Common use of Weisung Clause in Contracts

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Speicherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete, in der Regel schriftliche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den (Einzelweisung). Die Weisungen des Auftraggebers sind schriftlich oder per E-Mail zu ertei- len. 1. Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang mit der Dienstleistungserbringung nicht ausgeschlossen werden, dass der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DS-GVO ist daher der Abschluss einer Vereinbarung zur Verarbeitung im Auf- trag erforderlich. 2. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DS-GVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auf- trag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich bzw. auch elektronisch erteilt. Dieser Vertrag enthält nach dem Willen der Parteien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 DS-GVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz im Zusammenhang mit der Erbringung der Dienstleis- tung. 3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Auftraggeber als „Ver- antwortlichem" im Sinne der DS-GVO. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen. 1. Der Gegenstand des Auftrages ist wie folgt definiert: Bitte berücksichtigen Sie hierbei die Tatsache, dass z.B. in Shops Plugins zur Zahlungsabwicklung genutzt werden, deren Daten technisch direkt zwischen der Website/Shop und dem Plugin-Anbie- ter ausgetauscht und von uns weder verarbeitet noch gespeichert werden. ☒ Protokolldaten (z. B. Logfiles über Nutzungsvorgänge für statistische Auswertungen) ☐ Emailtransport ☐ CMS-Nutzerdaten (Name, Anschrift, Telefon, E-Mail) ☐ Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer) ☐ Abrechnungsdaten (z. B. Verbrauchs- und Leistungswerte) ☐ Arbeitszeitdaten (Arbeits- und Fehlzeiten, Soll-Arbeitszeit, Pausen, Urlaub, Sonderur- laub, Krankheitstage, Überstunden) ☐ Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse) ☐ Biometrische Daten (Biometrische Angaben zur betroffenen Person wie z. B. Fingerab- druck, Stimme, Gesichtsmerkmale) ☐ Bonitätsdaten (Scoringwerte, Zahlungshistorie) ☐ Fahrzeugdaten (z. X. Xxxxxx-, Fahrer-, GPS-Daten) ☐ Gehaltsdaten (Entgelt, Bonus und Prämien, steuerliche Angaben, Zuschläge) ☐ Genetischen Daten (Informationen über Genomdaten der betroffenen Person) ☐ Gesundheitsdaten (z. B. Krankmeldungen, Patientendaten) ☐ Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum) ☐ Kontaktdaten (Name, Telefon, Fax, E-Mail) ☐ Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten) ☐ Mitarbeiterdaten (Personalstammdaten, Kontaktdaten, Notfalldaten) ☐ Schadensdaten (Angaben zur Person, Kontaktdaten, Schadensverlauf, Unfallbericht, Zeu- gen) ☐ Verhaltensdaten (z. B. Verhaltensbeobachtungen, Bewegungsprofil) ☐ Versicherungsdaten (Angaben zur Person, Kontaktdaten, Vertragsdaten, Gesundheitsangaben, Kontoverbindungen) ☐ Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte) ☐ Zahlungsdaten (Kontoinformationen, Kreditkartendaten) 2. Diese Vereinbarung tritt mit ihrer Unterzeichnung durch beide Parteien in Kraft und endet im Re- gelfall mit Kündigung des zugrundeliegenden Hauptvertrages laut AGB. Das Recht zur außeror- dentlichen Kündigung bleibt unberührt. Umfang, Art und Zweck der Verarbeitung sind ebenso wie die Art der Daten und der Kreis der be- troffenen Personen in §3 beschrieben. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind. 1. Da der Auftragnehmer die Dienstleistungen für den Auftraggeber auch außerhalb der Geschäfts- räume des Auftraggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffe- nen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DS-GVO, Art. 32 DS-GVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DS-GVO hierzu zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. 2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemes- senen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Ver- arbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichti- gen. 3. Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatori- schen Maßnahmen ist als Anlage 1 „Technische und organisatorische Maßnahmen zum Daten- schutz“ dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertrau- lichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auf- tragnehmer im Vorwege mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfü- gige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertrau- lichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftragge- ber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. 1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son- dern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Ver- arbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftragge- ber zur Erledigung durch diesen weiterleiten. 2. Die Umsetzung der Rechte auf Löschung, Berichtigung, Datenübertragbarkeit und Auskunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer si- cherzustellen. 3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher oder behördlicher Anordnung erforderlich sind. 4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftrag- nehmer dem Auftraggeber die Möglichkeit zum Zugriff und zur Sicherung sämtlicher in seinen Besitz gelangter Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbe- stände, die im Zusammenhang mit dem Auftragsverhältnis stehen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten Leistung bezieht, ist dem Auftragnehmer untersagt. Es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat. 2. Der Auftragnehmer bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen be- trieblichen Datenschutzbeauftragten i.S.d. Art. 38, 39 DS-GVO bestellt hat. Nähere Angaben hierzu werden vom Auftragnehmer in Anlage 1 „Technische und organisatorische Maßnahmen zum Datenschutz“ gemacht. 3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset- zen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel SpeicherungAnony- misierung, PseudonymisierungSperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen personenbezoge- nen Daten gerichtete, in der Regel schriftliche gerichtete Anordnung des Auftraggebers. Die Weisungen werden vom anfänglich durch den Hauptvertrag festgelegt; der Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den (Einzelweisung). Die Weisungen des Auftraggebers sind schriftlich oder per E-Mail zu ertei- lenhat ein Weisungsrecht im Rahmen dieser vereinbarten Leistung. 