Anlage 11.2

Vereinbarung über die Auftragsverarbeitung
i. S. d. Art. 28 Abs. 3 DSGVO

zwischen

der Landesanstalt für Medien NRW, Anstalt öffentlichen Rechts,
Zollhof 2, 40221 Düsseldorf

als Verantwortlicher (nachfolgend „Auftraggeber“ genannt‘)
und

Condat AG,
Alt-Moabit 91d, 10559 Berlin

als Auftragsverarbeiter (nachfolgend „Auftragnehmer“ genannt‘)

(nachfolgend gemeinsam auch „die Parteien“ genannt‘)

Präambel

Der Auftragnehmer entwickelt und erstellt für den Auftraggeber nach Maßgabe des ge-
schlossenen Vertrages über die Erstellung und Entwicklung eines IT-Tools zur Recherche
und Identifikation potenziell rechtswidriger Inhalte im Internet (nachfolgend „Hauptver-
trag“ genannt) eine Kl-gestützte Software, welche (teil-) automatisiert nach rechtswidrigen
Inhalten im Internet suchen kann („IT-Tool“). Für die Erstellung und Entwicklung dieses
IT-Tools erhält der Auftragnehmer vom Auftraggeber Materialien und Daten, so dass hier-
bei vom Auftragnehmer direkt oder indirekt auch personenbezogene Daten verarbeitet
werden.

Der Auftragnehmer erbringt gegenüber dem Auftraggeber zudem bestimmte Softwaresup-
port- und Pflegeleistungen in Bezug auf das IT-Tool gemäß dem Vertrag über den Betrieb
sowie Support und Pflege des IT-Tools zur Recherche und Identifikation potenziell rechts-
widriger Inhalte im Internet (nachfolgend „Support- und Pflegevertrag“ genannt). Hierbei
werden vom Auftragnehmer ebenfalls direkt oder indirekt personenbezogene Daten verar-
beitet.

-2-

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien
im Zusammenhang mit dem Hauptvertrag und dem Support- und Pflegevertrag. Sie findet
Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag und dem Support- und Pflege-
vertrag (inklusive des Hostings des IT-Tools) in Verbindung stehen und bei denen Mitarbei-
ter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbe-
zogenen Daten des Auftraggebers in Berührung kommen können. Die Parteien schließen
diese Vereinbarung auf Basis der Europäischen Datenschutz-Grundverordnung (DSGVO).

Dies vorausgeschickt, vereinbaren die Parteien Folgendes:
1. Gegenstand und Dauer der Auftragsverarbeitung

Gegenstand und Dauer dieser Vereinbarung ergeben sich aus dem Support- und Pfle-
gevertrag sowie aus dem Hauptvertrag, auf die hier verwiesen wird (nachfolgend „Leis-
tungsvereinbarung“ genannt).

2. Konkretisierung der Auftragsverarbeitung
2.1. Art und Zweck der vorgesehenen Verarbeitung von Daten

Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Art und Zweck
der Aufgaben des Auftragnehmers:

Erheben, Erfassen, Organisieren, Ordnen, Speicherung, Auslesen, Abfragen,
Verwendung, Abgleich oder Verknüpfung, Einschränkung oder Löschung von
Daten zur Erfüllung der Leistungen. Im Übrigen ergeben sich Art und Zweck der
Datenverarbeitung aus dem Hauptvertrag sowie aus dem Support- und Pflege-
vertrag.

2.2. Verlagerung in Drittländer

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätz-
lich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Ver-
tragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt mit
Ausnahme der in dieser Vereinbarung geregelten Verlagerungen in ein Drittland.
Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Vo-
raussetzungen der Art. 44 ff. DSGVO erfüllt sind.

2.3. Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenar-
ten/-kategorien (Aufzählung/Beschreibung der Datenkategorien)

X Personenstammdaten
&X Kommunikationsdaten (z.B. Telefon, E-Mail)

2.4.

-3-

U

Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinte-
resse)

Kundenhistorie

Vertragsabrechnungs- und Zahlungsdaten

Planungs- und Steuerungsdaten

Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen
Verzeichnissen) Bankverbindungsdaten

Besondere Kategorien personenbezogener Daten, z.B. solche im Sinne
von Art. 9 DSGVO

Fotos / Videos

URXDOD02

X

Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

Kunden/Nutzer

Mitarbeiter

Interessenten

Beschäftigte

Lieferanten

Ansprechpartner

Urheber potenziell rechtswidriger Internet-Inhalte

Einreicher von Beschwerden

Personen, die in Fotos/Videos potenzieller Rechtsverstöße abgebildet
sind oder deren personenbezogenen Daten in potenziellen Rechtsverstö-
ßen enthalten sind

KRRXNITORO RX I

3. Technisch-organisatorische Maßnahmen

3.1.

3.2.

Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dar-
gelegten technischen und organisatorischen Maßnahmen vor Beginn der Ver-
arbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu do-
kumentieren und dem Auftraggeber auf dessen Anforderung zur Prüfung zu
übergeben. Die dokumentierten Maßnahmen werden Grundlage des Auftrags.
Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf
ergibt, ist dieser einvernehmlich umzusetzen.

Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO ins-
besondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insge-
samt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der
Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen
Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit
sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die

3.3.

-4-

Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbei-
tung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Ri-
sikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32
Abs. 1 DSGVO zu berücksichtigen (Einzelheiten in Annex 1).

Die technischen und organisatorischen Maßnahmen unterliegen dem techni-
schen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer
gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Si-
cherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. We-
sentliche Änderungen sind zu dokumentieren.

4. Weisungsbefugnis; Berichtigung, Einschränkung und Löschung von Daten

4.1.

4.2.

4.3.

