AVV – TEM – MCOM – 2025-06

ANHANG – AUFTRAGSVERARBEITUNGSVEREINBARUNG

1. Gegenstand der Verarbeitung

Diese Verarbeitung erfolgt auf Basis der vereinbarten AGB („Hauptvertrag“). Sonstige, insbesondere nicht in seiner in der zugrundeliegenden Kooperation definierten Funktion, erhobene oder auf eine andere Art und Weise verarbeitete Daten sind ausdrücklich nicht vom Auftrag des KUNDEN („Verantwortlichen“) umfasst.

2. Bedingungen für die Verarbeitung der personenbezogenen Daten

2.1. Der ANBIETER („Auftragsverarbeiter“) verarbeitet die personenbezogenen Daten im Auftrag des Verantwortlichen, solange:

(i) die Verarbeitung für die Erbringung der in Punkt 1 der Anlage 1 dargestellten und beauftragten Tätigkeiten erforderlich ist,

(ii) diese Vereinbarung gemäß Punkt 5.2. bis 5.4. nicht beendet wurde, oder

(iii) dieser Auftrag oder deren Teil vom Verantwortlichen nicht zurückgezogen wurde.

2.2. Weitere Bedingungen der Verarbeitung im Sinne dieser Vereinbarung, insbesondere, der vom Verantwortlichen bestimmte Verarbeitungszweck, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen, sind in Anlage 1 dieser Vereinbarung definiert.

3. Rechte und Pflichten des Verantwortlichen

3.1. Der Verantwortliche ist Verantwortlicher iSd Art 4 Z 7 DSGVO hinsichtlich jeglicher Informationen gemäß Punkt 2 der Anlage 1 dieser Vereinbarung, die sich auf identifizierte oder identifizierbare Personen beziehen iSd Art 4 Z 1 DSGVO („personenbezogene Daten“), die im Rahmen der Erbringung der unter Punkt 1 der Anlage 1 genannten Tätigkeiten an den Auftragsverarbeiter überlassen werden.

3.2. Der Verantwortliche hat das Recht und die Pflicht, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.

3.3. Der Verantwortliche ist ua dafür verantwortlich, dass für die Verarbeitung personenbezogener Daten, mit der der Auftragsverarbeiter beauftragt wird, eine ausreichende Rechtsgrundlage besteht.

4. Rechte und Pflichten des Auftragsverarbeiters

4.1. Allgemeines

4.1.1. Der Auftragsverarbeiter ist Auftragsverarbeiter iSd Art 4 Z 8 DSGVO hinsichtlich jeglicher Informationen gemäß Punkt 2 der Anlage 1 dieser Vereinbarung, die sich auf identifizierte oder identifizierbare Personen beziehen iSd Art 4 Z 1 DSGVO („personenbezogene Daten“), die im Rahmen der Erbringung der unter Punkt 1 der Anlage 1 genannten Tätigkeiten an ihn überlassen werden. Er hat sämtliche Handlungen zu unterlassen, die im Widerspruch zu seiner Position als Auftragsverarbeiter stehen und ist an die sorgfältige Einhaltung seiner Pflichten im anwendbaren Recht gebunden – insbesondere aber nicht ausschließlich nach dem DSG und der DSGVO.

4.1.2. Der Auftragsverarbeiter verpflichtet sich, die Verarbeitung personenbezogener Daten nachweislich im Sinne der Bestimmungen der DSGVO zu dokumentieren. Vor allem führt er ein nach Art 30 Abs 2 DSGVO erforderliches Verzeichnis von Verarbeitungstätigkeiten. Die Verarbeitung personenbezogener Daten wird von der Person überwacht, die beim Auftragsverarbeiter mit dieser Überwachung betraut wurde. Der Auftragsverarbeiter stellt der zuständigen Aufsichtsbehörde die genannten Informationen auf Anfrage zur Verfügung.

