Common use of Pflichten des Auftragnehmers Clause in Contracts

Pflichten des Auftragnehmers. Dem Auftragnehmer obliegen die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.

Pflichten des Auftragnehmers. Dem 5.1 Der Auftragnehmer obliegen die nachfolgenden Pflichten verarbeitet personenbezogene Daten in der Situation der Auftragsverarbeitung ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Art. 28Weisungen des Auftraggebers, 29 DSGVO: • Die Wahrung sofern er nicht zu einer anderen Verarbeitung durch das Recht der Vertraulichkeit Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist (Datengeheimnisz. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann In einem solchen Fall teilt der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen diese rechtlichen Anforderungen vor der AufsichtsbehördenVerarbeitung mit, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit sofern das betreffende Recht eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 litSatz 2 a DS-GVO). 5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. f DSGVO bei Kopien oder Duplikate der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 5.3 Der Auftragnehmer sichert im Bereich der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mitauftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er hat dem sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. 5.4 Die Datenträger, die erforderlichen Angaben und Dokumente auf Anfrage offen zu legenvom Auftraggeber stammen bzw. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. 5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt 12 bis 22 DS-GVO durch den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. f DS-GVO). Er hat die Information und Auskunft dazu erforderlichen Angaben jeweils unverzüglich an den BetroffenWeisungsberechtigten des Auftraggebers gemäß Anlage 1 weiterzuleiten. 5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Berichtigung Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder Löschung von Datengeändert wird. 5.7 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt. 5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die Einschränkung vom Auftraggeber oder einem anderen von diesem beauftragten Xxxxxx durchgeführt werden. 5.9 Der Auftragnehmer verpflichtet sich, auch die Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. 5.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung oder das Recht auf Datenübertragbarkeit der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 5.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und Widerspruchfür die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutz- rechtlichen Vorschriften in seinem Betrieb.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers – auch in Bezug auf die U¨ bermittlung personenbezoge- ner Daten an ein Drittland oder eine internationale Organisation – verarbeiten; außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor oder sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen offentlichen Interesses verbietet. Der Auftragnehmer informiert den Auftraggeber unverzu¨glich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verst¨oßt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber best¨atigt oder abge¨andert wurde. (2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organi- sation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genu¨gen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrit¨at, Verfu¨gbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er tr¨agt die Ver- antwortung dafu¨r, dass diese fu¨r die Risiken der zu verarbeitenden Daten ein angemessenes sipgate GmbH Xxxxxxxxxx Xxxxxx 00 X-00000 Xx¨xxxxxxxx Telefon, Fax 1&1 IONOS SE Xxxxxxxxxxx Xxx. 00 X-00000 Xxxxxxxxx WebSpace, E-Mail Host Europe GmbH Hansestr. 111 D-51149 Ko¨ln Lizenzverwaltung, EBICS-Server fu¨r Tests und Xxx- luation (Demoprogramme), Bereitstellung von Downloads Schutzniveau bieten. Eine A¨nderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auf- tragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. (3) Der Auftragnehmer obliegen unterstu¨tzt soweit vereinbart den Auftraggeber im Rahmen seiner Mo¨glichkeiten bei der Erfu¨llung der Anfragen und Anspru¨che betroffenen Personen gem. Kapi- tel III der DSGVO sowie bei der Einhaltung der in Artt. 33 bis 36 DSGVO genannten Pflichten. (4) Der Auftragnehmer gew¨ahrleistet, dass es den mit der Verarbeitung der Daten des Auftrag- gebers befassten Mitarbeiter und andere fu¨r den Auftragnehmer t¨atigen Personen untersagt ist, die nachfolgenden Daten außerhalb der Weisung zu verarbeiten. Ferner gew¨ahrleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. (5) Der Auftragnehmer unterrichtet den Auftraggeber unverzu¨glich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung mo¨glicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzu¨glich mit dem Auftraggeber ab. (6) Der Auftragnehmer nennt auf seinen Internetseiten die Kontaktdaten des Ansprechpartners (Datenschutzbeauftragten) fu¨r anfallende Datenschutzfragen. (7) Der Auftragnehmer gew¨ahrleistet, seinen Pflichten nach Art. 2832 Abs. 1 lit. d) DSGVO nachzukommen, 29 DSGVO: • Die Wahrung ein Verfahren zur regelm¨aßigen U¨ berpru¨fung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung Wirksamkeit der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Artzur Gew¨ahrleistung der Sicherheit der Verarbeitung einzu- setzen. (8) Der Auftragnehmer berichtigt oder loscht die vertragsgegenst¨andlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. 32Ist eine daten- schutzkonforme L¨oschung oder eine entsprechende Einschr¨ankung der Datenverarbeitung nicht mo¨glich, 24 DSGVO. Hierzu kann u¨bernimmt der Auftragnehmer ergänzend auch aktuelle Berichte die datenschutzkonforme Vernichtung von Daten- tr¨agern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftragge- ber oder Prüfungen externer Instanzen gibt diese Datentr¨ager an den Auftraggeber zuru¨ck, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden F¨allen, erfolgt eine Aufbewah- rung bzw. U¨ bergabe, Vergu¨tung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. Fu¨r diese Maßnahmen darf der Auftragnehmer eine Vergu¨tung verlangen. (z.B. Datenschutzbeauftragter9) Daten, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information Datentr¨ager sowie s¨amtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers über Kontrollhandlungen entweder herauszugeben oder zu lo¨schen. Im Falle von Test- und Maßnahmen Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich. Entstehen zus¨atzliche Kosten durch abweichende Vorgaben bei der AufsichtsbehördenHerausgabe oder Loschung der Daten, soweit personenbezogene Daten so tr¨agt diese der Auftraggeber. (10) Im Falle einer Inanspruchnahme des Auftraggebers betroffen sind. Dies gilt auch, soweit durch eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten betroffene Person hin- sichtlich etwaiger Anspru¨che nach Art. 30 Abs. 2 DSGVO und unterstützt 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Erfüllung Abwehr des Anspruches im Rahmen seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.Mo¨glichkeiten zu unterstu¨tzen.‌

Pflichten des Auftragnehmers. Dem 4.1 Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die darf Daten von betroffenen Personen nur im Rahmen des Auftrages und auf personenbezogene Daten dokumentierte Weisungen des Auftraggebers zugreifen könnenverarbeiten, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichtenes sei denn, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) es liegt ein Ausnahmefall im Sinne des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. Artikel 28 Abs. 3 lita) DSGVO vor. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt informiert den Auftraggeber bei unverzüglich, wenn es der Erfüllung seiner Dokumentationspflichten gegebenenfalls Auffassung ist, dass eine Weisung gegen Kostenerstattung nach Artanwendbare Gesetze verstößt. 30 DSGVO. • Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 28 Abs32 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. 3 litFerner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. e DSGVO Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Möglichkeit mit geeigneten technischen Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber zur Minderung möglicher nachteiliger Folgen der betroffenen Person Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Kapitel 3 DSGVO erfüllen kannAuftragsende nach Xxxx des Auftraggebers entweder zurückzugeben oder zu löschen, z.B. sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Information Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und Auskunft an den Betroffenin schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und WiderspruchKURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. Dem 3.1. Schriftliche Bekanntgabe der verantwortlichen Ansprechpersonen des Auftragnehmers; 3.2. Einhaltung der Gesetze und Vorschreibungen auf der jeweiligen Baustelle, insbesondere hinsichtlich nationaler technischer Normen, Standards, Steuern, Genehmigungen, Zölle, Registrierungen etc.; 3.3. Einhaltung eines fachmännischen Sorgfaltsmaßstabes, da die Lieferungen und Leistungen des Auftragnehmers Teil der von TGW zu errichtenden Gesamtanlage bzw. einer bestehenden Anlage werden; 3.4. Beschaffung und Berücksichtigung sämtlicher Informationen, welche die anlagen-, umwelt- bzw. verfahrenstechnischen Bedingungen auf die Lieferungen und Leistungen des Auftragnehmers insbesondere im Hinblick auf seine Schnittstellen bestimmen und darauf von Einfluss sein können. Nach Rücksprache mit der TGW kann auch eine Vor-Ort-Besichtigung der jeweiligen Anlage erfolgen. Der Auftragnehmer obliegen wird seine Schnittstellen im jeweiligen Pflichtenheft bekannt geben. 3.5. Einhaltung der einschlägigen Qualitätsmanagement- und Umweltmanagementnormen durch Nachweis von aktuellen Zertifikaten bei sich und seinen Sublieferanten. TGW behält sich das Recht vor, das Qualitäts- bzw. Umweltmanagementsystem des Auftragnehmers und seiner Sublieferanten zu vereinbarten Zeitpunkten auf Normkonformität zu auditieren und, sofern notwendig, Korrektur- und Vorbeugemaßnahmen vom Auftragnehmer einzufordern. 3.6. Sofern der Auftragnehmer seine Leistungen in Ländern mit Mindestlohnbestimmungen erbringt, verpflichtet er sich zur Einhaltung dieser Bestimmungen. Der Auftragnehmer garantiert die nachfolgenden Pflichten nach Artstetige und fristgerechte Zahlung des Mindestlohnes. 28Bedient sich der Auftragnehmer zur Erfüllung seiner vertraglichen Verpflichtungen eines Subunternehmers, 29 DSGVO: • Die Wahrung ist er dazu verpflichtet, diesen gleichfalls auf die Einhaltung der Vertraulichkeit (Datengeheimnis)Mindestlohnbestimmungen zu verpflichten. Alle PersonenDer Auftragnehmer stellt TGW auf erstes Anfordern von sämtlichen Forderungen, Bußgeldern, Strafen und Kosten frei, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer uswaus einer Inanspruchnahme von TGW aus den einschlägigen Bestimmungen resultieren.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.

Pflichten des Auftragnehmers. Dem 5.1 Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf verarbeitet personenbezogene Daten in der Situation der Auftragsverarbeitung ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers zugreifen könnenAuftraggebers, müssen auf die Vertraulichkeit (Datengeheimnis) sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen ist (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwendenErmittlungen von Strafverfolgungs- oder Staatsschutzbehörden). • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen diese rechtlichen Anforderungen vor der AufsichtsbehördenVerarbeitung mit, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit sofern das betreffende Recht eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. f DSGVO bei a DSGVO). 5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Erstellung einer Datenschutz-Folgenabschätzung gemäß Artpersonen- bezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 35 DSGVO Der Auftraggeber wird ausdrücklich darauf hingewiesen, dass solche Kopien oder Duplikate im Zusammenhang mit den Datensicherungen entstehen können, die der Auftragnehmer im ordentlichen Geschäftsgang anfertigt. Siehe dazu auch „Anlage 2 zur Auftragsverarbeitung - Technische und ggf. bei organisatorische Maßnahmen“. 5.3 Der Auftragnehmer gewährleistet im Bereich der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mitauftragsgemäßen Verarbeitung von personen- bezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen. Er hat dem gewährleistet durch geeignete technisch-organisatorische Maßnahmen, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. 5.4 Die Datenträger, die erforderlichen Angaben und Dokumente auf Anfrage offen zu legenvom Auftraggeber stammen bzw. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten die ausschließlich für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. 5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 30 Abs. 2 12 bis 22 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt durch den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. f DSGVO). Er hat die Information und Auskunft dazu erforderlichen Angaben jeweils unverzüglich an den BetroffenWeisungs- berechtigten des Auftraggebers gemäß „Anlage 1 zur Auftragsverarbeitung - Individuelle Vertragsbestandteile“ weiterzuleiten. Der Auftragnehmer behält sich vor, diese Leistungen nur gegen Entgelt zu erbringen, wie in nach Aufwand (time/material) zu den vereinbarten, und bei Fehlen einer Vereinbarung zu seinen jeweils aktuellen, Sätzen abzurechnen. 5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Berichtigung Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Über- prüfung bestätigt oder Löschung von Datengeändert wird. 5.7 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftrag- nehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt. 5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen, einschließlich Inspektionen, die Einschränkung vom Auftraggeber oder einem anderen von diesem beauftragten Xxxxxx durchgeführt werden. Werden solche Prüfungen öfters als ein (1) mal pro Kalenderjahr durch-geführt, ohne dass ein Verstoß des Auftragnehmers gegen diese AVV dazu Anlass gegeben hat, kann der Auftragnehmer Ersatz, der dem Auftragnehmer dadurch entstehenden Aufwände, verlangen. 5.9 Der Auftragnehmer verpflichtet sich, auch die ihm offengelegten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Gehen diese Geheimnisschutzregelungen von Art und Umfang her über die Verpflichtungen hinaus, zu deren Einhaltung sich der Auftragnehmer gegenüber dem Auftraggeber gemäß dem Hauptvertrag, insbesondere der AGB des Auftragnehmers, verpflichtet hat, kann der Auftragnehmer Ersatz der dem Auftragnehmer dadurch entstehenden Aufwände verlangen. 5.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung oder das Recht auf Datenübertragbarkeit der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. 5.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und Widerspruchfür die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in Anschrift Kontakt Bankverbindung Geschäftsführer Internet + E-Mail Xxxxxxxx-Xxxxx-Xxx. 0 00000 Xxxxxxxx Tel. +00 0000 000000 Fax +00 0000 0000000 IBAN: XX00 0000 0000 0000 0000 00 BIC: HYVE DE MM 463 Xxxxxxxxx Xxxxxxxx Amtsgericht Fürth HRB 18264 xxx.xxxxxxxxx.xx xxxx@xxxxxxxxx.xx geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Pflichten des Auftragnehmers. Dem Auftragnehmer obliegen die nachfolgenden Pflichten nach 5.1 Soweit sich eine betroffene Person in Wahrnehmung ihrer Rechte aus Kapitel 3 DSGVO (Art. 2812 bis 23 DSGVO) unter Berücksichtigung von Teil 2, 29 DSGVO: • Die Wahrung der Vertraulichkeit Kapitel 2 BDSG (Datengeheimnis). Alle Personen§§ 32 bis 37 BDSG) unmittelbar an den Auftragnehmer wendet, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann wird der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail dieses Ersuchen unverzüglich an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt weiterleiten und den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit Auftraggeber auf zumutbare Weise mit geeigneten technischen und organisatorischen MaßnahmenMaßnahmen dabei unterstützen, damit dieser seine bestehenden Pflichten gegenüber seiner Pflicht zur Beantwortung solcher Anträge auf Wahrnehmung der in Kapitel 3 DSGVO benannten Rechte der betroffenen Person nachzukommen. 5.2 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. 5.3 Wenn dem Auftragnehmer hinsichtlich der verarbeiteten Auftraggeber-Daten eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO bekannt wird („Datenschutzvorfall“), meldet er dies dem Verantwortlichen unverzüglich. Im Rahmen der Meldung gem. Art. 33 Abs. 2 DSGVO teilt der Auftragnehmer dem Auftraggeber nach Kapitel 3 DSGVO erfüllen kannMöglichkeit den Zeitpunkt sowie Art und Ausmaß des Vorfalls, z.B. das betroffene IT-System, die Information und Auskunft betroffenen Personen, den Zeitpunkt der Entdeckung, alle denkbaren nachteiligen Folgen des Datensicherheitsvorfalls sowie die daraufhin ergriffenen Maßnahmen mit. 5.4 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn Rechte des Auftraggebers an den Betroffenpersonenbezogenen Daten beim Auftragnehmer durch Maßnahmen Dritter oder durch sonstige Ereignisse maßgeblich berührt werden. 5.5 Der Auftragnehmer ist verpflichtet, die Berichtigung auf Verlangen des Auftraggebers sämtliche Auftraggeber-Daten herauszugeben. Vom Auftraggeber erhaltene Datenträger sind gesondert zu kennzeichnen und laufend zu verwalten. Kopien und Duplikate der personenbezogenen Daten dürfen ausschließlich nach vorheriger Zustimmung durch den Auftraggeber angefertigt werden, sofern sie nicht zur ordnungsgemäßen Durchführung dieser Vereinbarung bzw. des jeweiligen Projektauftrags oder Löschung zur Einhaltung von Datengesetzlichen Aufbewahrungspflichten dienen. 5.6 Sofern eine gesetzliche Pflicht besteht, die Einschränkung benennt der Verarbeitung oder das Recht auf Datenübertragbarkeit Auftragnehmer einen Datenschutzbeauftragten (Art. 37 ff. DSGVO) und Widerspruchteilt dessen Kontaktdaten sowie ggf. den Wechsel des Datenschutzbeauftragten dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mindestens in Textform mit.

