Vereinbarung zur Auftragsverarbeitung

Stand: 2023-11-01

Zwischen RIEGE (nachfolgend „Auftragsverarbeiter“) und dem Kunden (nachfolgend „Verantwortlicher“) besteht ein Scope SaaS Dienstleistungsvertrag zur Nutzung von Scope als Software-as-a-Service Lösung (nachfolgend „Dienstleistungsvertrag“ genannt). Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten im Auftrag des Verantwortlichen (nachfolgend „Auftrag“ genannt).

Diese Vereinbarung ist vorrangig den allgemeinen Geschäftsbedingungen und findet Anwendung auf alle Tätigkeiten, die mit dem Dienstleistungsvertrag in Zusammenhang stehen und bei denen Beschäftigte oder Beauftragte des Auftragsverarbeiters mit personenbezogenen Daten des Verantwortlichen in Berührung kommen oder kommen könnten.

  1. Gegenstand und Dauer des Auftrags
    1. Der Gegenstand des Auftrags ergibt sich aus dem Dienstleistungsvertrag. Im Wesentlichen handelt es sich bei den Leistungen um den Betrieb und die Wartung des Transport Management Systems „Scope“.
    2. Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Dienstleistungsvertrags. Darüber hinaus gilt diese Vereinbarung auch für vertragsbezogene Datenverarbeitungen, die bereits vor Beginn oder noch nach Ablauf des Dienstleistungsvertrages durchgeführt werden.
  2. Konkretisierung des Auftragsinhalts
    1. Die Art der verwendeten personenbezogenen Daten sowie Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen sind im Folgenden konkret beschrieben.
    2. Im Rahmen der Software-Entwicklung nutzt der Auftragsverarbeiter anonymisierte Testdaten zur sicheren Inbetriebnahme der Software sowie zur Vermeidung und Behebung von Fehlern im Produktionsbetrieb. In Einzelfällen kann es notwendig sein, Echtdaten für diese Zwecke zu verwenden, weil Testdaten den Produktionsbetrieb nicht vollständig abbilden können. Insoweit ist es dem Auftragsverarbeiter gestattet, in begründeten Fällen und in einem dokumentierten Verfahren für begrenzte Zeit auch Echtdaten zu nutzen. Der Auftragnehmer sorgt dabei für die Einhaltung der in dieser Vereinbarung vereinbarten Maßnahmen.
    3. Gegenstand des Auftrags sind insbesondere folgende Arten personenbezogener Daten und Kategorien betroffener Personen.
      1. Kunden (Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Vertragsdaten, Auskünfte, Bankverbindungen, Abrechnungs- und Zahlungsdaten)
      2. Interessenten / Nichtkunden (Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Interessengebiete, Angebotsdaten)
      3. Mitarbeiter, Auszubildende, Praktikanten, Ruheständler, frühere Mitarbeiter (im Wesentlichen Personalstammdaten wie Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Tätigkeitsbereich)
      4. Lieferanten / Dienstleister / Handelsvertreter (Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Bankverbindungen, Vertragsdaten, Terminverwaltungsdaten, Abrechnungs- und Leistungsdaten)
      5. Zugriffsrechte der aktiven Mitarbeiter innerhalb der Anwendung sowie deren Unterschrift als Bildformat (wenn gewünscht).
    4. Die Speicherung der Daten findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland durch den Auftragsverarbeiter darf nur erfolgen, wenn die gesetzlichen Voraussetzungen erfüllt sind.
  3. Technische und organisatorische Maßnahmen
    1. Der Auftragsverarbeiter bietet im Vorfeld der Auftragsvergabe hinreichende Sicherheit, dass die technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit geltendem Datenschutzrecht erfolgt. Er hat dies zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Diese vereinbarten technischen und organisatorischen Maßnahmen sind unter folgender Webseite abrufbar: https://legal.riege.com/de-ch/toms-de . Soweit die Prüfung / ein Audit des Verantwortlichen gemäß einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen, sofern dem keine betrieblichen oder wirtschaftlichen Erfordernisse des Auftragsverarbeiters entgegenstehen. Wenn die Einhaltung der gesetzlichen Datenschutzvorschriften dem Grunde nach bereits gewährleistet war, der Verantwortliche aber darüber hinaus Anpassungen fordert, schuldet der Verantwortliche dem Auftragsverarbeiter die durch diese Unterstützung entstehenden Kosten.