1. Gegenstand, Dauer, Art Umfang und Ort 1.1.1 Der Auftragnehmer verarbeitet personenbezogen Daten im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang mit aus- schließlich zum Zweck der Dienstleistungserbringung nicht ausgeschlossen werdenErbringung der Leistungen, dass die vom Auftragnehmer zur Erfül- lung einer auf der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzwInternetseite xxx.xxxx-x-xxx.xx gebuchten Dienstleistung zu erbringen sind und die in den allgemeinen Geschäftsbedingungen weiter konkretisiert sind. Kenntnis von diesen erlangt. Nach Art 28 DS-GVO ist daher Ergänzend gelten diese Bestimmungen, wobei die Bestimmungen dieses Vertrages hinsichtlich der Abschluss einer Vereinbarung zur Verarbeitung im Auf- trag erforderlichDatenverarbeitungsvorgänge vorrangig sind. 2. 1.1.2 Der Auftrag beginnt mit dem Kauf eines Produktes durch den Auftraggeber hat auf der Inter- netseite xxx.xxxxxxxxxx.xx und erlischt nach Ablauf der Produktlaufzeit automatisch. 1.1.3 Soweit der Auftrag keine Regelungen zur Vertragsdauer enthält, gilt folgendes: Vertrags- beginn ist das Datum an dem der vorliegende Vertrag von Auftragsgeber akzeptiert wird (Sichtung und Akzeptanz der AGB und der Auftragsdatenverarbeitung durch den Auftragnehmer im Rahmen Auftrag- geber bei der Sorgfaltspflichten des Art. 28 DS-GVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auf- trag ist, dass Registrierung auf der Auftraggeber dem Auftragnehmer den Auftrag schriftlich bzw. auch elektronisch erteiltder Plattform xxx.xxxxxxxxxx.xx). Dieser Vertrag enthält nach dem Willen der Parteien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.dwird auf unbestimmte Zeit geschlossen. Art. 28 Abs. 3 DS-GVO und regelt die Rechte und Pflichten der Parteien Er ist mit einer Frist von 6 Monaten zum Datenschutz im Zusammenhang mit der Erbringung der Dienstleis- tungJahresende kündbar. 3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Auftraggeber als „Ver- antwortlichem" im Sinne der DS-GVO. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen. 1. Der Gegenstand des Auftrages ist wie folgt definiert: Bitte berücksichtigen Sie hierbei die Tatsache, dass z.B. in Shops Plugins zur Zahlungsabwicklung genutzt werden, deren Daten technisch direkt zwischen der Website/Shop und dem Plugin-Anbie- ter ausgetauscht und von uns weder verarbeitet noch gespeichert werden. ☒ Protokolldaten (z. B. Logfiles über Nutzungsvorgänge für statistische Auswertungen) ☐ Emailtransport ☐ CMS-Nutzerdaten (Name, Anschrift, Telefon, E-Mail) ☐ Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer) ☐ Abrechnungsdaten (z. B. Verbrauchs- und Leistungswerte) ☐ Arbeitszeitdaten (Arbeits- und Fehlzeiten, Soll-Arbeitszeit, Pausen, Urlaub, Sonderur- laub, Krankheitstage, Überstunden) ☐ Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse) ☐ Biometrische Daten (Biometrische Angaben zur betroffenen Person wie z. B. Fingerab- druck, Stimme, Gesichtsmerkmale) ☐ Bonitätsdaten (Scoringwerte, Zahlungshistorie) ☐ Fahrzeugdaten (z. X. Xxxxxx-, Fahrer-, GPS-Daten) ☐ Gehaltsdaten (Entgelt, Bonus und Prämien, steuerliche Angaben, Zuschläge) ☐ Genetischen Daten (Informationen über Genomdaten der betroffenen Person) ☐ Gesundheitsdaten (z. B. Krankmeldungen, Patientendaten) ☐ Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum) ☐ Kontaktdaten (Name, Telefon, Fax, E-Mail) ☐ Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten) ☐ Mitarbeiterdaten (Personalstammdaten, Kontaktdaten, Notfalldaten) ☐ Schadensdaten (Angaben zur Person, Kontaktdaten, Schadensverlauf, Unfallbericht, Zeu- gen) ☐ Verhaltensdaten (z. B. Verhaltensbeobachtungen, Bewegungsprofil) ☐ Versicherungsdaten (Angaben zur Person, Kontaktdaten, Vertragsdaten, Gesundheitsangaben, Kontoverbindungen) ☐ Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte) ☐ Zahlungsdaten (Kontoinformationen, Kreditkartendaten) 2. Diese Vereinbarung tritt mit ihrer Unterzeichnung durch beide Parteien in Kraft und endet im Re- gelfall mit Kündigung des zugrundeliegenden Hauptvertrages laut AGB. 1.1.4 Das Recht zur außeror- dentlichen fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Umfang, Art und Zweck der Verarbeitung sind ebenso wie die Art der Daten und der Kreis der be- troffenen Personen in §3 beschrieben. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind. 1. Da der Auftragnehmer die Dienstleistungen für den Auftraggeber auch außerhalb der Geschäfts- räume des Auftraggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffe- nen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DS-GVO, Art. 32 DS-GVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DS-GVO hierzu zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. 2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemes- senen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Ver- arbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichti- gen. 3. Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatori- schen Maßnahmen ist als Anlage 1 „Technische und organisatorische Maßnahmen zum Daten- schutz“ dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertrau- lichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auf- tragnehmer im Vorwege mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfü- gige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertrau- lichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftragge- ber kann den Vertrag außerdem jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen der DSGVO oder dieser Vereinbarung vorliegt, der Auftragnehmer eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. 1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son- dern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen nicht ausführen kann oder deren Ver- arbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird will oder der Auftragnehmer dieses Ersuchen unverzüglich an den Auftragge- ber zur Erledigung durch diesen weiterleitenZutritt des Auftraggebers oder des- sen Datenschutzbeauftragten oder der Beauftragten der Revision vertragswidrig verwei- gert. 21.1.5 Der Gegenstand, Zweck und Umfang der vereinbarten Datenverarbeitung ergibt sich aus den angebotenen Dienstleistungen, bzw. ergänzend wie folgt: ▪ Bereitstellung einer Bewerbungs-Software mit Chat-Funktion ▪ Umwandlung des Sprach-Chat in Text ▪ Bereitstellung des Textes als CSV-Datei (verschlüsselt per E-Mail oder über API) 1.1.6 Die Umsetzung Kategorien der Rechte auf Löschungbetroffenen Personen umfassen: ▪ Bewerber 1.1.7 Die Datenverarbeitung umfasst folgende Arten von Daten: ▪ Berufserfahrung (aktuelle und vorherige Position, Berichtigungaktuelle und vorherige Arbeit- geber, Datenübertragbarkeit Dauer der jeweiligen Beschäftigung, Perioden ohne Beschäftigung) ▪ Fähigkeiten ▪ Weiterbildungen ▪ Sprachen ▪ Name ▪ Email Adresse ▪ Telefonnummer 1.1.8 Die Datenerhebung, -verarbeitung und Auskunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar –nutzung durch den Auftragnehmer si- cherzustellen. 