4.2. Weisungsgebundenheit

4.2.1. Der Auftragsverarbeiter verpflichtet sich daher, personenbezogene Daten und Verarbeitungsergebnisse während der Durchführung der unter Punkt 1 der Anlage 1 dieser Vereinbarung beschriebenen Tätigkeiten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen zu verwenden. Der Auftragsverarbeiter verpflichtet sich, diese personenbezogenen Daten und Verarbeitungsergebnisse ausschließlich dem Verantwortlichen zurückzugeben oder nur nach dessen schriftlicher Weisung zu übermitteln. Solche Weisungen werden grundsätzlich im Hauptvertrag vereinbart.

4.2.2. Nachträgliche Weisungen können auch während der gesamten Dauer der Verarbeitung personenbezogener Daten vom Verantwortlichen erteilt werden. Diese sind stets schriftlich, auch elektronisch, im Zusammenhang mit dieser Vereinbarung zu dokumentieren und aufzubewahren. Desgleichen bedarf eine Verwendung der personenbezogenen Daten für eigene Zwecke des Auftragsverarbeiters einer derartigen schriftlichen Weisung. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn die Weisungen des Verantwortlichen nach Ansicht des Auftragsverarbeiters gegen die DSGVO oder andere anwendbare nationale Datenschutzbestimmungen verstoßen.

4.2.3. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nach dem Grundsatz der Datenminimierung gemäß Art 5 Abs 1 lit c DSGVO und daher nur soweit, als dies zur Erbringung der in dieser Vereinbarung genannten Tätigkeiten bzw Anwendungen erforderlich ist. Der Auftragsverarbeiter muss daher insbesondere auch sicherstellen, dass personenbezogene Daten und andere, eigene Daten des Auftragsverarbeiters oder seiner Kunden getrennt verarbeitet werden („Mandantenfähigkeit“).

4.3. Datengeheimnis

Der Auftragsverarbeiter gewährt Personen nur auf Basis des „need-to-know“-Prinzips Zugriffsrechte. Er erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zu Wahrung des Datengeheimnisses im Sinne des Art 28 Abs 3 lit b DSGVO und § 6 DSG verpflichtet hat. Insbesondere bleibt die Verschwiegenheitspflicht der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.

4.4. Sicherheit der Verarbeitung

4.4.1. Der Auftragsverarbeiter erklärt, dass er ausreichende Sicherheitsmaßnahmen im Sinne des Art 32 DSGVO ergriffen hat, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. In diesem Zusammenhang bestätigt der Verantwortliche, dass die in Anlage 2 dargestellten technischen und organisatorischen Maßnahmen dafür geeignet sind, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet werden.

4.4.2. Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetischen oder biometrischen Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten, setzt der Auftragsverarbeiter spezielle technische und organisatorische Beschränkungen und/oder zusätzliche Garantien.

4.5. Subverarbeiter

4.5.1. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung gemäß Art 28 Abs 2 DSGVO, dass dieser andere Unternehmen zur Durchführung von Verarbeitungen heranziehen kann („Subverarbeiter“). Diese sind in Anhang 3 aufzulisten. Der Auftragsverarbeiter hat jedoch den Verantwortlichen von der beabsichtigten Heranziehung oder Austausch eines Subverarbeiters so rechtzeitig zu verständigen, dass der Verantwortliche dies im Einklang mit Art 28 Abs 2 DSGVO allenfalls untersagen kann. Der Verantwortliche wird die Beauftragung jedoch nur aus wichtigem Grund untersagen. Außerdem muss ein Vertrag zwischen dem Auftragsverarbeiter und dem Subverarbeiter gemäß Art 28 Abs 4 DSGVO geschlossen werden, in dem sichergestellt ist, dass der Subverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragsverarbeiter auf Grund dieser Vereinbarung obliegen. Kommt der Subverarbeiter seinen Datenschutzverpflichtungen nicht nach, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Verpflichtungen des Subverarbeiters verantwortlich. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Subverarbeiter seine vertraglichen Pflichten nicht erfüllt.

