Common use of Pflichten des Auftragnehmers Clause in Contracts

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und auf dokumentierte Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 a) Der Auftragnehmer darf Daten von betroffenen Personen nur ist für die vertragsgemäße Auftragsdatenverarbeit- ung im Rahmen des Auftrages geltenden Datenschutzrechts verantwortlich. Er bestätigt die Kenntnis aller einschlägigen Vorschriften und auf dokumentierte Weisungen des Auftraggebers verarbeitenbeachtet insbesondere die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art 5 DSGVO. b) Der Auftragnehmer garantiert, es sei denndass alle zur beauftragten Datenverarbeitung ein- gesetzten bzw. befugten Personen entsprechend geeignet sind und zur Vertraulichkeit verpflichtet wurden oder einer angemessenen Verschwiegenheits- pflicht unterliegen. c) Der Auftragnehmer verpflichtet sich, es liegt ein Ausnahmefall im Sinne Sinn des Artikel Art 32 DSGVO alle für die Sicherheit der Datenverarbeitung erforderlichen Maßnahmen zu ergreifen (Art 28 AbsAbs 3 lit c DSGVO). 3 aEr wird insbesondere alle organisatorischen und technischen Vorkehrungen dafür treffen, dass die Integrität der Verarbeitung gewährleistet, ein Verlust personen- bezogener Daten verhütet und der unbefugte Zugriff Dritter darauf verhindert wird. d) DSGVO vor. Der Auftragnehmer informiert wird den Auftrag- geber bei der Umsetzung seiner Inform- ationspflichten und geltend gemachter Betroffenenrechte nach Kräften unterstützen (Art 28 Abs 3 lit e DSGVO). Insbesondere schafft er die technischen und organisatorischen Voraussetzungen dafür, dass der Auftraggeber seinen Ver- pflichtungen gegenüber Betroffenen gem. Artt 15 ff DSGVO gegenüber Betroffenen fristgerecht nachkommen kann. e) Der Auftragnehmer hat den Auftraggeber unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auch bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis von dessen Verpflichtungen gemäß Artt 30-36 DSGVO genannten Pflichtenbestmöglich zu unterstützen (Art 28 Abs 3 lit f DSGVO). 4.3 f) Der Auftragnehmer gewährleistetwird den Auftrag- geber über jede Verletzung des Schutzes bzw. der Sicherheit vertragsgegen- ständlicher Daten in seinem Ver- antwortungsbereich unverzüglich, dass es den mit spätestens aber binnen 24 Stunden ab Kenntnis informieren. Dabei sind ins- besondere das Ausmaß der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter betroffenen Datensätze/-kategorien und andere für den Auftragnehmer tätigen Personen untersagt istPersonen, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger wahrscheinlichen Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigenDaten- schutzverletzung, die ergriffenen bzw. geplanten Gegenmaßnahmen und die KURABU Plattform anlegen als weisungsberechtigtKontaktdaten einer verantwortlichen Person oder sonstigen Anlaufstelle des Auftragnehmers für weitere Inform- ationen/Abstimmungen anzugeben.

Pflichten des Auftragnehmers. 4.1 4.1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und auf dokumentierte der Weisungen des Auftraggebers verarbeiten, es sei denn, verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 4.2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer hat technische und organisatorische Maßnahmen getroffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung sicherstellen. Der Auftragnehmer überprüft regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung und passt die Maßnahmen nötigenfalls an. Diese aktuellen Maßnahmen sind in Anhang 1 dieses Vertrages beschrieben. 4.3. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen betroffener Personen gem. Kapitel III der DSGVO DS-GVO sowie bei der Einhaltung der in Art. Artt 33 bis 36 DSGVO DS-GVO genannten Pflichten. Die dadurch begründeten Kosten sind vom Auftraggeber zu tragen. 4.3 4.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 4.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 . Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 4.6. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. 4.7. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest4.8. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind kann dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigenPerson(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. 4.9. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. Die dadurch begründeten Kosten sind vom Auftraggeber zu tragen. 4.10. Die Auftragsverarbeitung erfolgt in der Schweiz oder innerhalb der EU. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. Für die KURABU Plattform anlegen als weisungsberechtigtSchweiz gilt ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in die Schweiz ist datenschutzrechtlich zulässig.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn es insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtpersonenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer darf sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die Umsetzung vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurde. 4.2 geändert wird. Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Die Weisung, die Daten gemäß der gesetzlichen Vorgaben (z. X. Xxxxxx- Verordnungen) zu löschen, gilt als implizit erteilt. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer bestätigt, dass sich ihm die zur für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich 28 Abs. 3 Satz 2 lit. b und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilenArt. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt29 DS-GVO).

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn es insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtpersonenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer darf sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die Umsetzung vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurde. 4.2 geändert wird. berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass sich er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Der Auftragnehmer bestätigt, dass ihm die zur für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Bei einem Wechsel oder einer längerfristigen Verhinderung 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Ansprechpartner sind dem Vertragspartner unverzüglich und datenschutzrechtlichen Vorschriften in schriftlicher oder elektronischer Form seinem Betrieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtgesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verpflichtet sich, Daten von betroffenen Personen nur und Verarbeitungsergebnisse ausschließlich im Rahmen des Auftrages und auf dokumentierte Weisungen der schriftlichen oder elektronischen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, es sei dennDaten des Auftraggebers herauszugeben, es liegt ein Ausnahmefall im Sinne so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Artikel 28 Abs. 3 a) DSGVO vorAuftragnehmers eines schriftlichen Auftrages. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung isterklärt, dass eine Weisung gegen anwendbare Gesetze verstößter alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer darf haftet jedoch nicht für die Umsetzung der Weisung solange aussetzenSicherheit und Konformität hinsichtlich DSGVO im Zusammenhang mit Software-Werkzeugen (z.B. Teamviewer, bis sie Office-Software) die vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 und Auftragnehmer zur Durchführung der Auftragsverarbeitung verwendet werden. Der Auftragnehmer erklärt, dass er Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). Der Auftragnehmer ist nicht für die technischen und organisatorischen Maßnahmen verantwortlich, damit der Auftraggeber die Rechte der betroffenen Person erfüllen kann. Denn die Verarbeitung dient nur der Schulung, Fehleranalyse und Wartung von Software. Die Verarbeitung dient nur der Schulung, Fehleranalyse und Wartung von Software. Der Auftragnehmer unterstützt daher den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie nicht bei der Einhaltung der in Art. 33 den Art 32 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistetPflichten (Datensicherheitsmaßnahmen, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Schutzes personenbezogener Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen DatenPerson, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschenDatenschutz-Folgeabschätzung, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten festvorherige Konsultation). Der Auftragnehmer legt Weisungsempfänger festwird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigenUnterlagen, die die KURABU Plattform anlegen als weisungsberechtigtpersonenbezogene Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten.

Pflichten des Auftragnehmers. 4.1 (1) Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und auf dokumentierte Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder Vereinbarung zur Auftragsdatenverarbeitung Seite 2 von 14 gem. Art. 28 Abs. 3 DSGVO Stand: 18.05.18 beibob medienfreunde den Weisungen des Auftraggebers verarbeitenAuftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, es liegt ein Ausnahmefall dass der Auftraggeber dieser schriftlich zugestimmt hat. (2) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) vorzunehmen oder, sofern die Datenverarbeitung durch den Auftragnehmer im Rahmen einer Unterauf-tragsdatenverarbeitungsverhältnisses mittels eines Unterauftragnehmers erfolgt, dessen Sitz sich in einem Drittland im Sinne des Artikel 28 AbsArt. 3 a44 EU-DSGVO befindet, nur auf Grundlage eines Angemessenheitsbeschlusses im Sinne von Art. 45 EU-DSGVO oder vorbehaltlich geeigneter Garantien im Sinne von Art. 46 EU-DSGVO oder auf Basis verbindlicher interner Datenschutz-vorschriften im Sinne von Art. 47 EU-DSGVO durchzuführen. Sollte dies der Fall sein, wird der Auftragnehmer den Auftraggeber darüber informieren. (3) DSGVO vorDer Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer informiert wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen. (4) Der Auftragnehmer wird den Auftraggeber unverzüglichunverzüglich darüber informieren, wenn es der eine vom Auftraggeber erteilte Weisung nach seiner Auffassung ist, dass eine Weisung gegen anwendbare Gesetze gesetzliche Regelungen verstößt. Der Auftragnehmer darf ist berechtigt, die Umsetzung Durchführung der betreffenden Weisung solange aussetzenauszusetzen, bis sie vom diese durch den Auftraggeber bestätigt oder abgeändert wurdegeändert wird. 4.2 (5) Der Auftragnehmer unterstützt wird die Daten, die er im Auftrag für den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemverarbeitet, getrennt von anderen Daten verarbeiten. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten PflichtenEine physische Trennung ist nicht zwingend erforderlich. 4.3 (6) Der Auftragnehmer gewährleistetkann dem Auftraggeber die Person(en) benennen, dass es den mit der Verarbeitung der Daten die zum Empfang von Weisungen des Auftraggebers befassten Mitarbeiter und andere für berechtigt sind. Sofern weisungsempfangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der AuftragnehmerFall, dass sich die zur Verarbeitung weisungsempfangsberechtigten Personen beim Auftragnehmer ändern, wird der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dies dem Auftraggeber abin Textform mitteilen. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 Der (1)Der Auftragnehmer darf Daten von betroffenen Personen hat einen Datenschutzbeauftragten benannt, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Kontaktdaten zum Zweck der direkten Kontaktaufnahme: ista Deutschland GmbH Datenschutzbeauftragter Xxxxxxxxxxx Xxxxxx 0 00000 Xxxxx E-Mail: Xxxxxxxxxxx@xxxx.xxx (2)Der Auftragnehmer setzt bei der Durchführung des Auftrags nur im Rahmen des Auftrages Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und auf dokumentierte Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. (3)Der Auftragnehmer ist zur Umsetzung und Einhaltung aller für diese Verein- barung erforderlichen technischen und organisatorischen Maßnahmen ge- mäß Art. 28 Abs. 3 aS. 2 lit. c, 32 DS-GVO (siehe Anlage 1) DSGVO vorverpflichtet. Der Auftragnehmer informiert den Auftraggeber unverzüglich(4)Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Kopien, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis soweit sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der zur Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten Vereinbarung und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Gewährleistung einer ordnungsgemäßen Daten- verarbeitung erforderlich sind, sowie Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind für die nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten einer Rechtsvor- schrift eine Verpflichtung zur Speicherung besteht. 4.7 Der . (5)Der Auftragnehmer informiert den Auftraggeber legt den unverzüglich über Kontroll- handlungen und Maßnahmen der Aufsichtsbehörde nach Art. 58 DS-GVO, so- weit sie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zu- ständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Weisungsberechtigten festVerarbeitung personenbezogener Daten bei der Auftragsver- arbeitung beim Auftragnehmer ermittelt. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern (6)Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, ei- nem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zu- sammenhang mit der Auftragsverarbeitung beim Auftragnehmer gegenüber keinen Weisungsberechtigten benenntausgesetzt ist, gelten diejenigenhat ihn der Auftragnehmer jeweils zu unterstützen. (7)Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die die KURABU Plattform anlegen als weisungsberechtigt.Verarbeitung in seinem Verantwortungsbereich im Einklang mit den An- forderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. 84686/XII21