Für die Beurteilung der Zulässigkeit der Erhebung, Verarbeitung oder Nutzung
sowie für die Wahrung der Rechte der Betroffenen ist der Auftraggeber verant-
wortlich. Der Auftraggeber ist berechtigt, Weisungen über Art, Umfang und Ver-
fahren der Datenverarbeitung zu erteilen. Die Weisungen bedürfen der Schrift-
oder Textform. Mündliche Weisungen bestätigt der Auftragnehmer unverzüglich
(mind. Textform).

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht ei-
genmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers be-
richtigen, löschen oder deren Verarbeitung einschränken. Soweit ein Betroffe-
ner sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung
seiner Daten wenden solite, wird der Auftragnehmer dieses Ersuchen unver-
züglich an den Auftraggeber weiterleiten.

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er
der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der
Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung
solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert
wird.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieser Vereinba-
rung gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO zu befolgen; insofern gewähr-
leistet er insbesondere die Einhaltung der folgenden Vorgaben:

5.1.

Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4
DSGVO. Der Auftragnehmer setzt bei Durchführung der Arbeiten nur Beschäf-
tigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie rele-
vanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftrag-

5.2.

5.3.

5.4.

5.5.

5.6.

5.7.

555

nehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu per-
sonenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend
der Weisung des Auftraggebers verarbeiten, einschließlich der in dieser Verein-
barung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verar-
beitung verpflichtet sind.

Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen techni-
schen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 S. 2 lit.
c), 32 DSGVO (Einzelheiten in Annex 1).

Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Auf-
sichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und
Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen.
Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungs-
widrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezo-
gener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, ei-
nem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer
betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusam-
menhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat
ihn der Auftragnehmer nach besten Kräften zu unterstützen.

Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die
technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass
die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anfor-
derungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte
der betroffenen Person gewährleistet wird.

Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnah-
men gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach
Ziffer 7 dieser Vereinbarung.

6. Unterauftragsverhältnisse

6.1.

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleis-
tungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung
beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als
Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und
Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnah-
men zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belast-
barkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch

T.

6.2.

6.3.

6.4.

6.5.

-6-

nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Daten-
schutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausge-
lagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche
Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Der Auftragnehmer darf grundsätzlich Unterauftragnehmer (weitere Auftragsver-
arbeiter) beauftragen und informiert den Auftraggeber gemäß Art. 28 Abs. 2 $. 2
DSGVO immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung
oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die
Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem / den Unter-
auftragnehmer/n so zu gestalten, dass sie den Datenschutzbestimmungen im
Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen.

Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungs-
rechte entsprechend dieser Vereinbarung zu gewähren. Dies umfasst auch das
Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Aus-
kunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutz-
relevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch
Einsicht in die relevanten Vertragsunterlagen, zu erhalten.

Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des
EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch ent-
sprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von
Ziffer 6.1 Satz 2 eingesetzt werden sollen. Eine weitere Auslagerung durch den
Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftrag-
nehmers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertrags-
kette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

Kontrollrechte des Auftraggebers

7.1.

7.2.

1.3.

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprü-
fungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchfüh-
ren zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Re-
gel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch
den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung
der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der
Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforder-
lichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen
und organisatorischen Maßnahmen nachzuweisen.

Zum Nachweis von hinreichenden Garantien im Sinne von Art. 28 Abs. 1 bis 4
DSGVO, kann die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40

-

DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42
DSGVO durch den Auftragnehmer herangezogen werden.

8. Mitteilung bei Verstößen

9.

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln
32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten,
Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige
Konsultationen. Hierzu gehören u.a.

8.1.

8.2.

8.3.

8.4.

8.5.

die Sicherstellung eines angemessenen Schutzniveaus durch technische und or-
ganisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung so-
wie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechts-
verletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststel-
lung von relevanten Verletzungsereignissen ermöglichen;

die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den
Auftraggeber zu melden, insbesondere auch bei Verdacht auf solche Verletzun-
gen,

die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht ge-
genüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang
sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;

die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschät-
zung;

die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit
der Aufsichtsbehörde.

Löschung und Rückgabe von personenbezogenen Daten

9.1.

9.2.

Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht
erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewähr-
leistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Da-
ten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten er-
forderlich sind.

Nach Abschluss der vertraglich vereinbarten Arbeiten hat der Auftragnehmer
sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auf-
tragsverhältnis stehen und die personenbezogene Daten enthalten, dem Auftrag-
geber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu

-8-

vernichten, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der per-
sonenbezogenen Daten besteht. Gleiches gilt für Test- und Ausschussmaterial.
Das Protokoll der Löschung ist auf Anforderung vorzulegen.

9.3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Da-
tenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jewei-
ligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er
kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

10. Schlussbestimmungen

10.1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.
Dies gilt auch für den Verzicht auf dieses Formerfordernis.

10.2. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht
rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die
Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

10.3. Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland unter
Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist der Sitz des
Auftragnehmers.

Annex i

TOM / Sicherheitskonzept der Condat

Landesanstalt für Medien NRW
Düsseldorf, 17. Dezember 2020

Dr. Tobias Schmid

Im Auftrag

Condat AG
Berlin, 14.01.2021

a
Dominik Zimmermann

ANNEX 1

Sicherheitskonzept

Sicherheitskonzept (technische und organisatorische
Maßnahmen) der Condat AG

Erstellt durch: Condat AG
Alt-Moabit 91d
10559 Berlin

Vorstand: Lars Fahrenholz, Dominik Zimmermann
Aufsichtsratsvorsitzender: Peter Herrmann
HRB Berlin Charlottenburg 83319

Datum: 05.10.2020