Vereinbarung zur Auftragsdatenverarbeitung
Vereinbarung zur Auftragsdatenverarbeitung
EINFÜHRUNG
Der Verantwortliche und der Auftragsverarbeiter haben eine Rahmenvereinbarung in Bezug auf die Nutzung der EcoMobility Vehicle Intelligence-Lösungen, der EcoMobility Route-Lösungen und/oder der EcoMobility Education-Dienste geschlossen (nachfolgend „Services“ und „Rahmenvereinbarung für Services“ genannt).
Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Services unter der Rahmenvereinbarung für Services.
Der Verantwortliche hat den Auftragsverarbeiter für die Bereitstellung der Services ernannt und die Zwecke und wesentlichen Mittel der vom Auftragsverarbeiter im Auftrag des Verantwortlichen durchzuführenden Datenverarbeitung festgelegt.
Die Vertragsparteien schließen die vorliegende Vereinbarung, um ihre jeweiligen Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter in Übereinstimmung mit Artikel 28 der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachfolgend „DSGVO“, Datenschutz-Grundverordnung genannt) festzulegen.
Artikel 1 – VERTRAGSGEGENSTAND UND DEFINITIONEN
1.1 Die vorliegende Vereinbarung definiert die Rechte und Pflichten der Vertragsparteien in Bezug auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
1.2 Sofern nicht ausdrücklich abweichend vereinbart oder sofern es der Kontext nicht anders erfordert, haben die in dieser Vereinbarung verwendeten Begriffe die ihnen in der DSGVO zugeschriebene Bedeutung.
ARTIKEL 2 – BESCHREIBUNG DER VOM AUFTRAGSVERARBEITER DURCHGEFÜHRTEN DATENVERARBEITUNG
2.1 Der Auftragsverarbeiter wird vom Verantwortlichen angewiesen, personenbezogene Daten im Rahmen der vom Auftragsverarbeiter unter der Rahmenvereinbarung für Services bereitgestellten Services zu verarbeiten.
Die von der Datenverarbeitung betroffenen Kategorien von personenbezogenen Daten und betroffenen Personen sind in Anlage 1 festgelegt.
2.2 Der Auftragsverarbeiter wird die personenbezogenen Daten nur in Übereinstimmung mit den Weisungen des Verantwortlichen verarbeiten. Die Weisungen werden im Rahmen der vertraglichen Vereinbarung zwischen den Vertragsparteien bereitgestellt.
2.3 Der Verantwortliche verpflichtet sich, alle Weisungen für den Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten schriftlich zu bestätigen, unter anderem mithilfe des Bestellscheins für die Services und der Einstellungen in der jeweiligen Lösung oder dem System, und diese Weisungen zu dokumentieren.
2.4 Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur gemäß den Weisungen des Verantwortlichen im Rahmen der Bereitstellung der Services zu verarbeiten. Auf jeden Fall wird der Auftragsverarbeiter keine personenbezogenen Daten für andere Zwecke als die Bereitstellung der Services für den Verantwortlichen verarbeiten und die Erfüllung seiner rechtlichen Verpflichtungen.
ARTIKEL 3 – PFLICHTEN DER VERTRAGSPARTEIEN
3.1 Der Verantwortliche hat den Zweck bzw. die Zwecke der Datenverarbeitung vor der Beauftragung der Services beim Auftragsverarbeiter festgelegt. Die Art der Datenverarbeitung und der Zweck bzw. die Zwecke der Datenverarbeitung sind in Anlage 1 beschrieben.
3.2 Der Verantwortliche hat darüber hinaus die wesentlichen Mittel der Datenverarbeitung definiert, unter anderem die zu erfassenden personenbezogenen Daten durch Festlegung der zu überwachenden Fahrzeuge, die Identität der Personen, die befugt sind, auf die personenbezogenen Daten im System zuzugreifen, und die Zugriffsberechtigungen dieser Benutzer sowie die Aufbewahrungsdauer der personenbezogenen Daten. Der Verantwortliche hat dem Auftragsverarbeiter zum Zeitpunkt der Unterzeichnung der Rahmenvereinbarung für Services mit dem Auftragsverarbeiter Weisungen in Bezug auf diese Aspekte erteilt. Die wesentlichen Mittel der Datenverarbeitung werden vom Verantwortlichen festgelegt und können jederzeit von ihm geändert werden, indem er eine entsprechende schriftliche Anforderung an den Auftragsverarbeiter richtet oder die entsprechenden Einstellungen in der betreffenden Lösung oder dem betreffenden System ändert.