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbei- tung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichti- gen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn es insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtpersonenbezoge- nen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer darf sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die Umsetzung vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumen- tiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auf- traggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Xxx- xxxx solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurde. 4.2 geändert wird. Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu lö- schen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensi- cherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auf- tragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privat- wohnung verarbeitet werden, ist vorher der Weisung Zugang zur Wohnung des Beschäftigten für Kontrollzwe- cke des Arbeitgebers vertraglich sicher zu verarbeitenstellen. Ferner gewährleistet der AuftragnehmerDie Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass sich ihm die zur für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch das Anwaltsgeheimnis nach § 203 StGB zu beachten, welches dem Auftraggeber obliegt. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Xxxxxxxx- ter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes ver- traut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnis- ses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Bei einem Wechsel oder einer längerfristigen Verhinderung 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Ansprechpartner sind dem Vertragspartner unverzüglich und datenschutzrechtlichen Vorschriften in schriftlicher oder elektronischer Form sei- nem Betrieb. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtgesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und auf dokumentierte Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 32 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen nach Xxxx des Auftraggebers entweder herauszugeben zurückzugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen anlegen, als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 5.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur in der Situation der Auftragsverarbeitung ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 a DS-GVO). 5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 5.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. 5.4 Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. 5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Weisungsberechtigten des Auftraggebers gemäß Anlage 1 weiterzuleiten. 5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichist berechtigt, wenn es die Durchführung der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurdegeändert wird. 4.2 5.7 Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt. 5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten28 DS-GVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftragnehmer oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. 4.3 5.9 Der Auftragnehmer gewährleistetverpflichtet sich, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt istauch die Geheimnisschutzregeln zu beachten, die Daten außerhalb dem Auftraggeber obliegen. 5.10 Der Auftragnehmer verpflichtet sich, bei der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 5.11 Der Auftragnehmer unterrichtet sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber unverzüglich, wenn ihm Verletzungen für sie maßgebenden Bestimmungen des Schutzes personenbezogener Daten Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen Beschäftigungsverhältnisses in geeigneter Weise zur Sicherung der Daten Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst istArt. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest29 DS-GVO). Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung überwacht die Einhaltung der Ansprechpartner sind dem Vertragspartner unverzüglich und datenschutz- rechtlichen Vorschriften in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtseinem Betrieb.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn es insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtpersonenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer darf sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die Umsetzung vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS- GVO). Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurde. 4.2 geändert wird. Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften Änderung der Vertragspartnerdaten – Seite 3 von 6 Celeros Online KG Geschäftsführer: Registergericht: Lübeck Bankverbindung: Xxxxxxx. 00 Xxxxxxxxx Xxxxx HRA: 5793 HL IBAN: DE63200800000323821000 00000 Xxxxxxx Unternehmenssitz: Steuer-Nr.: 30/280/53503 BIC: XXXXXXXX000 Germany Barsbüttel USt-ID: DE264341806 Commerzbank AG und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass sich er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Bei einem Wechsel oder einer längerfristigen Verhinderung 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der Ansprechpartner sind dem Vertragspartner unverzüglich und datenschutzrechtlichen Vorschriften in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtseinem Betrieb.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurdea DSGVO). 4.2 Der Auftragnehmer unterstützt sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber im Rahmen seiner Möglichkeiten bei verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 4.3 Zu einem Datenträgeraustausch gemäß Art. 28 Abs. 3 lit. g DSGVO zwischen den Beteiligten dieser Auftragsverarbeitung kommt es nicht. Insoweit ist eine Rückgabe nicht zu regeln. 4.4 Bei der Erfüllung der Anfragen und Ansprüche Rechte der betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in nach Art. 33 12 bis 36 22 DSGVO genannten Pflichten. 4.3 Der durch den Auftraggeber, hat der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter im notwendigen Umfang mitzuwirken und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werdensoweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DSGVO). 4.5 Der Auftragnehmer trifft wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die erforderlichen Maßnahmen zur Sicherung Durchführung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber abnach Überprüfung bestätigt oder geändert wird. 4.6 Der Auftragnehmer berichtigt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder löscht die vertragsgegenständlichen Datenderen Verarbeitung einzuschränken, wenn der Auftraggeber dies anweist mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Sollten dem Auftragnehmer dadurch erhebliche Kosten entstehen behält er sich vor diese in Rechnung zu stellen. Sollte dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung bestehtFall sein wird der Auftragnehmer im Vorfeld darüber informiert und die erheblichen Aufwände werden begründet. 4.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. 4.8 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung mind. 2 Wochen im Voraus – während der jeweils üblichen Geschäftszeiten ohne Störung des Betriebsablaufs berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst zu kontrollieren (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftraggeber legt den oder wird dabei Sorge tragen, dass die Weisungsberechtigten festKontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Bei Hierzu wird bis auf weiteres folgendes vereinbart: der Aufwand auf Seiten des Auftragnehmers im Rahmen der Prüfung, wird zum aktuellen Stundensatz in Rechnung gestellt. Die Gesamtkosten werden vor der Prüfung in einem Wechsel Angebot zusammen mit dem Prüfungsumfang festgelegt. 4.9 Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen vom Auftragnehmer zu informieren. 4.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung dieser Zusatzvereinbarung fort. 4.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. 4.12 Der Auftragnehmer sichert zu, einen fachkundigen Datenschutzbeauftragten bestellt zu haben. Dessen aktuelle Kontaktdaten ergeben sich aus der Datenschutzerklärung des Auftragnehmers und werden dem 4.13 Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und in schriftlicher Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 35 und 36 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtZiff. 4 dieser Zusatzvereinbarung durchführen.

Pflichten des Auftragnehmers. 4.1 8.6.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenKunden, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DS-GVO). 8.6.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Kunden nicht erstellt. 8.6.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Kunden verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 8.6.4 Die Datenträger, die vom Kunden stammen bzw. für den Kunden genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Der Auftragnehmer informiert hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber unverzüglichKunden die in einem gesonderten Dokument festgelegten Überprüfungen in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren. 8.6.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Kunden, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Kunden hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Kunden soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Kunden weiterzuleiten. 8.6.6 Der Auftragnehmer wird den Kunden unverzüglich darauf aufmerksam machen, wenn es der Auffassung ist, dass eine vom Kunden erteilte Weisung seiner Meinung nach gegen anwendbare Gesetze verstößtgesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer darf ist berechtigt, die Umsetzung Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom Auftraggeber durch den Verantwortlichen beim Kunden nach Überprüfung bestätigt oder abgeändert wurdegeändert wird. 4.2 8.6.7 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Erfüllung der Anfragen Kunde dies mittels einer Weisung verlangt und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichtenberechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. 4.3 8.6.8 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Kunden erteilen. 8.6.9 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Kunde - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Kunden beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DS- GVO). 8.6.10 Der Auftragnehmer sichert zu, dass sich er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. 8.6.11 Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Kunden gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. 8.6.12 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Kunden obliegen, z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB. Einzelheiten dazu werden in einem gesonderten Dokument vereinbart. 8.6.13 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Kunden die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 8.6.14 Der Auftragnehmer unterrichtet sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber unverzüglich, wenn ihm Verletzungen für sie maßgebenden Bestimmungen des Schutzes personenbezogener Daten Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen Beschäftigungsverhältnisses in geeigneter Weise zur Sicherung der Daten Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst istArt. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest29 DS- GVO). Der Auftragnehmer legt Weisungsempfänger festüberwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. 8.6.15 Der beim Auftragnehmer benannte Beauftragte(r) für den Datenschutz ist in einem ge- sonderten Dokument festgelegt. Bei einem Ein Wechsel oder des Datenschutzbeauftragten ist dem Kunden unverzüglich mitzuteilen. 8.6.16 Der Auftragnehmer verpflichtet sich, den Kunden über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtzu informieren.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurdea DSGVO). 4.2 Der Auftragnehmer unterstützt sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber im Rahmen seiner Möglichkeiten bei verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 4.3 Zu einem Datenträgeraustausch gemäß Art. 28 Abs. 3 lit. g DSGVO zwischen den Beteiligten dieser Auftragsverarbeitung kommt es nicht. Insoweit ist eine Rückgabe nicht zu regeln. 4.4 Bei der Erfüllung der Anfragen und Ansprüche Rechte der betroffenen Personen gemnach Art. Kapitel III 12 bis 22 DSGVO durch den Auftraggeber, an der DSGVO Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Einhaltung der in Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter 28 Abs. 3 Satz 2 lit e und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werdenf DSGVO). 4.5 Der Auftragnehmer trifft wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die erforderlichen Maßnahmen zur Sicherung Durchführung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber abnach Überprüfung bestätigt oder geändert wird. 4.6 Der Auftragnehmer berichtigt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder löscht die vertragsgegenständlichen Datenderen Verarbeitung einzuschränken, wenn der Auftraggeber dies anweist mittels einer Weisung verlangt und dies vom Weisungsrahmen umfasst istberechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Die vertragsgegenständlichen Daten sind nach Auftragsende Der Aufwand auf Verlangen Seiten des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung bestehtAuftragnehmers wird zum aktuellen Stundensatz in Rechnung gestellt. 4.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. 4.8 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber legt den oder - grundsätzlich nach Terminvereinbarung mind. 4 Wochen im Voraus - ohne Störung des Betriebsablaufs berechtigt ist, die Weisungsberechtigten festEinhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst zu kontrollieren (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Bei Hierzu wird bis auf weiteres folgendes vereinbart: der Aufwand auf Seiten des Auftragnehmers im Rahmen der Prüfung, wird zum aktuellen Stundensatz in Rechnung gestellt. Die Gesamtkosten werden vor der Prüfung in einem Wechsel Angebot zusammen mit dem Prüfungsumfang festgelegt. 4.9 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. 4.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung dieser Zusatzvereinbarung fort. 4.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. 4.12 Der Auftragnehmer sichert zu, einen fachkundigen Datenschutzbeauftragten bestellt zu haben. Dessen aktuelle Kontaktdaten ergeben sich aus der Datenschutzerklärung des Auftragnehmers und werden dem Auftraggeber auch auf Anforderung zum Zweck der direkten Kontaktaufnahme mitgeteilt. 4.13 Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und in schriftlicher Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtZiff. 4 dieser Zusatzvereinbarung durchführen.

