Behandlung von Anträgen betreffend die Wahrnehmung der Rechte der betroffenen Person gemäß Kapitel III der DSGVO (7innerhalb der gesetzlichen Fristen) nachkommen kann (Art 28 Abs 3 lit e DSGVO). Wird der Auftraggeber durch Aufsichtsbehörden oder andere hierzu berechtigte Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Die Dienstleistung wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten ausschließlich innerhalb des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWREWR erbracht. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung ausschließlich nach vorheriger schriftlicher Genehmigung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags im Einklang mit Art 44 ff DSGVO erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen . Diese besteht auch nach Beendigung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenVertrages fort. Der Auftragnehmer trägt dafür Sorgeverpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer erklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art. 32 DSGVO ergriffen hat. Die entsprechenden Technischen und Organisatorischen Maßnahmen (TOM) sind als Anlage 1 Bestandteil dieser Vereinbarung. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung, Einschränkung der Verarbeitung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige weiterzuleiten und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendies dem Antragsteller mitzuteilen. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, weshalb kein Beauftragter bestellt wurdealle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten. Änderungen in der Person oder Die Speicherung und Archivierung von Daten gemäß gesetzlicher Pflicht bleibt unberührt. Der Auftragnehmer hat den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer Die Auftragnehmerin verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber von der Auftraggeberin angewiesen, es sei denn, der Auftragnehmer die Auftragnehmerin ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn sie bestehen, teilt die Auftragnehmerin diese der Auftragnehmer diese dem Auftraggeber Auftraggeberin vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm ihr gesetzlich verboten. Der Auftragnehmer Die Auftragnehmerin verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer Die Auftragnehmerin bestätigt, dass ihm ihr die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er Sie beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer Die Auftragnehmerin verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat die Auftragnehmerin der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere Auftraggeberin bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber der Auftraggeberin auf Anforderung unverzüglich zuzuleiten. (76) Wird der Auftraggeber die Auftraggeberin durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm ihr gegenüber Rechte geltend, verpflichtet sich die Auftragnehmerin der Auftragnehmer den Auftraggeber Auftraggeberin im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 7) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer die Auftragnehmerin nur nach vorheriger Zustimmung durch den Auftraggeber die Auftraggeberin erteilen. Direkt an ihn ihr gerichtete Anfragen wird er sie unverzüglich an die Auftraggeberin weiterleiten. (8) Soweit gesetzlich vorgeschrieben, bestellt die Auftragnehmerin einen Beauftragten für den Auftraggeber weiterleitenDatenschutz. Die Kontaktdaten des Beauftragten für den Datenschutz werden der Auftraggeberin zum Zwecke der direkten Kontaktaufnahme mitgeteilt. (9) Soweit gesetzlich verpflichtetDie Auftragnehmerin darf die ihr zur Verfügung gestellten personenbezogenen Daten ausschließlich im Gebiet der Bundesrepublik Deutschland, bestellt in einem Mitgliedsstaat der Auftragnehmer eine fachkundige Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum verarbeiten. Die Verarbeitung von personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung der Auftraggeberin und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass informieren und die bei ihm zur Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Daten für eigene Zwecke des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige weiterzuleiten und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendies dem Antragsteller mitzuteilen. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, weshalb kein Beauftragter bestellt wurdealle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU oder bzw des EWREWR durchgeführt. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter Sub-Auftragsverarbeiter Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen. [Ort], am [Datum] [Ort], am [Datum] Für den in Kapitel V der DatenschutzAuftraggeber: Für den Auftragnehmer: .................................................... [Zeichnungsberechtigter Hafnerbetrieb] .................................................... [Zeichnungsberechtigter Steuerberater] Anlage ./1 – Technisch-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.organisatorische MaSSnahmen1

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Verarbeitung zur Ausführung der Hosting- und Wartungsleistungen für die Software „Skyline CRM“ erforderlichen Tätigkeiten zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. (3) Wahrung der Vertraulichkeit streng zu wahrenund Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (4) PersonenDer Auftragnehmer erklärt rechtsverbindlich, die Kenntnis von den dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenAnhang (Technisch-organisatorische Maßnahmen). (5) Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer sichert zuergreift die technischen und organisatorischen Maßnahmen, dass damit der Auftraggeber die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Betroffenenrechte nach Kapitel III der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes DSGVO (Information, Auskunft, Berichtigung und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenüberlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer trägt dafür Sorgedarf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung Antragsteller ihn irrtümlich für den Auftraggeber der Datenschutzanforderungen laufend angemessen angeleitet von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und überwacht werdendies dem Antragsteller mitzuteilen. (6) Im Zusammenhang mit der beauftragten Verarbeitung Der Auftragnehmer unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, insbesondere bei Erstellung und Fortschreibung Meldungen von Verletzungen des Verzeichnisses Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der Verarbeitungstätigkeitenvon einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenDatenschutz-Folgeabschätzung, vorherige Konsultation. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben oder den Betroffenen darf in dessen Auftrag zu vernichten. Dokumentationen, die dem Nachweis der Auftragnehmer nur nach vorheriger Zustimmung auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenAuftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendengrundsätzlich nach Terminvereinbarung berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau (Vorname, Name, Organisationseinheit, Telefon) bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Sofern einschlägig: Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. (1Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: a) Der Auftragnehmer verarbeitet personenbezogene bestellt einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DS- GVO ausübt, schriftlich. Als Datenschutzbeauftragter ist beim Auftragnehmer bestellt: Xxxx Xxxx Xxxxxx Secianus GmbH & Xx.XX Xxxxxxxxxxx 0 00000 Xxxxxxxxx Web: xxx.xxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Die Kontaktdaten des Datenschutzbeauftragten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Seine jeweils aktuellen Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt. b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der AN setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der AN und jede dem AN unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenentsprechend der Weisung des AG verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, der Auftragnehmer ist dass sie gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeverpflichtet sind. (2c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1]. d) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungAG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. (3e) Der Auftragnehmer verpflichtet sich, bei Die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenAufsichtsbehörde, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt. (5f) Der Auftragnehmer sichert zuSoweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenAN nach besten Kräften zu unterstützen. (7g) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendDer AN kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, verpflichtet sich der Auftragnehmer den Auftraggeber um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem AG im Auftrag betroffen istRahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenvon betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetliegt ein Ausnahmefall im Sinne des Artikel 28 Abs. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten3 a) DSGVO vor. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine andereninformiert den Auftraggeber unverzüglich, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtwenn er der Auffassung ist, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholeneine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer trägt dafür Sorgedarf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Erfüllung Daten des Auftraggebers treffen, die den Anforderungen des Datenschutzrechts (insbesondere Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenschutzanforderungen laufend angemessen angeleitet Systeme und überwacht werden. (6) IDienste im Zusammenhang mit der beauftragten Verarbeitung auf Dauer sicherstellen, und diese regelmäßig zu evaluieren und erforderlichenfalls anzupassen. Auf die Anlage zur vorliegenden Vereinbarung wird verwiesen. Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise darüber zur Verfügung. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. 3.3 Der Auftragnehmer kann den Nachweis für die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter Wirksamkeit durch Verweis auf entsprechende und gesetzlich anerkannte Zertifizierungen erbringen. 3.4 Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 3.5 Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 3.6 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 3.7 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 3.8 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 3.9 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 3.10 Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. 3.11 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. 3.12 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. 3.13 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. 3.14 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber soweit erforderlich bei unverzüglich darüber zu informieren. 3.15 Sofern nicht gesondert festgehalten, kann der Auftragnehmer keine weitergehende Vergütung für die Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenPflichten aus dieser Vereinbarung verlangen. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge auf Weisung des Auftraggebers zu verarbeiten. Die weisungsbefugten Personen des Auftraggebers sind in der Anlage ./1, Punkt 5a angeführt. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichteninformieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zuausgenommen anonymisierte statistische Auswertungen zum Zwecke der Produktentwicklung, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes Betriebs und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenMarketinganalysen. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat und die innerbetriebliche Organisation den Anforderungen des Datenschutzes entspricht. Einzelheiten sind der Anlage ./1 zu entnehmen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) genannten Rechte der betroffenen Personen nachzukommen. Gespeicherte Daten werden gegebenenfalls in einem CSV- oder Tabellenkalkulations-Format zur Verfügung gestellt. Der Auftragnehmer ist, im Falle sich jährlich mehrmals wiederholender Auskunftsbegehren desselben Betroffenen, berechtigt seine damit verbundenen Aufwendungen dem Auftraggeber in Rechnung zu stellen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige weiterzuleiten und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendies dem Antragsteller mitzuteilen. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz- Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer ist berechtigt seine damit verbundenen Aufwendungen dem Auftraggeber unverzüglich in Rechnung zu stellen. Der Auftragnehmer führt, für die Kontaktdaten des Datenschutzbeauftragten mit oder begründetvorliegende Auftragsverarbeitung, weshalb kein Beauftragter bestellt wurdeein Verarbeitungsverzeichnis nach Art 30 DSGVO. Änderungen in Dem Auftraggeber wird hinsichtlich der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Verarbeitung der von ihm überlassenen Daten das Recht Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Dem Wunsch des Auftraggebers nach einer Inspektion wird nach gemeinsamer Terminvereinbarung innerhalb einer Frist von längstens zwei Monaten nachgekommen. Pro Jahr ist maximal eine Inspektion im Ausmaß eines Tages zulässig. Der Auftragnehmer ist berechtigt seine damit verbundenen Aufwendungen dem Auftraggeber in Rechnung zu stellen. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU Ansicht ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenMitgliedstaates verstößt.

