Version 25.01. Stand 27.03.2025

§ 1 Gegenstand und Dauer des Auftrages

(1)       
Der Auftragnehmer führt die Informationen zur
Auftragsdatenverarbeitung beschriebenen Dienstleistungen
für den Auftraggeber aus. Gegenstand, Art und Zweck der Datenverarbeitung, die Art der Daten sowie die Kategorien betroffener Personen werden dort
beschrieben.

(2)       
Dieser Vertrag
tritt, solange keine anderweitigen Regelungen vereinbart wurden, mit Vertragsabschluss in Kraft und gilt
für die gesamte Laufzeit des Hauptvertrages.

§ 2 Weisungen des Auftraggebers

(1)       
Der Auftraggeber
ist für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzrechts, insbesondere für die Rechtmäßigkeit der Verarbeitung, sowie die
Wahrung der Betroffenenrechte verantwortlich. Vertragliche und /oder gesetzliche Haftungsregeln bleiben
hiervon unberührt.

(2)       
Der Auftragnehmer
verarbeitet die ihm zur Verfügung
gestellten personenbezogenen Daten ausschließlich nach Weisungen des Auftraggebers und im Rahmen
der getroffenen Vereinbarungen. Daten
dürfen nur berichtigt, gelöscht und gesperrt
werden, wenn der Auftraggeber dies anweist.

(3)       
Die Verarbeitung
erfolgt nur auf Weisung des Auftraggebers, es sei denn, der Auftraggeber ist durch das Recht der Europäischen Union
oder der Mitgliedsstaaten, dem der Auftragnehmer
unterliegt, zur Verarbeitung dieser Daten verpflichtet. In einem solchem Fall
sind diese rechtlichen Anforderungen vor der Verarbeitung durch den
Auftragnehmer, dem Auftraggeber mitzuteilen, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
untersagt.

(4)       
Weisungen, die die Verarbeitung personenbezogener Daten auf den IT-Systemen des Auftragnehmers beinhalten bedürfen der Schriftform durch den
Auftraggeber. Diese Weisungen sind durch
den Auftragnehmer zu dokumentieren.

(5)       
Ist der
Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen
datenschutzrechtliche Vorschriften verstößt,
hat er den Auftraggeber unverzüglich darauf hinzuweisen.

§ 3 Pflichten des Auftragnehmers

(1)       
Der Auftragnehmer
bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt
sind (BDSG, DS-GVO).
Er gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass er den besonderen Anforderungen des Datenschutzes gerecht wird. Eine aktuelle
Übersicht der umgesetzten Maßnahmen kann unter Informationen zur
Auftragsdatenverarbeitung jederzeit eingesehen werden.

(2)       
Der Auftragnehmer bietet hinreichende Garantien
dafür, dass die geeigneten technischen und organisatorischen
Maßnahmen (TOM) durchgeführt werden. Diese gewährleisten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften und den
Betroffenenrechten steht.

(3)       
Der Auftragnehmer
sichert zu, dass die Mitarbeiter, welche mit der Durchführung der Arbeiten
betraut werden, mit den für ihn maßgeblichen Bestimmungen des Datenschutzes
vertraut sind und die zur Verarbeitung der personenbezogenen Daten befugten Personen
zur Vertraulichkeit und Geheimhaltung verpflichtet sind oder einer
angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

(4)       
Der Auftragnehmer
darf im Rahmen der Auftragsdatenverarbeitung nur dann auf personenbezogene Daten
des Auftraggebers zugreifen, wenn dies für die Durchführung der Auftragsdatenverarbeitung
notwendig ist.

(5)       
Soweit gesetzlich
vorgeschrieben, bestellt der Auftragnehmer einen Datenschutzbeauftragten. Die Kontaktdaten des benannten Datenschutzbeauftragten werden in
den Datenschutzhinweisen unter https://itcos.de/policies/privacy-policy veröffentlicht.

(6)       
Der Auftragnehmer darf die ihm zur Verfügung
gestellten personenbezogen Daten ausschließlich innerhalb der Mitgliedsstaaten der Europäischen Union
verarbeiten. Die Verarbeitung von personenbezogenen Daten
in einem Drittland
darf erfolgen, wenn dafür die besonderen gesetzlichen
Voraussetzungen erfüllt sind.

(7)       
Der Auftragnehmer
unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen, damit diese seine bestehenden Pflichten
gegenüber der betroffenen
Person erfüllen kann, z. B. die Berichtigung und / oder Löschung von
personenbezogen Daten, die Information und Auskunft an die betroffene Person,
die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch.
Als erster Ansprechpartner steht dem Auftraggeber der benannte
Datenschutzbeauftragte zur Verfügung. Soweit der Auftraggeber besonderen
gesetzlichen Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten unterliegt, unterstützt der Auftragnehmer den Auftragsgeber hierbei.