3.3 In Bezug auf den Zweck bzw. die Zwecke der Datenverarbeitung bestätigt und gewährleistet der Verantwortliche, dass er bei der Verwendung oder Verarbeitung der personenbezogenen Daten oder bei der Beauftragung des Auftragsverarbeiters mit der Verarbeitung der personenbezogenen Daten nicht gegen die in der DSGVO oder anderen geltenden Gesetzen enthaltenen Vorschriften verstößt.
3.4 Der Auftragsverarbeiter wird sich angemessen dazu bemühen den Verantwortlichen möglichst zu informieren, wenn die Weisungen des Verantwortlichen seiner Ansicht nach gegen die Bestimmungen der DSGVO verstoßen, wobei insbesondere die vom Verantwortlichen bereitgestellten Informationen berücksichtigt werden. Falls der Auftragsverarbeiter die Weisungen des Verantwortlichen für unrechtmäßig hält, kann dieser die Ausführung dieser Weisungen aussetzen, bis deren Rechtmäßigkeit durch den Verantwortlichen und auf Anforderung des Auftragsverarbeiters auch durch den externen Berater des Verantwortlichen überprüft und schriftlich bestätigt wird. Der Verantwortliche bleibt jedoch in jedem Fall dafür verantwortlich die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und sicherzustellen.
3.5 Unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung, der Art und der Risiken der Verarbeitung personenbezogener Daten sowie der entsprechenden Industrienormen verpflichtet sich der Auftragsverarbeiter, in angemessenem Umfang, geeignete technische und organisatorische Maßnahmen zu implementieren, um den Schutz der personenbezogenen Daten und die Verarbeitung dieser personenbezogenen Daten zu gewährleisten. Die Vertragsparteien stimmen der Implementierung der technischen und organisatorischen Maßnahmen gemäß den Angaben in Anlage 2 durch den Auftragsverarbeiter zu.
3.6 Der Verantwortliche verpflichtet sich, den Auftragsverarbeiter ausdrücklich schriftlich zu benachrichtigen, wenn die Verarbeitung personenbezogener Daten in Verbindung mit den Services ein bestimmtes höheres Risiko darstellt, beispielsweise aufgrund des hohen Werts der Güter, die von den mittels der Geolokalisierungsdienste überwachten Fahrzeugen transportiert werden. Eine solche Benachrichtigung durch den Verantwortlichen muss rechtzeitig vor Beginn der Verarbeitung personenbezogener Daten erfolgen. In diesen Fällen verpflichtet sich der Verantwortliche, die Zugriffsberechtigungen von Benutzern auf die Lösung oder das System so zu beschränken, dass sie nur bei begründetem Informationsbedarf darauf zugreifen können. Ferner kann er den Auftragsverarbeiter dazu auffordern, die internen Zugriffsbeschränkungen zu verstärken, indem Zugriffsberechtigungen auf bestimmte Mitarbeiter beschränkt werden.
3.7 Im Laufe der Erfüllung der Vereinbarung kann der Verantwortliche den Auftragsverarbeiter dazu auffordern, ein Angebot für die Implementierung zusätzlicher technischer oder organisatorischer Maßnahmen abzugeben. In diesem Fall wird der Auftragsverarbeiter dem Verantwortlichen mitteilen, ob diese zusätzlichen Maßnahmen seiner Ansicht nach aus technischer und organisatorischer Sicht durchführbar sind. Ist dies der Fall, wird der Auftragsverarbeiter den Verantwortlichen, über die bei der Implementierung dieser Maßnahmen entstehenden Kosten informieren. Nimmt der Verantwortliche das Angebot an, wird der Auftragsverarbeiter die zusätzlichen Maßnahmen in Übereinstimmung mit den zwischen den Vertragsparteien vereinbarten Bedingungen implementieren.
