(1) Wir verpflichten uns, personenbezogene Daten nicht unbefugt zu verarbeiten. Personenbezogene Daten dürfen daher nur verarbeitet werden, wenn eine Einwilligung vorliegt oder eine gesetzliche Regelung die Verarbeitung erlaubt oder vorschreibt. Die Grundsätze der DS-GVO für die Verarbeitung personenbezogener Daten sind zu wahren; sie sind in Art. 5 Abs. 1 DS-GVO festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen:

Personenbezogene Daten müssen

(a) auf rechtmäßige und faire Weise und in einer für die betroffenen juristischen Personen sowie privaten Personen nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

(b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);

(c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

(d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

(e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);

(f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Personenbezogene Daten dürfen nur nach den Anweisungen des Vertragspartners verarbeitet werden.

Verstöße gegen diese Verpflichtung können mit Geldbuße und/oder Freiheitsstrafe geahndet werden. Ein Verstoß kann zugleich eine Verletzung der vertraglichen Pflichten darstellen. Auch (zivilrechtliche) Schadenersatzansprüche können sich aus schuldhaften Verstößen gegen diese Verpflichtung ergeben. Die sich aus § 10 oder gesonderten Vereinbarungen ergebende Vertraulichkeitsverpflichtung wird durch diese Erklärung nicht berührt. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter.

(2) Eine nach Datenschutzrecht erforderliche Verpflichtung von Personen auf die Wahrung des Datengeheimnisses ist vor der erstmaligen Aufnahme ihrer Tätigkeit vorzunehmen. Die Niederschrift(en) über die förmliche Verpflichtung auf das Datengeheimnis ist auf Verlangen des Vertragspartners vorzulegen. Wir dürfen nur vertrauenswürdige, namentlich uns bekannte Mitarbeiter einsetzen, für die wir die Haftung übernehmen. Der Vertragspartner behält sich vor, in bestimmten kritischen Arbeitsbereichen vor Aufnahme der Tätigkeit ein persönliches Gespräch mit dem jeweiligen Mitarbeiter zu verlangen.

(3) Wir haben gemäß Art. 32 DS-GVO iVm § 64 BDSG unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Vertragspartner hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. Insbesondere hat er die seinem Zugriff unterliegenden Systeme gegen unbefugte Kenntnisnahme, Speicherung, Veränderung sowie sonstige nicht autorisierte Zugriffe oder Angriffe, gleich welcher Art, durch Mitarbeiter oder sonstige Dritte zu schützen.

(4) Der Vertragspartner ist berechtigt, die Einhaltung der Datensicherheitsanforderungen jederzeit nach vorheriger schriftlicher Ankündigung von mindestens fünf Werktagen zu überprüfen. Hat das Unternehmen den konkreten Verdacht einer Verletzung von Datensicherheitsanforderungen, bedarf die Überprüfung keiner Ankündigung. Im Rahmen der Überprüfung hat der Auftragnehmer dem Unternehmen zu seinen üblichen Geschäftszeiten Zugang zu seinen für die Prüfung relevanten Geschäftseinrichtungen, insbesondere den EDV-Einrichtungen, zu gewähren.