Pflichten des Auftragnehmers. Dem 1. Der Auftragnehmer ist abweichend von § 412 HGB zur Be- und Entladung der Güter verpflichtet. Ihm obliegen des Weiteren die nachfolgenden beförderungs- und betriebssichere Verladung sowie die Bewachung der Güter während seiner Obhut. 2. Der Auftragnehmer verpflichtet sich, dafür Sorge zu tragen, dass ausländisches Fahrpersonal eine amtliche Bescheinigung mit einer amtlich beglaubigten Übersetzung in deutscher Sprache nach § 7 b Abs. 1 S. 2 GüKG auf jeder Fahrt mit sich führt. 3. Ferner verpflichtet sich der Auftragnehmer, ausländische Fahrer aus Drittstaaten nur mit der erforderlichen Arbeitsgenehmigung und Fahrerbescheinigung einzusetzen. 4. Der Auftragnehmer verpflichtet sich, dem Auftraggeber alle mitzuführenden Dokumente bei Kontrollen durch den Auftraggeber auf Verlangen zur Prüfung auszuhändigen. 5. Der Auftragnehmer verpflichtet sich ferner, das Fahrpersonal entsprechend der Regelungen dieser AGB einzuweisen. 6. Der Auftragnehmer versichert, über die für den jeweiligen Transport erforderlichen Erlaubnisse und Berechtigungen (Erlaubnis, Eurolizenz, Drittlandgenehmigung, CEMT- Genehmigung, Schweizerische Lizenz) zu verfügen. 7. Der Auftragnehmer verpflichtet sich, diese Vorlagepflicht und die weiteren vorstehend bereits beschriebenen Pflichten nach Art– soweit dies ausnahmsweise zugestanden wurde – in den Frachtvertrag mit ausführenden Frachtführern aufzunehmen. 28Insoweit verpflichtet sich der Auftragnehmer zudem zur Kontrolle der Einhaltung dieser Vorschriften durch die ausführenden Frachtführer. Der Auftragnehmer verpflichtet sich zur Duldung flächendeckender Kontrollen durch den Auftraggeber und seiner Erfüllungsgehilfen. 8. Der Auftragnehmer trägt dafür Sorge, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personendass nur Fahrzeugführer eingesetzt werden, die auf personenbezogene Daten des Auftraggebers zugreifen könnenüber die notwendigen Erlaubnisse, müssen Bescheinigungen und sonstigen Dokumente verfügen, um den Transport durchzuführen. 9. Der Auftragnehmer hat dafür Sorge zu tragen, dass er selbst bzw. die von ihm eingesetzten Fahrzeuge/Fahrer ständig – insbesondere telefonisch – erreichbar sind. 10. Bei Brand, Diebstahl oder anderen Straftaten, die Einfluss auf die Vertraulichkeit (Datengeheimnis) verpflichtet Erledigung des Transportauftrages haben können sowie über besondere Datenschutzpflichtenbei Unfällen, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzungsoweit es sich nicht lediglich um Bagatellunfälle handelt, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann ist der Auftragnehmer ergänzend auch aktuelle Berichte verpflichtet, die örtliche Polizei einzuschalten. 11. Der Auftragnehmer wird nach vertragsgemäßer Ausführung des Transports und Ablieferung der Sendung an den Empfänger sämtliche Ablieferungsnachweise unverzüglich schriftlich oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragterelektronisch an den Auftraggeber übermitteln. Für den Fall, IT-Dienstleisterdass ein Ablieferungsnachweis nicht erbracht werden kann, Wirtschaftsprüfer usw.) verwendenwird mangels Nachweises der Ablieferung die Fracht einbehalten. • Bestellung eines DatenschutzbeauftragtenFür den zusätzlichen Arbeitsaufwand wird ein pauschalierter Schadenersatz in Höhe von EUR 25,00 geschuldet, der 14 Tage nach dem vereinbarten Ablieferungszeitpunkt fällig wird. Dieser pauschalierte Schadensersatzanspruch entfällt, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist der Auftragnehmer dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen nachweist, dass ihm durch das Nichtvorliegen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen Ablieferungsquittung keine oder geringere Aufwendungen entstanden sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermitteltIm letztgenannten Fall ist der Schadenersatzanspruch entsprechend zu kürzen. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis Weitergehende Ansprüche bleiben von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und WiderspruchRegelung unberührt.

Pflichten des Auftragnehmers. (1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers – auch in Bezug auf die U¨ bermittlung personenbezoge- ner Daten an ein Drittland oder eine internationale Organisation – verarbeiten; außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor oder sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen o¨ffentlichen Interesses verbietet. (2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organi- sation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genu¨gen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrit¨at, Verfu¨gbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er tr¨agt die Ver- antwortung dafu¨r, dass diese fu¨r die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine A¨nderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auf- tragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. (3) Der Auftragnehmer obliegen unterstu¨tzt soweit vereinbart den Auftraggeber im Rahmen seiner Mo¨glichkeiten bei der Erfu¨llung der Anfragen und Anspru¨che betroffenen Personen gem. Kapi- tel III der DSGVO sowie bei der Einhaltung der in Artt. 33 bis 36 DSGVO genannten Pflichten. (4) Der Auftragnehmer gew¨ahrleistet, dass es den mit der Verarbeitung der Daten des Auftrag- gebers befassten Mitarbeiter und andere fu¨r den Auftragnehmer t¨atigen Personen untersagt ist, die nachfolgenden Daten außerhalb der Weisung zu verarbeiten. Ferner gew¨ahrleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. (5) Der Auftragnehmer unterrichtet den Auftraggeber unverzu¨glich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung mo¨glicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzu¨glich mit dem Auftraggeber ab. (6) Der Auftragnehmer nennt auf seinen Internetseiten die Kontaktdaten des Ansprechpartners (Datenschutzbeauftragten) fu¨r anfallende Datenschutzfragen. (7) Der Auftragnehmer gew¨ahrleistet, seinen Pflichten nach Art. 2832 Abs. 1 lit. d) DSGVO nachzukommen, 29 DSGVO: • Die Wahrung ein Verfahren zur regelm¨aßigen U¨ berpru¨fung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung Wirksamkeit der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Artzur Gew¨ahrleistung der Sicherheit der Verarbeitung einzu- setzen. (8) Der Auftragnehmer berichtigt oder lo¨scht die vertragsgegenst¨andlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. 32Ist eine daten- schutzkonforme L¨oschung oder eine entsprechende Einschr¨ankung der Datenverarbeitung nicht mo¨glich, 24 DSGVO. Hierzu kann u¨bernimmt der Auftragnehmer ergänzend auch aktuelle Berichte die datenschutzkonforme Vernichtung von Daten- tr¨agern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftragge- ber oder Prüfungen externer Instanzen gibt diese Datentr¨ager an den Auftraggeber zuru¨ck, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden F¨allen, erfolgt eine Aufbewah- rung bzw. U¨ bergabe, Vergu¨tung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. Fu¨r diese Maßnahmen darf der Auftragnehmer eine Vergu¨tung verlangen. (z.B. Datenschutzbeauftragter9) Daten, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information Datentr¨ager sowie s¨amtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers über Kontrollhandlungen entweder herauszugeben oder zu loschen. Im Falle von Test- und Maßnahmen Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich. Entstehen zus¨atzliche Kosten durch abweichende Vorgaben bei der AufsichtsbehördenHerausgabe oder Lo¨schung der Daten, soweit personenbezogene Daten so tr¨agt diese der Auftraggeber. (10) Im Falle einer Inanspruchnahme des Auftraggebers betroffen sind. Dies gilt auch, soweit durch eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten betroffene Person hin- sichtlich etwaiger Anspru¨che nach Art. 30 Abs. 2 DSGVO und unterstützt 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Erfüllung Abwehr des Anspruches im Rahmen seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.Mo¨glichkeiten zu unterstu¨tzen.‌

Pflichten des Auftragnehmers. Dem 5.1. Der Auftragnehmer obliegen die nachfolgenden Pflichten verarbeitet personenbezogene Daten ausschliesslich im Rahmen der getroffenen Vereinbarungen, der rechtlichen Grundlagen und nach Weisungen des Auftraggebers im Einklang mit der DSGVO (siehe An- lage 2 DSGVO), ausser er ist zur Verarbeitung verpflichtet durch das Recht der Europäischen Union oder des Mitgliedsstaates, dem der Auftragsverar- beiter unterliegt (z.B. Ermittlungen von Strafverfolgungs- und Staatsschutzbe- hörden). Ist dies der Fall, hat der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mitzuteilen, es sei denn eine solche Mitteilung ist wegen wichtigem öffentlichem Interesse durch das betreffende Recht verboten (Art. 2828 Abs. 3 S. 2 lit. a DSGVO). 5.2. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, 29 DSGVO: • Die Wahrung zu löschen und zu sperren bzw. deren Verarbeitung einzu- schränken, wenn der Vertraulichkeit (Datengeheimnis)Auftraggeber dies in der getroffenen Vereinbarung oder einer Weisung verlangt und keine berechtigten Interessen des Auftragneh- mers entgegenstehen. Alle PersonenSoweit eine betroffene Person sich diesbezüglich un- mittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Xxxx- xxxx unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer ist berechtigt, entsprechende Änderungen selbst vorzunehmen, wenn der Auf- traggeber nicht auf entsprechende Anfragen der Betroffenen reagiert. 5.3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Daten, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen im Hinblick auf die Vertraulichkeit (Datengeheimnis) Einhaltung gesetzlicher Aufbewah- rungspflichten erforderlich sind. 5.4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstösst. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 5.5. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – nach Terminvereinbarung – berechtigt ist, die Einhaltung dieser Vereinbarung im erforderlichen Umfang nach Art 28 DSGVO selbst oder durch vom Auftrag- geber beauftragte Dritte zu kontrollieren. Der Auftragnehmer verpflichtet sowie über besondere Datenschutzpflichtensich, Weisungsbefugnisse dem Auftraggeber die erforderlichen Auskünfte zu erteilen, und die Zweckbindung Umset- zung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend ArtMassnahmen nachzuweisen. 5.6. 32, 24 DSGVO. Hierzu kann Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer ergänzend auch aktuelle Berichte sämtliche in seinen Besitz gelangten Daten, Unterlagen und erstellte Verarbeitungs- o- der Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten / vernichten zu lassen, sofern dem nicht ein gesetzlicher oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer uswtatsächlicher Grund entgegen- steht.) verwenden 5.7. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschriebenBeim Auftragnehmer ist als Beauftragter für den Datenschutz Xxxx Xxxxxxxxx Xxxxxxxx bestellt. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. 5.8. • Die Information des Auftraggebers über Kontrollhandlungen Der Auftragnehmer bestätigt, dass ihm die für die Auftragsdatenverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind und Maßnahmen er seine entsprechenden Pflichten einhält. 5.9. Der Auftragnehmer verpflichtet sich die Vertraulichkeit bei der Aufsichtsbehörden, soweit personenbezogene Verarbeitung der personenbezogenen Daten des Auftraggebers betroffen sindzu wahren. Dies gilt auchDiese besteht auch nach Beendigung des Vertrages fort. 5.10. Der Auftragnehmer sichert zu, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die dass er die bei der Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen UnterauftragnehmernArbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie massge- benden Bestimmungen des Datenschutzes vertraut macht und sie sowohl für die Zeit ihrer Tätigkeit, als auch nach Beendigung des Beschäftigungsver- hältnisses zur Verschwiegenheit verpflichtet. • Der Auftragnehmer wirkt überwacht die Einhaltung der hier angegebenen datenschutzrechtlichen Vorschriften in seinem Betrieb. 5.11. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt vorheriger Wei- sung oder schriftlicher Zustimmung durch den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggebererteilen, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und oder so- weit diese Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchaufgrund gesetzlicher Verpflichtungen erfolgt.

Pflichten des Auftragnehmers. Dem Auftragnehmer obliegen die nachfolgenden Pflichten nach Vorschau 6.1 Soweit sich eine betroffene Person in Wahrnehmung ihrer Rechte aus Kapitel 3 DSGVO (Art. 2812 bis 23 DSGVO) unter Berücksichtigung von Teil 2, 29 DSGVO: • Die Wahrung der Vertraulichkeit Kapitel 2 BDSG (Datengeheimnis). Alle Personen§§ 32 bis 37 BDSG) unmittelbar an den Auftragnehmer wendet, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann wird der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail dieses Ersuchen unverzüglich an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt weiterleiten und den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit Auftraggeber auf zumutbare Weise mit geeigneten technischen und organisatorischen MaßnahmenMaßnahmen dabei unterstützen, damit dieser seine bestehenden Pflichten gegenüber seiner Pflicht zur Beantwortung solcher Anträge auf Wahrnehmung der in Kapitel 3 DSGVO benannten Rechte der betroffenen Person nachzukommen. 6.2 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. 6.3 Wenn dem Auftragnehmer hinsichtlich der verarbeiteten Auftraggeber-Daten eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO bekannt wird („Datenschutzvorfall“), meldet er dies dem Verantwortlichen unverzüglich. Im Rahmen der Meldung gem. Art. 33 Abs. 2 DSGVO teilt der Auftragnehmer dem Auftraggeber nach Kapitel 3 DSGVO erfüllen kannMöglichkeit den Zeitpunkt sowie Art und Ausmaß des Vorfalls, z.B. das betroffene IT-System, die Information und Auskunft betroffenen Personen, den Zeitpunkt der Entdeckung, alle denkbaren nachteiligen Folgen des Datensicherheitsvorfalls sowie die daraufhin ergriffenen Maßnahmen mit. 6.4 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn Rechte des Auftraggebers an den Betroffenpersonenbezogenen Daten beim Auftragnehmer durch Maßnahmen Dritter oder durch sonstige Ereignisse maßgeblich berührt werden. 6.5 Der Auftragnehmer ist verpflichtet, die Berichtigung auf Verlangen des Auftraggebers sämtliche Auftraggeber-Daten herauszugeben. Vom Auftraggeber erhaltene Datenträger sind gesondert zu kennzeichnen und laufend zu verwalten. Kopien und Duplikate der personenbezogenen Daten dürfen ausschließlich nach vorheriger Zustimmung durch den Auftraggeber angefertigt werden, sofern sie nicht zur ordnungsgemäßen Durchführung dieser Vereinbarung bzw. des jeweiligen Projektauftrags oder Löschung zur Einhaltung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchgesetzlichen Aufbewahrungspflichten dienen.