Pflichten des Auftragnehmers. 4.1 a. Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftrags- verarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwort- lichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) Satz 2 lit. a DSGVO). b. Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personen- bezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. c. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezo- genen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. d. Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftrag-geber sorgfältige und regelmäßige Überprüfungen in seinem Bereich durchzuführen und dies zu dokumentieren. e. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO vordurch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: (Vorname, Name, Organisationseinheit, Telefon, E-Mail) f. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer informiert ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. g. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. h. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber unverzüglicherteilen. i. Der Auftragnehmer erklärt sich damit einverstanden, wenn es dass der Auffassung Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, dass eine Weisung gegen anwendbare Gesetze verstößtdie Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforder- lichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbe- sondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzensichert zu, bis sie vom Auftraggeber bestätigt oder abgeändert wurdedass er, soweit erfor- derlich, bei diesen Kontrollen unterstützend mitwirkt. 4.2 j. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen daten- schutzrechtlichen Vorschriften der DSGVO bekannt sind. k. Der Auftragnehmer verpflichtet sich, bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der auftragsgemäßen Verarbeitung der personenbe- zogenen Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung Vertraulichkeit zu verarbeitenwahren. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 l. Der Auftragnehmer unterrichtet sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber unverzüglich, wenn ihm Verletzungen für sie maßgebenden Bestimmungen des Schutzes personenbezogener Daten Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen Beschäftigungsverhältnisses in geeigneter Weise zur Sicherung der Daten Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst istArt. 29 DSGVO). Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen Verschwiegenheitsverpflichtung berücksichtigt insbesondere auch die besonderen Anforderungen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest§ 203 StGB. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung über- wacht die Einhaltung der Ansprechpartner sind dem Vertragspartner unverzüglich und datenschutzrechtlichen Vorschriften in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem seinem Betrieb. m. Beim Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen ist als weisungsberechtigt.Beauftragter für den Datenschutz Xxxxxx Xxxxx Media Holding Kommanditgesellschaft Hauptstraße 130 in 00000 Xxxxxxxxx xxxxxxxxxxxxxxxxxx@xxxxx.xxx

Pflichten des Auftragnehmers. 4.1 5.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur in der Situation der Auftragsverarbeitung ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 a DS-GVO). 5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 5.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. 5.4 Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. 5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Weisungsberechtigten des Auftraggebers gemäß Anlage 1 weiterzuleiten. 5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichist berechtigt, wenn es die Durchführung der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurdegeändert wird. 4.2 5.7 Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt. 5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten28 DS-GVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftragnehmer oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. 4.3 5.9 Der Auftragnehmer gewährleistetverpflichtet sich, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt istauch die Geheimnisschutzregeln zu beachten, die Daten außerhalb dem Auftraggeber obliegen. 5.10 Der Auftragnehmer verpflichtet sich, bei der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 5.11 Der Auftragnehmer unterrichtet sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber unverzüglich, wenn ihm Verletzungen für sie maßgebenden Bestimmungen des Schutzes personenbezogener Daten Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen Beschäftigungsverhältnisses in geeigneter Weise zur Sicherung der Daten Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst istArt. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest29 DS-GVO). Der Auftragnehmer legt Weisungsempfänger festüberwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilenXxxxxxxx Xxx. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.0 00000 Xxxx 🕾 +49 700 - gripsware 🕾 +49 7529 - 974760 IBAN: XX00000000000000000000 Swift-BIC: XXXXXXX0XXX Internet + E-Mail xxx.xxxxxxxxx.xx xxxx@xxxxxxxxx.xx