    2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen und organisatorischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen der technischen und organisatorischen Maßnahmen sind zu dokumentieren.
    3. Insgesamt handelt es sich bei technischen und organisatorischen Maßnahmen (Link: https://legal.riege.com/de-ch/toms-de ) um solche, die die Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme ermöglichen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt.
  4. Berichtigung, Einschränkung und Löschung von Daten, Auskunftserteilung
    1. Der Auftragsverarbeiter hat personenbezogene Daten nur zu verarbeiten, wenn der Verantwortliche dies in dem Dienstleistungsvertrag oder in einer dokumentierten Weisung verlangt.
    2. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
    3. Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen. Dies setzt voraus, dass der Verantwortliche den Auftragsverarbeiter hierzu schriftlich oder in Textform aufgefordert hat und dem Auftragsverarbeiter die durch diese Unterstützung entstehenden Kosten erstattet. Der Auftragsverarbeiter wird ohne vorherige schriftliche Zustimmung des Verantwortlichen keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Verantwortlichen verweisen.
    4. Der Auftragsverarbeiter stellt sicher, dass die Löschung (Recht auf Vergessenwerden), Berichtigung und Auskunft nur nach dokumentierter Weisung des Verantwortlichen erfolgt.
  5. Kontrollen und sonstige Pflichten des Auftragsverarbeiters
    1. Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er erklärt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragsverarbeiter überwacht die Einhaltung der für ihn geltenden datenschutzrechtlichen Vorschriften in seinem Verantwortungsbereich. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten liegt jedoch sowohl im Innenverhältnis zwischen den Vertragsparteien als auch im Aussenverhältnis beim Verantwortlichen.
    2. Der Auftragsverarbeiter ist nicht berechtigt, die Daten an Dritte weiterzugeben. Kopien werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
    3. Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten
    4. ; insofern gewährleistet er die Einhaltung folgender Vorgaben:
      1. Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit ausübt.
        Link Kontaktdaten Datenschutzbeauftragter (https://legal.riege.com/de-ch/datenschutzbeauftragter).
      2. Der Auftragsverarbeiter gewährleistet die Wahrung der Vertraulichkeit. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die während der Dauer des Beschäftigungsverhältnisses sowie über dessen Beendigung hinaus schriftlich zur Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
      3. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich zur Erfüllung des Dienstleistungsvertrags oder entsprechend der dokumentierten Weisung des Verantwortlichen verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Eine Weisung kann schriftlich oder auch in einem elektronischen Format erfolgen.Die Verpflichtung auf die Vertraulichkeit besteht auch nach Beendigung des Auftrags fort.
      4. Der Auftragsverarbeiter sorgt für die Umsetzung und Einhaltung aller für diesen Auftrag vereinbarten technischen und organisatorischen Maßnahmen (Einzelheiten unter folgender Webseite: Link: https://legal.riege.com/de-ch/toms-de .
      5. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
      6. Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
      7. Der Auftragsverarbeiter ist zur Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen verpflichtet. Dabei kann der Nachweis auch durch die Einhaltung genehmigter Verhaltensregeln, Vorlage eines Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Datenschutzbeauftragter) oder einer geeigneten Zertifizierung nach einem genehmigten datenschutzspezifischen Zertifizierungsverfahren sowie durch Datenschutzsiegel, durch IT-Sicherheits- oder Datenschutzaudit (z. B. ISO 27001) und den dazugehörenden Auditberichten erbracht werden, sofern diese die tatsächlich vereinbarten Maßnahmen betreffen.
      8. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde zusammen. Der Verantwortliche vergütet dem Auftragsverarbeiter die dabei entstehenden Aufwände.
      9. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten zur Sicherheit personenbezogener Daten, Meldungen von Verletzungen des Schutzes von personenbezogenen Daten, Datenschutzfolgeabschätzungen und vorherigen Konsultationen. Der Verantwortliche schuldet dem Auftragsverarbeiter die dabei entstehenden Aufwände in Form einer angemessenen Vergütung.