3erfolgt aus- schließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Euro- päischen Wirtschaftsraum. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstelltEine Verlagerung in ein Drittland darf nur erfolgen, wenn dies nach Art. Hiervon ausgenommen sind Sicherheitskopien44 ff. DSGVO zulässig und vom Auftraggeber vorab schriftlich zugestimmt wor- den ist. Weitergehende Pflichten, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher oder behördlicher Anordnung erforderlich sind. 4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftrag- nehmer dem Auftraggeber die Möglichkeit zum Zugriff Auflagen und zur Sicherung sämtlicher in seinen Besitz gelangter Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbe- stände, die Vorbehalte im Zusammenhang mit einer Tätigkeitsverlagerung, insbesondere infolge von Subdelegation, gemäß dem Auftragsverhältnis stehen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegenHauptvertrag bleiben unberührt. 51.1.9 Soweit der Auftragnehmer für den Auftraggeber Wartungsarbeiten an IT-Systemen durch- führt, gelten zusätzlich folgende Vereinbarungen: 1.1.10 Der Auftragnehmer darf im Rahmen der Wartung nur auf personenbezogene Daten des Auftraggebers zugreifen, wenn dies für die Durchführung der Wartung erforder- lich ist. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten Leistung bezieht, Es ist dem Auftragnehmer bei der Wartung untersagt. Es , personenbezogene Da- ten des Auftraggebers auf eigenen IT-Systemen oder Datenträgern zu speichern, es sei denn, dass denn der Auftraggeber dieser schriftlich zugestimmt hatweist ihn hierzu an. 21.1.11 Fernwartungsarbeiten hat der Auftragnehmer dem Auftraggeber im Vorfeld anzukün- digen. Der Auftragnehmer bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen be- trieblichen Datenschutzbeauftragten i.S.d. Art. 38, 39 DS-GVO bestellt hat. Nähere Angaben hierzu werden vom Auftragnehmer in Anlage 1 „Technische und organisatorische Maßnahmen zum Datenschutz“ gemacht. 3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset- zenFernwartung mitzuver- folgen. Auf Anfrage und soweit erforderlich, bis diese durch den Auftraggeber bestätigt oder geändert wirdwirkt der Auftragnehmer an der Konfigu- ration technischer Kontrolleinrichtungen mit. 1.1.12 Die Fernwartung ist nur von Geschäftsräumen des Auftragnehmers aus zulässig. Not- wendige Datenübertragungen zu Zwecken der Fernwartung müssen in hinreichend verschlüsselter Form erfolgen. Der Auftragnehmer verwendet nach dem Stand der Technik hinreichend sichere Authentisierungsverfahren.

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Speicherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete, in der Regel schriftliche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den (Einzelweisung). Die Weisungen des Auftraggebers sind schriftlich oder per E-Mail zu ertei- len. 1. Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang mit der Dienstleistungserbringung nicht ausgeschlossen werden, dass der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DS-GVO ist daher der Abschluss einer Vereinbarung zur Verarbeitung im Auf- trag erforderlich. 2. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DS-GVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auf- trag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich bzw. auch elektronisch erteilt. Dieser Vertrag enthält nach dem Willen der Parteien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 DS-GVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz im Zusammenhang mit der Erbringung der Dienstleis- tung. 3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Auftraggeber als „Ver- antwortlichem" im Sinne der DS-GVO. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen. 1. Der Gegenstand Auftragnehmer erbringt für den Auftraggeber verschiedene Leistungen im Rahmen des Auftrages ist wie folgt definiert: Bitte berücksichtigen Sie hierbei „Cloud-Dienstleistungsvertrages“. Diese Leistungen beziehen sich auf das cloudbasierte ERP-Sys- tem reybex, das für den professionellen Online- und Offline-Vertrieb von Handelswaren, die Tatsache, dass z.B. in Shops Plugins zur Zahlungsabwicklung genutzt werden, deren voll- ständige Auftragsabwicklung einschließlich der ordnungsgemäßen finanzbuchhalterischen Doku- mentation der Geschäftsprozesse eingesetzt wird. Dieser Vertrag konkretisiert die datenschutz- rechtlichen Pflichten und Rechte des Auftraggebers und des Auftragnehmers im Zusammenhang mit der Verarbeitung der personenbezogenen Daten technisch direkt zwischen der Website/Shop und dem Plugin-Anbie- ter ausgetauscht und von uns weder verarbeitet noch gespeichert werden. ☒ Protokolldaten (z. B. Logfiles über Nutzungsvorgänge für statistische Auswertungen) ☐ Emailtransport ☐ CMS-Nutzerdaten (Name, Anschrift, Telefon, E-Mail) ☐ Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer) ☐ Abrechnungsdaten (z. B. Verbrauchs- und Leistungswerte) ☐ Arbeitszeitdaten (Arbeits- und Fehlzeiten, Soll-Arbeitszeit, Pausen, Urlaub, Sonderur- laub, Krankheitstage, Überstunden) ☐ Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse) ☐ Biometrische Daten (Biometrische Angaben zur betroffenen Person wie z. B. Fingerab- druck, Stimme, Gesichtsmerkmale) ☐ Bonitätsdaten (Scoringwerte, Zahlungshistorie) ☐ Fahrzeugdaten (z. X. Xxxxxx-, Fahrer-, GPS-Daten) ☐ Gehaltsdaten (Entgelt, Bonus und Prämien, steuerliche Angaben, Zuschläge) ☐ Genetischen Daten (Informationen über Genomdaten der betroffenen Person) ☐ Gesundheitsdaten (z. B. Krankmeldungen, Patientendaten) ☐ Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum) ☐ Kontaktdaten (Name, Telefon, Fax, E-Mail) ☐ Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten) ☐ Mitarbeiterdaten (Personalstammdaten, Kontaktdaten, Notfalldaten) ☐ Schadensdaten (Angaben zur Person, Kontaktdaten, Schadensverlauf, Unfallbericht, Zeu- gen) ☐ Verhaltensdaten (z. B. Verhaltensbeobachtungen, Bewegungsprofil) ☐ Versicherungsdaten (Angaben zur Person, Kontaktdaten, Vertragsdaten, Gesundheitsangaben, Kontoverbindungen) ☐ Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte) ☐ Zahlungsdaten (Kontoinformationen, Kreditkartendaten)des Auftraggebers durch den Auftragneh- mer. 2. Diese Vereinbarung tritt mit ihrer Unterzeichnung durch beide Parteien in Kraft und endet im Re- gelfall mit Kündigung des zugrundeliegenden Hauptvertrages laut AGB. Das Recht zur außeror- dentlichen Kündigung bleibt unberührt. 