(8)       
Bei den Daten des
Auftraggebers handelt es sich in der Regel um Daten, die dem Schutzbereich des
§ 203 StGB unterliegen. Durch landesrechtliche Regelungen ist eine Einschaltung
von Dienstleistern dennoch unter bestimmten Umständen erlaubt. Zudem dürfen nach § 203 Abs. 3 StGB mitwirkende Personen eingeschaltet werden,
soweit dies erforderlich ist.
Allerdings ist der Auftraggeber verpflichtet, sicherzustellen, dass alle Mitwirkenden
zur Geheimhaltung verpflichtet wurden. Der Auftragnehmer verpflichtet sich
daher, alle Personen, die im Rahmen der beauftragten Tätigkeit mitwirken, auf
die Geheimhaltung nach § 203 StGB zu verpflichten. Dies bedeutet insbesondere,
dass für die Verarbeitung nur Mitarbeiter eingesetzt werden dürfen, die durch
den Auftragnehmer vorher schriftlich auf die Verschwiegenheit nach § 203 StGB
verpflichtet wurden. Dem Auftragnehmer ist bekannt,
dass hinsichtlich der dem Berufsgeheimnis unterliegenden Daten ein
Zeugnisverweigerungsrecht nach § 53a StPO besteht. Über die Ausübung
des Rechtes auf Zeugnisverweigerung
entscheidet der Berufsgeheimnisträger des Auftraggebers. Dem Auftragnehmer ist
bekannt, dass die dem Berufsgeheimnisträger unterliegenden Daten, die sich im Gewahrsam des Auftragnehmers zur Erhebung, Verarbeitung oder Nutzung befinden, dem Beschlagnahmeverbot des § 97
Abs. 2 S. 2 StPO unterliegen. Einer Sicherstellung ist zu widersprechen. Der
Auftraggeber ist unverzüglich schriftlich zu informieren, wenn eine
Beschlagnahme der Daten zu erwarten ist, bevorsteht oder erfolgt ist.

§ 4 TOM (technische und organisatorische Maßnahmen)

(1)       
Der Auftragnehmer verpflichtet sich, für die zu verarbeiten Daten angemessene
technische und organisatorische Maßnahmen zu treffen und unter Informationen
zur Auftragsdatenverarbeitung zu dokumentieren. Die TOM haben
ein dem Risiko angemessenen Schutzniveau zu
entsprechen.

(2)       
Die getroffenen
Maßnahmen können im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung angepasst werden. Der Auftragnehmer darf entsprechende Anpassungen nur vornehmen, wenn diese mindestens das Schutzniveau der bisherigen Maßnahmen erreichen. Soweit
nichts anderes bestimmt ist, muss der Auftragnehmer dem Auftraggeber nur
wesentliche Anpassungen schriftlich mitteilen.

(3)       
Der Auftragnehmer
unterstützt den Auftraggeber bei der Einhaltung aller gesetzlichen Pflichten hinsichtlich der einzuhaltenden technischen und organisatorischen Maßnahmen. Der Auftragnehmer hat auf schriftliche Anfrage an der
Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten
(VdV) des Auftraggebers mitzuwirken. Der Auftrag-nehmer wirkt bei der
Erstellung einer Datenschutzfolgeabschätzung und ggf. vorherigen Konsultation der Aufsichtsbehörde mit. Der Auftragnehmer hat dem Auftraggeber alle erforderlichen Angaben
und Dokumente auf schriftliche Anfrage offenzulegen.

§ 5 Berechtigung zur Begründung von Unterauftragsverhältnissen

(1)       
Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine schriftliche Genehmigung zur Inanspruchnahme von
Unterauftragnehmern, solange diese die vereinbarten datenschutzrechtlichen
Anforderungen nachweisbar erfüllen. Der Auftragnehmer informiert den
Auftraggeber jederzeit und unter Einhaltung einer angemessenen Frist unter Informationen
zur Auftragsdatenverarbeitung über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung
anderer Unterauftragnehmer. Legt der Auftraggeber vor Inkrafttreten der Änderungen keinen schriftlichen Einspruch
gegen die geplanten Änderungen ein, gelten diese als genehmigt.

