Vereinbarung zur Auftragsverarbeitung
Stand: 2023-11
Zwischen RIEGE (nachfolgend „Auftragsverarbeiter“) und dem Kunden (nachfolgend „Verantwortlicher“) besteht ein Dienstleistungsvertrag zur Nutzung von Scope als Software-as-a-Service Lösung (nachfolgend „Dienstleistungsvertrag“ genannt). Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten im Auftrag des Verantwortlichen nach Art. 28 DSGVO (nachfolgend „Auftrag“ genannt).
Diese Vereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Dienstleistungsvertrag in Zusammenhang stehen und bei denen Beschäftigte oder Beauftragte des Auftragsverarbeiters mit personenbezogenen Daten des Verantwortlichen in Berührung kommen oder kommen könnten.
§ 1 Gegenstand und Dauer des Auftrags
(1) Der Gegenstand des Auftrags ergibt sich aus dem Dienstleistungsvertrag. Im Wesentlichen handelt es sich bei den Leistungen um den Betrieb und die Wartung des Transport Management Systems „Scope“.
(2) Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Dienstleistungsvertrags. Darüber hinaus gilt diese Vereinbarung auch für vertragsbezogene Datenverarbeitungen, die bereits vor Beginn oder noch nach Ablauf des Dienstleistungsvertrages durchgeführt werden.
§ 2 Konkretisierung des Auftragsinhalts
(1) Die Art der verwendeten personenbezogenen Daten sowie Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen sind im Folgenden konkret beschrieben.
(2) Im Rahmen der Software-Entwicklung nutzt der Auftragsverarbeiter anonymisierte Testdaten zur sicheren Inbetriebnahme der Software sowie zur Vermeidung und Behebung von Fehlern im Produktionsbetrieb. In Einzelfällen kann es notwendig sein, Echtdaten für diese Zwecke zu verwenden, weil Testdaten den Produktionsbetrieb nicht vollständig abbilden können. Insoweit ist es dem Auftragsverarbeiter gestattet, in begründeten Fällen und in einem dokumentierten Verfahren für begrenzte Zeit auch Echtdaten zu nutzen. Der Auftragnehmer sorgt dabei für die Einhaltung der in dieser Vereinbarung vereinbarten Maßnahmen.
(3) Gegenstand des Auftrags sind insbesondere folgende Arten personenbezogener Daten und Kategorien betroffener Personen.
a) Kunden (Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Vertragsdaten, Auskünfte, Bankverbindungen, Abrechnungs- und Zahlungsdaten)
b) Interessenten / Nichtkunden (Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Interessengebiete, Angebotsdaten)
c) Mitarbeiter, Auszubildende, Praktikanten, Ruheständler, frühere Mitarbeiter (im Wesentlichen Personalstammdaten wie Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Tätigkeitsbereich)
d) Lieferanten / Dienstleister / Handelsvertreter (Namen, Adressdaten, Kontaktdaten einschl. Telefon-, Fax- und E-Mail-Daten, Bankverbindungen, Vertragsdaten, Terminverwaltungsdaten, Abrechnungs- und Leistungsdaten)
e) Zugriffsrechte der aktiven Mitarbeiter innerhalb der Anwendung sowie deren Unterschrift als Bildformat (wenn gewünscht).
(4) Die Speicherung der Daten findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
§ 3 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter bietet im Vorfeld der Auftragsvergabe hinreichende Garantien, dass die technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Er hat dies zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortli-chen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Diese vereinbarten technischen und organisatorischen Maßnahmen sind unter folgender Webseite abrufbar: https://legal.riege.com/de-de/toms-de. Soweit die Prüfung / ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen, sofern dem keine betrieblichen oder wirtschaftlichen Erfordernisse des Auftragsverarbeiters entgegenstehen. Wenn die Einhaltung der gesetzlichen Datenschutzvorschriften dem Grunde nach bereits gewährleistet war, erstattet der Verantwortliche dem Auftragsverarbeiter die durch diese Unterstützung entstehenden Kosten.
(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen und organisatorischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen der technischen und organisatorischen Maßnahmen sind zu dokumentieren.
(3) Insgesamt handelt es sich bei den in Anlage TOM vereinbarten Maßnahmen um solche, die die Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme ermöglichen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO berücksichtigt.