3. Umfang, Art und Zweck der Datenverarbeitung richten sich nach den getroffenen Vereinbarungen bzw. nach en Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser zugestimmt hat (mind. in Textform). 4. Folgende Datenarten sind ebenso wie die Art von der Daten und Datenverarbeitung betroffen: ⃝ Kommunikationsdaten (z.B. Telefon, E-Mail) ⃝ Zahlungsarten (z.B. IBAN) ⃝ Kundendaten ⃝ Nutzerdaten (z.B. Name) ⃝ Bankdaten ⃝ Mitarbeiterdaten ⃝ …………………………………………………………. ⃝ …………………………………………………………. ⃝ …………………………………………………………. ⃝ …………………………………………………………. 5. Die von der Kreis der be- troffenen Personen in §3 beschriebenDatenverarbeitung Betroffenen sind: ⃝ Mitarbeiter ⃝ Kunden ⃝ Interessenten ⃝ Lieferanten ⃝ Bewerber ⃝ Ansprechpartner ⃝ Dritte ⃝ …………………………………………………………. ⃝ …………………………………………………………. ⃝ …………………………………………………………. ⃝ …………………………………………………………. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind. 1. Da der Auftragnehmer die Dienstleistungen für den Auftraggeber auch außerhalb der Geschäfts- räume des Auftraggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffe- nen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DS-GVO, Art. 32 DS-GVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DS-GVO hierzu zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. 2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemes- senen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Ver- arbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichti- gen. 3. Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatori- schen Maßnahmen ist als Anlage 1 A „Technische und organisatorische Maßnahmen zum Daten- schutz“ dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertrau- lichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auf- tragnehmer im Vorwege mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfü- gige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertrau- lichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftragge- ber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. 1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son- dern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Ver- arbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftragge- ber zur Erledigung durch diesen weiterleiten. 2. Die Umsetzung der Rechte auf Löschung, Berichtigung, Datenübertragbarkeit und Auskunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer si- cherzustellen. 3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher oder behördlicher Anordnung erforderlich sind. 4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftrag- nehmer dem Auftraggeber die Möglichkeit zum Zugriff und zur Sicherung sämtlicher in seinen Besitz gelangter Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbe- stände, die im Zusammenhang mit dem Auftragsverhältnis stehen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten Leistung bezieht, ist dem Auftragnehmer untersagt. Es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat. 2. Der Auftragnehmer bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen be- trieblichen Datenschutzbeauftragten i.S.d. Art. 38, 39 DS-GVO bestellt hat. Nähere Angaben hierzu werden vom Auftragnehmer in Anlage 1 „Technische und organisatorische Maßnahmen zum Datenschutz“ gemacht. 3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset- zen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Speicherung, PseudonymisierungPseudonymisie- rung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete, in der Regel schriftliche schrift- liche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den werden (Einzelweisung). Die Weisungen des Auftraggebers sind schriftlich oder per E-Mail zu ertei- lenerteilen. 1. Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang Zusam- menhang mit der Dienstleistungserbringung nicht ausgeschlossen werden, dass der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DS-GVO ist daher der Abschluss Ab- schluss einer Vereinbarung zur Verarbeitung im Auf- trag Auftrag erforderlich. 2. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DS-GVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auf- trag Auftrag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich bzw. auch elektronisch erteilt. Dieser Vertrag enthält nach dem Willen Wil- len der Parteien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 DS-GVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz im Zusammenhang mit der Erbringung Erbrin- gung der Dienstleis- tungDienstleistung. 3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Auftraggeber als „Ver- antwortlichemVerantwortlichem" im Sinne der DS-GVO. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen perso- nenbezogenen Daten verlangen. 1. Der Gegenstand des Auftrages ist wie folgt definiert: Bitte berücksichtigen Sie hierbei die Tatsache, dass z.B. in Shops Plugins zur Zahlungsabwicklung genutzt werden, deren Daten technisch direkt zwischen der Website/Shop und dem Plugin-Anbie- ter ausgetauscht und von uns weder verarbeitet noch gespeichert werden. ☒ Protokolldaten (z. B. Logfiles über Nutzungsvorgänge für statistische Auswertungen) ☐ Emailtransport ☐ CMS-Nutzerdaten (Name, Anschrift, Telefon, E-Mail) ☐ Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer) ☐ Abrechnungsdaten (z. B. Verbrauchs- und Leistungswerte) ☐ Arbeitszeitdaten (Arbeits- und Fehlzeiten, Soll-Arbeitszeit, Pausen, Urlaub, Sonderur- laub, Krankheitstage, Überstunden) ☐ Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse) ☐ Biometrische Daten (Biometrische Angaben zur betroffenen Person wie z. B. Fingerab- druck, Stimme, Gesichtsmerkmale) ☐ Bonitätsdaten (Scoringwerte, Zahlungshistorie) ☐ Fahrzeugdaten (z. X. Xxxxxx-, Fahrer-, GPS-Daten) ☐ Gehaltsdaten (Entgelt, Bonus und Prämien, steuerliche Angaben, Zuschläge) ☐ Genetischen Daten (Informationen über Genomdaten der betroffenen Person) ☐ Gesundheitsdaten (z. B. Krankmeldungen, Patientendaten) ☐ Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum) ☐ Kontaktdaten (Name, Telefon, Fax, E-Mail) ☐ Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten) ☐ Mitarbeiterdaten (Personalstammdaten, Kontaktdaten, Notfalldaten) ☐ Schadensdaten (Angaben zur Person, Kontaktdaten, Schadensverlauf, Unfallbericht, Zeu- gen) ☐ Verhaltensdaten (z. B. Verhaltensbeobachtungen, Bewegungsprofil) ☐ Versicherungsdaten (Angaben zur Person, Kontaktdaten, Vertragsdaten, Gesundheitsangaben, Kontoverbindungen) ☐ Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte) ☐ Zahlungsdaten (Kontoinformationen, Kreditkartendaten)Anlage A „Details zum Auftrag“ niedergelegt. 