3.8 Zur Gewährleistung des Schutzes der personenbezogenen Daten und der Verarbeitung dieser personenbezogenen Daten nach seinen besten Möglichkeiten unter Berücksichtigung des technischen Fortschritts und anerkannter modernster Entwicklungen in der Branche des Auftragsverarbeiters kann der Auftragsverarbeiter – nach eigenem Ermessen und in Übereinstimmung mit Artikel 12.2 der vorliegenden Vereinbarung – Anlage 2 anpassen und ändern, um im Laufe der Erfüllung der Vereinbarung zusätzliche technische oder organisatorische Maßnahmen zu implementieren oder die zum Zeitpunkt des Inkrafttretens dieser Vereinbarung oder zu einem späteren Zeitpunkt implementierten technischen und organisatorischen Maßnahmen zu ändern. In diesem Fall verpflichtet sich der Auftragsverarbeiter, ein angemessenes Schutzniveau der personenbezogenen Daten und der Verarbeitung dieser Daten aufrechtzuerhalten. Wesentliche Änderungen an den vom Auftragsverarbeiter implementierten technischen und organisatorischen Maßnahmen sind in Übereinstimmung mit Artikel 12.2 dieser Vereinbarung zu dokumentieren und dem Verantwortlichen zu kommunizieren.
3.9 Der Auftragsverarbeiter verpflichtet sich, die Angemessenheit des Schutzniveaus der technischen und organisatorischen Maßnahmen regelmäßig zu prüfen.
3.10 Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten, die sich auf den Verantwortlichen beziehen, nicht für andere Zwecke als für die Bereitstellung der Services für den Verantwortlichen und ausschließlich gemäß den Weisungen des Verantwortlichen zu verarbeiten, es sei denn, der Auftragsverarbeiter ist dazu gesetzlich oder im Rahmen eines möglichen Rechtsstreits, z. B. in Bezug auf die Bereitstellung der Services für den Verantwortlichen, verpflichtet.
ARTIKEL 4 – RECHTE DER BETROFFENEN PERSONEN
4.1 Der Verantwortliche verpflichtet sich, die betroffenen Personen über die Einzelheiten der Datenverarbeitung zu informieren und allen sonstigen berechtigten Anforderungen der betroffenen Personen in Bezug auf ihre Rechte unter der DSGVO nachzukommen.
4.2 Falls eine betroffene Person eine Anforderung zur Ausübung ihrer Rechte gegenüber dem Auftragsverarbeiter geltend macht, wird dieser eine solche Anforderung innerhalb eines angemessenen Zeitraums, der sieben (7) Arbeitstage nicht übersteigen darf, an den Verantwortlichen weiterleiten.
ARTIKEL 5 – VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
5.1 Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten gemäß der Definition in der DSGVO zu melden, wenn ihm besagte Verletzung bekannt wird.
5.2 Im Rahmen der Meldung der Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen wird der Auftragsverarbeiter die folgenden Informationen bereitstellen:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;
- die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Person, die weitere erforderliche Informationen bereitstellen kann.
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, übermittelt der Auftragsverarbeiter sie unverzüglich, spätestens jedoch 24 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat.
5.3 Der Verantwortliche verpflichtet sich, die Verletzung des Schutzes personenbezogener Daten unverzüglich der zuständigen Datenschutzaufsichtsbehörde und, falls zutreffend, den davon betroffenen Personen zu melden, falls eine solche Meldung gemäß der DSGVO oder sonstigen Rechtsvorschriften erforderlich ist. Der Verantwortliche wird den Auftragsverarbeiter vor Abgabe einer solchen Meldung entsprechend informieren. Der Verantwortliche wird die Beobachtungen des Auftragsverarbeiters in Verbindung mit dem vorgeschlagenen Entwurf der Meldung der Verletzung des Schutzes personenbezogener Daten weitestgehend berücksichtigen.
5.4 Auf Anforderung und schriftliche Weisung des Verantwortlichen kann der Auftragsverarbeiter sich damit einverstanden erklären, die Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzaufsichtsbehörde und gegebenenfalls an die davon betroffenen Personen im Namen des Verantwortlichen zu übernehmen. Die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten (DPO), der IT, Rechts- und Kommunikationsteams bei der Reaktion auf die Datenschutzverletzung richten sich nach dem vom für die Verarbeitung Verantwortlichen geführten internen Plan zur Reaktion auf Datenschutzverletzungen.
ARTIKEL 6 – UNTERSTÜTZUNG UND ÜBERPRÜFUNG
6.1 Der Auftragsverarbeiter wird den Verantwortlichen mit angemessenem Aufwand bei der Einhaltung seiner Pflichten in Bezug auf Datenschutz-Folgenabschätzungen, falls diese unter der DSGVO erforderlich sind, und zugehörige Verfahren der vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörde unterstützen.
