Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

§ 1.Auftragsgegenstand, verarbeitete Daten und betroffene Personengruppen

1. Der Auftraggeber lässt durch den Auftragnehmer auf Grundlage der Anlage A personenbezogene Daten im Auftrag verarbeiten. Zur Durchführung des Vertrags beauftragt der Auftraggeber den Auftragnehmer mit einer Verarbeitung im Auftrag gem. Art. 28 DSGVO.
2. Ziel der Verarbeitung personenbezogenen Daten durch den Auftragnehmer ist die Erbringung der in Anlage A aufgeführten Leistungen. Auftragsgegenstand, Kategorien verarbeiteter Daten und betroffene Personengruppen werden detailliert in Anlage A geregelt.

§ 2. Beginn und Laufzeit der Vereinbarung

1. Diese Vereinbarung tritt mit Abschluss in Kraft und endet im Regelfall mit Beendigung des zugrundeliegenden Hauptvertrages laut AGB. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
2. Eine vom Hauptvertrag isolierte Kündigung ist nur aus wichtigem Grund möglich, es sei denn diese Vereinbarung oder zwingende gesetzliche Vorschriften bestimmen etwas anderes. In diesem Fall ist der Auftragnehmer nach Kündigung dieser Vereinbarung zur Kündigung des Hauptvertrages zum selben Zeitpunkt berechtigt.
3. Diese Vereinbarung gilt unbeschadet der Absätze (1) und (2) so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet. Hierzu gehören auch zu Zwecken der Datensicherheit oder der Datenschutzkontrolle verarbeitete Daten (z. B. Backups).

§ 3. Ort der Auftragsverarbeitung, internationale Datentransfers

1. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
2. Jede Verlagerung in ein Drittland und jede Änderung an den vereinbarten Garantien bedürfen der vorherigen Zustimmung des Auftraggebers oder dessen dokumentierter Weisung. Sie dürfen nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
3. Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DSGVO verantwortlich.
4. Die Verarbeitung von diesem Vertrag unterliegenden Daten in Privatwohnungen ist zulässig. Der Auftragnehmer ist dafür verantwortlich, dass angemessene und geeignete technische und organisatorische Maßnahmen gem. ‎§ 7 getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Auftragnehmer ist zudem dafür verantwortlich, die erforderlichen Besichtigungs- und Kontrollrechte des Auftraggebers nach ‎§ 9 für diesen durchzuführen. Der Auftragnehmer wird auf erstes Anfordern Auskunft über die Ergebnisse der notwendigen Inspektionen erteilen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner der jeweiligen Privatwohnung über diese Regelung informiert und mit dieser einverstanden sind. Kann das Besichtigungs- und Kontrollrecht für den Auftraggeber nicht gewährleistet werden, so hat der Auftragnehmer zu gewährleisten, dass die Verarbeitung in Privatwohnungen unterbleibt.

§ 4. Verantwortlichkeit und Weisungsrecht des Auftraggebers

1. Der Auftraggeber ist für die Zwecke der Auftragsverarbeitung der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung durch diesen, verantwortlich.
2. Der Auftraggeber hat jederzeit das Recht, ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Diese Weisungen können auch vom Hauptvertrag abweichen. Weisungen können mündlich oder in Textform erfolgen.
3. Mündliche Weisungen des Auftraggebers sind durch diesen unverzüglich, mind. in Textform zu bestätigen.
4. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn er der Auffassung ist, eine Weisung verstoße gegen für ihn geltende gesetzliche Regelungen zum Datenschutz. Solange die Parteien die Bedenken des Auftragnehmers nicht ausgeräumt haben, ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen. Wenn die Parteien keine Einigung erzielen können und der Auftraggeber an seiner Weisung festhält, ist der Auftragnehmer zu einer Kündigung dieser Vereinbarung mit angemessener Frist, die zwei Wochen nicht unterschreiten soll, berechtigt. Sofern in diesem Fall der Hauptvertrag nicht durchgeführt werden kann, ist der Auftraggeber berechtigt diesen zu kündigen, wenn der Hauptvertrag nur mittels Umsetzung der rechtswidrigen Weisung durchgeführt werden könnte und dies für keine Partei bei Vertragsschluss erkennbar war.
5. Sofern der Auftragnehmer der Auffassung sein sollte, eine Weisung des Auftraggebers aus technischen Gründen nicht befolgen zu können, wird er den Auftraggeber hierüber in Textform informieren und sich unverzüglich zum weiteren Vorgehen mit diesem abstimmen.

