(1) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezoge-nen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
(2) Der Auftragnehmer hat die Regelungen der DS-GVO und des Landesdatenschutzgesetzes, insbesondere auch zur Auftragsverarbeitung, in ihren jeweils geltenden Fassungen einzuhalten. Der Auftragnehmer hat in seinem Verantwortungsbereich allgemein die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer hat über die gesamte Einrichtung und Durchführung des automatisierten Bereitstellungs- und Abfrageverfahrens für die Auftraggeber regelmäßig angemessene Überprüfungen durchzuführen. Er ergreift insbesondere geeignete technische und organisatorische Maßnahmen nach Maßgabe des § 5.
(3) Der Auftragnehmer macht die bei der Durchführung der Arbeiten befassten Mitarbeitenden vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut und verpflichtet sie für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit. Dies umfasst auch die Belehrung über die in diesem Auftragsverar-beitungsverhältnis bestehende Weisungs- und Zweckbindung.
(4) Bei der Erfüllung der Rechte der betroffenen Personen nach Artikeln 12 bis 23 DS-GVO durch die Auftraggeber, an der Erstellung der Verzeichnisse von Verarbei-tungstätigkeiten sowie bei der Erfüllung der Pflichten aus Art. 32 und 35 f. DS-GVO hat der Auftragnehmer im notwendigen Umfang mitzuwirken und die Auftraggeber soweit möglich angemessen zu unterstützen. Insbesondere unterstützt er nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen die Auftraggeber dabei, ihrer Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DS-GVO genannten Rechte der betroffenen Person nachzukommen. Macht eine betroffene Person solche Rechte unmittelbar gegenüber dem Auf-tragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist die betroffene Person unverzüglich an den jeweiligen Auftraggeber und wartet dessen Weisungen ab.
(5) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn einer der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
(6) Der Auftragnehmer teilt den Auftraggebern unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten der Auftraggeber nach Artikel 33 und Artikel 34 DS-GVO. Der Auftragnehmer hat den jeweiligen Auftraggeber erforderlichenfalls bei sei-nen Pflichten nach Artikel 33 und 34 DS-GVO angemessen zu unterstützen.