Pflichten des Auftragnehmers. Dem Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbei‐ tung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs‐ oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichti‐ gen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS‐GVO). Der Auftragnehmer verwendet die nachfolgenden Pflichten zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezoge‐ nen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumen‐tiert. Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbe‐ sondere folgende Überprüfungen in seinem Bereich durchzuführen: Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 2812 bis 22 DS‐GVO durch den Auf‐ traggeber, 29 DSGVO: • Die Wahrung an der Vertraulichkeit Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz‐Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (DatengeheimnisArt. 28 Abs. 3 Satz 2 lit e und f DS‐GVO). Alle PersonenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: ………………………………………………………………………………………………………….. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS‐GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Wei‐ sung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu lö‐ schen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber ‐ grundsätzlich nach Terminvereinbarung ‐ berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensi‐ cherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Ein‐ holung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbei‐ tungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS‐GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mit‐ wirkt. Hierzu wird bis auf personenbezogene weiteres folgendes vereinbart: Die Verarbeitung von Daten in Privatwohnungen (Tele‐ bzw. Heimarbeit von Beschäftigten des Auf‐ tragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privat‐ wohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwe‐ cke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS‐GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz‐ rechtlichen Vorschriften der DS‐GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auf‐ trag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbei‐ ter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes ver‐ traut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnis‐ ses in geeigneter Weise zur Verschwiegenheit verpflichtet (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 3228 Abs. 3 Satz 2 lit. b und Art. 29 DS‐ GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in sei‐ nem Betrieb. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau (Vorname, 24 DSGVOName, Organisationseinheit, Telefon) bestellt. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer ermitteltnicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Sofern einschlägig: Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem verpflichtet sich, den Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis über den Ausschluss von Verarbeitungstätigkeiten genehmigten Ver‐ haltensregeln nach Art. 30 41 Abs. 2 DSGVO 4 DS‐GVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung Widerruf einer Zertifizierung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 42 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch7 DS‐GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. Dem (1) Der Auftragnehmer obliegen verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die nachfolgenden Pflichten nach Artim Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. 28, 29 DSGVO: • Die Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (3) Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (Datengeheimnis). Alle Personen4) Der Auftragnehmer erklärt rechtsverbindlich, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen dass er alle erforderlichen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann zur Gewährleistung der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen Sicherheit der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten Verarbeitung nach Art. 30 Abs32ff DSGVO ergriffen hat. 2 DSGVO Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und unterstützt den Auftraggeber zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen). (5) Mitwirkungspflicht bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Betroffenenrechten: Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten ergreift die technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person Auftraggeber die Betroffenenrechte nach Kapitel 3 III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann, z.B. kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Xxxxxx an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (6) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (sicherzustellen). (7) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation. (8) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu erstellen hat. (9) Dem Auftraggeber wird hinsichtlich der Verarbeitung oder der von ihm überlassenen Daten das Recht auf Datenübertragbarkeit jederzeitiger Einsichtnahme und WiderspruchKontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (10) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. (11) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

Pflichten des Auftragnehmers. Dem (1) Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. (2) Der Auftragnehmer verwendet die nachfolgenden Pflichten nach Artzur Verarbeitung überlassenen personenbezogenen Daten für keinen anderen Zweck, insbesondere nicht für eigene Zwecke. 28Kopien oder Duplikate der personenbezogenen Daten werden nicht ohne Wissen des Auftraggebers erstellt. Hiervon ausgenommen sind Sicherheitskopien, 29 DSGVO: • Die Wahrung soweit sie zur Gewährleistung einer ordnungsge- mäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungs- fristen durch den Auftragnehmer erforderlich sind. (3) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Sofern für den Auftrag weitere Regelungen der Vertraulichkeit oder spezielle Geheimnisschutz- regeln (Datengeheimnis)z. X. Xxxxxxxxxxxxxxxxxx, Berufsgeheimnisse nach § 203 StGB) durch den Auftragnehmer zu beachten sind, informiert der Auftraggeber vor Auftragsbeginn darüber. Alle PersonenDer Auftragnehmer verpflichtet sich, die auf personenbezogene bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (Datengeheimnis4) verpflichtet sowie über besondere DatenschutzpflichtenDer Auftragnehmer sichert zu, Weisungsbefugnisse und dass er die Zweckbindung bei der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Maßgabe Beendigung des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, Beschäftigungsverhältnisses in geeigneter Weise zur Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 lit. b, Art. 29 und Art. 32 Abs. 4 DS-GVO verpflichtet. 02/2019 (5) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis auf dokumentierte Weisung des Auftrag- gebers zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Sofern sich eine betroffene Person bezüglich einer Berichtung, Löschung oder Sperrung von Daten unmittelbar an den Auftragnehmer wendet, leitet der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiter. Auskünfte über personenbezogene Daten aus dem Auftragsver- hältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. (6) Der Auftragnehmer leitet Anfragen zur Zulässigkeit der Verarbeitung oder zur Wahrung der Rechte betroffener Personen unverzüglich an den Auftraggeber weiter. Er wirkt im erforderlichen Umfang bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstä- tigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers im notwendigen Umfang mit und unterstützt soweit möglich den Auftraggeber (nach Art. 28 Abs. 3 Satz 2 lit. e DSGVO nach Möglichkeit mit geeigneten und f DS-GVO). (7) Der Auftragnehmer hat über die gesamte Dauer des Auftrages die auftragsgemäße Verarbeitung von personenbezogenen Daten des Auftraggebers in geeigneter Weise zu kontrollieren. Dazu kontrolliert er regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwor- tungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechtes erfolgt und der Schutz der Rechte betroffener Personen gewährleistet wird. Das Ergebnis der Kontrollen ist zu dokumentieren. (8) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsge- mäße Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO zu (Anlage 3 / TOMs). (9) Der Auftragnehmer erklärt sich damit dieser seine einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - be- rechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenver- arbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. (10) Sofern der Auftraggeber nach den bestehenden Pflichten gegenüber gesetzlichen Regelungen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, stellt er dem Auftraggeber die Kontaktdaten des Datenschutzbeauftragten zur Verfügung. Änderungen der Person oder der Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber in Textform mitzuteilen. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau Vorname, Name; Organisationseinheit; Telefon bestellt. (11) Der Auftragnehmer unterstützt den Auftraggeber nach besten Kräften, soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist. (12) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach Kapitel gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den BetroffenSatz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Berichtigung Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchgeändert wird.

Pflichten des Auftragnehmers. Dem 3.1. Schriftliche Bekanntgabe der verantwortlichen Ansprechpersonen des Auftragnehmers; 3.2. Einhaltung der Gesetze und Vorschreibungen auf der jeweiligen Baustelle, insbesondere hinsichtlich nationaler technischer Normen, Standards, Steuern, Genehmigungen, Zölle, Registrierungen etc.; 3.3. Einhaltung eines fachmännischen Sorgfaltsmaßstabes, da die Lieferungen und Leistungen des Auftragnehmers Teil der von TGW zu errichtenden Gesamtanlage bzw. einer bestehenden Anlage werden; 3.4. Beschaffung und Berücksichtigung sämtlicher Informationen, welche die anlagen-, umwelt- bzw. verfahrenstechnischen Bedingungen auf die Lieferungen und Leistungen des Auftragnehmers insbesondere im Hinblick auf seine Schnittstellen bestimmen und darauf von Einfluss sein können. Nach Rücksprache mit der TGW kann auch eine Vor-Ort-Besichtigung der jeweiligen Anlage erfolgen. Der Auftragnehmer obliegen wird seine Schnittstellen im jeweiligen Pflichtenheft bekannt geben; 3.5. Einhaltung der einschlägigen Qualitätsmanagement- und Umweltmanagementnormen durch Nachweis von aktuellen Zertifikaten bei sich und seinen Sublieferanten. TGW behält sich das Recht vor, das Qualitäts- bzw. Umweltmanagementsystem des Auftragnehmers und seiner Sublieferanten zu vereinbarten Zeitpunkten auf Normkonformität zu auditieren und, sofern notwendig, Korrektur- und Vorbeugemaßnahmen vom Auftragnehmer einzufordern; 3.6. Sofern der Auftragnehmer seine Leistungen in Ländern mit Mindestlohnbestimmungen erbringt, verpflichtet er sich zur Einhaltung dieser Bestimmungen. Der Auftragnehmer garantiert die nachfolgenden Pflichten nach Artstetige und fristgerechte Zahlung des Mindestlohnes. 28Bedient sich der Auftragnehmer zur Erfüllung seiner vertraglichen Verpflichtungen eines Subunternehmers, 29 DSGVO: • Die Wahrung ist er dazu verpflichtet, diesen gleichfalls auf die Einhaltung der Vertraulichkeit (Datengeheimnis)Mindestlohnbestimmungen zu verpflichten. Alle PersonenDer Auftragnehmer stellt TGW auf erstes Anfordern von sämtlichen Forderungen, Bußgeldern, Strafen und Kosten frei, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer uswaus einer Inanspruchnahme von TGW aus den einschlägigen Bestimmungen resultieren.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.

Pflichten des Auftragnehmers. Dem 6.1 Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers zugreifen könnenAuftraggebers, müssen auf die Vertraulichkeit sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichtenz. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 Satz 2 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • a DSGVO). 6.2 Der Auftragnehmer führt ein Verzeichnis verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. 6.3 Er gewährleistet, dass die für den Auftraggeber verarbeiteten Daten von Verarbeitungstätigkeiten sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. 6.4 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 30 Abs. 2 12 bis 22 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt durch den Auftraggeber, gegebenenfalls an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang gegen Kostenerstattung, gemäß Vergütung mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). 6.5 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. 6.6 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. 6.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. 6.8 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - nach Terminvereinbarung, im Rahmen der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs- und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). 6.9 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtung des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragsnehmers, zu Information hinsichtlich Kosten zu Qualitätsprüfung- und Vertrags- Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten. 6.10 Der Auftraggeber stimmt den Termin einvernehmlich mit dem Auftragnehmer ab und informiert diesen rechtzeitig (in der Regal mindestens einen Monat vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände. 6.11 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber gegenüber dem Auftragnehmer verpflichtet ist. Zudem muss sich der Dritte auf Verschwiegenheit und Geheimhaltung gegenüber dem Auftragnehmer verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Verpflichtet sich der Dritte nicht zur Verschwiegenheit und Geheimhaltung gegenüber dem Auftragnehmer, so kann der Auftragnehmer die Überprüfung durch den Dritte ablehnen. 6.12 Beabsichtigt der Auftraggeber die Kontrolle durch einen Dritten durchführen zu lassen, so teilt er dies dem Auftragnehmer unter Berücksichtigung der vereinbarten Frist (6.10) mit und identifiziert den Dritten in hinreichendem Maße. Der Auftragnehmer hat das Recht den Dritten abzulehnen, sofern dessen Einsatz negative Auswirkungen auf den Geschäftsbetrieb haben könnte, die über den Zeitraum der bloßen Vor-Ort-Kontrolle hinausgeht. Dies ist u. a. dann der Fall, wenn der Dritte ein Konkurrent des Auftragnehmers ist oder Konkurrenten des Auftragnehmers betreut und nicht gesetzlich zur Geheimhaltung verpflichtet ist, er bereits Opfer von Whistleblowing oder dem Verrat von Geschäftsgeheimnissen geworden ist, oder selbst Whistleblowing betrieben oder Geschäftsgeheimnisse verraten hat oder, wenn der Dritte durch lokale Gesetze zur Weitergabe der bei der Kontrolle erlangten Informationen verpflichtet wäre oder zu befürchten ist, dass er selbst ohne Rechtsgrundlage zur Weitergabe der Daten aufgrund anderer Umstände dazu gezwungen werden könnte. Der Auftragnehmer kann Ersatz der Kosten für den durch eine Vor-Ort-Kontrolle verursachten Aufwand verlangten. 6.13 Der Nachweis von Maßnahmen zur Erfüllung der Pflichten aus Art. 28 DSGVO kann auch erfolgen durch: - Die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO, - Die Zertifizierung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmeneinem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann- Aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder - Eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit z.B. nach ISO 27001 – („Prüfbericht“). 6.14 Der Auftragnehmer ist verpflichtet, soweit erforderlich, bei diesen Kontrollen unterstützend mitzuwirken. 6.15 Das Ergebnis einer (etwaigen vorvertraglichen) Kontrolle ist dem Auftragnehmer auf Anfrage in Textform mitzuteilen. 6.16 Der Auftragnehmer bestätigt, dass ihm die Information für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. 6.17 Der Auftragnehmer gewährleistet, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und Auskunft für die Zeit ihrer Tätigkeit, wie auch nach Beendigung des Beschäftigungsverhältnisses, in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). 6.18 Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Die Kontaktdaten der bestellten Datenschutzbeauftragten ergeben sich aus Anlage 1. 6.19 Die vom Auftraggeber hochgeladenen Daten werden mittels aktuellen Verschlüsselungsstandards an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung Auftragnehmer übertragen. Diese übermittelten Daten werden vom Auftragnehmer zum Zweck der Verarbeitung oder das Recht auf Datenübertragbarkeit Auftragsverarbeitung und WiderspruchAuftragsverfolgung für 60 Tage gespeichert und anschließend vollständig gelöscht.

Pflichten des Auftragnehmers. Dem 6.1. Der Auftragnehmer obliegen die nachfolgenden Pflichten nach hat darüber hinaus folgende Pflich- ten: • Schriftliche Bestellung – soweit gesetzlich vorge- schrieben – eines Datenschutzbeauftragten, der seine Aufgaben gemäß Art. 2839 DSGVO erfüllen kann, 29 DSGVO: und Bekanntgabe der Person des Daten- schutzbeauftragten auf Anforderung des Auftrag- gebers. • Die Wahrung Gewährleistung der Vertraulichkeit (Datengeheimnis)gemäß Art. 28 Abs. 3 b) DSGVO. Alle Personen, die auf- tragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf das Datengeheimnis verpflichtet und über die Vertraulichkeit (Datengeheimnis) verpflichtet sich aus diesem Auftrag ergebenden besonderen Daten- schutzpflichten sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die bestehende Weisungs- bzw. Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmerndurch den Auftragneh- mer im Hinblick auf die Vertragsausführung bzw. - erfüllung, insbesondere Einhaltung und ggf. not- wendige Anpassung von Regelungen und Maß- nahmen zur Durchführung des Auftrags. • Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsaus- xxxx unabhängiger Instanzen (z. B. Wirtschafts- prüfer, Revision, Datenschutzbeauftragter, IT-Si- cherheitsabteilung, Datenschutzauditoren, Quali- tätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen. 6.2. Der Auftragnehmer wirkt nach Maßgabe unterstützt den Auftraggeber an- gemessen mit geeigneten technischen und organisato- rischen Maßnahmen dabei, dessen Pflicht zur Beant- wortung von Anträgen auf Wahrnehmung der in den Artikeln 12 bis 23 DSGVO genannten Rechte der be- troffenen Person nachzukommen. 6.3. Der Auftragnehmer unterstützt den Auftraggeber un- ter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen dabei, die in den Artikeln 32 bis 36 genannten Pflichten zu erfül- len. 6.4. Für die Sicherheit erhebliche Entscheidungen zur Orga- nisation der Datenverarbeitung und zu den angewand- ten Verfahren sind mit dem Auftraggeber abzustim- men. 6.5. An der Erstellung der Verfahrensverzeichnisse bzw. des Verarbeitungsverzeichnisses des Auftraggebers im Sinne des Art. 28 30 Abs. 3 lit. f 1 DSGVO bei hat der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mitAuftragnehmer mitzuwirken. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legendem Auftraggeber zuzuleiten. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach sein Verarbeitungsverzeichnis gem. Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und WiderspruchAuftraggeber hat ein Einsichtsrecht.

Pflichten des Auftragnehmers. Dem 5.1. Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers zugreifen könnenAuftraggebers, müssen auf die Vertraulichkeit sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsnehmer unterliegt, hierzu verpflichtet ist (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist Auftragsnehmer dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen diese rechtlichen Anforderungen vor der AufsichtsbehördenVerarbeitung mit, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit sofern das betreffende Recht eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. f DSGVO bei der Erstellung einer Datenschutza DS-Folgenabschätzung gemäß ArtGVO). 5.2. 35 DSGVO und ggfDer Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen als die in Annex 1 geregelten Zwecke, insbesondere nicht für eigene Zwecke. 5.3. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mitDer Auftragnehmer ist für die gesamte Abwicklung seiner Dienstleistung für den Auftraggeber verantwortlich. Er hat dem Auftraggeber die erforderlichen Angaben dabei insbesondere regelmäßige Überprüfungen in seinem Betrieb durchzuführen und Dokumente auf Anfrage offen zu legendokumentieren. 5.4. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 30 Abs. 2 DSGVO und unterstützt 12 bis 22 DS- GVO durch den Auftraggeber bei Auftraggeber, an der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Erstellung der Verzeichnisse von Verarbeitungstätigkeiten (Art. 30 DSGVO. • Der DS-GVO) sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Auftragnehmer unterstützt im notwendigen Umfang mitzuwirken und den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Auftraggeber soweit möglich und angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: Weisungsberechtigter gem. Annex 1 5.5. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. 5.6. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. 5.7. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder schriftlicher Zustimmung durch den Auftraggeber erteilen 5.8. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen im Sinne von Art. 28 Abs. 3 Satz 2 lit. e DSGVO h DS-GVO, zu kontrollieren. 5.9. Der Auftragnehmer wird, soweit erforderlich und angemessen, bei diesen Kontrollen unterstützend mitwirken. 5.10. Der Auftragnehmer gewährleistet, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Möglichkeit mit geeigneten technischen Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und organisatorischen MaßnahmenArt. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. 5.11. Als Datenschutzbeauftragter ist beim Auftragnehmer Xxxx Xxxxxx Xxxxxxx bestellt. Sie erreichen den Datenschutzbeauftragten postalisch unter: ADAC Datenschutzbeauftragter, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person Xxxxxxxxxx 00, 00000 Xxxxxxx oder per Email, xxx-xxxx@xxxx.xx 5.12. Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Widerruf einer Zertifizierung nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren. 5.13. Weisungen des Auftraggebers sind für ihre Geltungsdauer und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.anschließend noch für drei (3) volle Kalenderjahre aufzubewahren

Pflichten des Auftragnehmers. Dem (1) Der Auftragnehmer obliegen die nachfolgenden Pflichten verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedsstaaten, dem der Auftragsverarbeiter unterliegt. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesse verbietet (Art. 2828 Abs. 3 Satz 2 lit. A DS-GVO). (2) Der Auftragnehmer bestätigt, 29 DSGVO: • Die Wahrung dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der Vertraulichkeit (Datengeheimnis)DS-GVO bekannt sind. Alle PersonenDer Auftragnehmer verpflichtet sich, die auf personenbezogene bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. (Datengeheimnis3) verpflichtet Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist. (4) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichten (Art. 32, 24 DSGVO28 Abs. Hierzu kann der 3 Satz 2 lit. B und Art. 29 DS-GVO). (6) Beim Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, ist als Beauftragter für den Datenschutz Firma WS-IT-DienstleisterSysteme GmbH, Wirtschaftsprüfer usw.) verwendenXxxxxxxxxxxxxxx 0, 00000 Xxxxxxx x. x. Xxxxx bestellt. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen . (7) Im Zusammenhang mit der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim beauftragten Verarbeitung hat der Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei Erstellung und Fortschreibung der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung Verzeichnisse der Verarbeitungstätigkeiten, sowie bei Durchführung der Datenschutzfolgeabschätzung im notwendigen Umfang zu unterstützen. (8) Wird der Auftraggeber durch die Aufsichtsbehörde oder einer anderen Stelle einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (9) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach Art. 30 DSGVO. • vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. (10) Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffenverpflichtet sich, die Berichtigung Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder Löschung von Datendes Europäischen Wirtschaftsraums (EWR) durchzuführen. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers erfolgen. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, die Einschränkung zu löschen oder deren Verarbeitung einzuschränken, wenn der Verarbeitung oder das Recht auf Datenübertragbarkeit Auftraggeber dies mittels einer Weisung verlangt und Widerspruchberechtigte Interesse des Auftragnehmers dem nicht entgegenstehen.