4.5.2. Subverarbeiter außerhalb des EWR darf der Auftragsverarbeiter jedenfalls nur dann beauftragen, wenn (i) diese in einem Drittland niedergelassen sind, das über ein von der EU-Kommission mit Beschluss akzeptiertes angemessenes Datenschutzniveau verfügt (Angemessenheitsbeschluss) oder (ii) mit diesen die EU-Standardvertragsklauseln bzw diesen gleichgestellte durch die EU-Kommission erlassene Vertragsschablonen als geeignete Garantien im Sinne des Art 46 Abs 2 lit c und d DSGVO vereinbart wurden. Zu den geeigneten Garantien gehört auch, soweit erforderlich, die Vereinbarung von zusätzlichen Maßnahmen („supplementary measures“) sowie jedenfalls die Durchführung eines Transfer Impact Assessments.

4.6. Betroffenenrechte

4.6.1. Der Auftragsverarbeiter trägt für die technischen und organisatorischen Voraussetzungen Vorsorge, dass der Verantwortliche insbesondere die Bestimmungen des Art 13 und 14 DSGVO (Informationspflicht), Art 15 DSGVO (Auskunftsrecht), Art 16 und 17 DSGVO (Recht auf Richtigstellung und Löschung), Art 18 DSGVO (Recht auf Einschränkung der Verarbeitung) und Art 20 DSGVO (Recht auf Datenübertragbarkeit) gegenüber einer betroffenen Person innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Für die Unterstützung steht dem Auftragsverarbeiter eine angemessene Vergütung zu.

4.6.2. Der Auftragsverarbeiter unterrichtet den Verantwortlichen binnen einer angemessenen Frist über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen explizit dazu beauftragt. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Der Auftragsverarbeiter befolgt dabei die Weisungen des Verantwortlichen. Für die Unterstützung steht dem Auftragsverarbeiter eine angemessene Vergütung zu.

4.7. Datenschutzverletzungen

4.7.1. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den für den Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen bei

a) der unverzüglichen Meldung der Verletzung an die zuständige Aufsichtsbehörde, nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant;

b) der Einholung der Informationen, die gem Art 33 Abs 3 DSGVO in der Meldung des Verantwortlichen anzugeben sind;

c) der der Einhaltung der Pflicht gem Art 34 DSGVO, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu unterrichten, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

4.7.2. Der Auftragsverarbeiter erklärt insbesondere rechtsverbindlich, dass er den Verantwortlichen unverzüglich informiert, wenn es zu einem Datenschutzvorfall kommt. Die Meldung muss zumindest folgende Informationen enthalten:

a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes der personenbezogenen Daten eingeholt werden können;

c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden anschließend ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.

4.7.3. Der Auftragsverarbeiter trägt daher für die technischen und organisatorischen Voraussetzungen Vorsorge, dass der Verantwortliche seine Meldepflichten gemäß Art 33 und 34 DSGVO gegenüber der Aufsichtsbehörde und / oder betroffenen Person innerhalb der gesetzlichen Frist erfüllen kann.

4.7.4. Für die Unterstützung steht dem Auftragsverarbeiter eine angemessene Vergütung zu.

4.8. Datenlöschung und -rückgabe

Der Auftragsverarbeiter ist nach Beendigung der Tätigkeiten im Sinne dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die personenbezogenen Daten enthalten, dem Verantwortlichen zu übergeben und ist nicht berechtigt, personenbezogene Daten, Dokumente oder Teile oder Kopien davon zurückzubehalten. Dementsprechend muss der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, löschen oder vernichten und dies dem Verantwortlichen bescheinigen. Alternativ kann der Auftragsverarbeiter auf Basis einer dokumentierten Weisung des Verantwortlichen die personenbezogenen Daten weiter für den Verantwortlichen vor unbefugter Einsicht gesichert aufbewahren.