Pflichten des Auftragnehmers. (1) 8.4.1 Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Kunden erheben, verarbeiten oder nutzen. 8.4.2 Der Auftragnehmer ist in seinem Verantwortungsbereich zur Umsetzung und Einhaltung der vereinbarten allgemeinen, technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG verpflichtet. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Kunden vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetz entsprechen. Dies beinhaltet insbesondere a) Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle), b) zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), c) dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten ausschließlich wie vertraglich vereinbart bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder wie vom Auftraggeber angewiesenentfernt werden können (Zugriffskontrolle), d) dafür Sorge zu tragen, es sei denndass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, der Auftragnehmer kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist gesetzlich (Weitergabekontrolle), e) dafür Sorge zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehentragen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mitdass nachträglich geprüft und festgestellt werden kann, es sei dennob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), f) dafür Sorge zu tragen, dass personenbezogene Daten, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle), g) dafür Sorge zu tragen, dass personenbezogene Daten erhalten könnengegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), h) dafür Sorge zu tragen, haben sich schriftlich zur Vertraulichkeit dass zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenunterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). (5) 8.4.3 Weitere Einzelheiten hierzu ergeben sich unten aus Ziff. 10 „Technische und organisatorische Maßnahmen des Auftragnehmers nach § 9 und Anlage BDSG“ dieser Vereinbarung. Zusätzliche besondere Maßnahmen können von den Parteien vereinbart werden, insbesondere im Hinblick auf die Art des Datenaustausches, die Bereitstellung von Daten und besondere Umstände der Verarbeitung der Daten. 8.4.4 Der Auftragnehmer sichert zustellt auf Anforderung den Kunden die für die Übersicht nach § 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung. 8.4.5 Der Auftragnehmer stellt sicher, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn mit der Verarbeitung der Daten des Kunden befassten Mitarbeiter gemäß § 5 BDSG (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes sowie anderen Vorschriften über den Datenschutz und mit den relevanten Bestimmungen jeweiligen besonderen Erfordernissen des Datenschutzes und dieses Vertrags durch entsprechende Schulungen vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenDas Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. 8.4.6 Der Auftragnehmer teilt den Kunden die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit. 8.4.7 Der Auftragnehmer unterrichtet den Kunden unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen im Sinne § 42a BDSG oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Kun- den. 8.4.8 Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Kunden. Der Auftragnehmer trägt dafür Sorgehat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. Der Auftragnehmer ist verpflichtet, dem Kunden jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Der Auftragnehmer stellt sicher, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Daten bzw. Datenträger nach Beendigung der Erfüllung Auftragsdatenverarbeitung an den Kunden zurück oder durch eigene Datenvernichter oder Entsorgungsunternehmen vernichtet werden. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenAuf- tragnehmer auf Grund einer Einzelbeauftragung durch den Kunden. In besonderen, vom Kunden zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe. (6) I8.4.9 Nach Abschluss der vereinbarten Arbeiten oder zuvor nach Aufforderung durch den Kunden – spätestens mit Beendigung des Vertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen PflichtenAuftragsdatenverarbeitung stehen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei dem Kunden auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber Löschung ist auf Anforderung unverzüglich zuzuleitenzu belegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über die Beendigung der vereinbarten Arbeiten / der Leistungserfüllung hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Beendigung der vereinbarten Arbeiten / der Leistungserfüllung dem Kunde übergeben. Das Verfahren wird in einer zwischen den Parteien zu regelnden Ausstiegsvereinbarung festgelegt. Eine Aufbewahrung der Daten und Dokumente über den Austrittszeitpunkt hinaus erfolgt nur nach Abschluss eines entsprechenden gesondert zu vergütenden Datenvorhaltungsvertrages. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend8.4.10 Der Auftragnehmer ist verpflichtet, verpflichtet sich der Auftragnehmer den Auftraggeber alle im erforderlichen Umfang Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Kunden vertraulich zu unterstützen, soweit die behandeln. 8.4.11 Die Verarbeitung von Daten im Auftrag betroffen ist. (8) Auskünfte an Dritte außerhalb von Betriebsstätten des Auftragneh- mers oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es von Subunternehmern ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter Kunden zulässig. Eine Verarbeitung von Daten für den Kunde in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenPrivatwohnungen ist nur mit Zustimmung des Kunden im Einzelfall zulässig.