Pflichten des Auftragnehmers. Dem 1. Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich im Rah- men der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung (siehe oben Nr. I. 2.3) oder einer Weisung verlangt. Anlage als PDF für XXXX Betreut durch: DRV Bund Ref. 3070/01 und DRV Nordbayern Der Auftragnehmer verwendet die nachfolgenden Pflichten zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. 2. Der Auftragnehmer hat insbesondere folgende Kontrollen durchzuführen: ………………………………………………………………………………………… ………... 3. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwir- ken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten. 4. Die Datenträger, die vom Auftraggeber stammen beziehungsweise für den Auf- traggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden - automatisierten - Verwaltung. Eingang und Ausgang werden do- kumentiert. 5. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Da- tenbeständen strikt getrennt werden. 6. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam ma- chen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach Artgegen gesetzliche Vorschriften verstößt. 28Der Auftragnehmer ist berechtigt, 29 DSGVO: • Die Wahrung die Durchfüh- rung der Vertraulichkeit entsprechenden Weisung solange auszusetzen, bis sie durch den Ver- antwortlichen beim Auftraggeber bestätigt oder geändert wird. 7. Der Auftragnehmer räumt dem Auftraggeber das Recht ein, a) Auskünfte bei ihm einzuholen, b) während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräu- me zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und c) geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbei- tungsprogramme einzusehen, soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist (Datengeheimnis§ 80 Abs. 2 Satz 6 SGB X). Alle PersonenDieses Recht gilt in gleicher Weise für die Datenschutzaufsicht des Auftraggebers, den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. 8. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auf- traggebers im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verar- beitet werden, ist der Zutritt zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die ande- ren Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind. 9. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungs- ergebnisse, die auf personenbezogene Daten im Zusammenhang mit dem Auftragsverhältnis stehen, □ dem Auftraggeber auszuhändigen. □ wie folgt zu löschen: ……………………………………………………………………………………… Test- und Ausschussmaterial sowie Datensicherungskopien sind nach Ab- schluss der vertraglichen Arbeiten □ dem Auftraggeber auszuhändigen. □ wie folgt zu löschen: ……………………………………………………………………………………… Die Löschung beziehungsweise Vernichtung ist dem Auftraggeber mit Datums- angabe schriftlich zu bestätigen. 10. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugreifen könnenzugelassen. Die Zustimmung kann nur erteilt werden, müssen auf wenn der Auftragnehmer Namen und Anschrift des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer versichern, dass er den Subunternehmer unter beson- derer Berücksichtigung der Eignung der von ihm getroffenen technischen und or- ganisatorischen Maßnahmen sorgfältig ausgewählt hat. Der Auftragnehmer hat vertraglich sicherzustellen, dass die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichtenvereinbarten Regelungen zwischen Auftrag- geber und Auftragnehmer auch gegenüber Subunternehmern gelten. Insbesonde- re muss der Auftraggeber berechtigt sein, Weisungsbefugnisse Kontrollen vor Ort beim Subunterneh- mer durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer hat die Einhaltung der Pflichten regelmäßig zu überprüfen. ........................................................................................................................... Das Ergebnis der Überprüfungen ist zu dokumentieren. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach § 80 SGB X erfüllt hat. In dem Vertrag mit dem Subunter- nehmer sind die Angaben gemäß Nr. I.2.3 bis 2.5, III.9 und V.1 so konkret festzulegen, dass die Zweckbindung Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehre- re Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Anlage als PDF für XXXX Betreut durch: DRV Bund Ref. 3070/01 und DRV Nordbayern □ Zurzeit sind die in Anlage ......... mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezoge- nen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftra- gung erklärt sich der Auftraggeber einverstanden. 11. Die Verarbeitung und Nutzung der Daten belehrt werdenfindet grundsätzlich im Gebiet der Bun- desrepublik Deutschland statt. • Die UmsetzungJede Verlagerung in ein anderes Land bedarf der vorherigen Zustimmung des Auftraggebers. Falls ein Subunternehmer beauftragt werden soll, Einhaltung gelten diese Anforderungen zusätzlich zu den Bestimmungen in Nr. III.10. 12. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverar- beitung und Nachweisbarkeit aller zu den angewandten Verfahren sind mit dem Auftraggeber abzu- stimmen. 13. □ Beim Auftragnehmer ist als Beauftragte(r) für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Artden Datenschutz Herr/Frau bestellt. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen □ Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Voraussetzungen für eine Bestellung nicht vorliegen. 14. Der Auftragnehmer verpflichtet sich, bei der Aufsichtsbehörden, soweit personenbezogene auftragsgemäßen Verarbeitung der perso- nenbezogenen Daten des Auftraggebers betroffen das Datengeheimnis beziehungsweise das So- zialgeheimnis zu wahren. Er verpflichtet sich, auch folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: .................................................................................................................................. 15. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vor- schriften des BDSG (analog SGB X) bekannt sind. Dies gilt auchDer Auftragnehmer bestätigt, soweit eine zuständige Behörde beim dass ihm auch folgende datenschutzrechtliche Vorschriften bekannt sind: .................................................................................................................................. Der Auftragnehmer ermittelt. • Die sichert zu, dass er die bei der Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen UnterauftragnehmernArbeiten beschäftig- ten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis sowie das Sozialge- heimnis schriftlich verpflichtet. • Der Auftragnehmer wirkt nach Maßgabe überwacht die Einhaltung der hier an- gegebenen datenschutzrechtlichen Vorschriften. 16. Wenn sich Betroffene oder Dritte an den Auftragnehmer wenden, werden alle An- fragen zur Klärung und Beantwortung an den Auftraggeber weiter gegeben. Zur Klärung des ArtSachverhalts unterstützt der Auftragnehmer den Auftraggeber mit al- len Informationen und gegebenenfalls Daten. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten übermittelt In- formationen und Daten an Betroffene und Dritte nur nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt vorheriger schriftlicher Erlaubnis durch den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.

Pflichten des Auftragnehmers. Dem 3.1. Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Art. 28verpflichtet sich, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personensofern es durch ihn beeinflusst werden kann, die Produkte in Übereinstimmung mit den grundlegenden Anforderungen des Anhangs I der Verordnung (EU) 2017/745 über Medizinprodukte zu produzieren und zu liefern. 3.2. Der Auftragnehmer verarbeitet, sofern diese von ihm selbst bereitgestellt und beschafft werden, ausschließlich für den vorgesehenen Zweck geeignete Materialien und bewahrt Nachweise mindestens für die in der Verordnung (EU) 2017/745 genannten Fristen (10 Jahre) auf. 3.3. Der Auftragnehmer unterhält ein Qualitätsmanagementsystem zur Realisierung der in der Verordnung (EU) 2017/745 in Artikel 10 genannten und für die Art der gelieferten Produkte anwendbaren Anforderungen. Das Qualitätsmanagementsystem berücksichtigt mindestens: - angemessene und ausreichende Schulung des mit der Herstellung und Handhabung der Produkte beauftragten Personals, - Identifikation und Rückverfolgbarkeit, - Überwachung der Arbeitsumgebung, Gesundheit und Sauberkeit, - Reklamationsmanagement, - Xxxxxxx xxx Xxxxxxx, - Beschaffung konformer Ausgangsmaterialien und Vorprodukte, - ein System zur Behandlung von Korrektur- und Vorbeugemaßnahmen, - ein Konzept zur Einhaltung der Regulierungsvorschriften, was die Einhaltung der Konformitätsbewertungsverfahren und der Verfahren für das Management von Änderungen an den von dem System erfassten Produkten einschließt, - die Feststellung der anwendbaren grundlegenden Sicherheits- und Leistungsanforderungen und die Ermittlung von Möglichkeiten zur Einhaltung dieser Anforderungen, - die Verantwortlichkeit der Leitung, - das Ressourcenmanagement, einschließlich der Auswahl und Kontrolle von Zulieferern und Unterauftragnehmern, - das Risikomanagement gemäß MDR (Anhang I Abschnitt 3), - die Produktrealisierung einschließlich Planung, Auslegung, Entwicklung, Herstellung und Bereitstellung von Dienstleistungen, - die Aufstellung, Anwendung und Aufrechterhaltung eines Systems zur Überwachung nach dem Inverkehrbringen, - die Kommunikation mit den zuständigen Behörden, benannten Stellen, weiteren Wirtschaftsakteuren, Kunden und/oder anderen interessierten Kreisen, - das Management korrektiver und präventiver Maßnahmen und die Überprüfung ihrer Wirksamkeit, - Verfahren zur Überwachung und Messung der Ergebnisse, Datenanalyse und Produktverbesserung. 3.4. Der Auftragnehmer ist berechtigt Unterauftragnehmern/Subunternehmern mit der Produktion der unter 1.1 genannten Produkte zu beauftragen. Mit diesen Subunternehmern sind vertragliche Regelungen über die Leistungserbringung zu schließen. Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Freigabe durch die Birke – Schuhhaus & Orthopädie GmbH in Textform. 3.5. Im Fall der Beauftragung von Unterauftragnehmern/Subunternehmern werden diese einer regelmäßigen Auditierung (2nd Party Audit) unterzogen, falls das Qualitätsmanagementsystem des Unterauftragnehmers nicht über eine geeignete Zertifizierung verfügt. 3.6. Prüfprotokolle, Abnahmebelege sowie externe Prüfdokumente werden vom Auftragnehmer für die Dauer von zehn Jahren, nach Verarbeitung und Auslieferung der letzten Einheiten, aufbewahrt und dem Auftraggeber auf personenbezogene Daten begründete Anfrage zur Verfügung gestellt. 3.7. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber nach Anmeldung dazu berechtigt ist, die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragnehmer gewährleistet das für die Durchführung der Kontrollen erforderliche Betretungsrecht und die Einsichtnahme in diesbezügliche Unterlagen. Zur Wahrung des Datenschutzes, ist die Einsichtnahme auf konkrete Vorgänge des Auftraggebers zugreifen können, müssen auf beschränkt. Für die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usweinen Vergütungsanspruch geltend machen.) verwenden 3.8. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung Einhaltung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach ArtPflichten, die sich aus der Verordnung (EU) 2017/745 hinsichtlich Produktsicherheit, Rückverfolgbarkeit, Archivierung und im Zusammenhang mit Maßnahmenempfehlungen oder der Meldung von Vorkommnissen ergeben. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggebererteilt uneingeschränktes Zugangsrecht für Zertifizierungsstellen, gegebenenfalls gegen Kostenerstattungbenannte Stellen und Behörden, gemäß Artsofern diese die von dieser Vereinbarung betroffenen Produkte betreffen. 28 AbsDer Auftragnehmer stellt zudem sicher, dass dieses Zugangsrecht auch bei Unterauftragnehmern/Subunternehmen ausgeübt werden kann. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen MaßnahmenDer Auftragnehmer ist berechtigt, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffenfür Unterstützungsleistungen, die Berichtigung oder Löschung von Datenauf ein Fehlverhalten des Auftraggebers zurückzuführen sind, eine Vergütung zu verlangen. 3.9. Der Auftragnehmer informiert den Auftraggeber über relevante Änderungen, welche die Einschränkung Sicherheit der Verarbeitung unter 1.1 genannten Produkte, deren Verarbeitbarkeit oder das Recht Funktionieren des Qualitätsmanagementsystems betreffen. Mögliche Auslöser für eine Information können z. B. sein: - Änderung von Materialien, - Verlust, Beschädigung oder Kontamination beigestellter Materialien, - fehlende, ungültige oder abgelaufene Prüfbescheinigungen, - Nichteinhaltung von nationalen und europäischen Bestimmungen, sofern diese durch den Auftragnehmer beeinflussbar und für den Zweck der gelieferten Produkte relevant sind, - Änderungen des Zertifizierungsstatus. Die Informationen werden über die Internetseite der Birke – Schuhhaus & Orthopädie GmbH, per E-Mail oder schriftlich weitergegeben. In dringenden Fällen erfolgt eine telefonische Vorabinformation. 3.10. Der Auftragnehmer hält zur Herstellung konformer Produkte mindestens folgende Regeln ein: - Produktionskonzept/dokumentierte Verfahren. - Erstellung und Aufrechterhaltung von bindenden Arbeitsanweisungen für die Produktion. - Nachweisführung über durchgeführte Prüfungen. - Dokumentation von Nacharbeiten und Reparaturen. - Zuteilung einer Versionsnummer für alle, durch den Auftragnehmer durchgeführten Änderungen. - Führung von Chargennummern und Kennzeichnung der Produkte. - Angabe des Produktionsdatums auf Datenübertragbarkeit dem Produkt bzw. der mitgelieferten Dokumentation. - Aufstellung eines Systems zur Identifikation beschaffter Produkte und WiderspruchGewährleistung der Rückverfolgung inklusive Kennzeichnung bis zum Lieferanten/Chargennummer und einem System zur Bewertung der Lieferanten. - Betreiben eines Systems zur Überwachung der Mess- und Prüfmittel. 3.11. Der Auftragnehmer hält zur Messung, Analyse und Verbesserung folgende Verfahren ein: - Durchführung von Prüfungen zur Unterstützung der Produktqualität, ggf. nach zutreffenden Normen, und deren Dokumentation. - Ständige Analyse und Auswertung von Daten der Produktion. Die Daten dienen dem Erkennen von Fehlern, Trends und der fortlaufenden Verbesserung, - Anwendung eines Systems zur Lenkung von Fehlern. - Durchführung von regelmäßigen Produkt-, Prozess- und Systemaudits. 3.12. Der Auftragnehmer weist die Einhaltung der unter 3. getroffenen Regelungen im Rahmen einer Zertifizierung nach DIN EN ISO 13485 nach. Aktuelle Zertifikate und Übereinstimmungserklärungen mit den Anforderungen aus Anhang 1 der Verordnung (EU) 2017/745 sind im Downloadbereich unter xxx.xxxxx-xxxxxxxxx.xx verfügbar.

Pflichten des Auftragnehmers. Dem Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Der Auftragnehmer verwendet die nachfolgenden Pflichten nach Artzur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. 28Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, 29 DSGVO: • dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle PersonenDatenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Eingang und Ausgang werden dokumentiert. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Kontrollen in seinem Bereich durchzuführen: …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… Das Ergebnis der Kontrollen ist zu dokumentieren. An der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten des Auftraggebers hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Sicherheitskontrollen vor Ort. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf personenbezogene weiteres folgendes vereinbart: …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften des BDSG bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers zugreifen könnendas Datengeheimnis zu wahren. Er verpflichtet sich, müssen auch folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… (z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, etc.) Der Auftraggeber sicher zu, dass er bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Vertraulichkeit (Datengeheimnis) verpflichtet sowie Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Auskünfte über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der personenbezogene Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer ergänzend auch aktuelle Berichte nur nach vorheriger schriftlicher Weisung oder Prüfungen externer Instanzen Zustimmung durch den Auftraggeber erteilen. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… (z.B. DatenschutzbeauftragterVorname, IT-DienstleisterName, Wirtschaftsprüfer usw.Organisationseinheit, Telefon) verwendenbestellt. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber nicht bestellt, da die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchgesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

Pflichten des Auftragnehmers. Dem (1) Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Artverpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. 28Erhält der Auftragnehmer einen behördlichen Auftrag, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen könnenherauszugeben, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Zweckbindung Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) eigene Zwecke des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteileneines schriftlichen Auftrages. (2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. • Die Information des Auftraggebers über Kontrollhandlungen Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde Ausscheiden beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • aufrecht. (3) Der Auftragnehmer wirkt erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Maßgabe des Art. 28 Abs. 3 lit. f Art 32 DSGVO bei ergriffen hat (Einzelheiten sind der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen Anlage ./1 zu legen. • entnehmen). (4) Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten ergreift die technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der Auftraggeber die Rechte der betroffenen Person nach Sofa Creative Media GmbH Xxxxxxxxxxx 0 / Xxx 0 0000 Xxxx, Xxxxxxxxxx Tel: +00 0 000 00 00 xxx.xxxxxxxxx.xx xxxx@xxxxxxxxx.xx Handelsgericht Wien FN: 385063 w UID: ATU67469937 Bankverbindung: BAWAG IBAN XX000000000000000000 BIC XXXXXXXX Kapitel 3 III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann, z.B. die Information kann und Auskunft überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den BetroffenAuftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). (6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die Berichtigung oder Löschung von Datenzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Einschränkung Daten enthalten, in dessen Auftrag zu vernichten. (9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Verarbeitung Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder das Recht auf Datenübertragbarkeit und Widerspruchder Mitgliedstaaten.