4.9. Kooperation und Unterstützung

4.9.1. In Zusammenhang mit den in dieser Vereinbarung genannten Tätigkeiten bzw Anwendungen kooperiert der Auftragsverarbeiter mit den zuständigen Behörden und dem Verantwortlichen, insbesondere hinsichtlich etwaiger Melde- oder Genehmigungsverfahren, sowie insbesondere auch bei etwaigen Datenschutz-Folgenabschätzungen (Art 35 DSGVO) und vorherigen Konsultationen der Aufsichtsbehörde (Art 36 DSGVO).

4.9.2. Sofern der Verantwortliche in einem Drittland niedergelassen ist bzw in einem Drittland Daten der Betroffenen verarbeitet, das nicht über ein von der EU-Kommission mit Angemessenheitsbeschluss als angemessen anerkanntes Datenschutzniveau verfügt, schließt der Auftragsverarbeiter mit dem Verantwortlichen zur Einhaltung geeigneter Garantien Standardvertragsklauseln gemäß Art 46 Abs 2 lit c DSGVO, die von der EU-Kommission gemäß dem Prüfverfahren nach Art 93 Abs 2 DSGVO erlassen wurden, und vereinbart – sofern erforderlich – darüber hinausgehende, zusätzliche Maßnahmen (supplementary measures).

4.10. Einsichtnahme und Kontrolle

4.10.1. Dem Verantwortlichen wird hinsichtlich der Verarbeitung der von ihm überlassenen personenbezogenen Daten das Recht eine maximal jährliche Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen eingeräumt. Der Verantwortliche muss diese Überprüfung, einschließlich Einsichtnahme, mindestens 90 Tage im Voraus ankündigen und hat diese unter größtmöglicher Schonung des Geschäftsbetriebs des Auftragsverarbeiters durchzuführen. Bei der Entscheidung über eine Überprüfung hat der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters zu berücksichtigen.

4.10.2. Der Auftragsverarbeiter verpflichtet sich gemäß Art 28 Abs 3 lit h DSGVO, dem Verantwortlichen jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

4.10.3. Die Parteien stellen der zuständigen Aufsichtsbehörde die Ergebnisse von Prüfungen auf Anfrage zur Verfügung.

4.10.4. Der Verantwortliche trägt sämtliche damit verbundene Kosten.

5. Schlussbestimmungen

5.1. Diese Vereinbarung tritt mit Vertragsbeginn in Kraft und wird für die Geltungsdauer der jeweiligen Kooperation abgeschlossen. In Anbetracht der Art und des Zwecks dieser Vereinbarung, vereinbaren die Parteien, dass jede Kündigung oder Ablauf der Gültigkeit der Kooperation auch zur Beendigung dieser Vereinbarung führt und von ähnlichen Auswirkungen begleitet wird. Dies ist für solche Bestimmungen nicht anwendbar, deren Inhalt oder Art andeutet, dass diese auch nach der Vereinbarungsbeendigung weiter gelten sollen. Die Möglichkeit zur fristlosen Kündigung aus wichtigem Grund bleibt dadurch unberührt.

5.2. Falls der Auftragsverarbeiter seinen Pflichten gemäß dieser Vereinbarung nicht nachkommt, kann der Verantwortliche den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er die Bestimmungen dieser Vereinbarung einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er, aus welchen Gründen auch immer, nicht in der Lage ist, die Bestimmungen dieser Vereinbarung einzuhalten.

5.3. Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, wenn der Verantwortliche auf die Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 4.2.2. verstoßen. In jedem Fall muss jegliche im Auftrag erfolgte Verarbeitung von personenbezogenen Daten sofort mit dem Zeitpunkt des Wirksamwerdens der Kündigung eingestellt werden.

5.4. Die Änderungen oder Ergänzungen zu dieser Vereinbarung bedürfen bis auf die untenstehenden Ausnahmen der Schriftform, was auch in einem elektronischen Format erfolgen kann. Die Vereinbarung einschließlich ihrer Anhänge ist von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.