Pflichten des Auftragnehmers. (1) 2.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart nur im Rahmen des Auftrags und der Weisungen des Auftraggebers, außer dass er durch das Recht der Union oder wie vom Auftraggeber angewiesender Mitgliedstaaten, es sei denndem der Auftragsverarbeiter unterliegt, der Auftragnehmer ist gesetzlich zu einer bestimmten weitergehenden Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer verwendet darüber hinaus darf die zur Verarbeitung überlassenen Daten für keine anderen, anderen Zwecke außerhalb dieser Auftragsverarbeitungsvereinbarung und des Hauptvertrags verwenden und ist insbesondere nicht für eigene Zweckeberechtigt, sie an Dritte weiterzugeben. (2) Der Auftragnehmer bestätigt2.2 Sofern erforderlich, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung Rahmen von Datenschutz-Folgenabschätzungen im Auftrag betroffen istSinne von Artikel 35 DSGVO. (8) Auskünfte an Dritte oder den Betroffenen darf 2.3 Mündliche Weisungen des Auftraggebers bestätigt der Auftragnehmer nur nach vorheriger Zustimmung unverzüglich in Textform (z.B. E-Mail, Fax, o.ä.). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, eine Weisung verstoße gegen anwendbares Recht. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber erteilenbestätigt oder abgeändert wird. 2.4 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Direkt Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit und der Wahrung des Datenschutzes verpflichtet haben. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 2.5 Personenbezogene Daten dürfen nur denjenigen Mitarbeitern zugänglich gemacht werden, die von diesen personenbezogenen Daten für die Durchführung der Auftragsverarbeitungsvereinbarung und des Hauptvertrags Kenntnis haben. Personenbezogene Daten dürfen nicht an ihn gerichtete Anfragen Dritte weitergegeben werden, sofern es nicht ausdrücklich im Hauptvertrag und in dieser Auftragsverarbeitungsvereinbarung gestattet oder dies durch geltendes Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, vorgeschrieben ist; in diesem Fall wird er unverzüglich an der Auftragnehmer den Auftraggeber weiterleitenüber die erzwungene Offenlegung vorher informieren. (9) Soweit gesetzlich verpflichtet2.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jede eingetretene Verletzung des Schutzes personenbezogener Daten oder die in diesem Auftrag getroffenen Festlegungen sowie bei Vorliegen des begründeten Verdachts, dass eine solche Verletzung einzutreten droht. Dies gilt insbesondere im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 2.7 Der Auftragnehmer wird dem Auftraggeber die Person mitsamt Kontaktdaten zumindest in Textform und in Anhang 2 benennen, welche die Informationssicherheit, einschließlich des Betriebs des Auftragnehmers, überwacht, wenn eine solche Person bestellt ist. Anfragen des Auftraggebers im Hinblick auf Dokumentation zur Informationssicherheit des Auftraggebers können an diese Person gerichtet werden. Ändert sich diese Person, hat der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellendies dem Auftraggeber unverzüglich in Textform (z.B. E-Mail, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Fax, o.ä.) mitzuteilen. 2.8 Der Auftragnehmer teilt dem Auftraggeber unverzüglich den Namen und die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzumindest in Textform und in Anhang 2 mit. Ändert sich diese Person, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt hat der Auftragnehmer dies dem Auftraggeber unverzüglich in Textform mitzuteilen. Hat der Auftragnehmer keinen Datenschutzbeauftragten bestellt, teilt er dem Auftraggeber die Gründe mit, warum dies nach den einschlägigen Regelungen des Datenschutzrechts nicht erforderlich ist. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR2.9 Der Auftragnehmer wird die Personen bzw. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Abteilungen bestimmen, welche Weisungen des Auftraggebers im Hinblick auf die Verarbeitung personenbezogener Daten entgegennimmt und unter teilt deren Kontaktdaten zumindest in Textform und in Anhang 2. Ändern sich diese Personen, hat der Auftragnehmer dies dem Auftraggeber unverzüglich in Textform mitzuteilen. 2.10 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Artikel 82 DSGVO verpflichtet sich der Auftragnehmer, den in Kapitel V Auftraggeber bei der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenAbwehr des Anspruchs im Rahmen seiner Möglichkeiten zu unterstützen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesensichert zu, es sei denn, dass er die bei der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und die zur Verarbeitung überlassenen der personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zweckebefugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (2) Der Auftragnehmer bestätigtdarf im Rahmen der Auftragsverarbeitung nur dann auf personenbezogene Daten des Auftraggebers zugreifen, dass ihm wenn dies für die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungDurchführung der Auftragsverarbeitung erforderlich ist. (3) Der Auftragnehmer verpflichtet Die Parteien verpflichten sich, bei der Verarbeitung die Vertraulichkeit streng Kontaktdaten des bestellten Datenschutzbeauftragten oder eines Ansprechpartners für Datenschutzthemen innerhalb ihrer Organisation zur Verfügung zu wahrenstellen, um alle notwendigen Kommunikationen zwischen den Parteien bezüglich dieser Vereinbarung zu ermöglichen. Diese Angaben sind in Anlage 1 zu dieser Vereinbarung enthalten. (4) PersonenDer Auftragnehmer unterstützt den Auftraggeber, die Kenntnis um sicherzustellen, dass der Auftraggeber seine Verpflichtungen zur Beantwortung von den Anfragen zur Ausübung der Rechte der betroffenen Person, z. B. des Rechts auf Auskunft, Berichtigung und Löschung von Daten, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruchsrecht, erfüllen kann. Informationen im Auftrag verarbeiteten Daten erhalten könnenZusammenhang mit diesen Anträgen dürfen den betroffenen Personen nur nach vorheriger Anweisung des Auftraggebers erteilt werden. Macht eine betroffene Person von ihren Datenschutzrechten gegenüber dem Auftragnehmer Xxxxxxxx, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenleitet der Auftragnehmer diesen Antrag an den Auftraggeber weiter. (5) Der Soweit gesetzlich vorgeschrieben, unterstützt der Auftragnehmer sichert zuden Auftraggeber bei dessen Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn unter Berücksichtigung der Art der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der der dem Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenvorliegenden Informationen. (6) Im Zusammenhang mit Die Verarbeitung personenbezogener Daten in einem Drittland außerhalb der beauftragten Verarbeitung unterstützt EU/des EWR und/oder der Schweiz und/oder des Vereinigten Königreichs erfordert die Durchführung der entsprechenden Standardvertragsklauseln oder andere gesetzliche Anforderungen für eine solche Übermittlung. Die Parteien stellen, soweit dies nach den geltenden Datenschutzbestimmungen erforderlich ist, sicher, dass Standardvertragsklauseln oder andere rechtliche Voraussetzungen für eine solche Übermittlung geschaffen werden. Wenn ein Unterauftragnehmer des Auftragnehmers ein Datenimporteur (wie in den Standardvertragsklauseln definiert) ist, ist der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenberechtigt und verpflichtet, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden die Standardvertragsklauseln mit einem solchen Unterauftragnehmer direkt oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Namen des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenseiner verbundenen Unternehmen abzuschließen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass informieren und die bei ihm zur Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Daten für eigene Zwecke des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. weiterzuleiten und dies dem Antragsteller mitzuteilen. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (9) Soweit gesetzlich Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, bestellt alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine fachkundige Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung2 {Ausschließliche Durchführung innerhalb der EU/des EWR} Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt. {Bei Durchführung, wenn auch nur teilweise, außerhalb der EU/des EWR} Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw des EWR durchgeführt, und zuverlässige Person als Beauftragten zwar in [Staaten aufzählen]. Das angemessene Datenschutzniveau ergibt sich aus3 einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO. einer Ausnahme für den Datenschutzbestimmten Fall nach Art 49 Abs 1 DSGVO. Es verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO. Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO. genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO. einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO. von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO. einer Ausnahme für den Einzelfall nach Art 49 Abs 1 Unterabsatz 2 DSGVO. Sub-Auftragsverarbeiter4 {Verbot der Hinzuziehung eines Sub-Auftragsverarbeiters} Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen. {Zulässigkeit der Hinzuziehung eines bestimmten Sub-Auftragsverarbeiters} Der Auftragnehmer ist befugt folgendes Unternehmen als Sub-Auftragsverarbeiter hinzuziehen: [Firmenname und Sitz ergänzen, Art der Tätigkeiten]. Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters. {Zulässigkeit der Hinzuziehung von Sub-Auftragsverarbeitern} Der Auftragnehmer kann Sub-Auftragsverarbeiter [Tätigkeiten] hinzuziehen. Er hat den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Auftraggeber von der Auftraggeber direkt an den Datenschutzbeauftragten wendenbeabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer teilt schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber unverzüglich für die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.Pflichten des Sub-Auftragsverarbeiters. [Ort], am [Datum] [Ort], am [Datum] Für den Auftraggeber: Für den Auftragnehmer: .................................................... [Name samt Funktion] .................................................... [Name samt Funktion] Anlage ./1 – Technisch-organisatorische MaSSnahmen5