Pflichten des Auftragnehmers. Dem Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich im Rahmen der ge- troffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer an- deren Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsver- arbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Xxxxxx- schutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer verwendet die nachfolgenden Pflichten zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personen- bezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die ver- tragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, wer- den besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 2812 bis 22 DSGVO durch den Auftraggeber, 29 an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei er- forderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unter- stützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle PersonenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften ver- stößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die auf Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auf- traggeber nach Überprüfung bestätigt oder geändert wird. Der Auftragnehmer hat personenbe- zogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten des Auftraggebers zugreifen könnenaus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer erklärt sich damit einverstanden, müssen auf dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Vertraulichkeit (Datengeheimnis) verpflichtet Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie über besondere Datenschutzpflichtender vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, Weisungsbefugnisse insbesondere durch die Einholung von Auskünften und die Zweckbindung der Einsichtnahme in die gespeicherten Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen die Datenverarbeitungsprogramme sowie durch Überprüfungen und organisatorischen Maßnahmen entsprechend Inspektionen vor Ort (Art. 3228 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, 24 DSGVOdass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu Der Nachweis von Maßnahmen zum Datenschutz und zu Datensicherung, die nicht nur den konkreten Auftrag betreffen, kann der Auftragnehmer ergänzend auch erfolgen durch: ▪ die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; ▪ die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; ▪ aktuelle Testate, Berichte oder Prüfungen externer Berichtsauszüge unabhängiger Instanzen (z.B. Wirt- schaftsprüfer, Revision, Datenschutzbeauftragter, IT-DienstleisterSicherheitsabteilung, Wirtschaftsprüfer uswDaten- schutzauditoren, Qualitätsauditoren); ▪ eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz). Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen daten- schutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.) verwenden). • Bestellung eines DatenschutzbeauftragtenDer Auftragnehmer verpflichtet sich, soweit gesetzlich vorgeschriebenbei der auftragsgemäßen Verarbeitung der per- sonenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Als Datenschutzbeauftragte(r) Diese besteht auch nach Beendigung des Auftragnehmers Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durch- führung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maß- gebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwie- genheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer über- wacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist bei Vertragsschluss als Beauftragte/r für den Datenschutz bestellt: Bitte stellen Sie Ihre Anfrage per Adresse ITM systems GmbH & Co. KG Abteilung Datenschutz Xxxxxxxxxxx 00 00000 Xxxxxxx Telefon 00000 000 000 0 E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx xxxxxxxxxxx@xxx-xxxxxxx.xxx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.

Pflichten des Auftragnehmers. Dem 3.1 Der Auftragnehmer obliegen hat die nachfolgenden Pflichten nach ArtLeistungen so auszuführen, dass die Sicherheit der An- lagen erhalten bleibt. 28Die Betriebsbereitschaft ist während der Leistungserbringung aufrecht zu erhalten, 29 DSGVO: • soweit dies möglich ist. Die Wahrung gesetzlichen Bestimmungen, ins- besondere die Unfallverhütungsvorschriften sowie die allgemein anerkannten Re- geln der Vertraulichkeit (Datengeheimnis)Technik sind zu beachten. Alle Personen, Der Auftragnehmer hat die auf personenbezogene Daten Leistung mit seinem Betrieb zu erbringen. Er darf Teile der Leistung mit Zustimmung des Auftraggebers zugreifen könnenan Nachunternehmer übertragen. Er ist verpflichtet, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichtenentsprechend qualifizierte Fachkräfte einzusetzen. 3.2 Der Auftragnehmer ist verpflichtet, Weisungsbefugnisse und die Zweckbindung alle zur Erbringung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen Leistungen benötigten Hilfsmittel (z.B. DatenschutzbeauftragterMessgeräte und Werkzeuge) und Hilfsstoffe (z.B. Schmier- und Reinigungsmittel) zu stellen bzw. zu liefern. 3.3 Erkennt oder vermutet der Auftragnehmer Mängel oder Schäden, ITdie die Sicherheit oder Betriebsbereitschaft einer Anlage gefährden können, hat er unverzüglich fol- gende Stelle4 HZD Haustechnik, Herr Estenfeld, 0611-Dienstleister3403166 ..................................................................................................................................... zu benachrichtigen und erforderlichenfalls die Außerbetriebnahme der Anlage zu veranlassen. Er hat mündliche Benachrichtigungen schriftlich zu bestätigen. Auf andere Mängel oder Schäden, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragtendie nicht unverzüglich beseitigt werden müssen und deren Beseitigung nicht zu den in den Nummern 2.1 und 2.2 beschriebenen Leis- tungen gehören, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem hat der Auftragnehmer den Auftraggeber unverzüglich schriftlich mitzuteilenhinzuweisen. 3.4 Erkennt der Auftragnehmer, dass wegen Änderung der Nutzung, von gesetzlichen Bestimmungen bzw. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen allgemein anerkannten Regeln der AufsichtsbehördenTechnik oder aufgrund der nach einer mehrjährigen Betriebsdauer gesammelten Erfahrungen andere War- tungsintervalle notwendig werden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • hat er den Auftraggeber darauf hinzuweisen. 3.5 Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem seine Rechnungen wie folgt zu adressieren5: 4 vom Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den auszufüllen 5 vom Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.auszufüllen

Pflichten des Auftragnehmers. Dem (1) Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die nachfolgenden Pflichten nach ArtMitteilung ist ihm gesetzlich verboten. 28Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, 29 DSGVO: • Die Wahrung insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (Datengeheimnis). Alle 4) Personen, die auf personenbezogene Kenntnis von den im Auftrag verarbeiteten Daten des Auftraggebers zugreifen erhalten können, müssen auf haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die Vertraulichkeit bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer t rägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (Datengeheimnis6) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung Im Zusammenhang mit der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann beauftragten Verarbeitung hat der Auftragnehmer ergänzend auch aktuelle Berichte den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der V e r a r b e i t u n g s t ä t i g k e i t e n s o w i e b e i D u r c h f ü h r u n g d e r Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragterandere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragtenverpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich vorgeschriebenverpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Als Datenschutzbeauftragte(r) des Auftragnehmers Es ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. I n Z w e i f e l s f ä l l e n k a n n s i c h d e r A u f t r a g g e b e r d i r e k t a n d e n Datenschutzbeauftragten ist wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich schriftlich mitzuteilendie Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. • Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Information Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers über Kontrollhandlungen und Maßnahmen unter den in Kapitel V der AufsichtsbehördenDatenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, soweit personenbezogene Daten des Auftraggebers betroffen sindbestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer 27 Datenschutz-Folgenabschätzung gemäß ArtGrundverordnung. 35 DSGVO und ggf. bei Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat Person des Ansprechpartners sind dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchunverzüglich mitzuteilen.

Pflichten des Auftragnehmers. Dem (1) Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). (2) Der Auftragnehmer verwendet die nachfolgenden Pflichten zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. (3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. (5) Der Auftragnehmer hat zur Überprüfung der gesamten Abwicklung der Dienstleistung ein Kontrollsystem etabliert, welches er dokumentiert. (6) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 2812 bis 22 DS-GVO durch den Auftraggeber, 29 DSGVO: • Die Wahrung an der Vertraulichkeit Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (DatengeheimnisArt. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Alle PersonenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: ………………………………………………………………………………………………………….. (7) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die auf Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. (8) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftraggebers zugreifen könnenAuftragnehmers dem nicht entgegenstehen. (9) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. (10) Der Auftragnehmer erklärt sich damit einverstanden, müssen auf dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Vertraulichkeit (Datengeheimnis) verpflichtet Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie über besondere Datenschutzpflichtender vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, Weisungsbefugnisse insbesondere durch die Einholung von Auskünften und die Zweckbindung der Einsichtnahme in die gespeicherten Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen die Datenverarbeitungsprogramme sowie durch Überprüfungen und organisatorischen Maßnahmen entsprechend Inspektionen vor Ort (Art. 3228 Abs. 3 Satz 2 lit. h DS-GVO). Sofern solche Vor-Ort-Begutachtungen durchgeführt werden, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die sind diese als Stichprobenkontrollen in den für die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen UnterauftragnehmernAuftragsdatenverarbeitung relevanten Bereiche auszugestalten, § 11 Abs. • Der Auftragnehmer wirkt nach Maßgabe des 2 S. 2 Nr. 7 BDSG, bzw. Art. 28 Abs. 3 lit. f DSGVO h DS-GVO. Eine solche Kontrolle ist mindestens 14 Werktage im Voraus schriftlich oder in Textform anzumelden und darf den Geschäftsbetrieb nicht über Gebühr stören oder missbräuchlich sein. (11) Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. (12) Der Auftragnehmer verpflichtet sich, bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Artauftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. 35 DSGVO und ggf. Diese besteht auch nach Beendigung des Vertrages fort. (13) Der Auftragnehmer sichert zu, dass er die bei der vorherigen Konsultation Durchführung der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten Zeit ihrer Tätigkeit wie auch nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. e DSGVO nach Möglichkeit mit geeigneten technischen b und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber Art. 29 DS- GVO). (14) Der Auftragnehmer überwacht die Einhaltung der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchdatenschutzrechtlichen Vorschriften in seinem Betrieb.

Pflichten des Auftragnehmers. Dem 1. Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Artverpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen dokumentierten Auftra e des Auftraggebers zu verarbeiten. 28Xxxẍxx der Auftragnehmer einen behördlichen Auftrag, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen könnenherauszugeben, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzu lich darüber zu informieren und die Zweckbindung Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) für eigene Zwecke des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteileneines schriftlichen Auftrages. 2. • Die Information des Auftraggebers über Kontrollhandlungen Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Taẗ igkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde Ausscheiden beim Auftragnehmer ermitteltaufrecht. 3. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewa rleistung der Sicherheit der Verarbeitung nach Maßgabe des ArtArt 32 DSGVO ergriffen hat (Einzelheiten sind Anlage 1 zu entnehmen). 4. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten ergreift die technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der Auftraggeber die Rechte der betroffenen Person nach Kapitel 3 III der DSGVO erfüllen kann(Information, z.B. die Information Auskunft, Berichtigung und Auskunft Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfullen kann und überla st dem Auftraggeber alle dafur̈ notwendigen Informationen. Wird ein entsprechender Xxxxxx an den BetroffenAuftragnehmer gerichtet und las̈ st dieser erkennen, dass der Antragsteller ihn irrtümlich fur̈ den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzu dies dem Antragsteller mitzuteilen. lich an den Auftraggeber weiterzuleiten und 5. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). 6. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. 7. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die Berichtigung oder Löschung von Datenzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. 8. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Einschränkung Daten enthalten, in dessen Auftrag zu vernichten. Wenn der Verarbeitung Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder das Recht auf Datenübertragbarkeit und Widerspruchnach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. 9. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstoß̈ t gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

Pflichten des Auftragnehmers. Dem 5.1 Der Auftragnehmer obliegen wird den Auftraggeber vollständig und ordnungsgemäß über alle Angelegenheiten des Projekts und im Zusammenhang damit informiert halten, für die nachfolgenden Pflichten er nach Artdiesem Vertrag verantwortlich ist. 5.2 Der Auftragnehmer führt sämtliche nach dem Vertrag zu erbringenden Leistungen mit der Sorgfalt eines ordentlichen Kaufmanns aus. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu Hierbei kann sich der Auftragnehmer ergänzend nach eigenem Ermessen auch aktuelle Berichte fachkundiger Dritter bedienen. 5.3 Die Untersuchung der Objekte erfolgt ausschließlich als Sichtprüfung. Im Rahmen der Sichtprüfung finden keine Funktions- prüfungen, Materialprüfungen, Zustandsüberprüfungen oder Prüfungen externer Instanzen Belastungstests der vorgefundenen Einrichtungen, Baukonstruktionen, technischen Einrichtungen und Anlagen oder des Inventars statt. Es erfolgt auch keine routinemäßige Überprüfung auf Übereinstimmung der vorgefundenen Einrichtungen und Anlagen mit den gesetzlichen Bestimmungen. Gutachterliche Untersuchungen oder Funktionsüberprüfungen der Haustechnik finden ebenfalls nicht statt. Der Zustand der haustechnischen Installationen und Anlagen wird nur visuell sowie anhand von vorhandenen und/oder übergebenen Unterhalts-Dokumentationen überprüft; Funktionsprüfungen werden nicht vorgenommen. Eine detaillierte Untersuchung des Gebäudes auf Übereinstimmung mit den geltenden Genehmigungen, gesetzlichen Regelungen und Vorschriften (z.B. DatenschutzbeauftragterArbeitsstättenverordnung) wird nicht durchgeführt. Eine Überprüfung der Bebauungspläne, IT-DienstleisterNutzungsbescheide, Wirtschaftsprüfer usw.) verwendenStadtentwicklungsplanungen, Straßenbauplanungen, Brandschutzgutachten oder Brandschutz- konformitätszertifikate und Risikobewertungen, der Richtigkeit der Grundstücksgrenzen und der Grundbucheinträge findet ebenfalls nicht statt. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber Auch die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis Richtigkeit von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kannBerechnungen, z.B. der Statik der Fassade und des Tragwerks und die Information Auslegung technischer Installationen werden nicht überprüft. Es wird unterstellt, soweit im TDD-Bericht nicht anderweitig erwähnt, dass alle für die Liegenschaft notwendigen rechtlichen und Auskunft an den Betroffengesetzlichen Genehmigungen vorhanden sind und diese mit allen maßgeblichen Gesetzen und Vorschriften übereinstimmen. Des Weiteren wird unterstellt, dass die Eigentumsverhältnisse geklärt sind und alle Bebauungsvorschriften und bauliche Beschränkungen eingehalten wurden. Außerdem wird vorausgesetzt, dass die Grundstücksnutzungen und die Bauwerke sich innerhalb der Grundstücksgrenzen befinden und dass keine Grenzverletzung oder Besitzstörung vorliegt. Besichtigungen der Außenbereiche, Fassaden und Dächer werden vom Boden bzw. von gefahrlos zu betretenden Flächen aus durchgeführt. Bei der Möglichkeit eines gefahrlosen Betretens werden Sichtprüfungen der Gebäudehülle auch von zugänglichen Räumlichkeiten von innen her durchgeführt. Flachdächer, die Berichtigung gefahrlos zu betreten sind und über entsprechende Sicherungsmöglichkeiten verfügen, werden im Einzelfall für eine Inaugenschein- nahme betreten. Die Entscheidung, ob ein Flachdach sicher zu betreten ist, trifft der jeweilige Consultant vor Ort. Geneigte Dächer oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und WiderspruchSteildächer werden generell nicht begangen.

Pflichten des Auftragnehmers. Dem Der Auftragnehmer obliegen hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflich- ten gemäß Artt. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Einhaltung folgender Vorgaben: a.) Die Wahrung der Vertraulichkeit (Datengeheimnis)gemäß Artt. Alle Personen28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auf- tragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf personenbezogene die Vertrau- lichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz ver- traut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers zugreifen könnenverarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, müssen auf die Vertraulichkeit (Datengeheimnises sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. b.) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • ist nicht zur Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschriebenDatenschutzbeauftragten verpflichtet. Als Datenschutzbeauftragte(r) An- sprechpartner beim Auftragnehmer wird daher der Präsident des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel benannt. Die jeweiligen Kontaktdaten sind der Homepage des Datenschutzbeauftragten ist dem Auftragsnehmers (Impressum) zu entnehmen. c.) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personen- bezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. d.) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezoge- nen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. e.) Der Auftragnehmer wird den Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehördendarauf aufmerksam machen, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit wenn eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt vom Auftraggeber erteilte Weisung seiner Meinung nach Maßgabe des gegen gesetzliche Vorschriften ver- stößt (Art. 28 Abs. 3 litSatz 3 DS-GVO). f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auf- traggeber nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Überprüfung bestätigt oder geändert wird. f.) Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. g.) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den AuftraggeberBetrof- fenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auf- traggeber erteilen. h.) Der Auftragnehmer erklärt sich damit einverstanden, gegebenenfalls gegen Kostenerstattungdass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, gemäß die Einhaltung der Vorschriften über Datenschutz und Da- tensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. e DSGVO H DS-GVO). i.) Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. x.) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen daten- schutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Möglichkeit Beendigung des Vertrages fort. k.) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mit- arbeiter vor Aufnahme der Tätigkeit mit geeigneten technischen den für sie maßgebenden Bestimmungen des Daten- schutzes vertraut macht und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäfti- gungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). l.) Der Auftragnehmer überwacht die Einhaltung der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchdatenschutzrechtlichen Vorschriften im Ver- band.