Pflichten des Auftragnehmers. 4.1 a. Der Auftragnehmer darf AUFTRAGNEHMER verpflichtet sich Daten von betroffenen Personen nur und Verarbeitungsergebnisse ausschließlich im Rahmen dieser Vereinbarung und der schriftlichen Aufträge (Weisungen) zu verarbeiten. Die Verarbeitung der Daten für eigene Zwecke des Auftrages AUFTRAGNEHMERS bedarf einer schriftlichen Zustimmung durch den AUFTRAGGEBER. Diese Zustimmung kann vom AUFTRAGGEBER jederzeit widerrufen werden. b. Der AUFTRAGNEHMER informiert den AUFTRAGGEBER unverzüglich falls er der Ansicht ist, eine Weisung des AUFTRAGGEBERS verstößt gegen Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten. c. Erhält der AUFTRAGNEHMER den behördlichen Auftrag Daten des AUFTRAGGEBERS herauszugeben, so hat er diesen unverzüglich darüber in Kenntnis zu setzen und auf dokumentierte Weisungen die Behörde an ihn zu verweisen. d. Der AUFTRAGNEHMER erklärt rechtsverbindlich, dass er mit allen mit der Datenverarbeitung in seinem Unternehmen beauftragten Personen, sowie mit allen Subauftragsverarbeitern und den dort beauftragten Personen Vertraulichkeit vereinbart hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen bleibt auch nach Beendigung ihrer Tätigkeit und auch beim Ausscheiden aus dem Unternehmen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vorAUFTRAGNEHMERs aufrecht. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung istAUFTRAGNEHMER stellt sicher, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurdediese Vertraulichkeit auch durch seine Subauftragsverarbeiter gewährleistet wird. 4.2 e. Der Auftragnehmer AUFTRAGNEHMER erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit und Verarbeitung nach Art 32 DSGVO ergriffen hat (Anlage 1 – technisch, organisatorische Maßnahmen). f. Der AUFTRAGNEHMER ergreift die technischen und organisatorischen Maßnahmen gem. Anlage 1 damit der AUFTRAGGEBER die Rechte der betroffenen Personen nach Abschnitt III DSGVO innerhalb der gesetzlichen Fristen erfüllen kann. Dafür überlässt der AUFTRAGNEHMER dem AUFTRAGGEBER alle notwendigen Informationen. g. Der AUFTRAGNEHMER setzt den AUFTRAGGEBER unverzüglich über Datenpannen (Data Breach) in Kenntnis und unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie AUFTRAGGEBER bei der Einhaltung der in Art. 33 Art 32 bis Art 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteth. Erhält der AUFTRAGNEHMER irrtümlich einen Antrag gem. Abschnitt III DSGVO, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere in dem er für den Auftragnehmer tätigen Personen untersagt istVerantwortlichen der Datenanwendung gehalten wird, leitet er diesen unverzüglich an den AUFTRAGGEBER weiter und hat dies dem Antragsteller mitzuteilen. i. Der AUFTRAGNEHMER führt ein für die Daten außerhalb der Weisung vorliegende Auftragsverarbeitung relevantes Verarbeitungsverzeichnis gem. Art 30 DSGVO. j. Der AUFTRAGNEHMER räumt dem AUFTRAGGEBER oder einem von ihm beauftragten Dritten, nach einer entsprechenden Vorankündigung und Terminvereinbarung, das Recht ein sich jederzeit, durch Einsichtnahme oder Kontrolle über die vertragskonforme Erfüllung in Kenntnis zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit setzen. k. Der AUFTRAGNEHMER ist verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung dieses Vertrages alle Verarbeitungsergebnisse und Unterlagen, welche Daten aus dem Auftrag enthalten, auf Wunsch des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder AUFTRAGGEBERS herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung . Ausgenommen davon sind Daten die zur Speicherung bestehtErfüllung von gesetzlichen Vorgaben aufbewahrt werden müssen. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 6.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DS-GVO). 6.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 6.3 Der Auftragnehmer verpflichtet sich, im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung gemäß den vereinbarten Maßnahmen vorzunehmen. 6.4 Er gewährleistet, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Das Ergebnis der Kontrollen ist zu dokumentieren. 6.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die weisungsberechtigte Person des Auftraggebers weiterzuleiten. 6.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer informiert ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber unverzüglichnach Überprüfung bestätigt oder geändert wird. 6.7 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn es der Auffassung Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. 6.8 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung zu üblichen Bürozeiten und mit angemessener Vorlaufzeit - berechtigt ist, dass eine Weisung gegen anwendbare Gesetze verstößtdie Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer darf hat das Recht seinen Datenschutzbeauftragten hinzuziehen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Umsetzung der Weisung solange aussetzenKontrolle, bis sie vom Auftraggeber bestätigt oder abgeändert wurdesofern davon die Betriebsabläufe des Auftragnehmers gestört werden, nur im erforderlichen Umfang durchgeführt wird. 4.2 6.9 Der Auftragnehmer unterstützt ist verpflichtet, soweit erforderlich, bei diesen Kontrollen unterstützend mitzuwirken. 6.10 Für die Verarbeitung von Daten in Privatwohnungen oder mobil hat der Aufragnehmer mit seinen Mitarbeitern eine Regelung getroffen, die den datenschutzrechtlichen Anforderungen entspricht. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall getroffen. 6.11 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich auch gemäß Anlage 1 für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber im Rahmen seiner Möglichkeiten obliegen. 6.12 Der Auftragnehmer verpflichtet sich, bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 6.13 Der Auftragnehmer unterrichtet verpflichtet sich, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). 6.14 Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Die/Der Beauftragte(r) für den Datenschutz des Auftragnehmers ergibt sich aus Anlage 1. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. 6.15 Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglichüber den Ausschluss von etwaig genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer erhaltenen, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werdenfür den Auftraggeber relevanten Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 2.1.1 Der Auftragnehmer darf personenbezogene Daten von betroffenen Personen nur im Rahmen des Auftrages und auf dokumentierte der Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel Art. 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Weisun- gen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftrag- nehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den (Einzelweisung). Mündliche Weisungen sind anschließend vom Verantwortlichen zu dokumentieren Der Auftragnehmer darf befolgt außerdem die internen Arbeitsanweisun- gen/Richtlinien des Auftraggebers, die dem Auftragnehmer bekannt sind. Im Fall von Wi- dersprüchen zwischen den Weisungen und den Arbeitsanweisungen sind die Einzelanwei- sungen vorrangig. 2.1.2 Der Auftragnehmer garantiert, dass eine Analyse der Sprachaufnahmen und eine Bewer- tung der Inhalte sowie die Verarbeitung der Daten zu eigenen Zwecken nicht stattfindet. 2.1.3 Der Auftragnehmer sichert in seinem Verantwortungsbereich die Umsetzung und Einhal- tung der Weisung solange aussetzenvereinbarten technischen und organisatorischen Maßnahmen (TOM) entspre- chend Art. 32 DSGVO zu. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemes- senen Schutzniveaus hinsichtlich der Vertraulichkeit, bis der Integrität, der Verfügbarkeit so- wie der Belastbarkeit der Systeme. Insbesondere wird der Auftragnehmer seine innerbe- triebliche Organisation so gestalten, dass sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer den besonderen Anforderungen des Daten- schutzes gerecht wird. Zudem unterstützt er den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 32 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. c, f DSGVO). Der Auftragnehmer stellt sicher, dass er oder seine etwaigen Subunternehmer zur Erbringung der Dienstleis- tung die Verarbeitung und Speicherung von Anwendungen und schutzwürdigen Daten in virtuellen Netzwerken (z.B. in Form des Cloud Computing) nur mit vorheriger Zustimmung des Auftraggebers vornehmen. 2.1.4 Der Auftragnehmer sichert ausdrücklich zu, dass die Sprachaufnahmen ausschließlich dazu dienen, das gesprochene Wort in Textform zu erfassen und in Textform zu verarbeiten. Es findet keine technische Analyse des gesprochenen Wortes der einzelnen Bewerber statt, aus der sich Rückschlüsse auf die Persönlichkeitsstruktur des Bewerbers ableiten lassen könnten. Tonlage, Wortwahl, Satzbau, Sprachgeschwindigkeit und -rhythmus werden zu keinem Zeitpunkt analysiert, um ein psychologisches Profil zu erstellen. Eine solche Tech- nik ist in der Software des Auftragnehmers nicht implementiert. 2.1.5 Der Auftragnehmer bietet nach Maßgabe des Art. 28 Abs. 1, 5 DSGVO hinreichende Ga- rantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durch- geführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit der DSGVO und den Rechten der betroffenen Person steht. Dazu hat er ein umfassendes und aktuelles Datenschutz- und Datensicherheitskonzept für diese Auftragsverarbeitung erstellt. Der Auftragnehmer ist verpflichtet, dieses Datenschutz- und Datensicherheitskonzept zu pfle- gen und fortlaufend zu aktualisieren, wobei Änderungen mit dem Auftraggeber abzustim- men sind. 2.1.6 Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO kostenfrei bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO genannten Pflichtenmit. Zudem hat der Auftragnehmer kostenfrei auf Anfrage an der Erstellung und der Aktualisierung des Ver- fahrensverzeichnisses des Auftraggebers mitzuwirken, soweit es die Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen betrifft. Er hat dem Auftragge- ber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. 4.3 2.1.7 Der Auftragnehmer ist außerdem verpflichtet, mitarbeiterbezogene oder –beziehbare Da- ten von Mitarbeitern des Auftraggebers und seiner verbundenen Unternehmen nicht zur Leistungs- oder Verhaltenskontrolle und nicht zu anderen Zwecken und in anderen An- wendungen zu verarbeiten als mit den Mitbestimmungsgremien des Auftraggebers verein- bart. Der Auftraggeber wird den Auftragnehmer über etwaige einschlägige Vereinbarungen mit den Mitbestimmungsgremien und den daraus resultierenden Anforderungen umfas- send informieren; im Fall von Widersprüchen mit diesem Vertrag informiert der Auftrag- xxxxxx den Auftraggeber unverzüglich und dieser erteilt eine entsprechende Weisung. 2.1.8 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers Auf- traggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt un- tersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht be- steht auch nach Beendigung des Auftrages fort. Auf Verlangen des Auftraggebers ist die jeweilige Verpflichtung der mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter nachzuweisen. 4.4 2.1.9 Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer schriftlich einen Beauftrag- ten für den Datenschutz. Anderenfalls wird ein Ansprechpartner für Datenschutzfragen benannt. Name und Kontaktdaten des betrieblichen Datenschutzbeauftragten (bzw. des Ansprechpartners für Datenschutzfragen) sowie Ansprechpartner für Informationssicher- heitsfragen des Auftragnehmers lauten: Xxxxxxx, Xxxxxxx, Management, 06221- 1878520, xx@xxxxxx.xx. Jeder Wechsel des betrieblichen Datenschutzbeauftragten (bzw. des Ansprechpartners für Datenschutzfragen) sowie des Ansprechpartners für Informati- onssicherheitsfragen des Auftragnehmers ist dem Auftraggeber schriftlich mitzuteilen. 2.1.10 Der Auftragnehmer ist zur laufenden Kontrolle seiner Datenverarbeitungsprozesse und Systeme in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet. Der Auftragnehmer hat dies zu dokumentieren und die entsprechenden Aufzeichnungen dem Auftraggeber auf Anforderung mindestens einmal im Jahr zum Zwecke des Nachwei- ses zur Verfügung stellen. Hierzu hat der Auftragnehmer auf Anforderung vorzulegen: ▪ die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO; oder ▪ die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO; oder ▪ aktuelle Testate, Berichte, Penetrationstests, Ergebnisse von Notfall- Wiederan- laufübungen, Maßnahmenpläne oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabtei- lung, Datenschutzauditoren, Qualitätsauditoren); oder ▪ eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. BSI-Grundschutz). In den Nachweisen identifizierte Schwachstellen müssen zeitnah unter Berücksichti- gung der Kritikalitätsstufe behoben werden. Der Auftragnehmer stimmt zu, dass der Auftraggeber nach vorheriger Ankündigung und unter Kostenübernahme durch den Auftraggeber, ebenfalls jährlich Penetrationstests auf für den Auftraggeber bereitge- stellten Komponenten durchführen kann. Des Weiteren können die Softwarekompo- nenten des Auftraggebers zur Überprüfung an einen Dienstleister übermittelt werden. 2.1.11 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglichumgehend bei Störungen des Be- triebsablaufs, wenn ihm bei Verdacht auf Verletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Auftraggebers sowie über Kontrollhand- lungen und Maßnahmen der Aufsichtsbehörde nach Kapitel VIII der DSGVO. 2.1.12 Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der (Art. 4 Nr. 12 DSGVO) zu dokumen- tieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer trifft den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die erforderlichen Maßnahmen zur Sicherung Verletzungen unverzüglich dem Auftraggeber melden und hierbei zumindest folgende Informationen mitteilen: ▪ eine Beschreibung der Daten Art der Verletzung, der Kategorien und zur Minderung möglicher nachteiliger Folgen ungefähre Anzahl der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber abDatensätze, ▪ Name und Kontaktdaten eines Ansprechpartners für weitere Informationen, ▪ eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie ▪ eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung. 4.6 Der Auftragnehmer berichtigt 2.1.13 Überlassene Datenträger sowie sämtliche hiervon gefertigte Kopien oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen Reproduktionen verbleiben im Eigentum des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten festAuftraggebers. Der Auftragnehmer legt Weisungsempfänger festhat diese sorgfältig zu ver- wahren, so dass sie Dritten nicht zugänglich sind. Bei einem Wechsel Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, so- weit seine personenbezogenen Daten und Unterlagen betroffen sind. Die datenschutzkon- forme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer nach vorheriger Freigabe (Schrift- oder einer längerfristigen Verhinderung Textform) durch den Auftraggeber. In besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe. 2.1.14 Nach Abschluss der Ansprechpartner vertraglichen Leistungen oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungser- gebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach dessen vorheriger Zustimmung (Schrift- und Textform) datenschutzgerecht zu vernichten bzw. zu löschen. Soweit gesetzliche Aufbe- wahrungspflichten bestehen, hat die Löschung/Vernichtung der Daten erst nach deren Ablauf zu erfolgen. Das Protokoll der Löschung/Vernichtung ist auf Anforderung vorzule- gen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenver- arbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewah- rungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlas- tung bei Vertragsende dem Vertragspartner unverzüglich Auftraggeber übergeben. 2.1.15 In automatisierten Verarbeitungssystemen hat der Auftragnehmer mindestens die folgen- den Arbeitsvorgänge zu protokollieren: ▪ Erhebung, ▪ Veränderung, ▪ Abfrage, ▪ Offenlegung einschließlich Übermittlung sowie ▪ Kombination und in schriftlicher oder elektronischer Form Löschung. Protokolle zu Abfragen und Offenlegungen müssen es ermöglichen, die Nachfolger oder Vertreter mitzuteilen. Sofern Begründung, das Datum und die Uhrzeit dieser Vorgänge und soweit wie möglich die Identität der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigenPerson, die die KURABU Plattform anlegen als weisungsberechtigtpersonenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitglied- staaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlun- gen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen ei- nes wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DSGVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichverwendet die zur Verarbeitung überlassenen personenbezoge- nen Daten für keine anderen, wenn es insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtpersonenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer darf sichert im Bereich der auftragsgemäßen Verarbei- tung von personenbezogenen Daten die Umsetzung vertragsgemäße Abwicklung aller vereinbar- ten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auf- traggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden do- kumentiert. Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen: (optional) Das Ergebnis der Kontrollen ist zu dokumentieren. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im not- wendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzli- che Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist be- rechtigt, die Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurde. 4.2 ge- ändert wird. Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsver- hältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auf- tragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätz- lich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im ange- messenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftrag- te Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass sich er, soweit erforderlich, bei diesen Kon- trollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Der Auftragnehmer bestätigt, dass ihm die zur für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialge- heimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auf- traggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßge- benden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tä- tigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Bei einem 28 Abs. 3 Satz 2 lit. b und Art. 29 DSG- VO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vor- schriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte/r für den Datenschutz bestellt: Telefon E-Mail Ein Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind des Datenschutzbeauftragten ist dem Vertragspartner Auftraggeber unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtmitzu- teilen.