2. Diese Vereinbarung tritt mit ihrer Unterzeichnung durch beide Parteien in Kraft und endet im Re- gelfall Regelfall mit Kündigung Kün- digung des zugrundeliegenden Hauptvertrages laut AGB. Das Recht zur außeror- dentlichen außerordentlichen Kündigung bleibt unberührtun- berührt. Umfang, Art und Zweck der Verarbeitung sind ebenso wie die Art der Daten und der Kreis der be- troffenen betroffenen Personen in §3 Anlage A „Details zum Auftrag“ beschrieben. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen organisatori- schen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind. 1. Da der Auftragnehmer die Dienstleistungen für den Auftraggeber auch außerhalb der Geschäfts- räume Geschäftsräume des Auftraggebers Auf- traggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffe- nen getroffenen technischen und organisatorischen organisato- rischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DS-GVO, Art. 32 DS-GVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DS-GVO hierzu zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. 2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemes- senen Schutzniveaus angemessenen Schutzni- veaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Ver- arbeitung Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichti- genberücksichtigen. 3. Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatori- schen organisatorischen Maßnahmen ist als Anlage 1 B „Technische und organisatorische Maßnahmen zum Daten- schutzDatenschutz“ dieser Vereinbarung beigefügtbeige- fügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen Ände- rungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche ÄnderungenÄnderun- gen, die die Integrität, Vertrau- lichkeit Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen könnenkön- nen, wird der Auf- tragnehmer Auftragnehmer im Vorwege mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfü- gige gering- fügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertrau- lichkeit Vertraulichkeit und Verfügbarkeit Ver- fügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung Ab- stimmung mit dem Auftraggeber umgesetzt werden. Der Auftragge- ber Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. 1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son- dern sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Ver- arbeitung Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendetxxxxxx, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftragge- ber Auftraggeber zur Erledigung durch diesen weiterleiten. 2. Die Umsetzung der Rechte auf Löschung, Berichtigung, Datenübertragbarkeit und Auskunft sind nur nach dokumentierter doku- mentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer si- cherzustellensicherzustellen. 3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher gericht- licher oder behördlicher Anordnung erforderlich sind. 4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftrag- nehmer Auftragnehmer dem Auftraggeber die Möglichkeit zum Zugriff und zur Sicherung sämtlicher in seinen Besitz gelangter Unterlagen, erstellte Verarbeitungs- Verarbei- tungs- und Nutzungsergebnisse sowie Datenbe- ständeDatenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehenste- hen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahrenauf- zubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten Leistung beziehtbe- zieht, ist dem Auftragnehmer untersagt. Es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat. 2. Der Auftragnehmer bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen be- trieblichen Datenschutzbeauftragten betrieblichen Daten- schutzbeauftragten i.S.d. Art. 38, 39 DS-GVO bestellt hat. Nähere Angaben hierzu werden vom Auftragnehmer in Anlage 1 B „Technische und organisatorische Maßnahmen zum Datenschutz“ gemacht. 3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung er- teilte Xxxxxxx nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset- zenauszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel SpeicherungSpei- cherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen perso- nenbezogenen Daten gerichtete, in der Regel schriftliche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den werden (Einzelweisung). Die Weisungen des Auftraggebers Auftragge- bers sind schriftlich oder per E-Mail zu ertei- lenerteilen. 1. Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang mit der Dienstleistungserbringung nicht ausgeschlossen ausgeschlos- sen werden, dass der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DS-GVO ist daher der Abschluss einer Vereinbarung zur Verarbeitung im Auf- trag Auftrag erforderlich. 2. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DS-GVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung Daten- verarbeitung im Auf- trag Auftrag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich bzw. auch elektronisch erteilt. Dieser Vertrag enthält nach dem Willen der Parteien Par- teien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 DS-GVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz Daten- schutz im Zusammenhang mit der Erbringung der Dienstleis- tungDienstleistung. 3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Auftraggeber als „Ver- antwortlichem" Verantwortlichem“ im Sinne der DS-GVO. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen personenbezoge- nen Daten verlangen. 