5.5. Bei etwaigen Widersprüchen gehen die Regelungen dieser Vereinbarung bzw anderer früheren Vereinbarungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter bezüglich unten Punkt 1 Anlage 1 dieser Vereinbarung aufgelisteten Tätigkeiten vor.

5.6. Folgende Anlagen bilden einen integrierenden Bestandteil dieser Vereinbarung:

Anlage 1: Weitere Bedingungen der Auftragsverarbeitung

Anlage 2: Technische und organisatorische Maßnahmen

Anlage 3: Liste der Subverarbeiter

ANLAGE 1
WEITERE BEDINGUNGEN DER AUFTRAGSVERARBEITUNG

1. Die Verarbeitung der personenbezogenen Daten nach dieser Vereinbarung erfolgt im Rahmen der Tätigkeit des Auftragsverarbeiters für den Verantwortlichen entsprechend dem Hauptvertrag.

2. Beschreibung der Art der personenbezogenen Daten, die im Auftrag des Verantwortlichen im Sinne dieser Vereinbarung verarbeitet werden dürfen, sowie der Kategorien der betroffenen Personen und Zwecke der Datenverarbeitung:

Verarbeitungszweck Kategorien der betroffenen Personen Art der personenbezogenen Daten
Lead-Sammlung Interessenten des Verantwortlichen und/oder seine Kunden Unternehmensname, Vorname, Nachname, Geschlecht, Telefonnummer, Beruf, E-Mail-Adresse, Foto- Ton- und Videoaufnahmen, IP-Adresse, Datum/Uhrzeit der Speicherung, ergänzende vom Interessenten und/oder Kunden übermittelte Informationen
Mitarbeitergewinnung Interessenten des Verantwortlichen Zusätzliche Daten zu oben:
Geburtsdatum, Lebenslauf und weitere vom Interessenten selbst hochgeladen Informationen
Kundendatenbank Daten des Verantwortlichen und/oder seiner Kunde Firmendaten, Vorname, Nachname, Geschlecht, Telefonnummer, Anschrift, UID, Firmenbuchnummer, Kontodaten, E-Mail-Adresse, Datum der Eintragung, Herkunft der Daten, Vertragsdaten, Foto- Ton- und Videoaufnahmen, Mitarbeiterdaten des Verantwortlichen
Pressearbeit Kundenunternehmen (inkl. Geschäftsleitung), Ansprechpartner und Kontaktpersonen im Unternehmen, Genannte Personen in Presseartikeln (z. B. Firmeninhaber, Experten, Interviewpartner) Name, Position, berufliche Kontaktdaten (E-Mail, Telefon), Foto- Ton- und Videoaufnahmen, Zitate, biografische Informationen (beruflich), Firmenspezifische Angaben (z. B. Unternehmensgeschichte, PR-Aussagen)
Website Optimierung Besucher der Websites des Verantwortlichen Server Log Files, IP-Adresse, Datum/Uhrzeit, Klickverhalten, Verweildauer, Nutzungsverhalten, Referrer-Adresse, Geodaten

 

ANLAGE 2
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN DES AUFTRAGSVERARBEITERS

1. Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen zu gewährleisten, die sich nach dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den konkreten Risiken richten und geeignet sind, um im Ergebnis ein angemessenes Schutzniveau für die Rechte der betroffenen Person sicherzustellen. Der Verantwortliche bewertet die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und führt Maßnahmen zur Minderung dieser Risiken durch.

2. Der Stand der Technik bezeichnet fortschrittliche Verfahren, Einrichtungen und Betriebsweisen, die nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles im Datenschutz gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.

