3.1
Der Auftragnehmer ist zur Wahrung der Vertraulichkeit der Verarbeitung gemäß Art. 28 Abs. 3 S. 2 lit. b, 29 und 32 Abs. 4 DSGVO verpflichtet, die bei der Verarbeitung von personenbezogenen Daten beschäftigten Personen schriftlich zu verpflichten.
3.2
Der Auftragnehmer ist verpflichtet, die Organisation der von ihm zu verantwortenden Prozesse und Maßnahmen derart zu gestalten, dass sie den Anforderungen des Datenschutzes gerecht werden und dass sichergestellt ist, dass personenbezogenen Daten nur entsprechend der durch den Auftraggeber erteilten datenschutzrechtlichen Weisungen verarbeitet werden (insbesondere durch die Trennung der personenbezogenen Daten von Daten anderer Auftraggeber des Auftragnehmers) und nicht unbefugt Dritten zur Kenntnis gelangen können.
3.3
Der Auftragnehmer ist verpflichtet, innerhalb und im Rahmen des ihm nach dem Vertrag zugewiesenen Verantwortungsbereichs die Sicherheit der Verarbeitung gemäß Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO einzuhalten. Er ist verpflichtet geeignete technische und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um Datensicherheit und Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit sowie Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Vorbehaltlich weiterer datenschutzrechtlicher Weisungen des Auftraggebers gelten mit Abschluss des Vertrages und/oder dieser Vereinbarung AV die in Anhang 2 dieser Vereinbarung AV benannten technischen und organisatorischen Maßnahmen als Maßnahmen im Sinne dieser Ziffer 3.3 dieser Vereinbarung AV.
3.4
Der Auftragnehmer ist verpflichtet, keine personenbezogenen Daten über das zur Erfüllung der Verpflichtungen aus dem Vertrag unbedingt erforderliche Maß hinaus zu verarbeiten (insbesondere nicht unbefugt zu vervielfältigen oder unbefugt an Dritte weiterzugeben).
3.5
Der Auftragnehmer hat ihm überlassene und alle ergänzend verarbeiteten personenbezogenen Daten unwiderruflich in allen Systemen des Auftragnehmers (einschließlich sämtlicher Vervielfältigungen, auch in Archivierungs- und Sicherungsdateien) nach Maßgabe der Bestimmungen des Anhangs 2 dieser Vereinbarung AV zu löschen oder zu vernichten (nachfolgend einheitlich „löschen“ genannt), sobald die Verarbeitung der personenbezogenen Daten nicht mehr für die Erfüllung des Zwecks der Auftragsverarbeitung erforderlich ist.
3.6
Die Löschung von personenbezogenen Daten ist durch den Auftragnehmer zu dokumentieren und dem Auftraggeber gegenüber auf Anfrage schriftlich zu bestätigen. Nicht von dieser Löschpflicht erfasst werden personenbezogene Daten, die aufgrund einer gesetzlichen Aufbewahrungs- und/oder Speicherpflicht aufzubewahren sind. Diese personenbezogenen Daten sind nach den gesetzlichen Bestimmungen in ihrer Verarbeitung einzuschränken und mit Ablauf der Aufbewahrungs- und/oder Speicherpflicht zu löschen.