1. Der Gegenstand des Auftrages ist wie folgt definiert: Bitte berücksichtigen Sie hierbei die Tatsache, dass z.B. in Shops Plugins zur Zahlungsabwicklung genutzt werden, deren Daten technisch direkt zwischen der Website/Shop und dem Plugin-Anbie- ter ausgetauscht und von uns weder verarbeitet noch gespeichert werden. ☒ Protokolldaten (z. B. Logfiles über Nutzungsvorgänge für statistische Auswertungen) ☐ Emailtransport ☐ CMS-Nutzerdaten (Name, Anschrift, Telefon, E-Mail) ☐ Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer) ☐ Abrechnungsdaten (z. B. Verbrauchs- und Leistungswerte) ☐ Arbeitszeitdaten (Arbeits- und Fehlzeiten, Soll-Arbeitszeit, Pausen, Urlaub, Sonderur- laub, Krankheitstage, Überstunden) ☐ Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse) ☐ Biometrische Daten (Biometrische Angaben zur betroffenen Person wie z. B. Fingerab- druck, Stimme, Gesichtsmerkmale) ☐ Bonitätsdaten (Scoringwerte, Zahlungshistorie) ☐ Fahrzeugdaten (z. X. Xxxxxx-, Fahrer-, GPS-Daten) ☐ Gehaltsdaten (Entgelt, Bonus und Prämien, steuerliche Angaben, Zuschläge) ☐ Genetischen Daten (Informationen über Genomdaten der betroffenen Person) ☐ Gesundheitsdaten (z. B. Krankmeldungen, Patientendaten) ☐ Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum) ☐ Kontaktdaten (Name, Telefon, Fax, E-Mail) ☐ Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten) ☐ Mitarbeiterdaten (Personalstammdaten, Kontaktdaten, Notfalldaten) ☐ Schadensdaten (Angaben zur Person, Kontaktdaten, Schadensverlauf, Unfallbericht, Zeu- gen) ☐ Verhaltensdaten (z. B. Verhaltensbeobachtungen, Bewegungsprofil) ☐ Versicherungsdaten (Angaben zur Person, Kontaktdaten, Vertragsdaten, Gesundheitsangaben, Kontoverbindungen) ☐ Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte) ☐ Zahlungsdaten (Kontoinformationen, Kreditkartendaten)Anlage A „Details zum Auftrag“ niedergelegt. 2. Diese Vereinbarung tritt mit ihrer Unterzeichnung durch beide Parteien in Kraft und endet im Re- gelfall Regelfall mit Kündigung des zugrundeliegenden Hauptvertrages laut AGB. Das Recht zur außeror- dentlichen außerordentlichen Kündigung bleibt unberührt. Umfang, Art und Zweck der Verarbeitung sind ebenso wie die Art der Daten und der Kreis der be- troffenen betroffenen Personen in §3 Anlage A „Details zum Auftrag“ beschrieben. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen techni- schen und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften Daten- schutzvorschriften angemessen und erforderlich sind. 1. Da der Auftragnehmer die Dienstleistungen für den Auftraggeber auch außerhalb der Geschäfts- räume Geschäftsräume des Auftraggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffe- nen getroffenen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DS-GVO, Art. 32 DS-GVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DS-GVO hierzu zu dokumentieren doku- mentieren und dem Auftraggeber zur Prüfung zu übergeben. 2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemes- senen angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit Verfüg- barkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Ver- arbeitung Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit Eintrittswahrschein- lichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichti- genberücksichtigen. 3. Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatori- schen orga- nisatorischen Maßnahmen ist als Anlage 1 B „Technische und organisatorische Maßnahmen Maß- nahmen zum Daten- schutzDatenschutz“ dieser Vereinbarung beigefügt. Die Parteien sind sich darüber dar- über einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen Änderun- gen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertrau- lichkeit Vertraulichkeit oder Verfügbarkeit der personenbezogenen perso- nenbezogenen Daten beeinträchtigen können, wird der Auf- tragnehmer Auftragnehmer im Vorwege mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfü- gige geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertrau- lichkeit Vertraulichkeit und Verfügbarkeit Ver- fügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer Auf- tragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftragge- ber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen techni- schen und organisatorischen Maßnahmen anfordern. 1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son- dern sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Ver- arbeitung Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar un- mittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich unver- züglich an den Auftragge- ber Auftraggeber zur Erledigung durch diesen weiterleiten. 2. Die Umsetzung der Rechte auf Löschung, Berichtigung, Datenübertragbarkeit und Auskunft Aus- kunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer si- cherzustellensicherzustellen. 3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen ord- nungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher oder behördlicher behörd- licher Anordnung erforderlich sind. 4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftrag- nehmer Auftragnehmer dem Auftraggeber die Möglichkeit zum Zugriff und zur Sicherung Siche- rung sämtlicher in seinen Besitz gelangter Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse Nut- zungsergebnisse sowie Datenbe- ständeDatenbestände, die im Zusammenhang mit dem Auftragsverhältnis Auftragsverhält- nis stehen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung Datenverar- beitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen Aufbewah- rungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung Entlas- tung bei Vertragsende dem Auftraggeber übergeben. 1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten be- auftragten Leistung bezieht, ist dem Auftragnehmer untersagt. Es sei denn, dass der Auftraggeber Auf- traggeber dieser schriftlich zugestimmt hat. 2. Der Auftragnehmer bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen be- trieblichen betrieblichen Datenschutzbeauftragten i.S.d. i. S. d. Art. 38, 39 DS-GVO bestellt hat. Nähere Angaben hierzu werden vom Der Auftragnehmer in Anlage 1 „Technische und organisatorische Maßnahmen zum Datenschutz“ gemachthat keinen Datenschutzbeauftragten bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzutei- len. 3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen Regelun- gen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung Xxx- xxxx solange auszuset- zenauszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Speicherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete, in der Regel schriftliche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den werden (Einzelweisung). Die Weisungen des Auftraggebers sind schriftlich oder per E-Mail zu ertei- lenerteilen. 1. Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang mit der Dienstleistungserbringung nicht ausgeschlossen werden, dass der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DS-GVO ist daher der Abschluss einer Vereinbarung zur Verarbeitung im Auf- trag Auftrag erforderlich. 2. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DS-GVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auf- trag Auftrag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich bzw. auch elektronisch erteilt. Dieser Vertrag enthält nach dem Willen der Parteien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 DS-GVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz im Zusammenhang mit der Erbringung der Dienstleis- tungDienstleistung. 3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Auftraggeber als „Ver- antwortlichem" im Sinne der DS-GVO. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit § 3 Gegenstand und Dauer des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen.Auftrages 1. Der Gegenstand des Auftrages ist wie folgt definiert: Bitte berücksichtigen Sie hierbei die Tatsache, dass z.B. in Shops Plugins zur Zahlungsabwicklung genutzt werden, deren Daten technisch direkt zwischen der Website/Shop und dem Plugin-Anbie- ter ausgetauscht und von uns weder verarbeitet noch gespeichert werden. ☒ Protokolldaten (z. B. Logfiles über Nutzungsvorgänge für statistische Auswertungen) ☐ Emailtransport ☐ CMS-Nutzerdaten (Name, Anschrift, Telefon, E-Mail) ☐ Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer) ☐ Abrechnungsdaten (z. B. Verbrauchs- und Leistungswerte) ☐ Arbeitszeitdaten (Arbeits- und Fehlzeiten, Soll-Arbeitszeit, Pausen, Urlaub, Sonderur- laub, Krankheitstage, Überstunden) ☐ Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse) ☐ Biometrische Daten (Biometrische Angaben zur betroffenen Person wie z. B. Fingerab- druck, Stimme, Gesichtsmerkmale) ☐ Bonitätsdaten (Scoringwerte, Zahlungshistorie) ☐ Fahrzeugdaten (z. X. Xxxxxx-, Fahrer-, GPS-Daten) ☐ Gehaltsdaten (Entgelt, Bonus und Prämien, steuerliche Angaben, Zuschläge) ☐ Genetischen Daten (Informationen über Genomdaten der betroffenen Person) ☐ Gesundheitsdaten (z. B. Krankmeldungen, Patientendaten) ☐ Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum) ☐ Kontaktdaten (Name, Telefon, Fax, E-Mail) ☐ Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten) ☐ Mitarbeiterdaten (Personalstammdaten, Kontaktdaten, Notfalldaten) ☐ Schadensdaten (Angaben zur Person, Kontaktdaten, Schadensverlauf, Unfallbericht, Zeu- gen) ☐ Verhaltensdaten (z. B. Verhaltensbeobachtungen, Bewegungsprofil) ☐ Versicherungsdaten (Angaben zur Person, Kontaktdaten, Vertragsdaten, Gesundheitsangaben, Kontoverbindungen) ☐ Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte) ☐ Zahlungsdaten (Kontoinformationen, Kreditkartendaten)Anlage A „Details zum Auftrag“ niedergelegt. 2. Diese Vereinbarung tritt mit ihrer Unterzeichnung durch beide Parteien in Kraft und endet im Re- gelfall Regelfall mit Kündigung des zugrundeliegenden Hauptvertrages laut AGB. Das Recht zur außeror- dentlichen außerordentlichen Kündigung bleibt unberührt. Umfang§ 4 Beschreibung der Verarbeitung, Art und Zweck der Verarbeitung sind ebenso wie die Art der Daten und der Kreis der be- troffenen betroffener Personen in §3 beschrieben. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen § 5 Technische und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind.organisatorische Maßnahmen zum Datenschutz 1. Da der Auftragnehmer die Dienstleistungen für den Auftraggeber auch außerhalb der Geschäfts- räume Geschäftsräume des Auftraggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffe- nen getroffenen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DS-GVO, Art. 32 DS-GVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DS-GVO hierzu zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. 2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemes- senen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Ver- arbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichti- gen. 3. Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatori- schen Maßnahmen ist als Anlage 1 „Technische und organisatorische Maßnahmen zum Daten- schutz“ dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertrau- lichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auf- tragnehmer im Vorwege mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfü- gige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertrau- lichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftragge- ber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. 1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son- dern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Ver- arbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftragge- ber zur Erledigung durch diesen weiterleiten. 2. Die Umsetzung der Rechte auf Löschung, Berichtigung, Datenübertragbarkeit und Auskunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer si- cherzustellen. 3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher oder behördlicher Anordnung erforderlich sind. 4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftrag- nehmer dem Auftraggeber die Möglichkeit zum Zugriff und zur Sicherung sämtlicher in seinen Besitz gelangter Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbe- stände, die im Zusammenhang mit dem Auftragsverhältnis stehen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten Leistung bezieht, ist dem Auftragnehmer untersagt. Es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat. 2. Der Auftragnehmer bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen be- trieblichen Datenschutzbeauftragten i.S.d. Art. 38, 39 DS-GVO bestellt hat. Nähere Angaben hierzu werden vom Auftragnehmer in Anlage 1 „Technische und organisatorische Maßnahmen zum Datenschutz“ gemacht. 3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset- zen, bis diese durch den Auftraggeber bestätigt oder geändert wird.,