6.2 Der Auftragsverarbeiter wird dem Verantwortlichen alle in angemessenem Umfang erforderlichen Informationen und Dokumente bereitstellen, um die Einhaltung seiner Pflichten unter der vorliegenden Vereinbarung und der DSGVO nachzuweisen. Dazu gehört die Führung eines Registers für alle Verstöße gegen den Schutz personenbezogener Daten, unabhängig davon, ob sie der Aufsichtsbehörde gemeldet wurden oder nicht. Die Aufzeichnungen müssen für mindestens fünf (5) Jahre aufbewahrt werden. In diesem Kontext und zur Bestätigung der Einhaltung dieser Vereinbarung ist der Verantwortliche berechtigt, eine Überprüfung der vom Auftragsverarbeiter im Auftrag des Verantwortlichen durchgeführten Datenverarbeitung vorzunehmen.
Der Verantwortliche und der Auftragsverarbeiter werden schriftlich die angemessenen Bedingungen vereinbaren, unter denen eine solche Überprüfung durchgeführt werden kann. Auf jeden Fall muss eine Überprüfung die angemessenen Anforderungen des Auftragsverarbeiters erfüllen, beispielsweise hinsichtlich Sicherheit, Vertraulichkeit und Schutz von gewerblichen Schutzrechten und Geschäftsgeheimnissen. Insbesondere gilt Folgendes: Wenn die Überprüfung im Auftrag des Verantwortlichen von einem Dritten durchgeführt wird, darf dieser Dritte kein Mitbewerber des Auftragsverarbeiters sein und muss eine Geheimhaltungs- und Vertraulichkeitsvereinbarung unterzeichnen, von der andere Bedingungen, die der Auftragsverarbeiter in angemessenem Umfang auferlegen kann, nicht berührt werden.
Eine Überprüfung darf die üblichen Geschäftsabläufe des Auftragsverarbeiters nicht über Gebühr beeinträchtigen. Der Verantwortliche wird den Auftragsverarbeiter grundsätzlich mindestens zwei Wochen im Voraus schriftlich über eine Überprüfungsanforderung informieren.
Die Ergebnisse der Überprüfung werden von den Vertragsparteien ausgewertet und besprochen. Gegebenenfalls werden die daraus resultierenden, von den Vertragsparteien vereinbarten zusätzlichen Maßnahmen so bald wie möglich von der zutreffenden Vertragspartei implementiert.
6.3 Soweit erforderlich und falls der Verantwortliche keinen direkten Zugriff auf die relevanten Informationen hat, wird sich der Auftragsverarbeiter bemühen, den Verantwortlichen bei der Erfüllung seiner Pflicht zu unterstützen, auf berechtigte Anforderungen der betroffenen Personen in Bezug auf ihre Rechte unter der DSGVO zu reagieren.
6.4 Die Kosten der Überprüfung und sonstiger Services, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen bereitstellt, trägt der Verantwortliche.
6.5 Soweit gesetzlich zulässig, verpflichtet sich der Verantwortliche, den Auftragsverarbeiter unverzüglich über Überprüfungen, Inspektionen oder sonstige Maßnahmen der Datenschutzaufsichtsbehörde oder einer anderen zuständigen Behörde in Bezug auf die Verarbeitung personenbezogener Daten in Verbindung mit der vorliegenden Vereinbarung zu benachrichtigen. Eine solche Benachrichtigung muss gebührenfrei erfolgen und die wesentlichen Elemente zur Beschreibung des Inhalts der Maßnahmen der zutreffenden Behörde enthalten. Die Vertragsparteien werden bei der Reaktion auf solche Anfragen zusammenarbeiten.
ARTIKEL 7 – ÜBERMITTLUNG PERSONENBEZOGENER DATEN AUSSERHALB DER EU
7.1 Sofern vom Verantwortlichen nicht ausdrücklich schriftlich dazu angewiesen oder sofern nicht gesetzlich erforderlich, wird der Auftragsverarbeiter keine personenbezogenen Daten außerhalb der Europäischen Union (nachfolgend „EU“ genannt) übermitteln.
7.2 Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten außerhalb der EU zu übermitteln, muss er dem Auftragsverarbeiter schriftlich bestätigen, dass diese Übermittlung, die in der DSGVO festgelegten Beschränkungen einhält, und die relevanten Informationen und Dokumente mit Bezug auf die Rechtmäßigkeit dieser Übermittlung personenbezogener Daten außerhalb der EU beifügen, bevor die Übermittlung erfolgt.