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht andere oder für eigene ZweckeZwecke des Auftragnehmers einer schriftlichen Genehmigung. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat, oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat und ermöglicht diesbezüglich auch Prüfungen durch den Auftraggeber (weitere Informationen sind der Anlage 1 zu entnehmen). Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die Vertraulichkeit streng zu wahrenvereinbarten Standards nicht unterschreiten. (4) PersonenDer Auftragnehmer ergreift technische und organisatorische Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Auskünfte über personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an . (6) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. (7) Der Auftragnehmer unterstützt den Auftraggeber weiterleitenbei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz- Folgeabschätzung, vorherige Konsultation). (8) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (9) Soweit gesetzlich Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, bestellt alle Verarbeitungsergebnisse und Unterlagen, die personenbezogene Daten enthalten, im Auftrag des Auftraggebers zu vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Auftragnehmer Mitgliedstaaten eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich Verpflichtung zur Speicherung der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.personenbezogenen Daten besteht (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu einer bestimmten informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeZwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVerschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu wahrenentnehmen). (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Verletzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz- Folgeabschätzung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte oder den Betroffenen darf Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten. Wenn der Auftragnehmer nur die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach vorheriger Zustimmung durch den Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenerhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet darf personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Sofern der Auftragnehmer ist gesetzlich durch nationales oder europäisches Recht zu einer bestimmten hiervon abweichenden Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenverpflichtet ist, teilt der Auftragnehmer diese dem weist er den Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenauf diesen Umstand hin, soweit das betreffende Recht einen Hinweis nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer trägt dafür Sorgewird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Erfüllung personenbezogenen Daten des Auftraggebers treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenschutzanforderungen laufend angemessen angeleitet Systeme und überwacht werden. (6) IDienste im Zusammenhang mit der beauftragten Verarbeitung personenbezogener Daten auf Dauer gewährleisten. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt. Der Auftraggeber trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch gewährleistet sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf Rahmen seiner Möglichkeiten und der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilenvertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt 32 bis 36 DS-GVO genannten Pflichten. Hierfür kann der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenangemessene Vergütung verlangen. Der Auftragnehmer teilt gewährleistet, dass es seinen mit der Verarbeitung der personenbezogenen Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisungen des Auftraggebers zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- oder Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen Datenschutzbeauftragten nach Art. 37 DS-GVO zu bestellen, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Sofern der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, nennt er dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Erster Ansprechpartner in Datenschutzfragen: Name: Xxxxx Xxxxxx Anschrift: Xxxxxxxxxxxxx 00, 00000 Xxxxxxxxx E-Mail: xxxxx.xxxxxx@xxxx.xxx Telefonnummer: +49(711)3423–2679 Sowie die Kontaktdaten des Datenschutzbeauftragten mit des Auftragnehmers: Name: Xxxxxxxx Xxxxxx Anschrift: Xxxxxxxxxxxxx 00-00, 00000 Xxxxxxxxx E-Mail: Xxxxxxxx.Xxxxxx0@xx.xxxxx.xxx Telefonnummer: +00(000)000-00000 Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. Der Auftragnehmer berichtigt oder begründetlöscht die personenbezogenen Daten, weshalb kein Beauftragter bestellt wurdewenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Änderungen in Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. Da die personenbezogenen Daten integrierter Bestandteil der EU oder des EWRzur Fehleranalyse übergebenen Mess- und Protokolldateien sind, und diese Mess- und Protokolldateien ggf. Jegliche Verlagerung die Fehlersuche in ein Drittland darf nur mit Zustimmung weiteren Support-Calls des Auftraggebers unterstützen können, werden die übergebenen Mess- und unter den in Kapitel V Protokolldateien beim Auftragnehmer erst 5 Jahre nach Schließung des jeweiligen Support-Calls gelöscht. Es obliegt dem Auftraggeber, Sicherungskopien von seinen personenbezogenen Daten anzufertigen. Die Pflicht des Auftragnehmers zur Herausgabe von personenbezogenen Daten, auf die der DatenschutzAuftraggeber selbst Zugriff hat, besteht nicht. Der Auftragnehmer verpflichtet sich zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenGVO.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten ausschließlich wie vertraglich vereinbart anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 5.2 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde, bei Ordnungswidrigkeits- oder wie vom Strafverfahren, bei der Geltendmachung eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder bei der Geltendmachung eines anderen Anspruchs im Rahmen des Zumutbaren und Erforderlichen, soweit ein Zusammenhang mit dieser Auftragsverarbeitung besteht. 5.3 Sofern der Auftragnehmer von einer Kontrolle oder Maßnahme einer Aufsichtsbehörde betroffen ist, die sich auch auf diese Auftragsverarbeitung bezieht, hat der Auftragnehmer den Auftraggeber angewiesenhierüber zu informieren. Dies gilt auch, es sei dennsoweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. 5.4 Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß Art. 28 Abs. 3 Satz 2 lit. b) DS-GVO schriftlich auf die Vertraulichkeit zu verpflichten und sie zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut zu machen. Dies ist nicht erforderlich, wenn die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 5.5 Sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind, ist der Auftragnehmer verpflichtet, einen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis fachkundigen, für die Aufgaben nach Art. 39 DS-GVO fähigen und zuverlässigen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetseine Tätigkeit gemäß Art. Sofern solche Verpflichtungen 38, 39 DS-GVO und § 38 Abs. 2 BDSG ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mindestens in Textform (z.B. E-Mail) mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Sollte keine Bestellpflicht für ihn einen betrieblichen Datenschutzbeauftragten bestehen, teilt benennt der Auftragnehmer diese gegenüber dem Auftraggeber vor mindestens in Textform (z.B. E-Mail) einen Ansprechpartner für datenschutzrechtliche Belange und teilt dem Auftraggeber dessen Kontaktdaten mit. Sollte der Verarbeitung Auftragnehmer seinen Sitz außerhalb der EU haben, benennt er gegenüber dem Auftraggeber einen Vertreter nach Art. 27 Abs. 1 DS-GVO in der EU und teilt dem Auftraggeber dessen Kontaktdaten mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. . 5.6 Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderenunterliegt der behördlichen Aufsicht nach § 40 BDSG sowie den Bußgeld- und Strafvorschriften in § 42, insbesondere nicht für eigene Zwecke43 BDSG sowie in Art. 83 Abs. 4-6 DS-GVO nach Maßgabe von § 41 BDSG. (2) 5.7 Der Auftragnehmer bestätigtstellt sicher, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindsich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber nach Anlage 2 zu treffenden technischen und organisatorischen Maßnahmen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istRahmen der Kontrollrechte nach Ziffer 8 dieses Vertrages nachzuweisen. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenausschliesslich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das jeweils anzuwendende Recht, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutz- behörden); in einem solchen Fall teilt der Auftragnehmer diese dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei dennsofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, die Mitteilung ist ihm gesetzlich verbotenArt und Umfang der Datenverarbeitung richten sich ausschliesslich nach dieser Vereinbarung und/oder den Weisungen des Auftraggebers. (2) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung offensichtlich gegen gesetzliche Vorschriften verstösst. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen oder den Auftraggeber nach Überprüfung bestätigt oder geändert wird. Sofern der Auftragnehmer xxxxxxxx kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen. (3) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (24) Der Auftragnehmer bestätigtdarf im Auftrag verarbeitete Daten nicht eigenmächtig, dass ihm die einschlägigensondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitunglöschen oder deren Verarbeitung einschränken. (35) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten und überwachen, dass sie den besonderen Anforderungen des Daten- schutzes gerecht wird. (6) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, welches alle erforderlichen Angaben eines Verarbeitungsverzeichnisses enthält. (7) Die für den Auftraggeber verarbeiteten Daten werden von sonstigen Datenbeständen strikt getrennt. Eine physische Trennung ist nicht zwingend erforderlich. (8) Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwen- dung werden dokumentiert. (9) Bei der Erfüllung der Rechte der betroffenen Personen durch den Auftraggeber, der Sicherheit der Verarbeitung, der Meldung von Datenschutzverletzungen, der Benachrichtigung der von einer Verletzung des Schutzes betroffener Personen, bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers sowie bei erforderlichen Konsultationen einer Aufsichtsbehörde wird der Auftragnehmer im notwendigen Umfang mitwirken und den Auftraggeber, soweit möglich, angemessen unterstützen. (10) Die Verarbeitung von Daten ausserhalb der Betriebsstätte des Auftragnehmers, beispielsweise im Home Office von Mitarbeitenden, ist hiermit durch den Auftraggeber gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung des Mitarbeitenden für Kontrollzwecke des Aufragnehmers sowie weitere erforderliche Massnahmen vertraglich sicherzustellen. (11) Der Auftragnehmer verpflichtet sich, bei der auftragsgemässen Verarbeitung der Daten die Vertraulichkeit streng zu wahren. Diese besteht auch nach Beendigung der vertraglichen Bezie- hung fort. Er wird ggf. auch relevante Geheimnisschutzregeln beachten, die dem Auftraggeber obliegen. (412) PersonenDer Auftragnehmer hat die bei Durchführung der Auftragsdatenverarbeitung beschäftigten Mitarbeitenden und andere für den Auftragnehmer tätigen Personen vor Aufnahme der Tätigkeit mit den für sie massgebenden Bestimmungen des Datenschutzes vertraut gemacht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhält- nisses in geeigneter Weise zur Verschwiegenheit verpflichtet. Diesen ist untersagt, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten könnenausserhalb der Weisung des Auftraggebers zu verarbeiten, haben sich schriftlich es sei denn, dass sie gesetzlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenVerarbeitung verpflichtet sind. (513) Der Beim Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit ist eine Beauftragte für den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der AufsichtsbehördeDatenschutz bestellt. Die erforderlichen Angaben und Dokumentationen jeweils aktuellen Kontaktdaten sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitender Website des Auftragsnehmers leicht zugänglich veröffentlicht. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). (2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungKopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (3) Der Auftragnehmer verpflichtet sichsichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, bei der Verarbeitung dass die Vertraulichkeit streng zu wahrenfür den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) PersonenDie Datenträger, die Kenntnis von vom Auftraggeber stammen bzw. für den im Auftrag verarbeiteten Daten erhalten könnenAuftraggeber genutzt werden, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenwerden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. (5) Der Auftragnehmer sichert zuhat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber regelmäßig und unaufgefordert insbesondere Überprüfungen hinsichtlich der Sicherstellung der Richtigkeit, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Sicherheit, Integrität und Vertraulichkeit der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurdenDaten gem. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenArt. 5 DS-GVO durch geeignete technische Maßnahmen durchzuführen. Der Auftragnehmer trägt dafür Sorge, dass hat zudem vom Auftraggeber initiierte IT-Desaster-Recovery-Tests zu begleiten und aktiv zu unterstützen. Der Auftragnehmer hat grundsätzlich Maßnahmen zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Minimierung des Datenschutzrisikos zu unternehmen. Die Ergebnisse der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet Kontrollen sind zu dokumentieren und überwacht werdendem Auftraggeber zu übergeben. (6) Im Zusammenhang mit Bei der beauftragten Verarbeitung unterstützt Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördef DS-GVO). Die Er hat die dazu erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem jeweils unverzüglich an den Auftraggeber auf Anforderung unverzüglich zuzuleitenweiterzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Der Auftragnehmer wird den Auftraggeber im erforderlichen Umfang zu unterstützenunverzüglich darauf aufmerksam machen, soweit wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist dann berechtigt, die Verarbeitung im Auftrag betroffen istDurchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (8) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. (9) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber grundsätzlich nach Terminvereinbarung berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Bei IT-Recovery-Tests entfällt naturgemäß das Kriterium der Terminvereinbarung. (11) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des EWR. Jegliche Verlagerung in ein Drittland darf Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. (12) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB. (13) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (14) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei GVO). (15) Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. (16) Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung die Vertraulichkeit streng zu wahrender Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen2. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Auftragsverarbeitung eingesetzte Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet auch nach Beendigung ihrer Tätigkeit und überwacht werdenAusscheiden beim Auftragnehmer aufrecht. 3. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (6Einzelheiten sind Anlage 1 zu entnehmen). 4. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) Im Zusammenhang mit innerhalb der beauftragten Verarbeitung unterstützt gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleitenweiterzuleiten und dies dem Antragsteller mitzuteilen. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden5. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). 6. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. 7. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. 8. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, weshalb kein Beauftragter bestellt wurdealle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. 9. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb zu informieren, falls er der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstößt gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMitgliedstaaten.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: Dokumentation verwendete Materialien inkl. Sicherheitsdatenblätter Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: Siehe Titelseite Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellenerklärt sich damit einverstanden, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer teilt dem sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Auftraggeber unverzüglich die Kontaktdaten kann Maßnahmen bez. Einhaltung der Vorschriften über Datenschutz und Datensicherheit anfordern bzw. einsehen. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10Auftragnehmers) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: Berufsgeheimnisse nach §203 STGB Art. 1 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und unter den für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Kapitel V der Datenschutzgeeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-Grundverordnung enthaltenen Bedingungen sowie bei GVO). Der Auftragnehmer überwacht die Einhaltung der Bestimmungen dieses Vertrags erfolgendatenschutzrechtlichen Vorschriften in seinem Betrieb. Hierzu wurde ein betrieblicher Datenschutzbeauftragter (Xxxx Xxxxxx, 0201 - 74999-146, x.xxxxxxx@xxxxxxxxxx.xx) bestellt.