Pflichten des Auftragnehmers. 4.1 (1) Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen der getroffenen Vereinbarung. Zweck, Art und Umfang der Datenverarbeitung richten sich ausschließlich nach den Weisungen des Auftrages Auftraggebers. Der Auftragsverarbeiter hat nur nach Weisung des Verantwortlichen die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen, einzuschränken oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. (2) Der Auftragnehmer wird den Auftraggeber bei der Durchführung von Kontrollen durch den Auftraggeber unterstützen und an der vollständigen und zügigen Abwicklung der Kontrolle mitwirken. (3) Der Auftragnehmer bestätigt, dass er einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 38 EU- DSGVO bestellt hat und wird diesen gegenüber dem Auftraggeber schriftlich oder in Textform (z.B. E- Mail) auf dokumentierte Anfrage an xxxxxxx@xxx0xxxxxxxx.xx benennen. (4) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. (5) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen. (6) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffene Vereinbarung und/oder die erteilten Weisungen des Auftraggebers verarbeitenunverzüglich mitzuteilen, es sei denn, es liegt ein Ausnahmefall der im Sinne des Artikel 28 Abs. 3 aZuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist. (7) DSGVO vorDer Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber berechtigt ist, die Einhaltung der datenschutzrechtlichen Vorschriften und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung istsichert zu, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzener, bis sie vom Auftraggeber bestätigt oder abgeändert wurdesoweit erforderlich, bei diesen Kontrollen mitwirkt. 4.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 (1) Der Auftragnehmer darf verpflichtet sich, Daten von betroffenen Personen nur und Verarbeitungsergebnisse ausschließlich im Rahmen des Auftrages und auf dokumentierte Weisungen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, es sei dennsoweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, es liegt ein Ausnahmefall sowie Daten, die im Sinne Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Artikel 28 AbsAuftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. 3 aDesgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (3) DSGVO vor. Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung isterklärt rechtsverbindlich, dass eine Weisung gegen anwendbare Gesetze verstößter alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (4) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Kapitel „Technisch-organisatorische Maßnahmen“. (5) Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Umsetzung Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Weisung solange aussetzenAntragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, bis sie vom hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber bestätigt oder abgeändert wurdeweiterzuleiten und dies dem Antragsteller mitzuteilen. 4.2 (6) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (sicherzustellen). (7) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 den Art 32 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet. Dazu gehören Datensicherheitsmaßnahmen, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Auftraggebers bekannt werdenSchutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation. 4.5 (8) Der Auftragnehmer trifft wird darauf hingewiesen, dass er für die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber abvorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten(9) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, wenn sei es auch durch ihn beauftragte Dritte, der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten festDatenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind verpflichtet sich, dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigenjene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (10) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die KURABU Plattform anlegen als weisungsberechtigtim Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben bzw. in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. (11) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

