Skip to main content
main-content

Auftragsdatenverarbeitungsvertrag

Vertrag über die Übertragung von Daten: Verantwortlicher (EU)-an-Verarbeiter (EU)

ZUSATZVEREINBARUNG ÜBER DIE AUFTRAGSVERARBEITUNG (Die „Zusatzvereinbarung“)

Zwischen

unseren “SpringerTests.de” Kunden

– im Folgenden „AG“ genannt –


und


Springer Verlag GmbH

Heidelberger Platz 3

14197 Berlin

– im Folgenden “AN” genannt –


AG und AN nachfolgend gemeinsam auch bezeichnet als “Parteien”, einzeln als “Partei.


Präambel

Im Rahmen seiner Geschäftstätigkeiten und auf Grundlage einer separaten geschäftlichen Vereinbarung (der „Service-Vertrag Testcenter“) erhält der AN vom AG Zugriff auf personenbezogene Daten, über welche der AG die Kontrolle ausübt. Diese Zusatzvereinbarung wird mit dem Ziel abgeschlossen, die für den AG geltenden Verpflichtungen des europäischen Datenschutzrechts zu erfüllen.

Wird diese Zusatzvereinbarung zwischen einem AG, der als Auftragsverarbeiter fungiert, und einem AN, der als Unterauftragnehmer fungiert, geschlossen, wobei der AN Zugriff auf personenbezogene Daten erhält, für die ein Dritter (der "Verantwortliche") verantwortlich ist, wird der AG die Rechte des Verantwortlichen ausüben und als Ansprechpartner für jede Kommunikation zwischen dem Verantwortlichen und dem AN fungieren.


1. Definitionen

1.1 Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die “betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennnummer oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (die „Daten“), identifiziert werden kann. 

1.2 Auftragsverarbeitung meint das Verarbeiten von Daten durch den AN im Auftrag des AG.

1.3 Die Definitionen der europäischen Datenschutzgrundverordnung gelten auch für diese Zusatzvereinbarung.


2. Einzelheiten der Datenverarbeitung

Die Einzelheiten der Auftragsverarbeitung, wie zum Beispiel der Zweck der Datenverarbeitung und die Art der Daten (z.B. Mitarbeiterdaten) werden in den nachfolgenden Absätzen und den Anlagen beschrieben. 

2.1 Gegenstand und Dauer der Auftragsverarbeitung

Siehe Anlage 1 zu dieser Zusatzvereinbarung

2.2 Art der Daten

Siehe Anlage 1 zu dieser Zusatzvereinbarung

2.3 Zweck der beabsichtigten Datenvereinbarung

Siehe Anlage 1 zu dieser Zusatzvereinbarung

2.4 Art und Ausmaß der beabsichtigten Datenverarbeitung

Siehe Anlage 1 zu dieser Zusatzvereinbarung

2.5 Kategorien der betroffenen Personen

Siehe Anlage 1 zu dieser Zusatzvereinbarung

2.6 Technische und  organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen, die der AN gewährleisten muss, sind in Anlage 2 zu dieser Zusatzvereinbarung beschrieben. 


3. Pflichten des AN

3.1 Der AN verarbeitet die Daten des AG nur im Rahmen der durchzuführenden Arbeiten gemäß den dokumentierten Weisungen des AG, es sei denn, der AN ist nach dem Recht der Union oder des Mitgliedstaates dazu verpflichtet. In diesem Fall wird der AN den AG vor der Verarbeitung über diese gesetzliche Verpflichtung informieren, es sei denn, diese Information ist gesetzlich verboten.

3.2 Der AN wird den AG unverzüglich benachrichtigen, wenn der AN davon ausgeht, dass eine Anweisung des AG gegen datenschutzrechtliche Bestimmungen verstößt. Der AN ist berechtigt, die Bearbeitung der jeweiligen Weisung bis zur Bestätigung oder Änderung durch den Bevollmächtigten des AG, auszusetzen.