Pflichten des Auftragnehmers. (1) 3.1 Der Auftragnehmer verarbeitet personenbezogene darf Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Sofern der Auftragnehmer ist gesetzlich durch na- tionales oder europäisches Recht zu einer bestimmten hiervon abweichende Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehenverpflichtet ist, teilt der Auftragnehmer diese dem weist er – sofern dies rechtlich zulässig ist – den Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit auf diesen Umstand hin. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen daten- schutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüg- lich den relevanten Bestimmungen Auftraggeber. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragnehmer berechtigt, die Durchführung der Weisung auszusetzen. 3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Anlage 2 beschriebenen technischen und dieses Vertrags vertraut gemacht wurdenorganisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen. Entsprechende Schulungs- Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich Belastbarkeit der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet Systeme und überwacht werden. (6) IDienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt Verarbei- tung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenzu verar- beitenden Daten ein angemessenes Schutzniveau bieten. (7) Wird 3.3 Eine Änderung der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendgetroffenen technischen und organisatorischen Maßnahmen bleibt dem Auf- tragnehmer vorbehalten, verpflichtet sich der wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 3.4 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten und der ver- traglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflich- ten. 3.5 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Auftraggebers zu verarbeiten. Ferner gewährleistet der Auf- tragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheits- pflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendi- gung des Auftrages fort. 3.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Umfang zu unterstützen, soweit die Verarbeitung Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteili- ger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 3.7 Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Auftrag betroffen istRahmen des Vertrages anfallende Datenschutzfragen. (8) Auskünfte an Dritte 3.8 Der Auftragnehmer gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisa- torischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 3.9 Der Auftragnehmer berichtigt oder den Betroffenen darf löscht die vertragsgegenständlichen Daten, wenn der Auftrag- geber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Lö- schung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer nur nach vorheriger Zustimmung die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Mate- rialien auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag be- reits vereinbart. 3.10 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Der Auftragnehmer weist unaufge- fordert dem Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird in Textform mit Datumsangabe nach, dass er unverzüglich sämtliche Datenträger sowie sonstigen Unterlagen an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtetherausgegeben oder datenschutzkonform ver- nichtet oder gelöscht und somit keine Daten des Auftraggebers zurückbehalten hat. Dokumenta- tionen, bestellt die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutzüber das Vertragsende hinaus aufzubewahren. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen Er kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt sie zu seiner Entlastung bei Vertragsende dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.übergeben

Pflichten des Auftragnehmers. (1) 4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) 4.2 Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 4.3 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) . Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) 4.4 Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) 4.5 Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördezu unterstützen. Die Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) 4.6 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) 4.7 Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. 4.8 Der Auftragnehmer teilt sichert zu, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt zu haben, dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen erforderliche Zeit zur Erledigung seiner Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitgewährt wird. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarung. Zweck, es sei denn, Art und Umfang der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtetDatenverarbeitung richten sich ausschließlich nach den Weisungen des Auftraggebers. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei dennDer Auftragsverarbeiter hat nur nach Weisung des Verantwortlichen die Daten, die Mitteilung ist ihm gesetzlich verbotenim Auftrag verarbeitet werden, zu berichtigen, zu löschen, einzuschränken oder zu sperren. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten für keine anderenwenden sollte, insbesondere nicht für eigene Zweckewird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitungwird den Auftraggeber bei der Durchführung von Kontrollen durch den Auftraggeber unterstützen und an der vollständigen und zügigen Abwicklung der Kontrolle mitwirken. (3) Der Auftragnehmer verpflichtet sichbestätigt, bei der Verarbeitung die Vertraulichkeit streng zu wahrendass er einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 38 EU- DSGVO bestellt hat und wird diesen gegenüber dem Auftraggeber schriftlich oder in Textform (z.B. E- Mail) auf Anfrage an xxxxxxx@xxx0xxxxxxxx.xx benennen. (4) Personen, die Kenntnis von den Der Auftragnehmer sichert im Auftrag verarbeiteten Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegendie vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. (5) Der Auftragnehmer sichert zuist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die bei ihm zur Verarbeitung eingesetzten Personen Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenunbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer trägt dafür Sorgewird Änderungen in der Organisation der Datenverarbeitung im Auftrag, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich die für die Sicherheit der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDaten erheblich sind, vorab mit dem Auftraggeber abstimmen. (6) IDer Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffene Vereinbarung und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zusammenhang Zuge der Verarbeitung von Daten durch ihn oder andere mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenbeschäftigten Personen erfolgt ist. (7) Wird Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendberechtigt ist, verpflichtet sich die Einhaltung der Auftragnehmer den Auftraggeber datenschutzrechtlichen Vorschriften und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu unterstützenkontrollieren, soweit insbesondere durch die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige Einholung von Auskünften und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendie Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetsichert zu, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitdass er, soweit erforderlich, bei diesen Kontrollen mitwirkt. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen darf Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den betroffenen Personen nur im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenDS-GVO vor. Der Auftragnehmer trägt dafür Sorgeinformiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenWeisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (6Art. 32 DS-GVO) Igenügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der beauftragten Verarbeitung unterstützt auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. 3. Die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen werden in Anhang B näher beschrieben. Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. 4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 5. Der Auftragnehmer unterstützt, soweit vereinbart, den Auftraggeber soweit erforderlich im Rahmen seiner Möglichkeiten bei der Erfüllung seiner datenschutzrechtlichen der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. 6. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Dies gilt insbesondere bei Erstellung unberechtigten oder unbeabsichtigten Zugriffen Dritter auf die Daten sowie bei unberechtigter Weitergabe der Daten an Dritte. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und Fortschreibung zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 7. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 8. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. 9. Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Verzeichnisses der VerarbeitungstätigkeitenAuftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeso dass sie Dritten nicht zugänglich sind. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Anforderung unverzüglich zuzuleitenjederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber. Die erfolgte Durchführung ist dem Auftraggeber auf Verlangen in Textform zu bestätigen. In besonderen Fällen erfolgt eine Aufbewahrung bzw. Übergabe. Eine Herausgabe von Datensicherungen (Backup) ist nicht geschuldet. Entstehen dem Auftragnehmer Kosten bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Der Auftraggeber trägt zudem die Kosten der Aufbewahrung durch den Auftragnehmer, soweit eine solche Pflicht vereinbart wird. (7) Wird 10. Die Übermittlung von Daten in Länder, die nicht Mitglied der Europäischen Union oder Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sind, findet im Moment nicht statt. Sollte es zu einer Datenübertragung in ein Land kommen, das nicht Mitglied der Europäischen Union oder ein Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum ist, sorgen der Auftraggeber und der Auftragnehmer durch Aufsichtsbehörden oder andere Stellen geeignete Maßnahmen für ein angemessenes Datenschutzniveau. 11. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Dies ist der Datenschutzbeauftragte: Xxxx Xxxxx, externer Datenschutzbeauftragter HUBIT Datenschutz Anschrift: Xxxx-Xxxxxxx-Xxx. 0, 00000 Xxxxxx Telefon: 0000-00000000 E-Mail: xxxx@xxxxx.xx Über einen Wechsel in der Person des Datenschutzbeauftragten ist der Auftraggeber unverzüglich in Textform zu informieren. 12. Im Falle einer Kontrolle unterzogen oder machen Inanspruchnahme des Auftraggebers durch eine betroffene Personen ihm gegenüber Rechte geltendPerson hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im erforderlichen Umfang Rahmen seiner Möglichkeiten zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich hat hierfür die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitKosten zu tragen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) 4.1 Der Auftragnehmer verpflichtet sich, bei Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. 4.2 Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. 4.3 Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die Vertraulichkeit streng nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 1 zu wahrenentnehmen). 4.4 Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (4) PersonenInformation, die Kenntnis von den Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5Einzelfall) Der innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer sichert zugerichtet und lässt dieser erkennen, dass die bei der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgebetriebenen Datenanwendung hält, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleitenweiterzuleiten und dies dem Antragsteller mitzuteilen. 4.5 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (9Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). 4.6 Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art nach Art 30 DSGVO zu errichten hat. 4.7 Der Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. 4.7.1 Der Auftragnehmer hat den Auftraggeber unverzüglich und nachweislich darüber zu informieren, wenn bloß der Verdacht einer Verletzung des Schutzes personenbezogener Daten (Data Breach) Soweit gesetzlich besteht, bei dem Daten, für die der Auftraggeber verantwortlich ist, betroffen sind. 4.8 Der Auftragnehmer ist nach Beendigung der Vereinbarung verpflichtet, bestellt alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. 4.9 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine fachkundige und zuverlässige Person als Beauftragten für den DatenschutzWeisung des Auftraggebers verstößt gegen Datenschutz- bestimmungen der Union oder Mitgliedstaaten. 4.10 Der Auftragnehmer hat die übermittelten personenbezogenen Daten nach Abschluss des Auftrags zu löschen, sofern dies nicht gesetzlichen Verpflichtungen widerspricht. Es ist Der Auftragnehmer hat sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt auch alle von diesem eingesetzten Sub- Auftragsverarbeiter dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitnachkommen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, im Rah- men der Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer ist einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auf- traggeber unverzüglich darüber zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, informieren und die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene ZweckeBehörde an diesen zu verweisen. (2) Der Auftragnehmer bestätigterklärt rechtsverbindlich, dass ihm er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer ange- messenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungVer- schwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Be- endigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer verpflichtet sicherklärt rechtsverbindlich, bei dass er alle erforderlichen Maßnahmen zur Gewähr- leistung der Sicherheit der Verarbeitung die Vertraulichkeit streng zu wahrennach Art 32 DSGVO ergriffen hat. (4) PersonenDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auf- traggeber die Kenntnis von den Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entschei- dungsfindung im Auftrag verarbeiteten Daten erhalten könnenEinzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, haben sich schriftlich zur Vertraulichkeit zu verpflichtendass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegenhat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer sichert zuunterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn Aufsichtsbehörde, Benachrichtigung der Verarbeitung mit den relevanten Bestimmungen von einer Ver- letzung des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür SorgeSchutzes personenbezogener Daten betroffenen Person, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werdenDatenschutz-Folgeabschät- zung, vorherige Konsultation). (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichtenwird darauf hingewiesen, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitendass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Wird Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht der Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen eingeräumt. Der Auftrag- nehmer verpflichtet sich, dem Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer jene Informationen zur Verfügung zu stellen, die zur Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen istEinhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Auskünfte an Dritte Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungser- gebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber auf dessen Wunsch hin zu über- geben oder den Betroffenen darf in dessen Auftrag zu vernichten. Dies unter der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleitenVoraussetzung, dass keine offenen Honoraransprüche des Auftragnehmers vorliegen. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem hat den Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzu informieren, weshalb kein Beauftragter bestellt wurde. Änderungen in falls er der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Ansicht ist, eine Weisung des Auftraggebers und unter den in Kapitel V verstoße gegen Datenschutzbestimmungen der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung Union oder der Bestimmungen dieses Vertrags erfolgenMit- gliedstaaten.