7.3 Wenn der Auftragsverarbeiter kraft Gesetzes personenbezogene Daten außerhalb der EU übermitteln muss, wird er sich bemühen, den Verantwortlichen vor einer solchen Übermittlung entsprechend zu informieren, es sei denn, dies ist gesetzlich verboten.
ARTIKEL 8 – ZUSICHERUNGEN UND GEWÄHRLEISTUNGEN, HAFTUNG
8.1 Im Rahmen ihres Vertragsverhältnisses bestätigen und gewährleisten die Vertragsparteien, dass sie ihre jeweiligen Pflichten gemäß der DSGVO einhalten werden.
8.2 Der Auftragsverarbeiter ist allein dafür verantwortlich, die Verarbeitung der personenbezogenen Daten in Übereinstimmung mit dieser Vereinbarung bestmöglich sicherzustellen. Insbesondere kann der Auftragsverarbeiter nicht garantieren, dass die technischen und organisatorischen Sicherheitsmaßnahmen unter allen Umständen effektiv sind. Der Auftragsverarbeiter wird jedoch nach besten Kräften sicherstellen, dass das Schutzniveau der personenbezogenen Daten und der Verarbeitung personenbezogener Daten gemäß Artikel 3 dieser Vereinbarung angemessen ist.
8.3 Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass die Datenverarbeitung, die der Auftragsverarbeiter gemäß seinen Weisungen durchführen soll, rechtmäßig ist sowie rechtmäßigen und verhältnismäßigen Zwecken folgt. Der Verantwortliche bestätigt und gewährleistet zudem, dass die in dieser Vereinbarung erwogene Datenverarbeitung rechtmäßig ist, nicht gegen geltende Gesetze verstößt und keine Rechte Dritter (einschließlich gewerblicher Schutzrechte) verletzt. Insbesondere die Übermittlung personenbezogener Daten außerhalb der EU auf Weisung des Verantwortlichen gemäß den Artikeln 7.1 und 7.2 der vorliegenden Vereinbarung erfolgt ausschließlich auf Verantwortung des Verantwortlichen. Darüber hinaus ist der Auftragsverarbeiter weder haftbar für die Verarbeitung personenbezogener Daten, die der Verantwortliche selbst durchführt, noch für die Verarbeitung personenbezogener Daten durch Dritte, die auf Weisung des Verantwortlichen handeln.
ARTIKEL 9 – UNTERAUFTRAGSVERGABE
9.1 Der Verantwortliche autorisiert den Auftragsverarbeiter hiermit im Allgemeinen, Unterauftragsverarbeiter mit bestimmten Datenverarbeitungsvorgängen zu beauftragen (nachfolgend „Unterauftragsverarbeiter“ genannt). Eine vorherige ausdrückliche Genehmigung des Verantwortlichen ist in diesem Fall nicht erforderlich.
9.2 Im Falle der Beauftragung eines Unterauftragsverarbeiters gilt Folgendes: Der Auftragsverarbeiter wird den Verantwortlichen mindestens dreißig (30) Tage vor einer geplanten Ernennung oder Ersetzung eines Unterauftragsverarbeiters schriftlich informieren. Diese Vorabbenachrichtigung muss eine Beschreibung der Art der betroffenen Verarbeitungstätigkeiten und die Benennung des Unterauftragsverarbeiters enthalten. Der Verantwortliche kann, binnen fünfzehn (15) Tagen der Vorabbenachrichtigung und aufgrund berechtigter datenschutzrechtlicher Gründe, Einwände gegen die Ernennung erheben.
9.3 Der Auftragsverarbeiter verpflichtet sich, einem Unterauftragsverarbeiter durch eine vertraglich verbindliche schriftliche Vereinbarung zwischen den Vertragsparteien Datenschutzpflichten aufzuerlegen, die im Wesentlichen, den in dieser Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten entsprechen. Insbesondere verpflichtet sich der Auftragsverarbeiter, dem Unterauftragsverarbeiter Pflichten zur Anwendung geeigneter technischer und organisatorischer Maßnahmen aufzuerlegen, die im Wesentlichen, den in Anlage 2 festgelegten entsprechen. Dabei werden die gegebenenfalls vom Unterauftragsverarbeiter durchgeführten bestimmten Datenverarbeitungsvorgänge berücksichtigt.