Pflichten des Auftragnehmers. Dem Auftragnehmer obliegen die nachfolgenden Pflichten nach Art3.1. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis)Der vom AN zu erbringende Liefer- und Leistungsumfang ergibt sich aus dem in Punkt 2 definierten Vertragsgegen- stand. Alle in den Beschaffungsunterlagen nicht gesondert ange- führten Leistungen sind, sofern diese für die vollständige und ordnungsgemäße Vertragserfüllung erforderlich sind o- der dem Stand der Technik entsprechen, ebenfalls zum Umfang der Leistungen des AN zu zählen und gelten als im angebotenen Preis inkludiert. Ausgenommen vom Leis- tungsumfang des AN sind lediglich etwaige eigenen Leis- tungen des TÜV AUSTRIA, die in der Beschaffungsunter- lage explizit angeführt sind. 3.2. Der AN hat sich über die Art und den Umfang seiner Pflich- ten, sowie über alle Umstände, die bei der Planung und späteren Ausführung der beschaffungsgegenständlichen Leistung und/oder Lieferung eine Rolle spielen können, zu informieren. Bei allfälligen Unklarheiten hat sich der AN im Vorfeld bei TÜV AUSTRIA zu erkundigen bzw. diesen da- rauf hinzuweisen, da andernfalls diese Unklarheiten im Fall der Auftragserteilung zu Lasten des AN gehen und Mehr- kosten, die dadurch entstehen, von TÜV AUSTRIA nicht ersetzt werden. 3.3. Der AN verpflichtet sich im Rahmen der Erbringung der be- schaffungsgegenständlichen Leistung, alle für die vollstän- dige und ordnungsgemäße Vertragserfüllung gesetzlichen Bestimmungen und behördlichen Anordnungen zu beach- ten. Er verpflichtet sich dafür zu sorgen, dass alle gesetzli- chen, behördlichen und betrieblichen Arbeitsschutzbestim- mungen und alle behördlichen Einzelverfügungen und An- ordnungen der verantwortlichen Personen durch seine Er- füllungsgehilfen und den von ihm beauftragten Subunter- nehmern befolgt werden. 3.4. Der AN verpflichtet sich dafür Sorge zu tragen, dass die von ihm oder seinen Subunternehmern eingesetzten Per- sonen die zur Erfüllung ihrer Arbeiten erforderlichen Befug- nisse, Zuverlässigkeit, Fachkunde und körperliche Eignung besitzen. Bei Einsatz von Unterlieferanten und/oder Subun- ternehmern sind diese vom AN bei Angebotsabgabe zu be- nennen und vor Einsatz von TÜV AUSTRIA genehmigen zu lassen. Subunternehmer können von TÜV AUSTRIA ab- gelehnt werden. Die Einschaltung von Unterlieferanten und/oder Subunternehmern entbindet den AN nicht von den Verpflichtungen oder der Haftung. Für Unterlieferanten und Subunternehmer haftet der AN wie für sein eigenes Handeln. Durch die Zustimmung von TÜV AUSTRIA ent- stehen keine Rechtsbeziehungen zwischen TÜV AUSTRIA und dem Unterlieferanten und/oder dem Subunternehmer. 3.5. Soweit die beschaffungsgegenständliche Leistung Bau- und Montageleistungen umfasst, hat der AN zusätzlich fol- gende Bestimmungen einzuhalten: a) Als Arbeitszeit gilt die 40-Stunden-Woche. Die tägliche Ar- beitszeit ist gesondert zu vereinbaren. b) Überstunden, Nacht-, Sonn- und Feiertagsstunden werden nur dann vergütet, wenn sie vor Ausführung der Arbeiten seitens TÜV AUSTRIA angeordnet werden bzw. nicht sei- tens des AN zur Aufholung von selbst zu vertretenden Ter- minverzögerungen erbracht werden. c) Nicht gesetzlich anerkannte Feiertage gelten als Werk- tage. Die allenfalls erforderliche Genehmigung der zustän- digen Aufsichtsbehörde zur Leistung von Überstunden, Nacht-, Sonn- und Feiertagsstunden ist vom AN einzuho- len. d) Als Arbeiten unter besonderen Erschwernissen gelten jene, welche in den einschlägigen, jeweils gültigen Kollek- tivverträgen für die Arbeiter und Angestellten Österreichs oder in gleichartigen Verträgen festgelegt sind. Es werden höchstens die dort angeführten Prozentsätze vergütet. e) Soweit keine Einheitspreise vereinbart sind, gelten für die Verrechnung folgende Bestimmungen: Als Reisestunden werden von TÜV AUSTRIA nur jene an- erkannt, die vom Standort des betreffenden Unternehmens bis zum Ort der Montage bei günstiger Flug-, Zug- bzw. Straßenverbindung benötigt werden. Für das Montagepersonal werden die Fahrtkosten nach ef- fektivem Aufwand gegen Nachweis (Rechnung, Ticket etc.) ohne Zuschlag vergütet. Hinsichtlich der Vergütung von Fahrtkosten gelten die ein- schlägigen, jeweils gültigen Kollektivverträge für Arbeiter und Angestellte in Österreich oder gleichartige Verträge. Ist die Anreise mittels PKWs vereinbart, wird das amtliche Kilometergeld bezahlt. f) Der Montagebeginn wird, sofern nicht bereits im Vertrag fi- xiert, zwischen der zuständigen Betriebsleitung des TÜV AUSTRIA und dem AN vereinbart. g) Die als Vertreter des AN in Aussicht genommene Person ist TÜV AUSTRIA vor Aufnahme der Arbeiten schriftlich bekannt zu geben und muss während der Arbeitszeit stets erreichbar sein. h) Der AN wird für eine möglichst gleichbleibende Besetzung der Positionen des Schlüsselpersonals sorgen. Als Schlüs- selpersonal gelten der Projektleiter, der Baustellenleiter sowie jene Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt zusätzlich als Schlüsselperso- nen spezifiziert werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann Auf begründeten Wunsch von TÜV AUSTRIA wird der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer uswAN Schlüsselpersonal wechseln.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.

Pflichten des Auftragnehmers. Dem Auftragnehmer obliegen (4) Zum Schutz personenbezogener Daten vor Missbrauch und Verlust wird der AUFTRAGNEHMER die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Vorkehrungen treffen, die in der beigefügten „Vereinbarung zu den technischen und organisatorischen Maßnahmen“ zwischen den Parteien festgelegt wurden. Die Vereinbarung ist Bestandteil dieser Anlage. Die vereinbarten Maßnahmen entsprechend Artunterliegen dem technischen Fortschritt und der Weiterentwicklung. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen Beabsichtigte wesentliche Änderungen (z.B. Datenschutzbeauftragterwesentliche Änderung von Verschlüsselungsverfahren oder Anmeldeprozeduren) sind zu dokumentieren und dem AUFTRAGGEBER mitzuteilen sowie einvernehmlich in einer geänderten Fassung der „Vereinbarung zu den technischen und organisatorischen Maßnahmen“ festzuhalten, IT-Dienstleisterwobei der AUFTRAGGEBER Änderungen nicht ohne erheblichen Grund widerspricht. (5) Der AUFTRAGNEHMER bestätigt und stellt sicher, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) dass die für die Durchführung des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Auftrags eingesetzten Personen abgeleitet aus Art. 28 Abs. 3 lit. f b) DSGVO bei (Datengeheimnis) schriftlich verpflichtet und in die Schutzbestimmungen der Erstellung DSGVO sowie weiterer maßgeblicher Bestimmungen zum Datenschutz (z.B. § 88 TKG sowie §§ 203, 206 StGB) eingewiesen worden sind. Auf Verlangen des AUFTRAGGEBERS wird der AUFTRAGNEHMER die Verpflichtung und Einweisung nachweisen. (6) Der AUFTRAGNEHMER darf Zugriffsberechtigungen nur an Personen vergeben, die mit der Durchführung des Auftrags befasst sind. Die Berechtigungen sind in dem für die Erfüllung der jeweiligen Aufgaben erforderlichen Umfang zu vergeben. Auf Verlangen wird der AUFTRAGNEHMER dem AUFTRAGGEBER die zugriffsberechtigten Personen und deren Berechtigungen benennen. (7) Die Verarbeitung von Daten in Privatwohnungen ist nur mit Einwilligung des AUFTRAGGEBERS im Einzelfall gestattet. Soweit die Daten in einer Datenschutz-Folgenabschätzung gemäß ArtPrivatwohnung verarbeitet werden, ist der Zugang zur Wohnung durch den AUFTRAGGEBER vorher mit dem AUFTRAGNEHMER abzustimmen. 35 Der AUFTRAGNEHMER sichert zu, dass alle Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind. (8) Der AUFTRAGNEHMER hat den AUFTRAGGEBER unverzüglich darauf aufmerksam zu machen, wenn eine vom AUFTRAGGEBER erteilte Weisung seiner Meinung nach gegen die DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt oder eine andere Vorschrift über den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den AuftraggeberDatenschutz verstößt, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit f) DSGVO. (9) Der AUFTRAGNEHMER gewährleistet die ordnungsgemäße Durchführung der mit geeigneten dem AUFTRAGGEBER in der Anlage „Vereinbarung zu den technischen und organisatorischen Maßnahmen“ vereinbarten, damit dieser seine bestehenden nach Art. 32 DSGVO zu treffenden technischen und organisatorischen Maßnahmen. Die Einhaltung der technischen und organisatorischen Maßnahmen wird der AUFTRAGNEHMER regelmäßig durch geeignete Nachweise z.B. von der Revision, seinem betrieblichen Datenschutzbeauftragten oder einer anerkannten Wirtschaftsprüfungsgesellschaft belegen. Die Aktualität der Nachweise darf im Regelfall 3 Jahre nicht überschreiten. Die Nachweise sind dem AUFTRAGGEBER unaufgefordert vorzulegen. Unabhängig davon räumt der AUFTRAGNEHMER dem AUFTRAGGEBER und dessen Bevollmächtigten bezüglich der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs-, Einsichtnahme-, Auskunfts- und Kontrollrecht, grundsätzlich nach vorheriger Abstimmung mit dem AUFTRAGNEHMER und während dessen gewöhnlichen Geschäftszeiten, ein. Der AUFTRAGNEHMER ist verpflichtet, im Falle von Auskünften und Einsichtnahmen die erforderliche Unterstützung bereitzustellen. Im Übrigen wird der AUFTRAGNEHMER sämtlichen Personen, die Prüfungen oder sonstige Maßnahmen gemäß DSGVO vornehmen, den Zugang zu allen seinen Räumlichkeiten gestatten, sofern dies nach datenschutzrechtlichen Bestimmungen erforderlich ist, und seinen weiteren Pflichten gegenüber gemäß Art. 58 DSGVO nachkommen. (10) Der AUFTRAGNEHMER hat auf Weisung des AUFTRAGGEBERS die Daten zu berichtigen, zu löschen oder zu sperren, Art. 28 Abs. 3 lit. a) DSGVO. Näheres bestimmt sich nach den Regelungen des Hauptvertrages. (11) Der AUFTRAGNEHMER ist nicht befugt, ohne schriftliche Einwilligung des AUFTRAGGEBERS Hard- oder Software an die Systeme des AUFTRAGGEBERS anzuschließen oder darauf zu installieren. (12) Dem AUFTRAGNEHMER ist es nicht gestattet, personenbezogene Daten in Systeme Dritter einzuspielen. Dies gilt auch für Testzwecke. (13) Während der betroffenen Person Entwicklung von Software werden grundsätzlich keine personenbezogenen Daten, sondern lediglich anonymisierte Original- oder fiktive Testdaten verwendet. (14) Der AUFTRAGNEHMER wird personenbezogene Daten nach Kapitel 3 DSGVO erfüllen Abschluss der Arbeiten - nach den Vorgaben des AUFTRAGGEBERS - vollständig datenschutzgerecht löschen (einschließlich der verfahrens- oder sicherheitstechnisch notwendigen Kopien) oder an den AUFTRAGGEBER zurückgeben. Das gleiche gilt auch für Test- und Ausschussmaterial, das bis zur Löschung oder Rückgabe unter datenschutzgerechtem Verschluss zu halten ist. Gesetzliche Aufbewahrungspflichten insbesondere nach AO und HGB bleiben hiervon unberührt. Vertragsbezogene Daten (z.B. Ansprechpartner des AUFTRAGGEBERS), die zur Sicherung von Beweisinteressen des AUFTRAGNEHMERS erforderlich sind, dürfen in gesperrter Form bis zum Ablauf der regelmäßigen Verjährungsfrist aufbewahrt werden. Die Löschung ist auf Anforderung schriftlich zu bestätigen. (15) Der AUFTRAGNEHMER ist verpflichtet, den AUFTRAGGEBER unaufgefordert und unverzüglich zu informieren, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind („Datenschutzverletzung“) und Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen bestehen oder drohen (Selbstanzeigepflicht). Der AUFTRAGNEHMER nimmt zur Kenntnis, dass eine nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgte Mitteilung mit einem Bußgeld von grundsätzlich bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden kann, z.B. Art. 83 DSGVO. Der AUFTRAGNEHMER hat dem AUFTRAGGEBER die Information aus einer Datenschutzverletzung entstehenden Schäden, insbesondere die Kosten für die Benachrichtigung der Betroffenen oder ein etwaiges Bußgeld bei Verletzung der Selbstanzeigepflicht gemäß Art. 33 DSGVO zu ersetzen, sofern dem ein schuldhaftes Verhalten des AUFTRAGNEHMERS zugrunde liegt. (16) Der AUFTRAGNEHMER hat den AUFTRAGGEBER bei Unregelmäßigkeiten des Datenverarbeitungsablaufes, bei begründetem Verdacht der Verletzung von Vorschriften und Auskunft an den Betroffenvertraglichen Vereinbarungen zum Schutz personenbezogener Daten, sowie bei Beanstandungen durch die Datenschutzaufsichtsbehörde, die Berichtigung interne Revision oder Löschung von Datenin sonstigen Datenschutzprüfungsberichten, sofern ihm dies nicht aufgrund einer behördlichen Vorgabe im Rahmen eines Ermittlungsverfahrens untersagt ist, zu informieren und die Einschränkung Abhilfemaßnahmen aufzuzeigen. (17) Der AUFTRAGNEHMER ist für die Durchführung des Auftrages verpflichtet, nach Maßgabe des Art. 37 Abs. 1 Satz 1DSGVO einen Beauftragten für den Datenschutz schriftlich zu bestellen, der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchdie Aufgaben nach Art. 39 DSGVO erfüllt. Der AUFTRAGNEHMER wird dem AUFTRAGGEBER den Namen des Beauftragten für den Datenschutz benennen. Bei einem Wechsel des Beauftragten für den Datenschutz wird der AUFTRAGNEHMER den AUFTRAGGEBER unverzüglich hiervon in Kenntnis setzen. (18) Dem AUFTRAGNEHMER ist bekannt, dass ein Verstoß gegen datenschutzrechtliche Vorschriften eine Ordnungswidrigkeit nach Art. 83 DSGVO darstellen kann.