Pflichten des Auftragnehmers. (1Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis Art. 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: a) Der Auftragnehmer verarbeitet personenbezogene bestellt einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und Art. 39 DS-GVO ausübt, schriftlich. Als Datenschutzbeauftragter ist beim Auftragnehmer bestellt: Xxxxxx Xxxxxxx Xxxxxxx Xxxxxx 00-000 00000 Xxxxxxxx E-Mail: xxxx@xxxxxxxxxxxx.xx Website: xxx.xxxxxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Die Kontaktdaten des Datenschutzbeauftragten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Seine jeweils aktuellen Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt. b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der AN setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der AN und jede dem AN unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenentsprechend der Weisung des AG verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, der Auftragnehmer ist dass sie gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zweckeverpflichtet sind. (2c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1]. d) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer DatenverarbeitungAG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. (3e) Der Auftragnehmer verpflichtet sich, bei Die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichtenAufsichtsbehörde, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt. (5f) Der Auftragnehmer sichert zuSoweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Verarbeitung unterstützt Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenAN nach besten Kräften zu unterstützen. (7g) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltendDer AN kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, verpflichtet sich der Auftragnehmer den Auftraggeber um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem AG im Auftrag betroffen istRahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesenim Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich sofern er nicht zu einer bestimmten anderen Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehendurch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer Auftragsverarbeiter dem Verantwortlichen diese dem Auftraggeber rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die sofern das betreffende Recht eine solche Mitteilung ist ihm gesetzlich verbotennicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) . Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer bestätigt, dass ihm sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sindvertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit für den relevanten Bestimmungen des Datenschutzes Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAusgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:   (optional)   (optional) Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit Rechte der beauftragten Verarbeitung unterstützt betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit erforderlich bei der Erfüllung möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner datenschutzrechtlichen PflichtenMeinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei die Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehördeentsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und Der Auftragnehmer hat personenbezogene Daten aus dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber durch Aufsichtsbehörden oder andere Stellen dies mittels einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er unverzüglich an die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber weiterleiten. für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (9) Soweit gesetzlich verpflichtet, bestellt Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer eine fachkundige und zuverlässige Person ist als Beauftragten Beauftragte/r für den Datenschutz. Es Datenschutz bestellt: Name   Telefon   E-Mail   Ein Wechsel des Datenschutzbeauftragten ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der dem Auftraggeber direkt an den Datenschutzbeauftragten wendenunverzüglich mitzuteilen. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die Kontaktdaten im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Datenschutzbeauftragten mit Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder 34 DSGVO für den innerbetrieblichen Aufgaben des Beauftragten teilt Auftraggeber darf der Auftragnehmer dem Auftraggeber unverzüglich mitnur nach vorheriger Weisung gem. § 4 dieses Vertrages durchführen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) 5.1 Der Auftragnehmer verarbeitet personenbezogene wird in seinem Verantwortungsbereich technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten ausschließlich wie vertraglich vereinbart des Auftraggebers treffen, die die Ver- traulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusam- menhang mit dieser Auftragsverarbeitung auf Dauer sicherstellen sowie die Fähigkeit haben, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem phy- sischen oder wie technischen Zwischenfall rasch wiederherzustellen. 5.2 Der Auftraggeber hat diese vom Auftraggeber angewiesenAuftragnehmer angebotenen Datensicherheitsmaßnahmen geprüft und übernimmt die Verantwortung, dass diese für seine Daten zum Zeitpunkt des Vertragsschlusses ausreichend sind. 5.3 Eine Änderung der getroffenen TOMs bleibt dem Auftragnehmer vorbehalten, es sei denn, dass das dort niedergelegte Schutzniveau damit unterschritten wird. 5.4 Der Auftragnehmer hat ein Verfahren zur regelmäßigen Überprüfung der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt Wirksamkeit der Auftragnehmer diese dem Auftraggeber vor TOMs zur Gewährleistung der Sicherheit der Verarbeitung mitetabliert. 5.5 Der Auftragnehmer gewährleistet, es sei denndass die mit der Verarbeitung der Daten des Auftragge- bers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen diese Daten nur gemäß den Weisungen des Auftraggebers verarbeiten, die Mitteilung ist ihm sofern sie nicht gesetzlich verbotenzur Verarbeitung verpflichtet sind. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigtgewährleistet ferner, dass ihm sich die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung der Daten des Auftraggebers eingesetzten Personen vor Beginn zur Vertraulich- keit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht un- terliegen. Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort. 5.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der Verarbeitung mit den relevanten Bestimmungen Daten des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftraggebers bekannt werden. Der Auftragnehmer trägt dafür Sorge, dass kann in diesem Fall einstweilig und nach eigenem Ermessen in seinem Verantwortungsbereich angemes- sene Maßnahmen zum Schutze der Daten des Auftraggebers und zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenMinderung möglicher nachteiliger Folgen treffen. Der Auftragnehmer teilt informiert den Auftraggeber über etwaige von ihm getroffene Maßnahmen möglichst zeitnah. 5.7 Für im Rahmen dieses Vertrages anfallende Datenschutzanfragen steht dem Auftraggeber unverzüglich die Kontaktdaten das Datenschutzteam des Datenschutzbeauftragten mit Auftragnehmers unter Xxxxxxxxxxx@xxxxxx-xxxxxxx.xx oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitun- ter Tel +00 0000 00-00000 zur Verfügung. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb 5.8 Der Auftragnehmer ist verpflichtet, ein Verarbeitungsverzeichnis gemäß Art. 30 II DSGVO zu führen. Der Auftragnehmer ist befugt, das diesen AV-Vertrag betreffende Verzeichnis ei- ner Aufsichtsbehörde oder einem Dritten auf dessen Anfrage zur Verfügung zu stellen. Der Auftraggeber kann dieses Verzeichnis beim Auftragnehmer anfordern, sofern eine Aufsichts- behörde dies von ihm verlangt oder der EU Auftraggeber Audits oder Zertifizierungen durchführt. 5.9 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verar- beitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO geregelten Pflichten des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Auftraggebers. 5.10 Der Auftragnehmer kann für die Unterstützung vorhergehender Ziffern 5.7 und 5.8 eine an- gemessene Vergütung und die Erstattung von Aufwendungen verlangen. 5.11 Sollten die Daten des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.beim Auftragnehmer durch Pfändung oder Beschlag- nahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder

Pflichten des Auftragnehmers. (1) . Der Auftragnehmer verarbeitet personenbezogene hat eigene Pflichten gem. Art. 28 bis 33 DS-GVO, i.E.: a) Er gewährleistet und kontrolliert regelmäßig, dass die Auftrags- verarbeitung nach dem Auftrag im eigenen Verantwortungsbereich (einschl. Unterauftragnehmer) in Übereinstimmung mit der VAV und der gesetzlichen Vorschriften erfolgt. b) Er darf ohne vorherige dokumentierte Zustimmung des Auftraggeber keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind Kopien, die zur Gewährleistung einer ordnungsgemäßen Verarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem jeweiligen Auftrag erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. c) Er unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Auftragsverarbeitung betreffen. Den hierbei entstehenden Aufwand trägt der Auftraggeber. d) Er hat dem Auftraggeber auf Anforderung eine Übersicht über die in Art. 30 Abs. 2 DS-GVO genannten Angaben auszuhändigen. e) Er setzt zur Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, Art. 29, Art. 32 Abs. 4 DS- GVO bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Personen aufseiten des Auftragnehmer, die Zugang zu Auftraggeber-Daten haben, dürfen diese ausschließlich wie vertraglich vereinbart oder wie vom entsprechend der Weisung des Auftraggeber angewiesenund die VAV verarbeiten, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. f) Er gewährleistet die Umsetzung und Einhaltung der vereinbarten TOM. g) Die Vertragspartner arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Hierzu leistet der Auftragnehmer ist gesetzlich die notwendigen Beiträge. Hierdurch entstehenden Auf- wand hat der Auftraggeber zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecketragen. (2h) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maß- nahmen der Verarbeitung die Vertraulichkeit streng Aufsichtsbehörde zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichteninformieren, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegensich auf die Auftragsverarbeitung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt. (5i) Der Auftragnehmer sichert zuSoweit der Auftraggeber einer Kontrolle der Aufsichtsbehörde, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorgeeinem Ordnungswidrigkeits- oder Strafverfahren, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Idem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der beauftragten Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn dieser nach besten Kräften zu unterstützen. Den hierbei entstehenden Aufwand trägt der Auftraggeber. j) Tätigkeiten, die der Verantwortliche im Verhältnis zu betroffenen Personen schuldet, z.B. die Umsetzung von Löschkonzepten, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft, sind nur dann und insoweit unmittelbar durch den Auftragnehmer durchzuführen, als sie gemäß dem jeweiligen Auftrag vom vereinbarten Leistungsumfang ausdrücklich umfasst sind. Der dadurch anfallende Aufwand wird von dem Auftraggeber gesondert getragen. Eine Pflicht zur Bestellung eines DSB besteht beim Auftragnehmer aufgrund der Unternehmensgröße nicht. 3. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung von dessen in Art. 32 bis 36 DS-GVO genannten Pflichten zur Sicherheit von personenbezogenen Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen. Zu den Pflichten gehören für die Auftragsverarbeitung u.a. a) die Sicherstellung eines angemessenen Schutzniveaus durch die TOM, die die Umstände und Zwecke der Verarbeitung unterstützt sowie die b. prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignis- sen ermöglichen, b) die Verpflichtung, Verletzungen von Auftraggeber-Daten unverzüglich an den Auftraggeber zu melden, c) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen, d) die Unterstützung des Auftraggebers für eine von diesem etwa vorzunehmende Datenschutz- Folgenabschätzung, e) die Unterstützung des Auftraggeber im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde. Sofern und soweit die Leistungen und Tätigkeiten nicht in der Leistungsbeschreibung gemäß dem anwendbaren Auftrag enthalten sind oder der Auftraggeber nachweist, dass sie auf ein Verschulden des Auftragnehmer zurückzuführen sind, kann der Auftragnehmer für die nach Ziff. 2 anfallenden Tätigkeiten eine gesonderte Vergütung beanspruchen. 4. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Auftragsverarbeitung gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus der VAV oder dem anwendbaren Auftrag verstoßen hat/ haben, sofern und soweit deshalb die Gefahr besteht, dass Auftraggeber-Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. a) Der Auftragnehmer trägt dafür Sorge, dass der o.a. Kreis von Beteiligten zur Geheimhaltung gem. § 203 StGB verpflichtet wird. Dementsprechend wahrt der o.a. Kreis von Beteiligten in Kenntnis der strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht und den sonst anwendbaren rechtlichen Vorschriften fremde Geheimnisse, die von dem Auftraggeber zugänglich gemacht werden. b) Der o.a. Kreis von Beteiligten verpflichtet sich, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Erfüllung eines Auftrags erforderlich ist. c) Dem o.a. Kreis von Beteiligten ist bekannt, dass sich die Verschwiegenheitspflicht nicht nur auf fremde Geheimnisse erstreckt, sondern auf alle Tatsachen, die in Ausübung oder aus Anlass der Tätigkeit für den Auftraggeber, der einer beruflichen Verschwiegenheitsverpflichtung unterliegt, anvertraut oder bekannt werden. Hierzu gehört auch schon die Kenntnis, welche Mandate betreut werden. d) Bei der Inanspruchnahme von Leistungen, die unmittelbar einem einzelnen Mandat oder einer einzelnen Person dienen, ist der Auftraggeber verpflichtet, die Einwilligung des Mandanten in die Zugänglichmachung von fremden Geheimnissen einzuholen. e) Die vorstehend vereinbarte Pflicht zur Verschwiegenheit besteht nicht, soweit der Auftragnehmer auf Grund einer behördlichen oder gerichtlichen Entscheidung zur Offenlegung von vertraulichen Informationen des Auftraggeberauftaggeber verpflichtet ist/wurde. Soweit dies im Einzelfall zulässig und möglich ist, wird der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleitenüber die Pflicht zur Offenlegung möglichst vorab in Kenntnis setzen. f) Dem Auftragnehmer ist die Rechtslage zu §§ 53a i.V.m. 53, 97 StPO, §§ 383 f ZPO bekannt (7) Wird Mitwirkung an der Auftraggeber durch Aufsichtsbehörden oder andere Stellen beruflichen Tätigkeit eines Auftraggebers, der einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendenberuflichen Verschwiegenheitsverpflichtung unterliegt). Der Auftragnehmer teilt dem o.a. Kreis von Beteiligten wird bei Gerichten und Behörden über Tatsachen, die mit der Tätigkeit bekannt werden, ohne vorherige Genehmigung des Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit nicht aussagen oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mitsonst Auskunft erteilen. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den Daten und Verarbeitungsergebnisse ausschließlich im Auftrag verarbeiteten Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten erhalten könnendes Auftraggebers herauszugeben, haben sich schriftlich zur Vertraulichkeit so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass informieren und die bei ihm zur Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen Daten für eigene Zwecke des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholenAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer trägt dafür Sorgeerklärt rechtsverbindlich, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterstützt nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er Antrag unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige weiterzuleiten und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wendendies dem Antragsteller mitzuteilen. Der Auftragnehmer teilt unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unverzüglich jene Informationen zur Verfügung zu stellen, die Kontaktdaten des Datenschutzbeauftragten mit oder begründetzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, weshalb kein Beauftragter bestellt wurdealle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten1. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Der Auftragnehmer hat den Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung2 Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU oder bzw des EWREWR durchgeführt. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung Im Falle der Domainregistrierung werden, je nach zu registrierender Domain, allfällig auch außerhalb der EU bzw. des Auftraggebers und unter den in Kapitel V EWR Datenerarbeitungstätigkeiten (Registrierung der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgenDomain beim zuständigen Registrar) durchgeführt.