9.4 Der Verantwortliche wird darüber informiert, dass die in Anlage 3 aufgeführten. Unterauftragsverarbeiter personenbezogene Daten im Rahmen der Bereitstellung der Services verarbeiten.
9.5 Die Vertragsparteien vereinbaren, dass der Begriff „Unterauftragsverarbeiter“ sich nur auf Serviceanbieter bezieht, die Datenverarbeitungsservices in der Eigenschaft als Auftragsverarbeiter bereitstellen. Die Vertragsparteien vereinbaren ferner, dass dieser Begriff nicht für alle Serviceanbieter gelten soll, die Nebenleistungen in der Eigenschaft als Verantwortlicher erbringen und die der Auftragsverarbeiter möglicherweise im Rahmen der Bereitstellung der Services unter der Rahmenvereinbarung für Services in Anspruch nimmt, wie z. B. Telekommunikationsdienste, Postdienste, Wartungsdienste usw.
9.6 Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Unterauftragsvereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
9.7 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten, gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
ARTIKEL 10 – VERTRAULICHKEIT
10.1 Der Auftragsverarbeiter bestätigt, dass alle Mitarbeiter, die personenbezogene Daten verarbeiten, einer Vertraulichkeitsverpflichtung unterliegen und über die Datenschutzgrundsätze der DSGVO informiert wurden. Der Auftragsverarbeiter stellt außerdem sicher, dass alle Mitarbeiter eine jährliche Schulung zum Datenschutz und zu den Verfahren zur Reaktion auf Datenschutzverletzungen erhalten, die mit dem Plan zur Reaktion auf Datenschutzverletzungen des für die Verarbeitung Verantwortlichen übereinstimmt.
10.2 Die Vertragsparteien vereinbaren, die Vertraulichkeit des Inhalts der vorliegenden Vereinbarung zu bewahren. Jede Vertragspartei wird die Offenlegung des Inhalts der vorliegenden Vereinbarung in ihrem eigenen Unternehmen auf die Geschäftsführer, Führungskräfte und/oder Mitarbeiter mit begründetem Informationsbedarf beschränken und die Vereinbarung nicht ohne die vorherige schriftliche Zustimmung der anderen Vertragspartei gegenüber Dritten (sei es eine Einzelperson, ein Unternehmen oder eine andere Einrichtung) offenlegen. Die Vertragsparteien sind berechtigt, die Vereinbarung gegenüber der zuständigen Behörde offenzulegen, falls dies gesetzlich erforderlich ist oder im Falle eines Rechtsstreits. Der Verantwortliche bestätigt die Wichtigkeit der Bewahrung der Vertraulichkeit der in dieser Vereinbarung und insbesondere in den Anlagen 2 und 3 enthaltenen Informationen für das Unternehmen des Auftragsverarbeiters und verpflichtet sich, geeignete Maßnahmen zu ergreifen, um die Vertraulichkeit zu gewährleisten. Die Vertraulichkeitsverpflichtung der Vertragsparteien besteht nach Beendigung der vorliegenden Vereinbarung fort.
ARTIKEL 11 – LAUFZEIT UND KÜNDIGUNG
11.1 Die vorliegende Vereinbarung wird für die Laufzeit der Rahmenvereinbarung für Services geschlossen. Falls keine Laufzeit angegeben ist, bleibt die Vereinbarung für die Dauer der Geschäftsbeziehung zwischen den Vertragsparteien in Kraft.
11.2 Falls der Auftragsverarbeiter seinen Pflichten gemäß dieser Vereinbarung nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der DSGVO – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Vereinbarung einhält. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Vereinbarung einzuhalten.
11.3 Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung betrifft, wenn:
- der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Artikel 11.2. ausgesetzt hat und die Einhaltung dieser Vereinbarung nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb 3 Monaten nach der Aussetzung, wiederhergestellt wurde,
- der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Vereinbarung verstößt oder seine Verpflichtungen gemäß der DSGVO nicht erfüllt,
- der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß dieser Vereinbarung, der DSGVO zum Gegenstand hat, nicht nachkommt.
11.4 Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen verstoßen.