3.3 Der AN wird die übermittelten Daten nicht für andere Zwecke als die Datenverarbeitung verwenden. Kopien oder Duplikate dürfen nicht ohne Wissen des AG angefertigt werden, sofern dies nicht Teil der in dieser Zusatzvereinbarung aufgeführten Arbeiten ist. Der AN gewährleistet, dass die für die AG verarbeiteten Daten von allen anderen Datenbeständen getrennt werden.

3.4 Der AN überwacht und dokumentiert regelmäßig alle technischen und organisatorischen Maßnahmen in Bezug auf Ziffer 2.6 dieser Zusatzvereinbarung. Der AN stellt dem AG auf Anfrage entsprechende Unterlagen zur Verfügung.

3.5 Der AN haftet für die Gewährleistung der Vertraulichkeit der Daten. Alle auf Seiten des AN involvierten Personen, die auf die Daten zugreifen können, sind zur Vertraulichkeit verpflichtet oder unterliegen einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit und werden über die besonderen Datenschutzverpflichtungen, die sich aus den auszuführenden Arbeiten ergeben, sowie über jede Weisung oder Anordnung hinsichtlich der Daten informiert. 

3.6 Im Rahmen seiner Tätigkeit für den AG wird der AN alle Ansprüche oder Anfragen von betroffenen Personen an den AG weiterleiten, um eine angemessene Reaktion zu gewährleisten. Der AN ist nicht berechtigt, ohne Rücksprache mit dem AG nach eigenem Ermessen über einen Anspruch oder eine Aufforderung zu entscheiden. Der AN berichtigt, löscht, sperrt und gewährt Zugang zu den Daten nur im Auftrag des AG.

3.7 Der AN nimmt zur Kenntnis, dass Informationen an die betroffenen Personen aufgrund von Informationspflichten gegenüber den betroffenen Personen ausschließlich von dem AG oder einem bevollmächtigten Vertreter des AG erteilt werden. Der AN ist verpflichtet, dem AG die entsprechenden Informationen zur Verfügung zu stellen und den AG bei der Erfüllung dieser Informationspflichten zu unterstützen.

3.8 Der AN wird den AG in angemessenem Umfang bei der Abwehr von Ansprüchen aus angeblichen oder tatsächlichen Datenschutzverletzungen unterstützen. 

3.9 Der AN unterstützt den AG bei der Erstellung des Verfahrensverzeichnisses, soweit erforderlich.

3.10 Der AN hat den AG bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen, sofern eine Form der Verarbeitung personenbezogener Daten nach dieser Zusatzvereinbarung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der AN unterstützt den AG vor der Verarbeitung bei Anfragen durch die Aufsichtsbehörden, wenn die Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

3.11 Der AN verpflichtet sich, dem AG das Ergebnis von Prüfungen der Datenschutzaufsichtsbehörden unverzüglich bekannt zu geben, soweit diese mit dieser Zusatzvereinbarung in Zusammenhang stehen.

3.12 Der AN wird den AG über Beanstandungen der Datenschutzaufsichtsbehörden informieren, die sich auf den Verantwortungsbereich des AN nach dieser Zusatzvereinbarung beziehen und die festgestellten Beanstandungen in dem erforderlichen Umfang beheben.

3.13 Der AN hat die nachfolgende Person als Kontaktperson für den Datenschutz benannt: 

Siehe Anlage 1 zu dieser Zusatzvereinbarung 

(a) Jede Änderung dieses Ansprechpartners ist dem AG unverzüglich mitzuteilen.

3.14 Die Verarbeitung der Daten erfolgt nur innerhalb der EU. Der AN darf eine Übermittlung der Daten in Länder außerhalb der EU nicht ohne Zustimmung des AG vornehmen oder genehmigen.