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Speicherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete, in der Regel schriftliche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt wer- den (Einzelweisung). Die Weisungen des Auftraggebers sind schriftlich oder per E-Mail zu ertei- len. 1. Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang mit der Dienstleistungserbringung nicht ausgeschlossen werden, dass der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DS-GVO ist daher der Abschluss einer Vereinbarung zur Verarbeitung im Auf- trag Auftrag erforderlich. 2. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DS-GVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auf- trag Auftrag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich bzw. auch elektronisch elektro- nisch erteilt. Dieser Vertrag Diese Vereinbarung enthält nach dem Willen der Parteien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 DS-GVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz im Zusammenhang mit der Erbringung der Dienstleis- tungDienstleistung. 3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Auftraggeber als „Ver- antwortlichemVerantwortlichem" im Sinne der DS-GVO. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber Auftrag- geber auch während der Laufzeit des Vertrages der Vereinbarung und nach Beendigung des Vertrages der Vereinbarung die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen. 1. Der Gegenstand des Auftrages ist wie folgt definiert: Bitte berücksichtigen Sie hierbei die Tatsache, dass z.B. in Shops Plugins zur Zahlungsabwicklung genutzt werden, deren Daten technisch direkt zwischen der Website/Shop und dem Plugin-Anbie- ter ausgetauscht und von uns weder verarbeitet noch gespeichert werden. ☒ Protokolldaten (z. B. Logfiles über Nutzungsvorgänge für statistische Auswertungen) ☐ Emailtransport ☐ CMS-Nutzerdaten (Name, Anschrift, Telefon, E-Mail) ☐ Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer) ☐ Abrechnungsdaten (z. B. Verbrauchs- und Leistungswerte) ☐ Arbeitszeitdaten (Arbeits- und Fehlzeiten, Soll-Arbeitszeit, Pausen, Urlaub, Sonderur- laub, Krankheitstage, Überstunden) ☐ Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse) ☐ Biometrische Daten (Biometrische Angaben zur betroffenen Person wie z. B. Fingerab- druck, Stimme, Gesichtsmerkmale) ☐ Bonitätsdaten (Scoringwerte, Zahlungshistorie) ☐ Fahrzeugdaten (z. X. Xxxxxx-, Fahrer-, GPS-Daten) ☐ Gehaltsdaten (Entgelt, Bonus und Prämien, steuerliche Angaben, Zuschläge) ☐ Genetischen Daten (Informationen über Genomdaten der betroffenen Person) ☐ Gesundheitsdaten (z. B. Krankmeldungen, Patientendaten) ☐ Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum) ☐ Kontaktdaten (Name, Telefon, Fax, E-Mail) ☐ Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten) ☐ Mitarbeiterdaten (Personalstammdaten, Kontaktdaten, Notfalldaten) ☐ Schadensdaten (Angaben zur Person, Kontaktdaten, Schadensverlauf, Unfallbericht, Zeu- gen) ☐ Verhaltensdaten (z. B. Verhaltensbeobachtungen, Bewegungsprofil) ☐ Versicherungsdaten (Angaben zur Person, Kontaktdaten, Vertragsdaten, Gesundheitsangaben, Kontoverbindungen) ☐ Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte) ☐ Zahlungsdaten (Kontoinformationen, Kreditkartendaten)Anlage A „Details zum Auftrag“ niedergelegt. 2. Diese Vereinbarung tritt beginnt mit ihrer Unterzeichnung durch beide Parteien in Kraft dem Start der aktuellen Fernwartungssitzung und endet im Re- gelfall Endet mit Kündigung des zugrundeliegenden Hauptvertrages laut AGBBe- endigung dieser. Das Recht zur außeror- dentlichen Kündigung bleibt unberührtAlle dabei evtl. gespeicherten Daten, werden nach Beendigung der Sitzung di- rekt gelöscht, sofern diese nicht für die weitere Bearbeitung der Supportanfrage benötigt wer- den. Umfang, Art und Zweck der Verarbeitung sind ebenso wie die Art der Daten und der Kreis der be- troffenen Personen in §3 Anlage A „Details zum Auftrag“ beschrieben. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind. 1. Da der Auftragnehmer die Dienstleistungen für den Auftraggeber auch außerhalb der Geschäfts- räume des Auftraggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffe- nen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DS-GVO, Art. 32 DS-GVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DS-GVO hierzu zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. 2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemes- senen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Ver- arbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichti- gen. 3. Der zum Zeitpunkt des Vertragsschlusses der Vereinbarung bestehende Stand der technischen und organisatori- schen organisatorischen Maßnahmen ist als Anlage 1 B „Technische und organisatorische Maßnahmen zum Daten- schutzDatenschutz“ dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische tech- nische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen Maß- nahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertrau- lichkeit Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auf- tragnehmer Auftragneh- mer im Vorwege mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfü- gige technische geringfügige tech- nische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertrau- lichkeit Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer Auf- tragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftragge- ber Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen organisato- rischen Maßnahmen anfordern. 1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son- dern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Ver- arbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftragge- ber zur Erledigung durch diesen weiterleiten. 2. Die Umsetzung der Rechte auf Löschung, Berichtigung, Datenübertragbarkeit und Auskunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer si- cherzustellen. 3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher oder behördlicher Anordnung erforderlich sind. 4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber Auftragge- ber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftrag- nehmer Auftragnehmer dem Auftraggeber die Möglichkeit zum Zugriff und zur Sicherung sämtlicher in seinen Besitz gelangter ge- langter Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbe- ständeDatenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende Ende der Vereinbarung hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende Beendi- gung der Vereinbarung dem Auftraggeber übergeben. 1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten Leistung bezieht, ist dem Auftragnehmer untersagt. Es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat. 2. Der Auftragnehmer bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen be- trieblichen Datenschutzbeauftragten i.S.d. Art. 38, 39 DS-GVO bestellt hat. Nähere Angaben hierzu werden vom Der Auftragnehmer in Anlage 1 „Technische und organisatorische Maßnahmen zum Datenschutz“ gemachthat keinen Datenschutzbeauftragten bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. 3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset- zen, bis diese durch den Auftraggeber bestätigt oder geändert wird.