    5. Der Auftragsverarbeiter hat ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Der Auftragsverarbeiter stellt der Aufsichtsbehörde auf Anfrage das Verarbeitungsverzeichnis zur Verfügung.
  6. Unterauftragsverhältnisse / Subunternehmer
    1. Die Verarbeitung von Daten über Telearbeitsplätze ist gestattet.
    2. Der Verantwortliche ist damit einverstanden, dass der Auftragsverarbeiter zur Erfüllung seiner vertraglich vereinbarten Leistungen Unterauftragsverarbeiter zur Leistungserfüllung heranzieht bzw. mit den aufgeführten Leistungen unterbeauftragt. Sofern der Auftragsverarbeiter neue Unterauftragsverarbeiter einsetzen will, hat der Verantwortliche innerhalb eines Zeitraums von 30 Tagen nach der Benachrichtigung durch den Auftragsverarbeiter über eine beabsichtigte Änderung die Möglichkeit, gegen die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters aus sachlichem Grund Einspruch erheben. Falls der Verantwortliche den Unterauftragsverarbeiter innerhalb dieses Zeitraums nicht ablehnt, kann dieser mit der Verarbeitung personenbezogener Daten beauftragt werden.
    3. Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit dem Unterauftragsverarbeiter so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Verantwortlichem und Auftragsverarbeiter entsprechen.
    4. Der Auftragsverarbeiter wird den Unterauftragsverarbeiter nach dessen Eignung unter besonderer Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.
    5. Kontrollen bei Unterauftragsverarbeitern werden in der Kette durch den Auftragsverarbeiter und externe Prüfer wahrgenommen; sofern der Verantwortliche selbst oder durch seine Prüfer eine direkte Kontrolle beim Unterauftragsverarbeiter beabsichtigt, muss er eine entsprechende Einzelweisung nach § 9 (1) erteilen. Der Verantwortliche schuldet dem Auftragsverarbeiter sowie den Unterauftragsverarbeitern angemessene Vergütung.
    6. Die zum Zeitpunkt des Abschlusses dieser Vereinbarung durch den Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter sind unter folgender Webseite abrufbar, Link: https://legal.riege.com/de/subdienstleister . Der Verantwortliche bestätigt, sich zum Zeitpunkt des Vertragsschlusses eine dauerhafte Kopie der zu diesem Zeitpunkt eingesetzten Unterauftragsverarbeiter abgespeichert zu haben. Eine Benachrichtigung über neue Unterauftragsverarbeiter erfolgt über die Aktualisierung der Webseite und per E-Mail an die vom Verantwortlichen hinterlegte E-Mail-Adresse.
    7. Als Unterauftragsverhältnisse sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht als Subunternehmerverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen, Post- und Versanddienstleistungen, externe Personaldienstleistungen, Reinigungskräfte oder Prüfer. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
  7. Rechte und Pflichten des Verantwortlichen, Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters
    1. Der Verantwortliche ist dazu verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, welche hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Der Verantwortliche verpflichtet sich zur Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere zur rechtmäßigen Datenweitergabe an den Auftragsverarbeiter.
    2. Der Verantwortliche hat das Recht, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen vor Beginn der Datenverarbeitung beim Auftragsverarbeiter und sodann regelmäßig in angemessenem Umfang, im Benehmen mit dem Auftragsverarbeiter zu prüfen oder durch im Einzelfall zu benennende und zur Berufsverschwiegenheit verpflichtete Prüfer/ Dritte durchführen zu lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Auftragsverarbeiter ist berechtigt, dem Verantwortlichen etwaige durch die Kontrollen entstandenen Kosten in Rechnung zu stellen.
    3. Darunter fallen insbesondere die Einholung von Auskünften bei dem Auftragsverarbeiter und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Verantwortliche hat das Recht, sich innerhalb der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durch Stichprobenkontrollen, die in der Regel 21 Werktage vorher anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen. Der Auftragsverarbeiter verpflichtet sich zur Duldung und Mitwirkung bei der Kontrolle, insbesondere dem Verantwortlichen auf schriftliche Anforderung Auskünfte zu erteilen und Nachweise zur Verfügung zu stellen, die zur Durchführung der Kontrolle erforderlich sind. Darunter fallen z. B. ein Nachweis über die Umsetzung der technischen und organisatorischen Maßnahmen (siehe § 5 (3) 8 dieses Vertrages) und ein Nachweis über die Einhaltung genehmigter Verhaltensregeln.