§ 4 Berichtigung, Einschränkung und Löschung von Daten, Auskunftserteilung
(1) Der Auftragsverarbeiter hat personenbezogene Daten nur zu verarbeiten, wenn der Verantwortliche dies in dem Dienstleistungsvertrag oder in einer dokumentierten Weisung verlangt.
(2) Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Art. 15 ff. DSGVO genannten Rechte der betroffenen Person nachzukommen. Dies setzt voraus, dass der Verantwortliche den Auftragsverarbeiter hierzu schriftlich oder in Textform aufgefordert hat und dem Auftragsverarbeiter die durch diese Unterstützung entstehenden Kosten erstattet. Der Auftragsverarbeiter wird ohne vorherige schriftliche Zustimmung des Verantwortlichen keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Verantwortlichen verweisen.
(4) Der Auftragsverarbeiter stellt sicher, dass die Löschung (Recht auf Vergessenwerden, Art. 17 DSGVO), Berichtigung (Art. 16 DSGVO) und Auskunft (Art. 15 DSGVO) nur nach dokumentierter Weisung des Verantwortlichen erfolgt.
§ 5 Kontrollen und sonstige Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er erklärt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften, insbesondere der DSGVO und des BDSG-neu, bekannt sind. Der Auftragsverarbeiter überwacht die Einhaltung der für ihn geltenden datenschutzrechtlichen Vorschriften in seinem Verantwortungsbereich. Im Verhältnis zwischen den Vertragsparteien ist aber der Verantwortliche für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten verantwortlich.
(2) Der Auftragsverarbeiter ist nicht berechtigt, die Daten an Dritte weiterzugeben. Kopien werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(3) Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gem. Art. 28 bis 33 DSGVO; insofern gewährleistet er die Einhaltung folgender Vorgaben:
1. Schriftliche Bestellung eines Datenschutzbeauftragten gem. Art. 37 DSGVO, der seine Tätigkeit gem. Art. 38 und 39 DSGVO ausübt. Seine Kontaktdaten sind unter folgendem Link abrufbar: https://legal.riege.com/de-de/datenschutzbeauftragter
2. Der Auftragsverarbeiter gewährleistet die Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b DSGVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die schriftlich auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
3. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten gem. Art. 28 Abs. 3 S. 2 lit. a DSGVO ausschließlich entsprechend der dokumentierten Weisung des Verantwortlichen verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Eine Weisung kann schriftlich oder auch in einem elektronischen Format erfolgen (Art. 28 Abs. 9 DSGVO). Die Verpflichtung auf die Vertraulichkeit besteht auch nach Beendigung des Auftrags fort.
4. Der Auftragsverarbeiter sorgt für die Umsetzung und Einhaltung aller für diesen Auftrag vereinbarten technischen und organisatorischen Maßnahmen gem. Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten unter folgender Webseite: https://legal.riege.com/de-de/toms-de).
5. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
6. Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
7. Der Auftragsverarbeiter ist zur Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen verpflichtet. Dabei kann der Nachweis auch durch die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO, Vorlage eines Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Datenschutzbeauftragter) oder einer geeigneten Zertifizierung nach einem genehmigten datenschutzspezifischen Zertifizierungsverfahren sowie durch Datenschutzsiegel gem. Art. 42 DSGVO, durch IT-Sicherheits- oder Datenschutzaudit (z. B. BSI-Grundschutz oder ISO 27001) und den dazugehörenden Auditberichten erbracht werden, sofern diese die tatsächlich vereinbarten Maßnahmen betreffen.
8. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde zusammen im Sinne des Art. 31 DSGVO. Der Verantwortliche vergütet dem Auftragsverarbeiter die dabei entstehenden Aufwände.
9. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldungen von Verletzungen des Schutzes von personenbezogenen Daten, Datenschutzfolgeabschätzungen und vorherigen Konsultationen. Der Verantwortliche vergütet dem Auftragsverarbeiter die dabei entstehenden Aufwände.
(4) Der Auftragsverarbeiter hat ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO zu führen. Der Auftragsverarbeiter stellt der Aufsichtsbehörde auf Anfrage das Verarbeitungsverzeichnis zur Verfügung gem. Art. 30 Abs. 4 DSGVO.