§ 5. Pflichten des Auftragnehmers

1. Jegliche Verarbeitung der personenbezogenen Daten erfolgt ausschließlich entsprechend den Vorgaben des Hauptvertrags, entsprechend dieser Vereinbarung, sowie den ggf. vom Auftraggeber erteilten Weisungen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Dieser Absatz (1) gilt nicht, wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Der Auftragnehmer bestätigt, dass er einen externen betrieblichen Datenschutzbeauftragten benannt hat. Als Datenschutzbeauftragter ist beim Auftragnehmer Herr Tobias Mauß, Mauß Datenschutz GmbH, E-Mail datenschutz@datenschutzbeauftragter-hamburg.de, Telefon 040 / 69702852, bestellt. Jegliche Änderung bezüglich der Benennung eines Datenschutzbeauftragten ist dem Auftraggeber unverzüglich in Textform mitzuteilen.
3. Der Auftragnehmer hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut zu machen. Der Umfang der Verpflichtung hat in einem angemessenen Verhältnis zu den verarbeiteten Daten und den Folgen einer etwaigen Verletzung des Schutzes der personenbezogenen Daten zu stehen. Sie hat sich ferner auf alle personenbezogenen Daten zu beziehen, die der Auftragnehmer für den Auftraggeber verarbeitet. Der Inhalt und die Tatsache der Verpflichtung ist dem Auftraggeber auf Wunsch nachzuweisen. Etwaige weitergehende Verpflichtungen, die aus einer gesondert zwischen den Parteien abgeschlossenen Geheimhaltungsvereinbarung folgen, bleiben hiervon unberührt.
4. Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Hierfür wird er insbesondere die in dieser Vereinbarung vorgesehenen Leistungen erbringen.
5. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit den Aufsichtsbehörden für den Datenschutz bei der Erfüllung ihrer Aufgaben zusammen.
6. Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer Aufsichtsbehörde für den Datenschutz informieren, soweit sich diese auf im Rahmen dieser Vereinbarung verarbeiteten Daten beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
7. Soweit der Auftraggeber seinerseits einer Kontrolle durch eine Aufsichtsbehörde für den Datenschutz, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit dieser Vereinbarung ausgesetzt ist, wird ihn der Auftragnehmer nach besten Kräften unterstützen.
8. Soweit erforderlich unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und wird ihm alle hierfür aus seiner Sphäre erforderlichen Informationen und Nachweise überlassen. Er ist entsprechend verpflichtet, wenn der Auftraggeber eine vorherige Konsultation nach Art. 36 DSGVO mit einer Aufsichtsbehörde durchführen muss. Für diese Unterstützungsleistung kann der Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt verlangen. Er darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
9. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt.
10. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden oder ist es zu entsprechenden Maßnahmen gekommen, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber umfassend zu informieren, es sei denn, dies ist ihm gesetzlich nicht gestattet. Ferner ist der Auftragnehmer verpflichtet, alle insoweit relevanten Dritten darauf hinweisen, dass es sich bei den Daten um personenbezogene Daten handelt, für die der Auftragsgeber Verantwortlicher im Sinne der DSGVO ist und er selbst nur als Auftragsverarbeiter tätig ist.
11. Diese Vereinbarung entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DSGVO.

§ 6. Pflichten des Auftraggebers

Der Auftraggeber hat den Auftragnehmer unverzüglich unter Angabe der jeweiligen Gründe zu informieren, wenn er in den Auftragsergebnissen oder hinsichtlich der Tätigkeit des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich der Vorgaben dieser Vereinbarung oder der gesetzlichen Regelungen zum Datenschutz feststellt.

§ 7. Sicherheit der Verarbeitung

1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere geeignete technische und organisatorische Maßnahmen, um ein dem Risiko der Datenverarbeitung und dem Schutzbedarf der verarbeiteten Daten angemessenes Schutzniveau zu gewährleisten. Zum Zeitpunkt des Abschlusses dieser Vereinbarung sind dies die in der Anlage B beschriebenen Maßnahmen.
2. Der Auftragnehmer ist zur Anpassung der getroffenen Maßnahmen an geänderte technische oder rechtliche Gegebenheiten berechtigt, Änderungen an den in Anlage B beschriebenen Maßnahmen vorzunehmen. Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen, eine Erhöhung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen oder generell eine Reduktion des vereinbaren Schutzniveaus mit sich bringen könnten, bedürfen der Zustimmung des Auftraggebers. Andere Änderungen, insbesondere eine Verbesserung der ergriffenen Maßnahmen, können vom Auftragnehmer ohne Zustimmung des Auftraggebers umgesetzt werden. Nach Vornahme solcher Änderungen passt der Auftragnehmer die Anlage B entsprechend an und veröffentlicht die neue Version auf der Webseite des Auftragnehmers.