Pflichten des Auftragnehmers. 4.1 3.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur des Auftraggebers ausschließlich für die im Anhang 1 genannten Zwecke und im Rahmen des Auftrages Hauptvertrages und auf dokumentierte ggf. darunter abgeschlossener Ein- zelverträge für weitere Dienste im Auftrag und gemäß den im Anhang 1 dokumentierten Weisungen des Auftraggebers; der Auftragnehmer verarbeitet die personenbezogenen Daten unter diesem Vertrag für keine anderen Zwecke. Davon unberührt bleibt die Verarbeitung außerhalb dieses Vertrages für eigene Zwecke nach Ziffer 8.3.4 des Hauptvertrages. Kopien oder Duplikate personenbezogener Daten werden ohne Wissen des Auftraggebers verarbeitennicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, es sei dennsoweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, es liegt ein Ausnahmefall sowie Daten, die im Sinne Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten benötigt werden. 3.2 Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer sämtliche perso- nenbezogene Daten des Artikel 28 AbsAuftraggebers dem Auftraggeber nach dessen Xxxx entweder auszuhändigen und/oder bei sich datenschutzgerecht zu löschen, soweit dem gesetzliche Aufbewahrungsfristen nicht entgegenstehen und soweit der Auftragnehmer sie nicht für eigene Zwecke außerhalb dieses Vertrages nach Ziffer 8.3.4. 3 a) DSGVO vordes Hauptvertrages verarbeitet. Der Gleiches gilt für Test- und Ausschussmaterial. 3.3 Soweit vom Leistungsumfang erfasst, unterstützt der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemBetroffenenrechte (Auskunft, Berichtigung, Widerspruch, Löschung) nach entsprechender Weisung des Auftraggebers. 3.4 Der Auftragnehmer bestätigt, dass er – soweit gesetzlich erforderlich – einen betrieblichen Daten- schutzbeauftragten bestellt hat (vgl. Kapitel III der DSGVO sowie bei der Einhaltung der in § 38 BDSG, Art. 33 bis 36 DSGVO genannten Pflichten37 DS-GVO). 4.3 3.5 Der Auftragnehmer gewährleistetverpflichtet sich, dass es den dem Auftraggeber das Ergebnis von Prüfungen der Datenschutzauf- sichtsbehörden unverzüglich bekannt zu geben, soweit diese mit der Verarbeitung der Daten des Auftraggebers befassten in Zusammenhang stehen. Etwa festgestellte Beanstandungen wird der Auftragnehmer in- nerhalb angemessener Frist beheben und dies dem Auftraggeber mitteilen. 3.6 Der Auftragnehmer hat die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut zu machen und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung auf das Datengeheimnis zu verarbeitenverpflichten (vgl. Ferner gewährleistet der AuftragnehmerArt. 28 Abs. 3 b DS-GVO) sowie durch geeignete Schritte sicherzustellen, dass sich jene Mita- rbeiter personenbezogene Daten nur auf Anweisung des Auftraggebers verarbeiten. 3.7 Der Auftragnehmer überwacht die zur Einhaltung der datenschutzrechtlichen Vorschriften dieses Vertrages und der dokumentierten Weisungen des Auftraggebers regelmäßig während der gesamten Ver- tragslaufzeit. Die Ergebnisse der Kontrollen sind dem Auftraggeber auf Verlangen vorzulegen, soweit diese für die Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werdenrelevant sind. Die Maßnahmen zur Überwachung sind in einem Datenschutzkonzept beschrieben, das dem Auftraggeber auf Anforderung vorzulegen ist. 4.5 3.8 Der Auftragnehmer trifft die erforderlichen hat den Auftraggeber angesichts der Art der Verarbeitung und nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Sicherung Be- antwortung von Anträgen auf Wahrnehmung der Daten und zur Minderung möglicher nachteiliger Folgen in Kapitel III DS-GVO genannten Rechte der betroffenen Personen und spricht sich hierzu unverzüglich mit nachzukommen. Der Auftraggeber hat die dabei dem Auftraggeber abAuftragnehmer entstehenden Kosten zu tragen. 4.6 3.9 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn hat den Auftraggeber angesichts der Auftraggeber dies anweist Art der Verarbeitung und dies vom Weisungsrahmen umfasst istder ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder 32 bis 36 DS-GVO genannten Pflichten zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung bestehtun- terstützen. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 6.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). 6.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. 6.3 Er gewährleistet, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. 6.4 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers verarbeitenhat der Auftragnehmer im notwendigen Umfang gegen Vergütung mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). 6.5 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. 6.6 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. 6.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. 6.8 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - nach Terminvereinbarung, im Rahmen der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs- und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). 6.9 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten zu Qualitätsprüfungs- und Vertrags- Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten. 6.10 Der Auftraggeber stimmt den Termin einvernehmlich mit dem Auftragnehmer ab und informiert diesen rechtzeitig (in der Regel mindestens einen Monat vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände. 6.11 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber gegenüber dem Auftragnehmer verpflichtet ist. Zudem muss sich der Dritte auf Verschwiegenheit und Geheimhaltung gegenüber dem Auftragnehmer verpflichten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel 28 Absdass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. 3 aVerpflichtet sich der Dritte nicht zur Verschwiegenheit und Geheimhaltung gegenüber dem Auftragnehmer, so kann der Auftragnehmer die Überprüfung durch den Dritten ablehnen. 6.12 Beabsichtigt der Auftraggeber die Kontrolle durch einen Dritten durchführen zu lassen, so teilt er dies dem Auftragnehmer unter Berücksichtigung der vereinbarten Frist (6.10) DSGVO vormit und identifiziert den Dritten in hinreichendem Maße. Der Auftragnehmer informiert hat das Recht den Auftraggeber unverzüglichDritten abzulehnen, sofern dessen Einsatz negative Auswirkungen auf den Geschäftsbetrieb haben könnte, die über den Zeitraum der bloßen Vor-Ort-Kontrolle hinausgeht. Dies ist u.a. dann der Fall, wenn es der Auffassung Dritte ein Konkurrent des Auftragnehmers ist oder Konkurrenten des Auftragnehmers betreut und nicht gesetzlich zur Geheimhaltung verpflichtet ist, er bereits Opfer von Whistleblowing oder dem Verrat von Geschäftsgeheimnissen geworden ist, oder selbst Whistleblowing betrieben oder Geschäftsgeheimnisse verraten hat oder, wenn der Dritte durch lokale Gesetze zur Weitergabe der bei der Kontrolle erlangten Informationen verpflichtet wäre oder zu befürchten ist, dass eine Weisung gegen anwendbare Gesetze verstößter selbst ohne Rechtsgrundlage zur Weitergabe der Daten aufgrund anderer Umstände dazu gezwungen werden könnte. Der Auftragnehmer darf die Umsetzung kann Ersatz der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurdeKosten für den durch eine Vor-Ort-Kontrolle verursachten Aufwand verlangen. 4.2 6.13 Der Nachweis von Maßnahmen zur Erfüllung der Pflichten aus Art. 28 DSGVO kann auch erfolgen durch: - die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, - die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art 42 DSGVO, - aktuelle Testate Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT- Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder - eine geeignete Zertifizierung durch IT- Sicherheits- oder Datenschutzaudit z.B. nach ISO 27001 – („Prüfungsbericht“). 6.14 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten ist verpflichtet, soweit erforderlich, bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III diesen Kontrollen unterstützend mitzuwirken. 6.15 Das Ergebnis einer (etwaigen vorvertraglichen) Kontrolle ist dem Auftragnehmer auf Anfrage in Textform mitzuteilen. 6.16 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichtenbekannt sind. 4.3 6.17 Der Auftragnehmer gewährleistet, dass es er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den mit der Verarbeitung der Daten für sie maßgebenden Bestimmungen des Auftraggebers befassten Mitarbeiter Datenschutzes vertraut macht und andere für den Auftragnehmer tätigen Personen untersagt istdie Zeit ihrer Tätigkeit, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht wie auch nach Beendigung des Auftrages fortBeschäftigungsverhältnisses, in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). 4.4 6.18 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werdenüberwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Die Kontaktdaten der bestellten Datenschutzbeauftragten ergeben sich aus der Anlage 1. 4.5 Der 6.19 Die vom Auftraggeber an den Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung mit Hilfe von LXP TREIBER, LXP GO, BRIEF SCHREIBEN, LXP API oder LXP SFTP übermittelten Daten (Adressdaten der Daten Briefempfänger, textlicher und zur Minderung möglicher nachteiliger Folgen sonstiger, z.B. bildlicher, Inhalt der betroffenen Personen Schreiben) werden vom Auftragnehmer zum Zweck der Auftragsverarbeitung und spricht sich hierzu unverzüglich mit dem Auftraggeber abAuftragsverfolgung für 60 Tage gespeichert und anschließend vollständig gelöscht. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 3.1 Der Auftragnehmer darf verarbeitet die AG-Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers als Auftragsverarbeiter im Sinne von betroffenen Personen nur Art. 4 Nr. 8 DSGVO (Auftragsverarbeitung) zu den in dieser AVV und dem Hauptvertrag konkret bestimmten Zwecken, sofern der Auftragnehmer nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“) und ist für die Rechtmäßigkeit der auftragsgemäßen Verarbeitung der AG-Daten verantwortlich. 3.2 Einzelweisungen des Auftraggebers, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers. Die Weisungen sind zu dokumentieren und die Übernahme von dadurch bedingten Mehrkosten vor Durchführung der Einzelweisungen festzulegen. 3.3 Der Auftragnehmer gewährleistet, dass er die AG-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der AG-Daten beim Auftraggeber liegt. 3.4 Falls der Auftragnehmer Xxxxxxxxxxx, Anfragen oder Mitteilungen erhält, die sich auf die Verarbeitung personenbezogener Daten oder auf die Einhaltung der anwendbaren Datenschutzgesetze, insbesondere Art. 33, 34 DSGVO oder dieser AVV durch eine der Parteien beziehen, wird der Auftragnehmer den Auftraggeber unverzüglichüber etwaige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber benachrichtigen und dem Auftraggeber in Bezug auf solche Beschwerden, Anfragen oder Mitteilungen auf dessen Ersuchen im Rahmen des Auftrages zumutbaren und auf dokumentierte Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen. 3.5 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt wird den Auftraggeber im Rahmen seiner Möglichkeiten des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nach- zuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Aufsichtsbehörden nach Art. 33 bis 35, 36 DSGVO genannten Pflichtenunterstützen. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 Bei der Übergabe des Materials an den AN wird für das übernommene Material ein Lieferschein ausgestellt. Die Übernahme stellt den Zeitpunkt des Eigentumsüberganges dar. Der Auftragnehmer darf Daten AN erwirbt keine Rechte an den enthaltenen Daten, diese werden weder eingesehen, weitergegeben noch gespeichert. Die Leistungen werden von betroffenen Personen nur AN-Mitarbeitern durchgeführt, die nach § 15 Abs. 2 DSG 2000 verpflichtet wurden, das Datengeheimnis strikt einzuhalten und auf Folgen der Missachtung ausdrücklich unterwiesen wurden. Transportiert wird mit Fahrzeugen mit Kofferaufbau. Die Entladung der LKWs erfolgt im Rahmen des Auftrages und auf dokumentierte Weisungen des Auftraggebers verarbeitenGebäude, es sei denn, es liegt ein Ausnahmefall die Leerung der Behälter im Sinne geschlossenen, videoüberwachten Sicherheitsbereich. Unbefugten ist der Zutritt verboten. Das Material wird zeitnah nach Übernahme restlos und rückinformationssicher in eigens dafür installierten Anlagen zerkleinert, entsprechend der ÖNORM S 2109, in vereinbarter Sicherheitsstufe. Das Material wird nach den Vorgaben des Artikel 28 AbsUmweltschutzgesetztes entsorgt und möglichst dem Recycling zugeführt. 3 a) DSGVO vorMit der Rechnung erhält der Kunde die rechtsverbindliche Durchführungsbestätigung der datenschutzgerechten Vernichtung des Materials. Zur Leistungserbringung werden keine Subunternehmen, ausgenommen Transporteure, sowie Betriebe zur konzessionierten Veraschung eingesetzt. Der Auftragnehmer informiert den Auftraggeber unverzüglichAN kann bei höherer Gewalt (Streik, wenn es der Auffassung istVerkehrsunfall, dass eine Weisung gegen anwendbare Gesetze verstößtetc.) Leistungen ganz oder teilweise aussetzen bzw. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt auf andere Art oder abgeändert wurde. 4.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten später erbringen. Unregelmäßigkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und Kunden zu melden. Für die Lagerung bzw. Archivierung von Dokumenten werden die Pflichten in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigteinem gesonderten Lagervertrag festgehalten.

Pflichten des Auftragnehmers. 4.1 a) Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 aSatz 2 lit. a DS-GVO). b) DSGVO vorDer Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. c) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. d) Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. e) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer informiert wird den Auftraggeber unverzüglichunverzüglich darauf aufmerksam machen, wenn es der Auffassung ist, dass eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen anwendbare Gesetze verstößtgesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer darf ist berechtigt, die Umsetzung Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurdegeändert wird. 4.2 f) Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. g) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichtenerteilen. 4.3 h) Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass sich er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: i) Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. j) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: Ärztliche Schweigepflicht k) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 l) Der Auftragnehmer unterrichtet sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber unverzüglich, wenn ihm Verletzungen für sie maßgebenden Bestimmungen des Schutzes personenbezogener Daten Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen Beschäftigungsverhältnisses in geeigneter Weise zur Sicherung der Daten Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst istArt. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest29 DSGVO). Der Auftragnehmer legt Weisungsempfänger festüberwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. m) Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Xxxx Xxxxxx Xxxxxx, Marketing, 06201-9019-0 bestellt. Bei einem Ein Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind des Datenschutzbeauftragten ist dem Vertragspartner Auftraggeber unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigt.

Pflichten des Auftragnehmers. 4.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen über die Hauptleistung und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Europäischen Union oder der Bundesrepublik Deutschland hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, es liegt ein Ausnahmefall im Sinne des Artikel sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DSGVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn es insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtpersonenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer darf gewährleistet im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die Umsetzung vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er gewährleistet, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang gegen Erstattung der dadurch vernunftgemäß beim Auftragnehmer entstehenden Kosten mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Der Auftragnehmer hat die dazu erforderlichen Angaben jeweils binnen angemessener Frist an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurde. 4.2 geändert wird. Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätzlich nach mindestens sechs Werktage vorab durchgeführter Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen gegen Erstattung der vernunftgemäß dadurch entstehenden Kosten im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass sich er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendesvereinbart: Der Auftragnehmer bestätigt, dass ihm die zur für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Bei einem 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragnehmer ist als Beauftragte/r für den Datenschutz bestellt: Name Xxxxx Xxxxxxxx Telefon +49 (0) 351 / 26443 - 106 E-Mail xxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxx.xx Ein Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind des Datenschutzbeauftragten ist dem Vertragspartner Auftraggeber unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern Für die Mitteilung reicht die Änderung der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, Information über die die KURABU Plattform anlegen als weisungsberechtigtPerson des Datenschutzbeauftragten in der Software des Auftragnehmers aus.

Pflichten des Auftragnehmers. 4.1 a. Der Auftragnehmer darf AUFTRAGNEHMER verpflichtet sich Daten von betroffenen Personen nur und Verarbeitungsergebnisse ausschließlich im Rahmen dieser Verein- barung und der schriftlichen Aufträge (Weisungen) zu verarbeiten. Die Verarbeitung der Daten für eigene Zwecke des Auftrages AUFTRAGNEHMERS bedarf einer schriftlichen Zustimmung durch den AUFTRAGGEBER. Diese Zustimmung kann vom AUFTRAGGEBER jederzeit widerrufen werden. b. Der AUFTRAGNEHMER informiert den AUFTRAGGEBER unverzüglich, falls er der Ansicht ist, eine Weisung des AUF- TRAGGEBERS verstößt gegen Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten. c. Erhält der AUFTRAGNEHMER den behördlichen Auftrag Daten des AUFTRAGGEBERS herauszugeben, so hat er diesen unverzüglich darüber in Kenntnis zu setzen und auf dokumentierte Weisungen die Behörde an ihn zu verweisen. d. Der AUFTRAGNEHMER erklärt rechtsverbindlich, dass er mit allen mit der Datenverarbeitung in seinem Unternehmen beauftragten Personen, sowie mit allen Subauftragsverarbeitern und den dort beauftragten Personen Vertraulichkeit vereinbart hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Die Ver- schwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen bleibt auch nach Beendigung ihrer Tätigkeit und auch beim Ausscheiden aus dem Unternehmen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vorAUFTRAGNEHMERs aufrecht. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es der Auffassung istAUFTRAGNEHMER stellt sicher, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurdediese Vertraulichkeit auch durch seine Subauftragsverarbeiter gewährleistet wird. 4.2 e. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei AUFTRAGNEHMER erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Erfüllung Sicher- heit und Verarbeitung nach Art 32 DSGVO ergriffen hat (Anlage 1 – technisch, organisatorische Maßnahmen). f. Der AUFTRAGNEHMER ergreift die technischen und organisatorischen Maßnahmen gem. Anlage 1 damit der Anfragen und Ansprüche AUFTRAG- GEBER die Rechte der betroffenen Personen gemnach Abschnitt III DSGVO innerhalb der gesetzlichen Fristen erfüllen kann. Kapitel III Dafür überlässt der DSGVO sowie AUFTRAGNEHMER dem AUFTRAGGEBER alle notwendigen Informationen. g. Der AUFTRAGNEHMER setzt den AUFTRAGGEBER unverzüglich über Datenpannen (Data Breach) in Kenntnis und un- terstützt den AUFTRAGGEBER bei der Einhaltung der in Art. 33 Art 32 bis Art 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteth. Erhält der AUFTRAGNEHMER irrtümlich einen Antrag gem. Abschnitt III DSGVO, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere in dem er für den Auftragnehmer tätigen Personen untersagt istVerantwortlichen der Datenanwendung gehalten wird, leitet er diesen unverzüglich an den AUFTRAGGEBER weiter und hat dies dem Antrag- steller mitzuteilen. i. Der AUFTRAGNEHMER führt ein für die Daten außerhalb der Weisung vorliegende Auftragsverarbeitung relevantes Verarbeitungsverzeichnis gem. Art 30 DSGVO. j. Der AUFTRAGNEHMER räumt dem AUFTRAGGEBER oder einem von ihm beauftragten Dritten, nach einer entsprechen- den Vorankündigung und Terminvereinbarung, das Recht ein sich jederzeit, durch Einsichtnahme oder Kontrolle über die vertragskonforme Erfüllung in Kenntnis zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit setzen. k. Der AUFTRAGNEHMER ist verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung dieses Vertrages alle Verarbeitungsergebnisse und Unterlagen, welche Daten aus dem Auftrag enthalten, auf Wunsch des Auftrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder AUFTRAGGEBERS herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner Ausge- nommen davon sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigenDaten, die die KURABU Plattform anlegen als weisungsberechtigtzur Erfüllung von gesetzlichen Vorgaben aufbewahrt werden müssen.

Pflichten des Auftragnehmers. 4.1 2.1.1 Der Auftragnehmer darf personenbezogene Daten von betroffenen Personen nur im Rahmen des Auftrages und auf dokumentierte der Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel Art. 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn es er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Weisun- gen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftrag- nehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den (Einzelweisung). Mündliche Weisungen sind anschließend vom Verantwortlichen zu dokumentieren Der Auftragnehmer darf befolgt außerdem die internen Arbeitsanweisun- gen/Richtlinien des Auftraggebers, die dem Auftragnehmer bekannt sind. Im Fall von Wi- dersprüchen zwischen den Weisungen und den Arbeitsanweisungen sind die Einzelanwei- sungen vorrangig. 2.1.2 Der Auftragnehmer garantiert, dass eine Analyse der Sprachaufnahmen und eine Bewer- tung der Inhalte sowie die Verarbeitung der Daten zu eigenen Zwecken nicht stattfindet. 2.1.3 Der Auftragnehmer sichert in seinem Verantwortungsbereich die Umsetzung und Einhal- tung der Weisung solange aussetzenvereinbarten technischen und organisatorischen Maßnahmen (TOM) entspre- chend Art. 32 DSGVO zu. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemes- senen Schutzniveaus hinsichtlich der Vertraulichkeit, bis der Integrität, der Verfügbarkeit so- wie der Belastbarkeit der Systeme. Insbesondere wird der Auftragnehmer seine innerbe- triebliche Organisation so gestalten, dass sie vom Auftraggeber bestätigt oder abgeändert wurde. 4.2 Der Auftragnehmer den besonderen Anforderungen des Daten- schutzes gerecht wird. Zudem unterstützt er den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 32 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. c, f DSGVO). Der Auftragnehmer stellt sicher, dass er oder seine etwaigen Subunternehmer zur Erbringung der Dienstleis- tung die Verarbeitung und Speicherung von Anwendungen und schutzwürdigen Daten in virtuellen Netzwerken (z.B. in Form des Cloud Computing) nur mit vorheriger Zustimmung des Auftraggebers vornehmen. 2.1.4 Der Auftragnehmer sichert ausdrücklich zu, dass die Sprachaufnahmen ausschließlich dazu dienen, das gesprochene Wort in Textform zu erfassen und in Textform zu verarbeiten. Es findet keine technische Analyse des gesprochenen Wortes der einzelnen Bewerber statt, aus der sich Rückschlüsse auf die Persönlichkeitsstruktur des Bewerbers ableiten lassen könnten. Tonlage, Wortwahl, Satzbau, Sprachgeschwindigkeit und -rhythmus werden zu keinem Zeitpunkt analysiert, um ein psychologisches Profil zu erstellen. Eine solche Tech- nik ist in der Software des Auftragnehmers nicht implementiert. 2.1.5 Der Auftragnehmer bietet nach Maßgabe des Art. 28 Abs. 1, 5 DSGVO hinreichende Ga- rantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durch- geführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit der DSGVO und den Rechten der betroffenen Person steht. Dazu hat er ein umfassendes und aktuelles Datenschutz- und Datensicherheitskonzept für diese Auftragsverarbeitung erstellt. Der Auftragnehmer ist verpflichtet, dieses Datenschutz- und Datensicherheitskonzept zu pfle- gen und fortlaufend zu aktualisieren, wobei Änderungen mit dem Auftraggeber abzustim- men sind. 2.1.6 Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO kostenfrei bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO genannten Pflichtenmit. Zudem hat der Auftragnehmer kostenfrei auf Anfrage an der Erstellung und der Aktualisierung des Ver- fahrensverzeichnisses des Auftraggebers mitzuwirken, soweit es die Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen betrifft. Er hat dem Auftragge- ber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen. 4.3 2.1.7 Der Auftragnehmer ist außerdem verpflichtet, mitarbeiterbezogene oder –beziehbare Da- ten von Mitarbeitern des Auftraggebers und seiner verbundenen Unternehmen nicht zur Leistungs- oder Verhaltenskontrolle und nicht zu anderen Zwecken und in anderen An- wendungen zu verarbeiten als mit den Mitbestimmungsgremien des Auftraggebers verein- bart. Der Auftraggeber wird den Auftragnehmer über etwaige einschlägige Vereinbarungen mit den Mitbestimmungsgremien und den daraus resultierenden Anforderungen umfas- send informieren; im Fall von Widersprüchen mit diesem Vertrag informiert der Auftrag- xxxxxx den Auftraggeber unverzüglich und dieser erteilt eine entsprechende Weisung. 2.1.8 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers Auf- traggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt un- tersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht be- steht auch nach Beendigung des Auftrages fort. Auf Verlangen des Auftraggebers ist die jeweilige Verpflichtung der mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter nachzuweisen. 4.4 2.1.9 Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer schriftlich einen Beauftrag- ten für den Datenschutz. Anderenfalls wird ein Ansprechpartner für Datenschutzfragen benannt. Name und Kontaktdaten des betrieblichen Datenschutzbeauftragten (bzw. des Ansprechpartners für Datenschutzfragen) sowie Ansprechpartner für Informationssicher- heitsfragen des Auftragnehmers lauten: Xxxxxx Xxxxxxxxx, dacuro GmbH, Xxxx-Xxxx- Xxxxxx 0. 00000 Xxxxxxxx, Email: xxxxxxxx.xx, Tel.: +49 6227 - 00 00 000. Jeder Wechsel des betrieblichen Datenschutzbeauftragten (bzw. des Ansprechpartners für Datenschutzfragen) sowie des Ansprechpartners für Informationssicherheitsfragen des Auftragnehmers ist dem Auftraggeber schriftlich mitzuteilen. 2.1.10 Der Auftragnehmer ist zur laufenden Kontrolle seiner Datenverarbeitungsprozesse und Systeme in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet. Der Auftragnehmer hat dies zu dokumentieren und die entsprechenden Aufzeichnungen dem Auftraggeber auf Anforderung mindestens einmal im Jahr zum Zwecke des Nachwei- ses zur Verfügung stellen. Hierzu hat der Auftragnehmer auf Anforderung vorzulegen: ▪ die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO; oder ▪ die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO; oder ▪ aktuelle Testate, Berichte, Penetrationstests, Ergebnisse von Notfall- Wiederan- laufübungen, Maßnahmenpläne oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabtei- lung, Datenschutzauditoren, Qualitätsauditoren); oder ▪ eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. BSI-Grundschutz). In den Nachweisen identifizierte Schwachstellen müssen zeitnah unter Berücksichti- gung der Kritikalitätsstufe behoben werden. Der Auftragnehmer stimmt zu, dass der Auftraggeber nach vorheriger Ankündigung und unter Kostenübernahme durch den Auftraggeber, ebenfalls jährlich Penetrationstests auf für den Auftraggeber bereitge- stellten Komponenten durchführen kann. Des Weiteren können die Softwarekompo- nenten des Auftraggebers zur Überprüfung an einen Dienstleister übermittelt werden. 2.1.11 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglichumgehend bei Störungen des Be- triebsablaufs, wenn ihm bei Verdacht auf Verletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Auftraggebers sowie über Kontrollhand- lungen und Maßnahmen der Aufsichtsbehörde nach Kapitel VIII der DSGVO. 2.1.12 Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der (Art. 4 Nr. 12 DSGVO) zu dokumen- tieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer trifft den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die erforderlichen Maßnahmen zur Sicherung Verletzungen unverzüglich dem Auftraggeber melden und hierbei zumindest folgende Informationen mitteilen: ▪ eine Beschreibung der Daten Art der Verletzung, der Kategorien und zur Minderung möglicher nachteiliger Folgen ungefähre Anzahl der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber abDatensätze, ▪ Name und Kontaktdaten eines Ansprechpartners für weitere Informationen, ▪ eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie ▪ eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung. 4.6 Der Auftragnehmer berichtigt 2.1.13 Überlassene Datenträger sowie sämtliche hiervon gefertigte Kopien oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen Reproduktionen verbleiben im Eigentum des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten festAuftraggebers. Der Auftragnehmer legt Weisungsempfänger festhat diese sorgfältig zu ver- wahren, so dass sie Dritten nicht zugänglich sind. Bei einem Wechsel Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, so- weit seine personenbezogenen Daten und Unterlagen betroffen sind. Die datenschutzkon- forme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer nach vorheriger Freigabe (Schrift- oder einer längerfristigen Verhinderung Textform) durch den Auftraggeber. In besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe. 2.1.14 Nach Abschluss der Ansprechpartner vertraglichen Leistungen oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungser- gebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach dessen vorheriger Zustimmung (Schrift- und Textform) datenschutzgerecht zu vernichten bzw. zu löschen. Soweit gesetzliche Aufbe- wahrungspflichten bestehen, hat die Löschung/Vernichtung der Daten erst nach deren Ablauf zu erfolgen. Das Protokoll der Löschung/Vernichtung ist auf Anforderung vorzule- gen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenver- arbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewah- rungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlas- tung bei Vertragsende dem Vertragspartner unverzüglich Auftraggeber übergeben. 2.1.15 In automatisierten Verarbeitungssystemen hat der Auftragnehmer mindestens die folgen- den Arbeitsvorgänge zu protokollieren: ▪ Erhebung, ▪ Veränderung, ▪ Abfrage, ▪ Offenlegung einschließlich Übermittlung sowie ▪ Kombination und in schriftlicher oder elektronischer Form Löschung. Protokolle zu Abfragen und Offenlegungen müssen es ermöglichen, die Nachfolger oder Vertreter mitzuteilen. Sofern Begründung, das Datum und die Uhrzeit dieser Vorgänge und soweit wie möglich die Identität der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigenPerson, die die KURABU Plattform anlegen als weisungsberechtigtpersonenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