Pflichten des Auftragnehmers. Dem (1) Der Auftragnehmer obliegen die nachfolgenden Pflichten nach hat einen Datenschutzbeauftragten benannt, der seine Tätigkeit gemäß Art. 28, 29 DSGVO38 und 39 DS-GVO ausübt. Kontaktdaten zum Zweck der direkten Kontaktaufnahme: • Die Wahrung ista Deutschland GmbH Datenschutzbeauftragter Xxxxxxxxxxx Xxxxxx 0 00000 Xxxxx E-Mail: Xxxxxxxxxxx@xxxx.xxx (2) Der Auftragnehmer setzt bei der Vertraulichkeit (Datengeheimnis). Alle PersonenDurchführung des Auftrags nur Beschäftigte ein, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. (Datengeheimnis3) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse Der Auftragnehmer ist zur Umsetzung und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen diese Vereinbarung erforderlichen technischen und organisatorischen Maßnahmen entsprechend gemäß Art. 3228 Abs. 3 S. 2 lit. c, 24 DSGVO32 DS-GVO (siehe Anlage 1) verpflichtet. (4) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines DatenschutzbeauftragtenHiervon ausgenommen sind Kopien, soweit gesetzlich vorgeschriebensie zur Erfüllung der Vereinbarung und zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, für die nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung besteht. Als Datenschutzbeauftragte(r84686/VII22 (5) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Der Auftragnehmer informiert den Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der AufsichtsbehördenAufsichtsbehörde nach Art. 58 DS-GVO, soweit personenbezogene Daten des Auftraggebers betroffen sindsie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung ista Deutschland GmbH ◼ Xxxxxxxxxxx Xxxxxx 0 ◼ 00000 Xxxxx ◼ Telefon 0000 000-00 ◼ Fax 0000 000-0000 ◼ xxxx@xxxx.xx ◼ xxx.xxxx.xx 1 personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. • Die Durchführung . (6) Soweit der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer jeweils zu unterstützen. (7) Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber kontrolliert regelmäßig die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten internen Prozesse sowie die technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information gewährleistet wird. (8) Auf Anforderung stellt der Auftragnehmer dem Auftraggeber Informationen zum Nachweis der getroffenen technischen und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchorganisatorischen Maßnahmen zur Verfügung.

Pflichten des Auftragnehmers. Dem 3.1. Der Auftragnehmer obliegen die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personenverpflichtet sich, die Produkte in Übereinstimmung mit den grundlegenden Anforderungen des Anhangs I der Verordnung (EU) 2017/745 über Medizinprodukte zu produzieren und zu liefern. 3.2. Der Auftragnehmer verarbeitet ausschließlich für den vorgesehenen Zweck geeignete Materialien und bewahrt Nachweise mindestens für die in der Verordnung (EU) 2017/745 genannten Fristen (10 Jahre) auf. 3.3. Der Auftragnehmer unterhält ein Qualitätsmanagementsystem zur Realisierung der in der Verordnung (EU) 2017/745 in Artikel 10 genannten und für die Art der gelieferten Produkte anwendbaren Anforderungen. Das Qualitätsmanagementsystem berücksichtigt mindestens: - angemessene und ausreichende Schulung des mit der Herstellung und Handhabung der Produkte beauftragten Personals, - Identifikation und Rückverfolgbarkeit, - Überwachung der Arbeitsumgebung, Gesundheit und Sauberkeit, - Reklamationsmanagement, - Xxxxxxx xxx Xxxxxxx, - Beschaffung konformer Ausgangsmaterialien und Vorprodukte, - ein System zur Behandlung von Korrektur- und Vorbeugemaßnahmen, - ein Konzept zur Einhaltung der Regulierungsvorschriften, was die Einhaltung der Konformitätsbewertungsverfahren und der Verfahren für das Management von Änderungen an den von dem System erfassten Produkten einschließt, - die Feststellung der anwendbaren grundlegenden Sicherheits- und Leistungsanforderungen und die Ermittlung von Möglichkeiten zur Einhaltung dieser Anforderungen, - die Verantwortlichkeit der Leitung, - das Ressourcenmanagement, einschließlich der Auswahl und Kontrolle von Zulieferern und Unterauftragnehmern, - das Risikomanagement gemäß MDR (Anhang I Abschnitt 3), - die Produktrealisierung einschließlich Planung, Auslegung, Entwicklung, Herstellung und Bereitstellung von Dienstleistungen, - die Aufstellung, Anwendung und Aufrechterhaltung eines Systems zur Überwachung nach dem Inverkehrbringen, - die Kommunikation mit den zuständigen Behörden, benannten Stellen, weiteren Wirtschaftsakteuren, Kunden und/oder anderen interessierten Kreisen, - das Management korrektiver und präventiver Maßnahmen und die Überprüfung ihrer Wirksamkeit, - Verfahren zur Überwachung und Messung der Ergebnisse, Datenanalyse und Produktverbesserung. 3.4. Der Auftragnehmer ist berechtigt Unterauftragnehmern/Subunternehmern mit der Entwicklung und Produktion der unter 1.1 genannten Produkte zu beauftragen. Mit diesen Subunternehmern sind vertragliche Regelungen über die Leistungserbringung zu schließen. Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Freigabe durch die Solor Schuhforschung und Entwicklung GmbH in Textform. 3.5. Im Fall der Beauftragung von Unterauftragnehmern/Subunternehmern werden diese einer regelmäßigen Auditierung (2nd Party Audit) unterzogen, falls das Qualitätsmanagementsystem des Unterauftragnehmers nicht über eine geeignete Zertifizierung verfügt. 3.6. Prüfprotokolle, Abnahmebelege sowie externe Prüfdokumente werden vom Auftragnehmer für die Dauer von zehn Jahren, nach Verarbeitung und Auslieferung der letzten Einheiten, aufbewahrt und dem Auftraggeber auf personenbezogene Daten begründete Anfrage zur Verfügung gestellt. 3.7. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber nach Anmeldung dazu berechtigt ist, die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragnehmer gewährleistet das für die Durchführung der Kontrollen erforderliche Betretungsrecht und die Einsichtnahme in diesbezügliche Unterlagen. Zur Wahrung des Datenschutzes, ist die Einsichtnahme auf konkrete Vorgänge des Auftraggebers zugreifen können, müssen auf beschränkt. Für die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usweinen Vergütungsanspruch geltend machen.) verwenden 3.8. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung Einhaltung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach ArtPflichten, die sich aus der Verordnung (EU) 2017/745 hinsichtlich Produktsicherheit, Rückverfolgbarkeit, Archivierung und im Zusammenhang mit Maßnahmenempfehlungen oder der Meldung von Vorkommnissen ergeben. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggebererteilt uneingeschränktes Zugangsrecht für Zertifizierungsstellen, gegebenenfalls gegen Kostenerstattungbenannte Stellen und Behörden, gemäß Artsofern diese die von dieser Vereinbarung betroffenen Produkte betreffen. 28 AbsDer Auftragnehmer stellt zudem sicher, dass dieses Zugangsrecht auch bei Unterauftragnehmern/Subunternehmen ausgeübt werden kann. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen MaßnahmenDer Auftragnehmer ist berechtigt, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffenfür Unterstützungsleistungen, die Berichtigung auf ein Fehlverhalten des Auftraggebers zurückzuführen sind, eine Vergütung zu verlangen. 3.9. Der Auftragnehmer informiert den Auftraggeber über relevante Änderungen, welche die Sicherheit der unter 1.1 genannten Produkte, deren Verarbeitbarkeit oder Löschung das Funktionieren des Qualitätsmanagementsystems betreffen. Mögliche Auslöser für eine Information können z. B. sein: - Änderung von DatenMaterialien, - fehlende, ungültige oder abgelaufene Prüfbescheinigungen, - Nichteinhaltung von nationalen und europäischen Bestimmungen, die Einschränkung für den Zweck der Verarbeitung gelieferten Produkte relevant sind, - Änderungen des Zertifizierungsstatus. Die Informationen werden über die Internetseite der Solor Schuhforschung und Entwicklung GmbH, per E-Mail oder das Recht schriftlich weitergegeben. In dringenden Fällen erfolgt eine telefonische Vorabinformation. 3.10. Der Auftragnehmer hält zur Herstellung konformer Produkte mindestens folgende Regeln ein: - Produktionskonzept/dokumentierte Verfahren. - Erstellung und Aufrechterhaltung von bindenden Arbeitsanweisungen für die Produktion. - Nachweisführung über durchgeführte Prüfungen. - Dokumentation von Nacharbeiten und Reparaturen. - Zuteilung einer Versionsnummer für alle, durch den Auftragnehmer durchgeführten Änderungen. - Führung von Chargennummern und Kennzeichnung der Produkte. - Angabe des Produktionsdatums auf Datenübertragbarkeit dem Produkt bzw. der mitgelieferten Dokumentation. - Aufstellung eines Systems zur Identifikation beschaffter Produkte und WiderspruchGewährleistung der Rückverfolgung inklusive Kennzeichnung bis zum Lieferanten/Chargennummer und einem System zur Bewertung der Lieferanten. - Betreiben eines Systems zur Überwachung der Mess- und Prüfmittel. 3.11. Der Auftragnehmer hält zur Messung, Analyse und Verbesserung folgende Verfahren ein: - Durchführung von Prüfungen zur Unterstützung der Produktqualität, ggf. nach zutreffenden Normen, und deren Dokumentation. - Ständige Analyse und Auswertung von Daten der Produktion. Die Daten dienen dem Erkennen von Fehlern, Trends und der fortlaufenden Verbesserung, - Anwendung eines Systems zur Lenkung von Fehlern. - Durchführung von regelmäßigen Produkt-, Prozess- und Systemaudits. 3.12. Der Auftragnehmer weist die Einhaltung der unter 3. getroffenen Regelungen im Rahmen einer Zertifizierung nach DIN EN ISO 13485 nach. Aktuelle Zertifikate und Übereinstimmungserklärungen mit den Anforderungen aus Anhang 1 der Verordnung (EU) 2017/745 sind im Downloadbereich unter xxx.xxxxx.xx verfügbar.

Pflichten des Auftragnehmers. Dem 3.1 Der Auftragnehmer obliegen hat die nachfolgenden Pflichten nach Artgesetzlichen Bestimmungen insbesondere die Unfallverhütungsvorschriften sowie die allgemein anerkannten Regeln der Technik, zu beachten. 3.2 Der Auftragnehmer hat die Leistung mit seinem Betrieb zu erbringen. 28, 29 DSGVO: • Die Wahrung Er darf Teile der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten Leis- tung mit Zustimmung des Auftraggebers zugreifen könnenan Nachunternehmer übertragen. Er ist verpflichtet entsprechend qualifizierte Fachkräfte einzusetzen. 3.3 Der Auftragnehmer ist verpflichtet, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung alle zur Erbringung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen Leistungen benötigten Hilfsmittel (z.B. DatenschutzbeauftragterMessgeräte, ITDiagnosegeräte, Belastungsgewichte und Werkzeuge) und Hilfsstoffe (z.B. Schmier- und Reinigungsmittel) zu stellen bzw. zu liefern. Ausgenommen hiervon sind die vom Auftraggeber nach Nr. 9.2 beigestellten Hilfsmittel und Hilfsstoffe. 3.4 Es dürfen nur Originalersatzteile (neue Teile oder Austauschteile) oder gleichwertige Teile verwendet werden. Ausgebaute Teile werden Eigentum des Auftragnehmers. 3.5 Erkennt der Auftragnehmer außerhalb seines Leistungsbereiches Mängel oder Schäden, die die Betriebsbereitschaft oder Sicherheit der Anlage gefährden können, hat er unverzüg-Dienstleisterlich folgende Stelle7 (Anschrift, Wirtschaftsprüfer uswTelefon) zu benachrichtigen und erforderlichenfalls die Außerbetriebnahme der Anlage zu veranlas- sen. Die Benachrichtigungspflicht gilt auch für Mängel oder Schäden, die die Betriebsbe- reitschaft oder Sicherheit einer Anlage gefährden, aber nicht umgehend behoben werden können.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • 3.6 Der Auftragnehmer wirkt hat mündliche Benachrichtigungen schriftlich zu bestätigen. 3.7 Der Auftragnehmer hat den Auftraggeber schriftlich über Maßnahmen zu benachrichtigen, die aufgrund Änderungen der Nutzung, von gesetzlichen Bestimmungen bzw. allgemein anerkannten Regeln der Technik erforderlich werden. Der Auftragnehmer soll den Auftrag- geber auch über wesentliche technische Weiterentwicklungen informieren. 3.8 Der Auftragnehmer hat für jede Anlage ein Instandhaltungsbuch nach Maßgabe des Artder Nr. 28 Abs4.3 zu führen. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Das Instandhaltungsbuch ist am Einsatzort aufzubewahren. 3.9 Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den hat seine Rechnungen wie folgt zu adressieren7: 7 vom Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.auszufüllen

Pflichten des Auftragnehmers. Dem 1. Der Auftragnehmer obliegen verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die nachfolgenden Pflichten Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. 2. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. 3. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 28, 29 DSGVO: • 32 DSGVO ergriffen hat. Die Wahrung der Vertraulichkeit (Datengeheimnis). Alle Personen, die auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermitteltsind unter xxxxx://xxxx.xxxxxxxxx.xxxxxx/xxxx.xxx?xx=xxxxx:xxx ersichtlich. 4. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem Auftraggeber ergreift die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der Auftraggeber die Rechte der betroffenen Person nach Kapitel 3 III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann, z.B. die Information kann und Auskunft überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Xxxxxx an den BetroffenAuftragnehmer gerichtet und lässt dieser erkennen, dass die Antragsteller*innen ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies den Antragsteller*innen mitzuteilen. 5. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu errichten hat. 6. Wendet sich eine betroffene Person bezüglich eines Rechts der Betroffenen (Kapitel III DSGVO) an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird. 7. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die Berichtigung oder Löschung von Datenzur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. 8. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Einschränkung Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag zu vernichten. Wenn der Verarbeitung Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder das Recht nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. 9. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. 10. Der Auftragnehmer wird Xxxxxxxxx von Daten nur auf Datenübertragbarkeit ausdrückliche Weisung des Verantwortlichen erstellen. Ausnahmen sind Sicherheitskopien, welche zur Aufrechterhaltung des ordnungsgemäßen Betriebs erforderlich sind. 11. Der Auftragnehmer sichert dem Verantwortlichen zu, innerhalb von 48 Stunden nach Anweisung über die Herausgabe, Berichtigung, Löschung oder Sperrung der Daten des Verantwortlichen zu verfügen. 12. Der Auftragnehmer unterstützt den Auftraggeber aktiv bei der Einhaltung der Meldepflicht gemäß Artikel 33, 34 und Widerspruch36 EU-Datenschutz-Grundverordnung. Dazu garantiert der Auftragnehmer, den Auftraggeber ohne Verzug, d.h. spätestens nach 24 Stunden, über tatsächliche oder mutmaßliche Verstöße gegen den Vertrag zur Auftragsverarbeitung, insbesondere über Handlungen entgegen der schriftlichen Weisung des Auftraggebers, sowie gegen die Anforderungen aus dem europäischen und deutschen Datenschutzrecht, zu informieren. Eine Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten muss die folgenden Informationen enthalten: A. Die Art der Verletzung des Schutzes personenbezogener Daten und, wenn möglich, wer betroffen ist, die Datenkategorien, die Anzahl der betroffenen Personen und die Anzahl der betroffenen Datenkategorien.

Pflichten des Auftragnehmers. Dem Der Auftragnehmer obliegen verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet die nachfolgenden Pflichten zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber eine entsprechende Dokumentation zu führen und diese regelmäßig zu kontrollieren. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 2812 bis 22 DS-GVO durch den Auftraggeber, 29 DSGVO: • Die Wahrung an der Vertraulichkeit Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (DatengeheimnisArt. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Alle PersonenEr hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggebers weiterzuleiten. ………………………………………………………………………………………………………….. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. H DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf personenbezogene weiteres folgendes vereinbart: Keine besonderen Vereinbarungen ………………………………………………………………………………………………………….. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers zugreifen können, müssen auf die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichten, Weisungsbefugnisse und die Zweckbindung der Daten belehrt werden. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 3228 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Xxxx Xxxxxx Xxxxxxx, 24 DSGVOStratego IT management GmbH, Mail: mailto:xxxxxxxx-xxxxxxxxxxx@xxxxxxxx-xx.xx (Vorname, Name, Organisationseinheit, Kontakt) bestellt. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. • Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auch, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO gegebenenfalls gegen Kostenerstattung mit. Er hat dem verpflichtet sich, den Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. • Der Auftragnehmer führt ein Verzeichnis über den Ausschluss von Verarbeitungstätigkeiten genehmigten Verhaltensregeln nach Art. 30 41 Abs. 2 DSGVO 4 DS-GVO und unterstützt den Auftraggeber bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung Widerruf einer Zertifizierung nach Art. 30 DSGVO. • Der Auftragnehmer unterstützt den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 42 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch7 DS-GVO unverzüglich zu informieren.