§ 8. Rechte betroffener Personen

1. Der Auftragnehmer wird, soweit es ihm möglich und zumutbar ist, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlung des Auftragnehmers er benötigt und diesem insoweit die Daten zu überlassen, die zur Erfüllung der Anfrage erforderlich sind. Soweit eine Partei weitere Informationen von der anderen Partei benötigt, wird sie diese unverzüglich in Textform darauf hinweisen. Der Auftragnehmer erbringt seine Unterstützungshandlung in angemessener Frist, so dass der Auftraggeber die ihm obliegenden Fristen, insbesondere des Art. 12 Abs. 3 DSGVO, wahren kann. Er hat den Auftraggeber unverzüglich unter Angabe der Gründe zu informieren, wenn es sich nicht in der Lage sieht, der verlangte Unterstützungshandlung zu erbringen.
2. Wenn eine betroffene Person sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diese an den Auftraggeber verweisen, soweit ihm die Zuordnung zu diesem möglich ist. Sollte ihm eine Zuordnung nicht möglich und der Auftragnehmer auch nicht als Verantwortlicher unmittelbar gegenüber der betroffenen Person aus Kapitel 3 der DSGVO verpflichtet sein, wird er sie darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich der betroffenen Person nicht identifizieren kann.

§ 9. Kontrollrechte des Auftraggebers

1. Dem Auftraggeber stehen alle Kontrollrechte, insbesondere Inspektionen, zu, die zur Wahrung der ihm nach den Vorgaben der DSGVO obliegenden Pflichten erforderlich sind. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann nach Abstimmung zwischen Auftraggeber und Auftragnehmer auch erfolgen durch Nachweis der Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, einer Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO, durch Vorlage aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) sowie durch eine geeignete Zertifizierung gemäß einem IT-Sicherheits- oder Datenschutzstandard (z.B. nach VdS 10000, VdS 10010 oder BSI-Grundschutz).
2. Vor-Ort-Kontrollen in den Räumen des Auftragnehmers (Inspektionen) sollen möglichst vermieden werden, hierzu soll der Auftraggeber sein Kontrollrecht bevorzugt auf Basis der in Abs. 1 genannten Dokumente ausüben. Sofern und soweit der Auftraggeber sachlich begründet (z. B. aufgrund von gem. § 6 dieser Vereinbarung festgestellten Unregelmäßigkeiten) zu dem Schluss kommt, dass Inspektionen notwendig sind, folgen diese den nachfolgenden Regelungen.
3. Das Kontrollrecht ist, sofern die Umstände nichts anderes verlangen, mit einer angemessenen Ankündigungsfrist und zu den üblichen Geschäftszeiten des Auftragnehmers auszuüben. Der Auftragnehmer ist zur Reduktion der Auswirkungen von Inspektionen auf seinen Geschäftsbetrieb berechtigt, diese mit denen anderer Auftraggeber zu verbinden, soweit dies dem Auftraggeber zumutbar ist (z.B. gemeinsame Inspektionstermine, die in angemessener Frist durchgeführt werden). Der Auftraggeber wird Sorge dafür tragen, dass Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören.
4. Der Auftraggeber ist berechtigt, die Ausübung der Kontrollrechte auf einem von diesem beauftragten Dritten zu übertragen. Sollte der Dritte in einem unmittelbaren Wettbewerbsverhältnis zum Auftragnehmer stehen, hat dieser gegen dessen Tätigkeit ein Einspruchsrecht.
5. Der Auftragnehmer hat an der Ausübung der Kontrollrechte im erforderlichen Umfang mitzuwirken. Er darf Kontrollen durch den Auftraggeber von der Unterzeichnung einer üblichen und angemessenen Verschwiegenheitserklärung abhängig machen, soweit dies zum Schutz seiner Geschäftsgeheimnisse nach den gesetzlichen Vorgaben erforderlich ist.