4. Unterauftragnehmer

4.1 Der AG erteilt dem AN hiermit eine generelle schriftliche Erlaubnis, Unterauftragsverhältnisse im Hinblick auf diese Zusatzvereinbarung zu begründen. Der AN beschäftigt gegenwärtig die nachfolgenden Unterauftragnehmer:

Siehe Anlage 1 zu dieser Zusatzvereinbarung 

4.2 Der AN muss den AG über alle beabsichtigten Veränderungen in Bezug auf die Beauftragung neuer oder die Ersetzung von Unterauftragnehmern informieren und dem AG damit die Möglichkeit geben, derartigen Veränderungen widersprechen zu können.

4.3 Falls der AN ein Unterauftragsverhältnis begründet, hat er sicherzustellen, dass der Unterauftragnehmer denselben Verpflichtungen wie der AN unterliegt, die sich aus dieser Zusatzvereinbarung ergeben.

4.4 Der AN hat vorab und regelmäßig während der Dauer des Unterauftragsverhältnisses die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die der Unterauftragnehmers getroffen hat, zu kontrollieren. Die Weiterleitung von Daten ist erst zulässig, wenn der Unterauftragnehmer technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementiert hat, die dasselbe Schutzniveau gewährleisten, wie in dieser Zusatzvereinbarung vereinbart. 

4.5 Kommt der Unterauftragsnehmer seiner Datenschutzpflicht oder anderen in dieser Zusatzvereinbarung festgelegten Verpflichtungen nicht nach, so bleibt er dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragnehmers in vollem Umfang verantwortlich.

5. Rechte und Pflichten des AG

5.1 Der AG haftet allein für die materielle Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen.

5.2 Der AN stimmt zu, dass der AG berechtigt ist, die Einhaltung der geltenden Datenschutzgesetze und der Bestimmungen dieser Zusatzvereinbarung während der regulären Geschäftszeiten zu überwachen. Der AN verpflichtet sich, dem AG alle notwendigen Informationen zur Verfügung zu stellen, um diese Überprüfung innerhalb eines angemessenen Zeitraums durchführen zu können. Der AN gewährt dem AG auf Verlangen Zugang zu den Räumlichkeiten des AN und zu den gespeicherten Daten und Datenverarbeitungsanlagen vor Ort. Der AG ist berechtigt, die Prüfung durch einen zuverlässigen Dritten (der „Prüfer“) durchführen zu lassen, der nach Wahl des AG für den Einzelfall zu bestellen ist; der AN kann einem bestimmten Prüfer aus triftigen Gründen (insbesondere wenn der Prüfer ein Wettbewerber des AN ist) widersprechen. Der AG hat eine solche Prüfung mindestens fünf (5) Werktage im Voraus schriftlich anzukündigen. 

5.3 Der AG informiert den AN über etwaige vom AG entdeckten Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung, die durch AN verursacht wurden.

6. Benachrichtigung bei Verstößen durch den AN

6.1 Der AN wird den AG unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über jeden Fall informieren, in dem der AN oder einer seiner Mitarbeiter gegen eine Weisung des AG in Bezug auf den Datenschutz oder die Verpflichtungen aus dieser Zusatzvereinbarung verstoßen hat.

6.2 Der AG ist außerdem über eine zufällige oder unrechtmäßige Zerstörung, den Verlust, die Veränderung, die unberechtigte Weitergabe oder die unrechtmäßige Weitergabe oder das Erlangen von Daten durch Dritte unabhängig von der Ursache unverzüglich, spätestens jedoch innerhalb von 48 Stunden, durch den AN zu unterrichten. Der AN ergreift in Absprache mit dem AG geeignete Maßnahmen hinsichtlich der Sicherheit der Daten sowie zur Reduzierung möglicher nachteiliger Folgen für die betroffenen Personen. Soweit für den AG Mitteilungspflichten gegenüber der Aufsichtsbehörde oder den betroffenen Personen bestehen, wird der AN den AG bei der Erfüllung dieser Pflichten unterstützen.

7. Löschung der Daten nach Erfüllung des Auftrags

7.1 Nach Abschluss der vertraglichen Arbeiten hat der AN sämtliche Daten, welche er für den AG verarbeitet hat, dem AG auszuhändigen oder – nur nach vorheriger Zustimmung des AG – auf eine sichere und dem Datenschutz entsprechende Art und Weise zu vernichten oder entsprechend dem aktuellen Stand der Technik auf sichere Weise zu löschen.  

