1. Pflichten des Auftragsverarbeiters

 

  • Die Cobeos GmbH -nachfolgend Auftragnehmer- ist Auftragsverarbeiter und verarbeitet personenbezogene Daten im Auftrag der jeweiligen Verantwortlichen. Der Auftraggeber beauftragt den Auftragnehmer mit der Verarbeitung dieser Daten. Dies betrifft auch die Beauftragung des Auftragnehmers als Sub-Unternehmer.

 

 

  • Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge und Weisungen des Auftraggebers zu verarbeiten. Der Auftragnehmer verpflichtet sich, Handlungen zu unterlassen, die im Widerspruch zu seiner Position als Auftragsverarbeiter stehen und ist an die sorgfältige Einhaltung seiner datenschutzrechtlichen Pflichten gebunden. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren.

 

 

  • Der Auftragnehmer erklärt, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden aus dem Unternehmen des Auftragnehmers erhalten.

 

 

  • Der Auftragnehmer verarbeitet die vom Auftraggeber überlassenen personenbezogenen Daten nach dem Grundsatz der Datenminimierung und daher nur soweit, als dies zur Erbringung der zuvor genannten Arbeiten bzw. Anwendungen erforderlich ist. Der Auftragnehmer stellt weiterhin sicher, dass die vom Auftraggeber überlassenen personenbezogenen Daten und andere, eigene Daten des Auftragnehmers oder seiner Kunden getrennt verarbeitet werden.

 

 

  • Der Auftragnehmer erklärt, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DSGVO ergriffen hat. Auf Anfrage des Auftraggebers wird der Auftragnehmer jederzeit und innerhalb angemessener Frist eine Übersicht, über die vom Auftragnehmer getroffenen technischen und organisatorischen Datensicherheitsmaßnahmen zur Verfügung stellen.

 

 

  • Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III DSGVO innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen.

 

 

  • Der Auftragnehmer unterstützt den Auftraggeber und den jeweils Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

 

 

  • Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, durch die jeweiligen Verantwortlichen oder durch Datenschutzeinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber und dem jeweiligen Verantwortlichen jene Informationen zur Verfügung zu stellen, die zur Kontrolle der genannten Einhaltung notwendig ist.

 

 

  • Der Auftragnehmer ist nach Beendigung des Vertragsverhältnisses verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, an den Auftraggeber zu übergeben oder auf Weisung des Auftraggebers direkt zu vernichten. Die Einbehaltung gesetzlicher Aufbewahrungsfristen obliegt dem Auftraggeber.

 

 

  1. Ort der Durchführung der Datenverarbeitung

 

  • Alle Datenverarbeitungstätigkeiten durch den Auftragnehmer werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt

 

 

  1. Subauftragsverarbeiter

 

  • Der Auftragsverarbeiter ist gemäß Art. 28 Abs. 2 DSGVO nicht berechtigt, weitere Subauftragsverarbeiter heranzuziehen.

 

 

  • Sofern der Auftragsverarbeiter dennoch einen Subauftragsverarbeiter heranziehen möchte, ist dafür die vorherige schriftliche Zustimmung vom Auftraggeber einzuholen. Im Fall einer solchen Zustimmung wird ein Vertrag gemäß Art. 28 Abs. 4 DSGVO zwischen dem Auftragsverarbeiter und dem Subauftragsverarbeiter abgeschlossen. Hierin wird sichergestellt, dass der zusätzlich hinzugezogene Subauftragsverarbeiter dieselben Verpflichtungen eingeht, die auch dem Auftragsverarbeiter obliegen.

 

 

  • Subauftragsverarbeiter außerhalb des EWR werden nicht beauftragt.