3. Um die Umsetzung der technisch organisatorischen Maßnahmen zu dokumentieren, stellt der Auftragsverarbeiter dem Verantwortlichen nach Anfrage des Verantwortlichen einen Datenschutzbericht zur Verfügung, welcher die tatsächliche Umsetzung der technischen und organisatorischen Maßnahmen beschreibt. Der Verantwortliche behält sich das Recht vor, den Datenschutzbericht periodisch (einmal jährlich) oder anlassbezogen zu verlangen. Der Auftragsverarbeiter stellt diesen den Verantwortlichen innerhalb einer angemessenen Frist ohne Verrechnung von Kosten für den Verantwortlichen zur Verfügung. Die Struktur des Datenschutzberichts stellt sich wie folgt dar, kann aber je nach Bedarf und Anweisung des Verantwortlichen enger oder weiter gefasst werden:

3.1. Zugangskontrolle: Unbefugten Personen muss der Zugang zu den Einrichtungen untersagt werden, in denen personenbezogene Daten verarbeitet werden.

3.2. Datenträgerkontrolle: Unbefugte Personen müssen am Lesen, Kopieren, Ändern oder Entfernen von Datenträgern gehindert werden.

3.3. Speicherkontrolle: Unbefugte Speicherung sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter, personenbezogenen Daten müssen verhindert werden.

3.4. Benutzungskontrolle: Die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung (z. B. durch Fernzugriff) durch unbefugte Personen ist zu verhindern.

3.5. Zugriffskontrolle: Der Zugriff der berechtigten Personen ist auf die personenbezogenen Daten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen.

3.6. Übertragungskontrolle: Bei Einrichtungen zur Datenübertragung muss überprüft und festgestellt werden können, an welche Stellen personenbezogene Daten übermittelt oder zur Verfügung gestellt wurden oder werden können. Datenempfängern, denen personenbezogene Daten mittels Einrichtungen zur Datenübertragung (z. B. durch Fernzugriff) bekannt gegeben werden, müssen identifizierbar sein.

3.7. Eingabekontrolle: In automatisierten Systemen muss nachträglich überprüft werden können, welche personenbezogenen Daten zu welcher Zeit und von welcher Person eingegeben wurden (Protokolldaten).

3.8. Transportkontrolle: Bei der Bekanntgabe von personenbezogenen Daten sowie beim Transport von Datenträgern ist zu verhindern, dass Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden.

3.9. Wiederherstellungskontrolle: Je nach Schutzbedarf ist zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

3.10. Performancekontrolle: Es ist sicherzustellen, dass je nach Schutzbedarf alle Funktionen des Systems zur Verfügung stehen (Verfügbarkeit, Belastbarkeit), auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt oder offengelegt werden können (Integrität, Vertraulichkeit).

3.11. Data Breach Erkennung und Monitoring: Maßnahmen zur rechtzeitigen Erkennung und für die Nachvollziehbarkeit (i) des unbefugten Zugriffes bzw. der unbefugten Offenlegung der personenbezogenen Daten sowie (ii) von jeglichen Ereignissen, die zur Verletzung des Schutzes der personenbezogenen Daten führen können, sind zu ergreifen.

4. Im Rahmen der Kontrolle der Einhaltung obiger Datenschutzanforderungen kann die Umsetzung und Einhaltung der technisch organisatorischen Maßnahmen vom Verantwortlichen oder eines von ihm beauftragten Dritten überprüft werden. Der Verantwortliche behält sich das Recht vor, das Prüfungsintervall und die Prüfungstiefe festzulegen. Aufgrund von Datenschutzvorfällen einerseits, oder eines Nachweises der Einhaltung der Anforderungen des Datenschutzes und der Datensicherheit, wie von der Aufsichtsbehörde genehmigte datenschutzspezifische Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen andererseits kann das Prüfungsintervall und die Prüftiefe enger oder weiter gefasst werden.

5. Im Ergebnis muss der Auftragsverarbeiter hinreichend Garantien dafür bieten, dass geeignete technisch organisatorische Maßnahmen so durchgeführt werden, dass alle Anforderungen des Datenschutzes und der Datensicherheit eingehalten werden und damit ein angemessenes Schutzniveau für die Rechte der betroffenen Person sichergestellt wird.