(2)       
Ein
Unterauftragsverhältnis liegt insbesondere vor, wenn der Auftragnehmer weitere
Auftragnehmer in Teilen
oder Ganzen mit Leistungen beauftragt, auf die sich dieser Vertrag bezieht. Nicht als
Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen
zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur
Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B.
Telekommunikationsleistungen, Postversand und Weitergabe der Kontaktdaten des
Auftraggebers an Servicepartner zur Erbringung von Serviceleistungen. Der Auftragnehmer
ist jedoch verpflichtet, auch bei fremdvergebenen Nebenleistungen angemessene
und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

(3)       
Ein Zugriff
auf Daten darf durch den Unterauftragnehmer erst dann erfolgen, wenn der
Auftragnehmer durch einen schriftlichen Vertrag sicherstellt, dass die in
diesem Vertrag vereinbarten Regelungen auch gegenüber den Unterauftragnehmern
gelten, wobei insbesondere hinreichende Garantien dafür geboten werden müssen,
dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt
werden, dass die Verarbeitung entsprechend den datenschutzrechtlichen Vorschriften erfolgt. Bei Einschaltung von Unterauftragnehmern ist
der Auftragnehmer zudem verpflichtet, die Verpflichtung der weitern
mitwirkenden Personen entsprechend § 203 StGB und § 3 Abs. 8 dieses Vertrages sicherzustellen.

(4)       
Die
Inanspruchnahme der unter Informationen zur Auftragsdatenverarbeitung zum Zeitpunkt der Vertragsunterzeichnung aufgeführten Unterauftragnehmer gilt als genehmigt, sofern die in §
5 Abs. 3 dieses Vertrages
genannten Voraussetzungen umgesetzt werden.

§ 6 Kontrollrechte des Auftraggebers

Der Auftragnehmer erklärt sich damit einverstanden,
dass der Auftraggeber oder eine von ihm beauftragte
Person berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und
der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren,
insbesondere durch die Einholung von Auskünften und Anforderungen von
relevanten Unterlagen, die Einsichtnahme in die Verarbeitungsprogramme oder
durch Zutritt zu den Arbeitsräumen de s Auftragnehmers zu den ausgewiesenen Geschäftszeiten nach vorheriger schriftlicher Anmeldung.

§ 7 Mitteilungspflichten bei Verstößen des Auftraggebers

Der Auftragnehmer unterrichtet den Auftraggeber
unverzüglich schriftlich über Störungen des Betriebsablaufs, die Gefahren für die Daten
des Auftraggebers mit sich bringen,
sowie bei Verdacht auf
Datenschutzverletzungen im Zusammenhang mit Daten des Auftraggebers.

Gleiches gilt, wenn der Auftragnehmer feststellt, dass
die bei ihm getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen
nicht genügen. Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes
personenbezogener Daten zu dokumentieren und ggf. den Aufsichtsbehörden bzw.
den betroffenen Personen unverzüglich zu melden. Sofern
es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den
Auftraggeber bei der Einhaltung seiner Meldepflicht unterstützen. Der
Auftragnehmer wird die Verletzungen des Auftraggebers unverzüglich schriftlich
melden und hierbei zumindest folgende Informationen mitteilen:

a)      Eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl
der betroffenen Personen und Datensätze

b)      Name und Kontaktdaten eines Ansprechpartners für
weiter Informationen

c)      Eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie

d)      Eine Beschreibung der ergriffenen Maßnahmen zur Behebung
oder Abmilderung der Verletzung

§ 8 Beendigung des Auftrags

(1)       
Nach Abschluss
der Auftragsdatenverarbeitung hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen
oder zurückzugeben, soweit nicht
andere gesetzliche Regelungen dementgegen stehen.

(2)       
Der Auftraggeber kann das Auftragsverhältnis ohne Einhaltung einer
Frist kündigen, wenn der Auftragnehmer einen
schwerwiegenden Verstoß gegen die Bestimmungen dieses Vertrages oder gegen datenschutzrechtliche Bestimmungen begeht und der Auftraggeber
aufgrund dessen die Fortsetzung der Auftragsdatenverarbeitung bis zum Ablauf
der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Auftrags nicht
zu gemutet werden kann. Diese Vereinbarung endet mit Kündigung des
Hauptvertrages automatisch.

§ 9 Schlussbestimmungen

(1)       
Sollte das Eigentum des Auftraggebers bei dem Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder
Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber
unverzüglich schriftlich zu informieren.

(2)       
Die Vertragsbegründung, Vertragsänderungen und Nebenabreden sind schriftlich
abzufassen, was auch in einem elektronischen Format erfolgen kann.

(3)       
Sollten einzelne
Teile dieses Vertrags
unwirksam sein, so berührt dies die Wirksamkeit des übrigen Vertrags nicht.

Magdeburg,
27.03.2025                                              Version 25.01