§ 10. Unterauftragsverhältnisse

1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsdienstleistungen oder Bewachungsdienstleistungen in Anspruch nimmt. Die Vernichtung und/oder Entsorgung von Datenträgern erfolgt auftragsübergreifend und gem. DIN 66399, mindestens Sicherheitsstufe 3. Sie stellt ebenfalls kein Unterauftragsverhältnis dar.
2. Wartungsleistungen, Prüfleistungen sowie Benutzerservice stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden.
3. Der Auftragnehmer ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
4. Der Auftraggeber stimmt mit Abschluss dieser Vereinbarung der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:

   Unterauftragnehmer	Anschrift/Land	Leistung
   Mittwald CM Service GmbH & Co. KG	Königsberger Straße 6 32339 Espelkamp	Managed Hosting von Web- und E-Mailservern, Betrieb und die Wartung der Server-Hard- und Software
   Weitere Unterauftragnehmer: Zur Erbringung der in Anlage A spezifizierten Leistungen setzt der Auftragnehmer in Einzelfällen auch ausgewählte und zur Vertraulichkeit verpflichtete Unterauftragnehmer (Freelancer oder externe Dienstleister) ein. Der Einsatz solcher Unterauftragsverarbeiter folgt dem Verfahren bei Änderungen an der Beauftragung von Unterauftragsverarbeitern.

5. Der Auftragnehmer wird den Auftraggeber vorab in Textform über Änderungen an der Beauftragung von Unterauftragsverarbeitern informieren. Der Auftraggeber kann innerhalb einer Frist von zwei Wochen seit Zugang der Information der Änderung widersprechen. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Der Auftragnehmer wird dem Auftraggeber vor der Änderung an der Beauftragung von Unterauftragsverarbeitern folgende Informationen in Textform übersenden:
   1. Beschreibung der geplanten Änderung;
   2. Name und Anschrift des Unterauftragsverarbeiters;
   3. welche Leistungen der Unterauftragsverarbeiter erbringen soll und welche personenbezogenen Daten und welche Kategorie von Betroffenen hiervon betroffen sind;
   4. den Inhalt der entsprechenden Vereinbarungen mit dem Unterauftragsverarbeiter sowie ggf. alle Nachweise zur Einhaltung des Kapitels 5 der DSGVO;
   5. die vorstehenden Informationen sind ebenfalls für alle weiteren Unterauftragsverarbeiter zur Verfügung zu stellen, die unterhalb des Unterauftragsverarbeiters entsprechende Leistungen erbringen sollen.
6. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, diese Vereinbarung mit einer Frist von mindestens einem Monat zu kündigen, sofern die Änderung dem Auftraggeber zumutbar gewesen wäre und der Widerspruch dem Auftragnehmer unzumutbar ist.Zumutbarkeit für den Auftraggeber ist gegeben, wenn mit der Änderung keine Nachteile für ihn zu befürchten gewesen wären und insbesondere sichergestellt gewesen wäre, dass die Vorgaben dieser Vereinbarung und der DSGVO bei Umsetzung der Änderung weiter eingehalten worden wären. Unzumutbarkeit für den Auftragnehmer ist gegeben, wenn er seine Auftragsverarbeitungsleistungen als im Wesentlichen gleichförmigen Prozess für eine Vielzahl von Auftraggebern erbringt und individuelle Abweichungen bei den Unterauftragsverarbeitern für den Auftragnehmer nicht einfach umzusetzen sind (z.B. alle Auftraggeber nutzen dieselbe, standardisierte Softwareplattform).
7. Der Auftragnehmer wird für sämtliche Unterauftragnehmer die in den Absätzen 2 und 4 des Art. 28 DSGVO genannten Bedingungen einhalten. Er hat ferner sicherzustellen, dass die sonst mit dem Auftraggeber insoweit getroffenen Vereinbarungen sowie die ggf. ergänzende Weisungen des Auftraggebers auch von den Auftragsverarbeitern eingehalten werden. Er hat dies dem Auftraggeber auf dessen Wunsch nachzuweisen.
8. Der Auftragnehmer vereinbart mit sämtlichen Unterauftragnehmern eine Drittbegünstigtenklausel, wonach der Auftraggeber – im Falle, dass der Auftragnehmer faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragnehmer anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
9. Die Weitergabe von personenbezogenen Daten des Auftraggebers an Unterauftragnehmer und deren erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
10. Eine weitere Auslagerung durch Unterauftragnehmer ist unzulässig.

§ 11. Verstöße des Auftragnehmers

1. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich, in Textform mitzuteilen. Die entsprechende Meldung soll zumindest die in Art. 33 Abs. 3 DSGVO definierten Informationen umfassen.
2. Jegliche, etwaige erforderliche Meldung an eine Aufsichtsbehörde oder Benachrichtigung betroffener Personen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.
3. Der Auftragnehmer ist weiter verpflichtet, den Verstoß im erforderlichen Umfang unverzüglich aufzuklären und dem Auftraggeber eine entsprechende Dokumentation zu überlassen. Die Dokumentation hat eine Darstellung zu umfassen, welche Maßnahmen der Auftragnehmer ergriffen hat, um weitere Verstöße zu unterbinden und warum er der Auffassung ist, dass die ergriffenen Maßnahmen ausreichend sind, um den Vorgaben dieser Vereinbarung und der gesetzlichen Vorschriften zu genügen.