11.5 Nach Abschluss der Bereitstellung der Services in Verbindung mit der Verarbeitung der personenbezogenen Daten vereinbaren die Vertragsparteien, dass der Auftragsverarbeiter die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten grundsätzlich sobald wie möglich löschen wird. Alternativ kann der Verantwortliche im Rahmen einer eigenständigen schriftlichen Vereinbarung zwischen den Vertragsparteien gegen Bezahlung der vom Auftragsverarbeiter für einen solchen Service angegebenen Gebühren eine Kopie der in seinem Auftrag verarbeiteten personenbezogenen Daten anfordern.
Auf jeden Fall ist der Auftragsverarbeiter berechtigt, eine Kopie der personenbezogenen Daten aufzubewahren, solange dies für beweiserhebliche oder gesetzliche Aufbewahrungszwecke notwendig ist.
ARTIKEL 12 – VERSCHIEDENES
12.1 Diese Vereinbarung mit den zugehörigen Anlagen ersetzt alle vorherigen mündlichen oder schriftlichen Absprachen und Vereinbarungen zwischen den Vertragsparteien in Bezug auf den Vertragsgegenstand und stellt die einzige und ausschließliche Vereinbarung zwischen den Vertragsparteien in Bezug auf den besagten Vertragsgegenstand dar. Insbesondere die Bestimmungen der allgemeinen Geschäftsbedingungen des Auftragsverarbeiters in Bezug auf Datenschutz und Datenspeicherung sind nichtig und werden durch die Bestimmungen der vorliegenden Vereinbarung mit den zugehörigen Anlagen ersetzt.
12.2 Diese Vereinbarung darf nur in Schriftform mit ausdrücklichem Verweis auf diese Vereinbarung geändert werden. Der Auftragsverarbeiter ist berechtigt, diese Vereinbarung zu ändern, sofern er den Verantwortlichen nach Ankündigung mit einer Frist von dreißig (30) Tagen schriftlich darüber informiert. Insbesondere die Anlagen 2 und 3 zu dieser Vereinbarung können vom Auftragsverarbeiter nach eigenem Ermessen von Zeit zu Zeit geändert werden, sofern er den Verantwortlichen nach Ankündigung mit einer Frist von dreißig (30) Tagen schriftlich darüber informiert und folgende Voraussetzungen erfüllt:
- Anlage 2 darf nicht auf eine Art verändert werden, durch die das Schutzniveau personenbezogener Daten wesentlich und wissentlich verändert würde, das durch die in Übereinstimmung mit dieser Anlage 2 zum Zeitpunkt des Inkrafttretens der vorliegenden Vereinbarung implementierten technischen und organisatorischen Maßnahmen sichergestellt wird;
- Anlage 3 darf in Übereinstimmung mit Artikel 9.2 dieser Vereinbarung geändert werden.
12.3 Jede Vertragspartei wird der anderen alle Benachrichtigungen und Kommunikationen schriftlich bereitstellen.
12.4 Gültigkeit, Auslegung und Erfüllung dieser Vereinbarung unterliegen dem norwegischen Recht, ungeachtet der Prinzipien des Kollisionsrechts, die zur Anwendung des materiellen Rechts einer anderen Rechtsordnung führen können.
12.5 Ausschließlicher Gerichtsstand für sämtliche Klagen, Verfahren oder Ansprüche, die sich aus dieser Vereinbarung ergeben oder damit in Zusammenhang stehen, sind die zuständigen Gerichte in Norwegen.
ANLAGE 1 – ART UND ZWECK DER DATENVERARBEITUNG
KATEGORIEN PERSONENBEZOGENER DATEN UND BETROFFENER PERSONEN
Art der Datenverarbeitung für Vehicle Intelligence-Kunden
Bereitstellung der Vehicle Intelligence-Lösungen zur
- Geolokalisierung von Fahrzeugen und Objekten wie Baumaschinen, Containern, Baumaterial einschließlich zugehöriger personenbezogener Daten
- Verwaltung der befugten Benutzer der Vehicle Intelligence-Lösungen
Der Verantwortliche ist verpflichtet die Zweckbestimmung(en) seiner Datenverarbeitung im Kundendatenerfassungsblatt schriftlich festzulegen.
Kategorien personenbezogener Daten
- Fahrzeugkennzeichen
- SIM-Kartennummer zur Übertragung der Geolokalisierungsdaten
- Standardlokalisierungsdaten wie Position des Fahrzeugs (Datum, Uhrzeit, Längengrad, Breitengrad, Geschwindigkeit, Fahrtrichtung) und Statusinformationen (wie Fahrt / Stopp, Zündung ein / aus, Privat- / Arbeitsmodus)
- Zusätzliche Geolokalisierungsdaten für spezielle Kundenanforderungen, wie technische Daten der Fahrzeuge, Temperatur der Ladung, gedrückte SOS-Taste, Fahrerinformationen
- Daten, die sich aus den Standard- und zusätzlichen Geolokalisierungsdaten ergeben, wie gefahrene Route, zurückgelegte Distanz, Durchschnittsgeschwindigkeit, Anzahl und Dauer der Stopps, Beginn und Ende der Fahrzeugnutzung, verbrauchter Kraftstoff
- E-Mail-Adressen, Telefonnummern von Personen, die im Alarmfall per E-Mail, SMS oder per Sprachanruf benachrichtigt werden
Daten bezüglich der Überschreitung von Geschwindigkeitsbeschränkungen werden vom Auftragsverarbeiter nicht verarbeitet.
Daten der Benutzer der Vehicle Intelligence-Lösungen: Name, E-Mail-Adresse, Telefonnummer.
Kategorien betroffener Personen
EcoMobility verarbeitet Daten bezüglich der Fahrzeugkennzeichen.
Die Kunden können, falls notwendig im Rahmen der Verwaltung ihrer Fahrzeugflotte und Dienstleistungen, ggf. die Namen der Fahrzeugführer direkt in die Vehicle Intelligence-Lösungen eintragen. EcoMobility verarbeitet nur Daten der Benutzer, die vom Verantwortlichen angegeben werden.
Dauer der Datenverarbeitung
Der Kunde von EcoMobility kann die Dauer der Datenverarbeitung im Kundendatenerfassungsblatt angeben. Die Dauer kann jederzeit vom Verantwortlichen in der Konfiguration/in den Einstellungen der Lösung oder auf Anfrage angepasst werden.
Art der Datenverarbeitung für EcoMobility Route-Kunden
- Informationen über die vom Kunden angegebenen Touren, wie z. B. Orte, die die Tour ansteuert, Ankunftszeiten, Fahrer und Fahrzeug der Touren, zusätzliche Informationen, Kundeninformationen, Rechnungsinformationen, Abteilung, Tourstatus.
- Informationen über Fahrer wie Login-Daten, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Sozialversicherungsnummer, Bild, Einstellungsdatum, §56-Krankheitsanzeige, Abteilung, Sprachinformationen, Informationen über ihre Kontrolldokumente (wie Führerschein, Kinderausweis, Tacho-Fahrerkarte), Tacho-Informationen, Zeiterfassung.
- Informationen über Fahrzeuge wie Telefonnummer, Reinigungsstatus, GPS-Tracker-Informationen, Anzahl der Fahrgäste, Kilometerstand, Fahrzeugtyp, an das Fahrzeug angehängte Dateien, Wartungsinformationen, verwendete Ersatzteile.
- Informationen über Kunden, z. B. Name, Zahlungsbedingungen, Art der Zahlung und Fälligkeitstermine.
- Kundendaten, wie Name, Adresse, Geolokalisierung der Adresse, Telefonnummer, E-Mail, Geburtsdatum, Rechnungsempfänger für eine Tour, zuständige Institution, eventuelle Zusatzwünsche.
ANLAGE 2 – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
(vgl. Artikel 28 und 32 der DSGVO)
SICHERHEIT UND REGELMÄßIGE ÜBERPRÜFUNG | ||
Sicherheitskonzept (Art.32 DSGVO) und | Maßnahmen:
| |
VERTRAULICHKEIT | ||
Zugangskontrolle | Maßnahmen:
| |
Zugriffskontrolle | Maßnahmen:
| |
Datenzugriffskontrolle oder
| Maßnahmen:
| |
Trennungskontrolle
| Maßnahmen:
| |
Pseudonymisierung | Maßnahmen:
| |
INTEGRITÄT | ||
Transportkontrolle
| Maßnahmen:
| |
Dateneingabe- und Datenverarbeitungskontrolle | Maßnahmen:
| |
VERFÜGBARKEIT UND BELASTBARKEIT | ||
Verfügbarkeitskontrolle
| Maßnahmen:
| |
Sicherheitsvorfälle und Datenschutzverletzungen | Maßnahmen:
| |
Notfallwiederherstellung | Maßnahmen:
|