§ 6 Unterauftragsverhältnisse / Subunternehmer
(1) Die Verarbeitung von Daten über Telearbeitsplätze ist gestattet
(2) Der Verantwortliche ist damit einverstanden, dass der Auftragsverarbeiter zur Erfüllung seiner vertraglich vereinbarten Leistungen Unterauftragsverarbeiter zur Leistungserfüllung heranzieht bzw. mit den aufgeführten Leistungen unterbeauftragt. Sofern der Auftragsverarbeiter neue Unterauftragsverarbeiter einsetzen will, hat der Verantwortliche innerhalb eines Zeitraums von 30 Tagen nach der Benachrichtigung durch den Auftragsverarbeiter über eine beabsichtigte Änderung die Möglichkeit, gegen die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters aus sachlichem Grund Einspruch erheben. Falls der Verantwortliche den Unterauftragsverarbeiter innerhalb dieses Zeitraums nicht ablehnt, kann dieser mit der Verarbeitung personenbezogener Daten beauftragt werden.
(3) Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit dem Unterauftragsverarbeiter so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Verantwortlichem und Auftragsverarbeiter entsprechen.
(4) Der Auftragsverarbeiter wird den Unterauftragsverarbeiter nach dessen Eignung unter besonderer Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.
(5) Kontrollen bei Unterauftragsverarbeitern werden in der Kette durch den Auftragsverarbeiter und externe Prüfer wahrgenommen; sofern der Verantwortliche selbst oder durch seine Prüfer eine direkte Kontrolle beim Unterauftragsverarbeiter beabsichtigt, muss er eine entsprechende Einzelweisung nach § 9 (1) erteilen.
(6) Die zum Zeitpunkt des Abschlusses dieser Vereinbarung durch den Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter sind unter folgender Webseite abrufbar: https://legal.riege.com/de/subdienstleister.
Der Verantwortliche bestätigt, sich zum Zeitpunkt des Vertragsschlusses eine dauerhafte Kopie der zu diesem Zeitpunkt eingesetzten Unterauftragsverarbeiter abgespeichert zu haben. Eine Benachrichtigung über neue Unterauftragsverarbeiter erfolgt über die Aktualisierung der Webseite und per E-Mail an die vom Verantwortlichen hinterlegte E-Mail-Adresse.
(7) Als Unterauftragsverhältnisse sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht als Subunternehmerverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen, Post- und Versanddienstleistungen, externe Personaldienstleistungen, Reinigungskräfte oder Prüfer. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
§ 7 Rechte und Pflichten des Verantwortlichen, Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters
(1) Nach Art. 28 Abs. 1 DSGVO ist der Verantwortliche dazu verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, welche hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Der Verantwortliche verpflichtet sich zur Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere zur rechtmäßigen Datenweitergabe an den Auftragsverarbeiter.
(2) Der Verantwortliche hat das Recht, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen vor Beginn der Datenverarbeitung beim Auftragsverarbeiter und sodann regelmäßig in angemessenem Umfang, im Benehmen mit dem Auftragsverarbeiter zu prüfen oder durch im Einzelfall zu benennende und zur Berufsverschwiegenheit verpflichtete Prüfer/ Dritte durchführen zu lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Auftragsverarbeiter ist berechtigt, dem Verantwortlichen etwaige durch die Kontrollen entstandenen Kosten in Rechnung zu stellen.
(3) Darunter fallen insbesondere die Einholung von Auskünften bei dem Auftragsverarbeiter und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Verantwortliche hat das Recht, sich innerhalb der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durch Stichprobenkontrollen, die in der Regel 21 Werktage vorher anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen. Der Auftragsverarbeiter verpflichtet sich zur Duldung und Mitwirkung bei der Kontrolle, insbesondere dem Verantwortlichen auf schriftliche Anforderung Auskünfte zu erteilen und Nachweise zur Verfügung zu stellen, die zur Durchführung der Kontrolle erforderlich sind. Darunter fallen z. B. ein Nachweis über die Umsetzung der technischen und organisatorischen Maßnahmen (siehe § 5 (3) 8 dieses Vertrages) und ein Nachweis über die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO.
(4) Der Verantwortliche informiert den Auftragsverarbeiter, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(5) Die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO obliegt dem Verantwortlichen und ggf. seinem Vertreter. Auf Anfrage stellt der Verantwortliche der Behörde das Verarbeitungsverzeichnis zur Verfügung (Art. 30 Abs. 4 DSGVO).