§ 12. Vergütungsansprüche

Dem Auftragnehmer steht für die von ihm unter dieser Vereinbarung erbrachten Leistungen kein gesondertes Entgelt zu, sofern nicht an anderer Stelle in dieser Vereinbarung vereinbart. Insbesondere stehen dem Auftragnehmer keine Vergütungsansprüche für Unterstützungsleistungen im Rahmen von Kontrollen durch den Auftraggeber gem. ‎§ 9 dieser Vereinbarung zu.

§ 13. Haftung

Die Haftung der Parteien richtet sich nach den Vereinbarungen des Hauptvertrages. Die unmittelbare Haftung der Parteien gegenüber einer betroffenen Person aus gesetzlichen Bestimmungen des Datenschutzes bleibt unberührt.

§ 14. Folgen der Beendigung dieser Vereinbarung

1. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers datenschutzgerecht zu löschen/vernichten oder an diesen zu übergeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
2. Test- und Ausschussmaterial ist zu vernichten.
3. Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
4. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 15. Schlussbestimmungen

1. Diese Vereinbarung zur Auftragsverarbeitung geht im Fall von Widersprüchen dem Hauptvertrag vor.
2. Im Übrigen gelten die Schlussbestimmungen des Hauptvertrags.

Anlage A – Auftragsgegenstand, Datenkategorien, betroffene Personengruppen, Sonderregelungen, Regelungen zur Laufzeit

Anlage B – Technische und organisatorische Maßnahmen

M.1 Maßnahmen zur Vertraulichkeit:

M.1.1 Beschreibung der Zutrittskontrolle:

• Einsatz einer Alarmanlage
• Chipkarten-/Transponder-Schließsystem
• Einsatz einer Schlüsselregelung mit Dokumentation der Schlüssel (z.B. Schlüsselbuch)
• Schließanlage

M.1.2 Beschreibung der Zugangskontrolle:

• Authentifikation mit Benutzer + Passwort
• Benutzerberechtigungen verwalten (z.B. bei Eintritt, Änderung, Austritt)
• Einsatz von Firewalls zum Schutz des Netzwerkes
• Einsatz von Mobile Device Management
• Sorgfältige Auswahl von Reinigungspersonal und Sicherheitspersonal
• Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren

M.1.3 Beschreibung der Zugriffskontrolle:

• Einsatz von Aktenvernichtern (min. Sicherheitsstufe 3 und Schutzklasse 2)
• Passwortrichtlinie inkl. Länge, Komplexität und Wechselhäufigkeit
• Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren
• Erstellen und einsatz eines Berechtigungskonzepts
• Sichere Aufbewahrung von Datenträgern

M.1.4 Beschreibung der Weitergabekontrolle:

• Einsatz von SSL-/TLS-Verschlüsselung bei der Datenübertragung im Internet
• Einrichtungen von VPN-Tunneln zur Einwahl ins Netzwerk von außen

M.1.5 Beschreibung des Trennungsgebots:

• Logische Mandantentrennung (softwareseitig)

M.1.6 Beschreibung der Pseudonymisierung:

• Verwendung von Kennziffern für Kunden, Patienten oder Personal anstatt Namen
• Trennung von Kontaktdaten und anderen Daten

M.1.7 Beschreibung der Verschlüsselung:

• Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
• Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz SFTP - Datentransfertool)

M.2 Maßnahmen zur Integrität:

M.2.1 Beschreibung der Eingabekontrolle:

• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
• Personenbezogene Zugriffsrechte zur Nachvollziehbarkeit der Zugriffe.

M.3 Maßnahmen zur Verfügbarkeit und Belastbarkeit:

M.3.1 Beschreibung der Verfügbarkeitskontrolle:

• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
• Erstellen eines Backup- & Recoverykonzepts
• CO2 Feuerlöschgeräte in Serverräumen
• Klimaanlage in Serverräumen
• Redundante Datenhaltung (z.B. gespiegelte Festplatten, RAID 1 oder höher, gespiegelter Serverraum)
• Schutzsteckdosenleisten in Serverräumen

M.3.2 Beschreibung der Wiederherstellbarkeit:

• Regelmäßige und dokumentierte Datenwiederherstellungen

M.4 Weitere Maßnahmen:

M.4.1 Beschreibung der Auftragskontrolle:

• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
• Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DS-GVO.
• Benennung eines Datenschutzbeauftragten
• Verpflichtung auf die Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO

M.4.2 Beschreibung des Managementsystems zum Datenschutz:

• Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen.