Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
Erhebung, Verarbeitung und/oder Nutzung von personenbezogenen und sensitiven Daten, welche über ein Onlineantragsportal des Auftragsnehmers erfasst werden können. Bereitstellung und Betrieb der BOL Webanwendungen auf Ressourcen der in Anlage 2 benannten Unterauftragsverarbeiter. Entgegennahme der Daten des Endnutzers, Verarbeitung und Weiterleitung an den Auftraggeber. Speicherung und Sicherung der Daten nach Vorgaben des Auftraggebers.
Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 EU-DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann z.B. auch erfolgen durch:
- Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 EU-DS-GVO
- Die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 EU-DS-GVO
- Aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
- Eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO 27001).
Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
Die Verarbeitung von Daten in Privatwohnungen ist gestattet. Auch dort werden die datenschutzrechtlichen Vorschriften eingehalten.