7.2 Jegliche Zurückbehaltungsrechte mit Blick auf Dokumentationen, die Daten, die Verarbeitungs- oder Nutzungsergebnisse einschließlich der entsprechenden Datenträger sind ausgeschlossen, es sei denn, dass ein Gesetz der Europäischen Union oder eines EU-Mitgliedsstaates die Aufbewahrung der Daten erfordert.

8. Schlussbestimmungen

8.1 Sollten die Daten des AG beim AN durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren. Zusätzlich wird der AN die Dritten unverzüglich darüber informieren, dass die Verfügungsgewalt über und das Eigentum an den Daten ausschließlich beim AG liegen.

8.2 Die Unwirksamkeit einer oder mehrerer Bestimmungen dieser Zusatzvereinbarung beeinträchtigt die Wirksamkeit der Zusatzvereinbarung im Übrigen nicht. Im Fall der Unwirksamkeit einer oder mehrerer Bestimmungen dieser Zusatzvereinbarung werden die Parteien eine der unwirksamen Regelung wirtschaftlich möglichst nahe kommende, rechtswirksame Ersatzregelung treffen. Entsprechendes gilt im Fall einer Regelungslücke.

8.3 Diese Zusatzvereinbarung unterliegt deutschem Recht.

8.4 Im Falle von Widersprüchen zwischen dieser Zusatzvereinbarung und anderen zwischen den Parteien abgeschlossenen Vereinbarungen gehen die Bestimmungen dieser Zusatzvereinbarung vor.

8.5 Startzeitpunkt der Vereinbarung ist der Bestellzeitpunkt.

8.6 Diese Vereinbarung erfolgt elektronisch und ist ohne Unterschrift gültig.



Anlage 1

Zu der Zusatzvereinbarung über Auftragsdatenvereinbarung

Die Einzelheiten der Auftragsverarbeitung und zur Kontaktperson für Datenschutzfragen 

1. Gegenstand und Dauer der Auftragsverarbeitung:

Gegenstand und Dauer der Auftragsverarbeitung gemäß dem Service-Vertrag.

2. Art der Daten:

Im Rahmen dieses Service-Vertrages kann der Support-Mitarbeiter im Falle von Screensharing die Daten sehen, die der Kunde zeigt. Dabei handelt es sich um typische Teilnehmerdaten die durch das Testverfahren gesammelt werden, oder durch den Durchführenden und / oder den Teilnehmenden eingetragen wurden.

Beispiele für persönliche Daten:

Name, Adresse, Email-Adresse,Geburtsdatum, Geschlecht


3. Zweck der Datenverarbeitung

Der Zweck der Datenverarbeitung gemäß dem Servicevertrag.

4. Art und Ausmaß der Datenverarbeitung

Gegenstand des Auftrags 

Der Auftrag des Auftraggebers an den Auftragnehmer umfasst nachfolgende Arbeiten und/oder Leistungen. Diese können in Umfang und Ausführung variieren. 

  • Der Auftragnehmer unterstützt den Auftraggeber bei Fragen und Problem im Umgang mit der Software. Die Unterstützung erfolgt in der Regel per E-Mail, Telefon oder über Fernwartung. 
  • Der Auftragnehmer unterstützt den Auftraggeber bei der Einrichtung und Konfiguration der Software. Die Unterstützung erfolgt in der Regel per E-Mail, Telefon oder über Fernwartung. 
  • Der Auftragnehmer beantwortet Fragen zur Software per E-Mail oder per Telefon. 
  • Der Auftragnehmer untersucht Protokoll und Log-Dateien um Fehler in der Software bzw. beim Betrieb der Software zu lokalisieren und zu beheben. Die Unterstützung erfolgt in der Regel per E-Mail, Telefon oder über Fernwartung. 
  • In besonderen Fällen (z.B. Vor-Ort-Service) findet der Support direkt beim Auftraggeber vor Ort statt. 