Pflichten des Auftragnehmers. 4.1 5.1 Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur in der Situation der Auftragsverarbeitung ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 a DS-GVO). 5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 5.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. 5.4 Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. 5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Weisungsberechtigten des Auftraggebers gemäß Anlage 5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichist berechtigt, wenn es die Durchführung der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurdegeändert wird. 4.2 5.7 Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt. 5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten28 DS-GVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftragnehmer oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. 4.3 5.9 Der Auftragnehmer gewährleistetverpflichtet sich, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt istauch die Geheimnisschutzregeln zu beachten, die Daten außerhalb dem Auftraggeber obliegen. 5.10 Der Auftragnehmer verpflichtet sich, bei der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 5.11 Der Auftragnehmer unterrichtet sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den Auftraggeber unverzüglich, wenn ihm Verletzungen für sie maßgebenden Bestimmungen des Schutzes personenbezogener Daten Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen Beschäftigungsverhältnisses in geeigneter Weise zur Sicherung der Daten Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst istArt. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest29 DS-GVO). Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung überwacht die Einhaltung der Ansprechpartner sind dem Vertragspartner unverzüglich und datenschutzrechtlichen Vorschriften in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtseinem Betrieb.

Pflichten des Auftragnehmers. 4.1 5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und auf dokumentierte in der jeweiligen Anlage 2 genannten Zwecks bzw. gemäß der Vereinbarungen im Hauptvertrag gemäß der Weisungen des Auftraggebers verarbeiten, es sei dennsofern nicht ein gesetzlicher Ausnahmefall (z.B. nach Art. 28 Abs.3 lit.a DSGVO) vorliegt. Ist der Auftragnehmer der Ansicht, es liegt ein Ausnahmefall im Sinne dass eine Weisung des Artikel 28 Abs. 3 a) DSGVO vorAuftraggebers gegen anwendbare Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer informiert ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber unverzüglich, wenn es schriftlich bestätigt oder geändert wird. Sofern der Auftragnehmer der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtweisungsgerechte Verarbeitung zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, ist er berechtigt die weitere Verarbeitung bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen. Zu einer materiell-rechtlichen Prüfung von Weisungen ist der Auftragnehmer nicht verpflichtet. 5.2. Der Auftragnehmer darf wird seine innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes im erforderlichen Maße gerecht wird. Hierfür wird der Auftragnehmer technische und organisatorische Maßnahmen zum angemessenen Schutz der im Auftrag des Auftraggebers verarbeiteten Daten treffen, die Umsetzung den Anforderungen des Art. 32 DSGVO genügen, insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Weisung solange aussetzenSysteme und Dienste im Zusammenhang mit der Verarbeitung sicherstellen. Dem Auftraggeber sind diese Maßnahmen bekannt und er trägt die Verantwortung dafür, bis sie vom Auftraggeber bestätigt oder abgeändert wurdedass diese ein angemessenes Schutzniveau für das Risiko der mit dem Auftragnehmer vereinbarten Verarbeitungsvorgängen einhalten. Der Auftragnehmer wird um seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, die Wirksamkeit seiner technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmäßig überprüfen. Der Auftragnehmer ist berechtigt, die Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich ist, insbesondere die entsprechend Art. 32 DSGVO getroffenen Sicherheitsmaßnahmen jederzeit zu ändern, sofern sichergestellt ist, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 4.2 5.3. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf dessen Weisung unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12- 23 DSGVO. Der Auftragnehmer unterstützt den Auftraggeber auf dessen Weisung unter Berücksichtigung der Anfragen Art der Verarbeitung und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie ihm zur Verfügung stehenden Informationen ferner bei der Einhaltung der in Art. 33 bis 32-36 DSGVO genannten Pflichten. 4.3 . Der Auftragnehmer gewährleistetwird die hierfür jeweils bei Ihm vorhandenen notwendigen Information unverzüglich an den Auftraggeber weiterleiten. Für eine rechtzeitige Erfüllung der Pflicht des Auftraggeber zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechte oder Meldungen nach Art. 33 und 34 DSGVO ist der Auftragnehmer im Übrigen nicht verantwortlich. Der Auftragnehmer ist berechtigt, dass es dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde 5.4. Die vom Auftragnehmer mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen werden vom Auftragnehmer auf die Wahrung des Datengeheimnisses verpflichtet. Den Mitarbeitern des Auftragnehmers wird dabei untersagt ist, die Daten des Auftraggebers außerhalb der Weisung zu verarbeitenverarbeiten und Daten des Auftraggebers vertraulich zu behandeln. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Diese Vertraulichkeits-/ Verschwiegenheitspflicht besteht sollen auch nach Beendigung des Auftrages fortfortbestehen. 4.4 5.5. Der Auftragnehmer nennt dem Auftraggeber auf Anforderung einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Soweit gesetzlich vorgeschrieben wird der Auftragnehmer einen Beauftragten für Datenschutz bestellen und dessen Kontaktdaten dem Auftragnehmer auf Anfrage zur Verfügung stellen. Ein Wechsel des Beauftragten für den Datenschutz bzw. des genannten Ansprechpartners für Datenschutzfragen ist dem Auftraggeber unverzüglich mitzuteilen. 5.6. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 . Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest5.7. Der Auftragnehmer legt Weisungsempfänger festunterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Bei einem Wechsel oder Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 5.8. Im Falle einer längerfristigen Verhinderung Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Ansprechpartner sind Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. Der Auftragnehmer ist berechtigt, dem Vertragspartner unverzüglich und Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benenntRechnung zu stellen, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtsofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.

Pflichten des Auftragnehmers. 4.1 (1) Der Auftragnehmer darf verarbeitet personenbezogene Daten von betroffenen Personen nur ausschließlich im Rahmen des Auftrages der getroffenen Vereinbarungen und auf dokumentierte nach Weisungen des Auftraggebers verarbeitenAuftraggebers, es sei dennsofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, es liegt ein Ausnahmefall im Sinne des Artikel dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 a) DSGVO vorSatz 2 lit. a DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglichverwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, wenn es insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößtpersonenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer darf sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die Umsetzung vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (2) Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. (3) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die oben genannte Stelle des Auftraggebers weiterzuleiten. (4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange aussetzenauszusetzen, bis sie vom durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder abgeändert wurde. 4.2 geändert wird. Der Auftragnehmer unterstützt hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemerteilen. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 4.3 Der Auftragnehmer gewährleisteterklärt sich damit einverstanden, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten außerhalb der Weisung zu verarbeitenund die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. Ferner gewährleistet der Auftragnehmer28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass sich er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. (5) Der Auftragnehmer bestätigt, dass ihm die zur für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. (6) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten befugten Personen zur des Auftraggebers die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegenzu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht Diese besteht auch nach Beendigung des Auftrages Vertrages fort. 4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. 4.5 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 4.6 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Die vertragsgegenständlichen Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. 4.7 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger festsichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. Bei einem Wechsel oder 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. (7) Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner etwaigen Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen. Sofern der Auftraggeber dem Auftragnehmer gegenüber keinen Weisungsberechtigten benennt, gelten diejenigen, die die KURABU Plattform anlegen als weisungsberechtigtzu informieren.