§ 8 Mitteilungen bei Datenschutzverletzungen
Im Falle der Verletzung des Schutzes personenbezogener Daten (z.B. Abhandenkommen oder unrechtmäßige Übermittlung oder Kenntniserlangung von personenbezogenen Daten) des Verantwortlichen hat der Auftragsverarbeiter ohne Ansehen der Verursachung unverzüglich den Verantwortlichen zu informieren. Der Auftragsverarbeiter hat sich mit dem Verantwortlichen abzusprechen und angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
§ 9 Weisungsbefugnis des Verantwortlichen
(1) Der Umfang der Weisungen des Verantwortlichen wird durch diese Vereinbarung und den Dienstleistungsvertrag festgelegt. Der Verantwortliche behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung darüber hinaus ein Recht zu Einzelweisungen über Art, Umfang und Verfahren der Datenverarbeitung vor. Soweit eine Einzelweisung über die vereinbarten Leistungen des Dienstleistungsvertrages hinausgeht, kann der Auftragsverarbeiter für die Umsetzung dieser Einzelweisungen eine angemessene Vergütung verlangen. Sollte der Auftragsverarbeiter dem Verantwortlichen mitteilen, dass einer Einzelweisung auch gegen gesonderte Vergütung nicht entsprochen werden kann, kann der Verantwortliche den Dienstleistungsvertrag und diese Vereinbarung mit einer Frist von sieben Werktagen zum Monatsende zu kündigen.
(2) Weisungen werden grundsätzlich schriftlich erteilt. Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Verantwortliche wird dem Auftragsverarbeiter in Textform mitteilen, welche Personen weisungsberechtigt sind; erfolgt keine Mitteilung, gelten alle Personen des Verantwortlichen als weisungsberechtigt. Die Weisungsempfänger beim Auftragsverarbeiter sind auf folgender Webseite zu finden: https://legal.riege.com/de-de/datenschutzbeauftragter
(3) Der Auftragsverarbeiter hat den Verantwortlichen zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. Sollten von einer solchen Verzögerung zwischen den Parteien vereinbarte Service Level bzw. Fristen betroffen sein, so werden diese während der Verzögerung ausgesetzt.
§ 10 Haftung
(1) Der Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell auferlegten Pflichten aus der DSGVO nicht nachgekommen ist, oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(2) Der Verantwortliche oder mehrere Verantwortliche und der Auftragsverarbeiter oder mehrere Auftragsverarbeiter haften bei einer Auftragsverarbeitung gesamtschuldnerisch gem. Art. 82 Abs. 4 DSGVO, für durch die Verarbeitung verursachten Schäden.
(3) Es gelten im Übrigen die Haftungsregelungen und -beschränkungen des Dienstleistungsvertrages.
§ 11 Löschung von Daten und Rückgabe von Datenträgern
(1) Falls im Dienstleistungsvertrag nichts anderes vereinbart ist, hat der Auftragsverarbeiter aufgrund einer separat abzurechnenden Einzelbeauftragung durch den Verantwortlichen sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach dessen vorheriger schriftlicher Weisung datenschutzgerecht zu vernichten; Sicherungsmedien sind von der Pflicht zur Löschung und Herausgabe ausgenommen. Gleiches gilt für Test- und Ausschussmaterial. Die Löschung bzw. Vernichtung ist dem Verantwortlichen mit Datumsangabe schriftlich zu bestätigen.
(2) Der Auftragsverarbeiter ist berechtigt und verpflichtet, personenbezogene Daten, die zur Vertragserfüllung nicht mehr erforderlich sind, spätestens mit Beendigung des Dienstleistungsvertrages zu löschen.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
(4) Es ist gewährleistet, dass zur Verarbeitung/Löschung bestimmte Datenträger während ihres Transportes gegen unberechtigte Einsichtnahme und Verlust geschützt sind.
§ 12 Schlussbestimmungen
Im Übrigen gelten die Regelungen des Dienstleistungsvertrages (einschließlich der Allge-meinen Geschäftsbedingungen des Auftragsverarbeiters). Bei etwaigen Widersprüchen gehen die Regelungen dieser Vereinbarung den Regelungen des Dienstleistungsvertrages vor.