Pflichten des Auftragnehmers. Dem Auftragnehmer obliegen 8.1 Der AN muss im Rahmen seiner Planung folgende Besonderheiten des Bauvorhabens besonders berücksichtigen: - Integration der Belange der Nutzer - Umbaumaßnahme im laufenden Betrieb 8.2 Der AN erbringt seine vertraglichen Leistungen nach Maßgabe der Vor- gaben und Anforderungen in den Vertragsgrundlagen dieses Vertrages. 8.3 Der AN hat selbstständig zu ermitteln, welche technischen Regelwerke und Bestimmungen für seine Leistung einschlägig sind, und diese bei sei- ner Leistungserbringung zugrunde zu legen. Sollten Regelwerke in Über- arbeitung sein oder irgendwelche Unklarheiten über die nachfolgenden Pflichten nach Art. 28, 29 DSGVO: • Die Wahrung allgemein aner- kannten Regeln der Vertraulichkeit (Datengeheimnis). Alle PersonenTechnik vorliegen, die Einfluss auf personenbezogene Daten des Auftraggebers zugreifen den geschuldeten Leistungserfolg haben können, müssen ist der AN verpflichtet, hierüber den AG unverzüglich schriftlich zu informieren. 8.4 Weisen Gelbdrucke und DIN-Vorschriften oder sonstige geltende techni- sche Vorschriften Abweichungen auf oder lassen mehrere Ausführungsar- ten zu, so ist der AN verpflichtet, den AG auf die Vertraulichkeit (Datengeheimnis) verpflichtet sowie über besondere Datenschutzpflichtenverschiedenen Möglich- keiten hinzuweisen und ihm Empfehlungen zu geben, Weisungsbefugnisse welche Möglichkeit am sinnvollsten und die Zweckbindung der Daten belehrt werdenwirtschaftlichsten gewählt werden sollte. • Die Umsetzung, Einhaltung und Nachweisbarkeit aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32, 24 DSGVO. Hierzu kann der Auftragnehmer ergänzend auch aktuelle Berichte oder Prüfungen externer Instanzen (z.B. Datenschutzbeauftragter, IT-Dienstleister, Wirtschaftsprüfer usw.) verwenden. • Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Als Datenschutzbeauftragte(r) des Auftragnehmers Der AG ist bei Vertragsschluss bestellt: Bitte stellen Sie Ihre Anfrage per E-Mail an xxxxxxxxxxx@xxxxxxxxx.xx Ein Wechsel der Xxxx der Ausführungsform frei. 8.5 Im Übrigen hat der AN bei der Ausführung seiner Leistungen die speziel- len Anforderungen des Datenschutzbeauftragten ist AG im Allgemeinen sowie für das Bauvorhaben im Besonderen und den Grundsatz der zweckmäßigen und größtmöglichen Wirtschaftlichkeit, auch hinsichtlich der späteren Unterhaltungs- und Be- triebskosten zu beachten. Bestehen Widersprüche hinsichtlich der Wirt- schaftlichkeit von Bau- und Betriebskosten, so hat der AN den AG hierauf hinzuweisen und eine begründete Entscheidungsvorlage vorzulegen. 8.6 Der AN hat bis zur Vertragsunterzeichnung die Vertragsgrundlagen ge- mäß Ziffer 2.1 dieses Vertrages auf Widerspruchsfreiheit und/oder Lücken überprüft und den AG auf Widersprüche und/oder Lücken hingewiesen. Dem AN sind die vorgenannten Grundlagen des Vertrages bekannt. Er hat diese geprüft und in seinen Verantwortungsbereich übernommen. Der AG haftet nicht für etwaige Fehler in den Unterlagen und Plänen oder im Sinne des § 254 BGB für Vertragsgrundlagen, die von Dritten, die nicht seine Erfüllungsgehilfen sind, zur Verfügung gestellt worden sind. 8.7 Vom AN vorgesehene Änderungen der Pläne und Unterlagen während oder nach der Ausschreibung sind dem Auftraggeber AG vor entsprechender (Nach- trags-)Beauftragung des bauausführenden Unternehmens unverzüglich schriftlich mitzuteilenmitzuteilen und mit diesem abzustimmen. 8.8 Der AN führt seine Leistungen auf der Grundlage der ihm vom AG zur Verfügung gestellten Unterlagen und der Anordnungen des AG aus. • Die Information Der AN hat dem AG etwaige Bedenken hiergegen unverzüglich schriftlich mit- zuteilen. Der AN hat seine Leistungen vor ihrer endgültigen Ausarbeitung mit dem AG und den anderen fachlich Beteiligten, insbesondere den zu- ständigen Behörden und den für die behördliche Abnahme zuständigen Stellen abzustimmen. Der AN hat sich rechtzeitig zu vergewissern, ob seiner Planung öffentlich-rechtliche Hindernisse oder ähnliches entgegen- stehen. Der AG ist in die Abstimmung rechtzeitig einzubinden. 8.9 Der AN hat sich zur Erfüllung seiner Leistungen ständig in hinreichendem Umfang über das Projekt zu informieren. Sind über die vom AG bereits beigestellten Unterlagen und Informationen hinaus weitere Auskünfte etc. erforderlich, hat der AN diese unverzüglich über den Projektsteuerer des Auftraggebers über Kontrollhandlungen AG, wenn ein solcher benannt ist, oder sonst unmittelbar vom Ansprech- partner des AG anzufordern. Der Projektsteuerer bzw. Ansprechpartner des AG wird noch benannt. 8.10 Der AN ist verpflichtet, den anderen vom AG eingesetzten fachlich Betei- ligten die notwendigen Pläne, Unterlagen und Maßnahmen der AufsichtsbehördenAngaben so rechtzeitig und umfänglich zu liefern, soweit personenbezogene Daten des Auftraggebers betroffen sind. Dies gilt auchdass diese ihre Leistungen in zeitlicher, soweit eine zuständige Behörde beim Auftragnehmer ermittelt. • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen bei möglichen Unterauftragnehmern. • Der Auftragnehmer wirkt qualitativer, quantitativer und wirtschaftlicher Hinsicht nach Maßgabe des ArtGeneralter- minplanes (Anlage 9) bzw. 28 Absdes fortgeschriebenen Detailterminplans ord- nungs- und vertragsgemäß erbringen können. 3 litHierzu hat er an allen not- wendigen Besprechungen teilzunehmen. f DSGVO bei Der AN sichert zu, dass der Erstellung von ihm benannte Projektleiter – bzw. im Falle einer Datenschutz-Folgenabschätzung gemäß Artbegründeten Verhinde- rung (Krankheit, Urlaub) der vom AN benannter Vertreter des Projektlei- ters – an den vom AG anberaumten, regelmäßigen Projektbesprechungen persönlich bzw. 35 DSGVO nach Aufforderung auch durch den AG digital per MS Teams o.ä. teilnimmt. Die zur Erbringung seiner Leistungen notwendigen Unterlagen hat er dabei anzufordern. 8.11 Der AN ist gegenüber dem AG zur unverzüglichen und ggfumfassenden Un- terrichtung und Beratung betreffend die Durchführung aller seiner Liefe- rungen und Leistungen verpflichtet. bei Termin- und/oder kostenrelevante Umstände hat der vorherigen Konsultation AN dem AG unverzüglich schriftlich mitzuteilen und die weitere Entscheidung des AG einzuholen. Insbesondere hat der Aufsichtsbehörden gemäß Art. 36 DSGVO AN den AG unverzüglich über Umstände zu unterrichten, aus denen sich Ansprü- che gegen den AG oder Ansprüche des AG gegen andere fachlich Betei- ligte ergeben können. 8.12 Wenn während der Ausführung der Leistungen Meinungsverschiedenhei- ten zwischen dem AN und anderen Projektbeteiligten auftreten, hat der AN hierauf hinzuweisen und gegebenenfalls gegen Kostenerstattung mitunverzüglich unter begründe- ter Darstellung seiner eigenen Einschätzung die schriftliche Entscheidung des AG herbeizuführen. 8.13 Der AN verpflichtet sich gegenüber dem AG im Verhältnis zu Dritten - soweit sie nicht fachlich Beteiligte sind, deren Information erforderlich ist - zur Verschwiegenheit hinsichtlich sämtlicher Umstände und Informationen über die von ihm zu erbringenden Leistungen und das Bauvorhaben. 8.14 Der AN hat im Rahmen seines Leistungsbereiches dafür zu sorgen, dass die Rechte des AG gegenüber den sonstigen Baubeteiligten gewahrt werden. Er hat dabei dafür zu sorgen, dass Mängelrechte sowie etwaige Verzugs- und Vertragsstrafenansprüche des AG gewahrt werden, indem er den AG auf bevorstehende Fristabläufe rechtzeitig schriftlich hinweist. Soweit dem Auftraggeber AN bei Vertragsschluss die mit den übrigen Baubeteiligten abgeschlossenen bzw. abzuschließenden Verträge noch nicht bekannt sind, wird sich der AN umgehend die notwendige Kenntnis verschaffen. Der AG ist verpflichtet, dem AN die einschlägigen Unterlagen auf Nach- frage unverzüglich zugänglich zu machen. 8.15 Die Dokumentation des AN hat den Anforderungen der Dokumentations- richtlinen des AG (Anlage 5) zu erfüllen. Der AN hat die Dokumentation hiernach zusammen zu stellen und ist für die Vollständigkeit der gesam- ten Dokumentation verantwortlich. Für die inhaltliche Richtigkeit der Do- kumentation haftet der AN nur, wenn und soweit diese nach Maßgabe dieses Vertrages von ihm oder seinen Subplanern zu erstellen ist oder er aus einem sonstigen Grund für die inhaltliche Richtigkeit verantwortlich ist. 8.16 Wenn und soweit der AG Leistungen der Leistungsphasen 6 und/oder der Leistungsphasen 7 und/oder 8 beauftragt, ist der AN verpflichtet, alle Leis- tungen unter Beachtung der aktuellen Rechtslage und Rechtsprechung so auszuschreiben, dass Nachträge der anderen am Bau Beteiligten so weit als möglich vermieden werden. Ist der AN mit der Erstellung der Verga- beunterlagen beauftragt, hat er die im Zeitpunkt der Ausschreibung der Ausführungsleistung (Bekanntmachung) aktuellen vergaberechtlichen Vorschriften des GWB, der VgV und der VOB/A und die aktuelle Vergabe- rechtsprechung hierzu, die Bestimmungen der Zuwendungsbescheide be- treffend das Bauvorhaben, soweit sie dem AN bekannt sind, sowie die Vergabewertgrenzen des UKD (Anlage 18) zu beachten. Der AN hat da- bei die Ausfüllung der Formulare des Vergabehandbuches des Bundes (VHB) für den AG vorzubereiten; wenn und soweit der AG die Verwen- dung anderer Muster wünscht, hat der AN die Ausfüllung dieser anderen Muster durch den AG vorzubereiten. Der AN hat einen Vergabevorschlag unter Beachtung der aktuellen Vergabevorschriften und der Vergabewert- grenzen des UKD (Anlage 18) zu erstellen; bei Widersprüchen hat der AN den AG hierauf hinzuweisen, der AG entscheidet dann das weitere Vorgehen. Die Wertungsentscheidungen obliegen dem AG, jedoch sind die Grundlagen der Bewertung durch den AN vorzubereiten. Der AN hat einen Vergabevermerk zu erstellen, der Vergabevermerk ist fortlaufend zu führen und hat den aktuellen Stand des Vergabeverfahrens ausreichend zu dokumentieren. 8.17 Der AN hat sich laufend darüber zu informieren, ob sich die TAB des AG geändert haben. Der AN ist im Falle einer stufenweisen Beauftragung von Leistungsphasen oder Teilleistungen verpflichtet, den AG rechtzeitig vor Beauftragung der folgenden Leistungen bzw. Leistungsphasen darauf hinzuweisen, wenn sich die TAB des AG verändert haben und dieses Auswirkungen auf die durch den AN auszuführenden Leistungen hätte. Der AN hat darzulegen, welche Auswirkungen die Änderungen der TAB auf seine Leistungen haben und den zusätzlichen Aufwand in Zeit und Geld darzustellen. Der AG entscheidet dann, ob die Ausführung entspre- chend dem Vorschlag des AN erfolgen soll. Wenn und soweit hierdurch zusätzliche Leistungen des AN erforderlich werden, die dieser im Zeit- punkt des Vertragsschlusses nicht erkennen konnte, richtet sich die Ver- gütung gemäß Ziffer 10 dieses Vertrages. Die Regelung dieser Ziffer gilt im Hinblick auf alle Leistungen des AN, d.h. nicht nur im Falle der Beauf- tragung weiterer Leistungsphasen, sondern auch für die ursprünglich be- auftragten Leistungen, d. h. der AN hat für alle vertraglich geschuldeten Leistungen zu prüfen, ob sich die TAB geändert haben und den AG ent- sprechend dieser Regelung zu informieren. 8.18 Sofern die Leistungsphase 8 beauftragt ist, ist der AN ist im Rahmen der Dokumentation der Baustelle verpflichtet, ein Bautagebuch zu führen. Da- bei sind die einzelnen Bautagesberichte der Firmen, darüber hinaus durch Vorlage wöchentlicher Berichte zum Leistungsstand, insbesondere mit Darstellung der Kosten- und Terminentwicklung und fotografischer Dar- stellung der Objektüberwachung zusammen zu stellen. Ferner sind sämt- liche, für den Xxxxxxxx des Bauvorhabens relevante Wetterverhältnisse fortlaufend zu erfassen. Wenn und soweit aufgrund der Wetterverhältnis- se oder anderer äußerer Einflüsse (Streik, Naturkatastrophen etc.) die Möglichkeit besteht, dass ein beteiligtes Unternehmen Behinderungen anmeldet, sind diese täglich zu dokumentieren. Meldet ein am Bauvorha- ben beteiligtes Unternehmen Behinderung an, ist der AG hiervon unver- züglich zu informieren. Ab diesem Zeitpunkt hat der AN die Anwesenheit sämtlicher Mitarbeiter dieses Unternehmens am Bauvorhaben zu erfas- sen. Der AN hat ferner sämtliche, aus seiner Sicht bestehende Behinde- rungen einschließlich etwaiger Ausweichmöglichkeiten zu dokumentieren. 8.19 Bei geförderten Maßnahmen ist der AG haushaltsrechtlich verpflichtet, eine Haushaltsunterlage-Bau (nachfolgend HU-Bau genannt) zu erstellen, mit dem zuständigen Ministerium abzustimmen und fortzuschreiben. Die HU-Bau soll die Art der Ausführung sowie die erforderlichen Angaben Ausgaben darstellen. Sie ist nach § 24 LHO Grundlage für die Einstellung der Bau- maßnahmen in den Haushaltsplan. Die HU-Bau- muss die Art der Ausfüh- rung aus architektonischer, funktioneller, technischer, städtebaulicher, energieeffizienter und Dokumente ökologischer Sicht so eindeutig beschreiben, dass die Lösung und die zu erwartenden Kosten zuverlässig und zutreffend beurteilt werden können und die Wirtschaftlichkeit der Lösung bewertet werden kann. Sie ist die verbindliche Grundlage für die weitere planeri- sche Bearbeitung und die Mittelzuweisung. Der AN ist im Rahmen der von ihm zu erbringenden Leistungen verpflichtet, die Abstimmung mit den zu- ständigen Ministerien vorzubereiten und die HU-Bau in Bezug auf Anfrage offen seinen Leistungsteil fortzuschreiben und Nachträge zu legenerstellen sowie an dem Verwendungsnachweis mitzuwirken. • Die Mitwirkung beim Verwendungs- nachweis ist mit der Beauftragung abgegolten, sollte wider Erwarten eine Nachtrags-HU-Bau erforderlich sein, wird diese gem. Ziffer 10.2.2 dieses Vertrags gesondert vergütet. 8.20 Die Koordinierung der fachlich Beteiligten wird vorrangig vom Generalpla- ner wahrgenommen. Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und unterstützt den Auftraggeber AN ist verpflichtet bei der Erfüllung seiner Dokumentationspflichten gegebenenfalls gegen Kostenerstattung nach ArtKoordinierung des Generalplaners mitzuwirken. 8.21 Gemäß den AG-Vorgaben der AN die Projektkontrolleinheiten zu codie- ren. 30 DSGVO. • Des Weiteren hat er die Projektkontrolleinheiten in den Kostenermitt- lungen und in den Terminplänen zu berücksichtigen. 8.22 Der Auftragnehmer unterstützt hat AN an dem Risikomanagement gemäß DIN 276 mitzuwirken. 8.23 Der AN hat für den Auftraggeber, gegebenenfalls gegen Kostenerstattung, gemäß Art. 28 Abs. 3 lit. e DSGVO nach Möglichkeit mit geeigneten technischen AG bei anstehenden Entscheidungen entsprechende Entscheidungsvorlagen zu erstellen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, z.B. die Information und Auskunft an den Betroffen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruchdem AG rechtzeitig vorzulegen.