Für die Fernwartung setzt der Auftragnehmer vorzugsweise Teamviewer ein. Hierbei verfolgt der Auftraggeber die Remote Sitzung live am Monitor. Der Auftragnehmer führt Fernwartungssitzungen nur im Beisein des Auftraggebers durch. 

Der Auftragnehmer ist nicht an personenbezogene Daten des Auftraggebers, seinen Mitarbeitern, Kunden oder Lieferanten interessiert und verarbeitet diese nicht. Im Rahmen des technischen Supports, kann der Auftragnehmer jedoch in Berührung mit personenbezogenen Daten kommen, da Beispielsweise ein Zugriff auf Outlook (E-Mails) oder in das Active Directory erforderlich sind. 

Bei Durchführung der oben genannten Arbeiten und Leistungen, demnach nicht ausgeschlossen, dass der Auftragnehmer Zugriff auf folgende Daten/Datenarten hat: 

  • Benutzerdaten / Personenstammdaten 
  • Kontaktdaten von Lieferanten und Kunden 
  • E-Mails, mit den darin enthaltenen Daten 


5. Kategorien der betroffenen Personen

  • Mitarbeiter 
  • generell, Anwender / Benutzer der Software des Auftraggebers 
  • Kunden
  • Teilnehmer (z.B. Bewerber, Patienten, Mitarbeiter, …) , die von diesem Kunden angelegt und / oder getestet wurden


6. Kontaktperson für den Datenschutz: 

Der AN hat die nachfolgende Person als Kontaktperson für den Datenschutz benannt: 

Alle Fragen, Bedenken oder Kommentare, die Sie zu dieser Datenschutzerklärung haben bzw. Anfragen zu Ihren personenbezogenen Daten richten Sie bitte per E-Mail an unseren Konzerndatenschutzbeauftragten. Sie erreichen unseren Konzerndatenschutzbeauftragten unter dataprotection@springernature.com.

Für alle anderen Themen und Fragen wenden Sie sich bitte an info@springertests.de.

Die Informationen, die Sie uns bei Ihrer Kontaktaufnahme zur Verfügung stellen, werden nur verarbeitet, um Ihre Anfrage zu bearbeiten und werden im Anschluss daran unverzüglich gelöscht. Ist dies nicht der Fall, werden wir die Verarbeitung Ihrer personenbezogenen Daten entsprechend den gesetzlichen Vorschriften zu Aufbewahrungspflichten einschränken.


7. Information über die Unterauftragnehmer, einschließlich ihrer Funktionen und Standorte

4A-SIDE GmbH

Spielmannstraße 19

38106 Braunschweig


Funktion:

  • Softwareentwicklung, Qualitätssicherung und Wartung
  • Kundendienst


 


Anlage 2

zu der Zusatzvereinbarung über Datenverarbeitung


Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz gemäß Art. 32 DS-GVO


1. Vertraulichkeit:


Zutrittskontrolle:

☒ Zutrittskontrolle durch Transponder-Schließsystem, Schlüsselregelung

☒ Aufenthalt von Besuchern nur in Anwesenheit von Mitarbeitern

☒ Videoüberwachung am Serverraum

☒ Fenster einbruchsicher (4. Stock)

☒ Serverraum verschlossen, Zutritt nur für EDV-Mitarbeiter, Geschäftsführung

☒ Sorgfältige Auswahl Reinigungspersonal


Zugangskontrolle:

☒ Identifizierung und Authentifizierung durch Benutzername/Passwort

☒ Passwortrichtlinie

Minimale Kennwortlänge: 8 Zeichen

Komplexität: „4 aus 4“ (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen)

Keine Weitergabe von Passwörtern

☒ Begrenzung der Fehlversuche

☒ Systemverwalterbefugnisse/ -protokollierung

☒ Arbeitsanweisung Sperren des Bildschirms bzw. Abmelden vom System

☒ Protokollierung der Anmeldung

☒ Firewalls (2x) und Antivirensoftware


Zugriffskontrolle:

☒ Berechtigungskonzept mit Rollen und unterschiedlichen Berechtigungsstufen

☒ Definierte VPN-Benutzerprofile gem. Benutzertätigkeiten für den Zugriff von extern auf die 

    IT-Systeme

☒ Administratoren-Rechte auf das „Notwendigste“ reduziert

☒ Datenträgervernichtung intern mit Protokollierung

☒ Vernichtung Papier intern mit Aktenvernichter, Sicherheitsstufe 4 (geheimzuhaltendes 

     Schriftgut)

☒ Verschlüsselung von Datenbanken und Datenträgern


Trennungsgebot:

☒ Projektbezogen jeweils getrennte virtuelle Entwicklungs-, Demo- und Livesysteme zum 

     Verarbeiten von Daten

☒ Logische Kundentrennung (softwareseitig) 

☒ Unterschiedliche Datenbanken

☒ Festlegung von Datenbankrechten

☒ Physikalische Trennung Personaldaten (Papierakten), logische Trennung digitaler 

    Personaldaten über Berechtigungskonzept




 

2. Integrität:


Weitergabekontrolle:

☒ Bestandsverzeichnis und Bestandskontrolle der Datenträger durch mit Leitung der Daten- 

    verarbeitung beauftragte Person und den Datenschutzbeauftragten

☒ Es erfolgt keine Weitergabe von Datenträgern an Dritte

☒ Einsatz VPN-Technologie

☒ Sichere Aufbewahrung von Datenträgern


Eingabekontrolle:

☒ Protokollierung der Eingabe, Änderung und Löschung von Daten auf relevanten Datenbank-

     Feldern

☒ Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten 

     eingegeben, geändert und gelöscht werden können

☒ Rechtevergabe Lesen, Eingeben, Änderung und Löschung im Rahmen des 

    Berechtigungskonzeptes


 

3. Verfügbarkeit und Belastbarkeit:


Verfügbarkeitskontrolle:

☒ Serverraum nicht unter sanitärer Anlage

☒ Klimaanlage im Serverraum

☒ Schutzsteckdosenleisten im Serverraum

☒ Unterbrechungsfreie Stromversorgung (USV)

☒ Angriff von außen: Firewall (2x)

☒ Risiko- und Schwachstellenanalyse im Rahmen des jährlichen Audits 

    durch den Datenschutzbeauftragten

☒ alle 24h ein Backup in einen sicheren, ausgelagerten Ort (Datentresor)

☒ Testen von Datenwiederherstellung

☒ Schulung der Mitarbeiter bezüglich Sicherheitsanforderungen durch den 

    Datenschutzbeauftragten


 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung:


Datenschutzmanagement:

☒ Dokumentation Verfahren / Verfahrensregister sind vorhanden, vollständig und aktuell

☒ Fachkundenachweise des Datenschutzbeauftragten liegen vor

☒ Einhaltung Datengeheimnis, sämtliche Mitarbeiter sind auf das Datengeheimnis verpflichtet

☒ Regelmäßige Datenschutzmerkblätter für die Mitarbeiter, Datenschutzschulung durch den 

    Datenschutzbeauftragten

☒ Dienstanweisung über die Internet- und E-Mail-Nutzung

☒ jährliche Audits durch den Datenschutzbeauftragten


Incident-Response-Management:

☒ Etwaige Vorfälle werden unverzüglich dem Datenschutzbeauftragten gemeldet

☒ Bearbeitung etwaiger Fälle durch den Datenschutzbeauftragten


Auftragskontrolle:

☒ Schriftliche Verträge zur Auftragsverarbeitung liegen vor und werden jährlich auditiert 

    durch den Datenschutzbeauftragten 

☒ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

☒ Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart

☒ Kontrolle der Einhaltung beim Auftragnehmer und/oder Überprüfung Zertifikat(e) durch den Datenschutzbeauftragten, Protokollierung