    4. Der Verantwortliche informiert den Auftragsverarbeiter, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
    5. Die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten obliegt dem Verantwortlichen und ggf. seinem Vertreter. Auf Anfrage stellt der Verantwortliche der Behörde das Verarbeitungsverzeichnis zur Verfügung.
  8. Mitteilungen bei Datenschutzverletzungen
    Im Falle der Verletzung des Schutzes personenbezogener Daten (z.B. Abhandenkommen oder unrechtmäßige Übermittlung oder Kenntniserlangung von personenbezogenen Daten) des Verantwortlichen hat der Auftragsverarbeiter ohne Ansehen der Verursachung unverzüglich den Verantwortlichen zu informieren. Der Auftragsverarbeiter hat sich mit dem Verantwortlichen abzusprechen und angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
  9. Weisungsbefugnis des Verantwortlichen
    1. Der Umfang der Weisungen des Verantwortlichen wird durch diese Vereinbarung und den Dienstleistungsvertrag festgelegt. Der Verantwortliche behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung darüber hinaus ein Recht zu Einzelweisungen über Art, Umfang und Verfahren der Datenverarbeitung vor. Soweit eine Einzelweisung über die vereinbarten Leistungen des Dienstleistungsvertrages hinausgeht, kann der Auftragsverarbeiter für die Umsetzung dieser Einzelweisungen eine angemessene Vergütung verlangen. Sollte der Auftragsverarbeiter dem Verantwortlichen mitteilen, dass einer Einzelweisung auch gegen gesonderte Vergütung nicht entsprochen werden kann, kann der Verantwortliche den Dienstleistungsvertrag und diese Vereinbarung mit einer Frist von sieben Werktagen zum Monatsende zu kündigen.
    2. Weisungen werden grundsätzlich schriftlich erteilt. Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Verantwortliche wird dem Auftragsverarbeiter in Textform mitteilen, welche Personen weisungsberechtigt sind; erfolgt keine Mitteilung, gelten alle Personen des Verantwortlichen als weisungsberechtigt. Die Weisungsempfänger beim Auftragsverarbeiter sind auf folgender Webseite zu finden: Link: https://legal.riege.com/de/subdienstleister
    3. Der Auftragsverarbeiter hat den Verantwortlichen zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. Sollten von einer solchen Verzögerung zwischen den Parteien vereinbarte Service Level bzw. Fristen betroffen sein, so werden diese während der Verzögerung ausgesetzt.
  10. Haftung
    1. Der Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell auferlegten Pflichten im Datenschutz nicht nachgekommen ist, oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
    2. Der Verantwortliche oder mehrere Verantwortliche und der Auftragsverarbeiter oder mehrere Auftragsverarbeiter haften bei einer Auftragsverarbeitung, für durch die Verarbeitung verursachten Schäden.
    3. Es gelten im Übrigen die Haftungsregelungen und -beschränkungen des Dienstleistungsvertrages.
  11. Löschung von Daten und Rückgabe von Datenträgern
    1. Falls im Dienstleistungsvertrag nichts anderes vereinbart ist, hat der Auftragsverarbeiter aufgrund einer separat abzurechnenden Einzelbeauftragung durch den Verantwortlichen sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach dessen vorheriger schriftlicher Weisung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Die Löschung bzw. Vernichtung ist dem Verantwortlichen mit Datumsangabe schriftlich zu bestätigen.
    2. Der Auftragsverarbeiter ist berechtigt und verpflichtet, personenbezogene Daten, die zur Vertragserfüllung nicht mehr erforderlich sind, spätestens mit Beendigung des Dienstleistungsvertrages zu löschen.
    3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
    4. Es ist gewährleistet, dass zur Verarbeitung/Löschung bestimmte Datenträger während ihres Transportes gegen unberechtigte Einsichtnahme und Verlust geschützt sind.
  12. Schlussbestimmungen
    Im Übrigen gelten die Regelungen des Dienstleistungsvertrages (einschließlich der Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters). Bei etwaigen Widersprüchen gehen die Regelungen dieser Vereinbarung den Regelungen des Dienstleistungsvertrages vor.