Vereinbarung zur Auftragsdatenverarbeitung
Vereinbarung zur Auftragsdatenverarbeitung
EINFÜHRUNG
Der Verantwortliche und der Auftragsverarbeiter haben eine Rahmenvereinbarung in Bezug auf die Nutzung vom WinFleet®-System für Geolokalisierungsdienste für Fahrzeuge und ggf. die vom Kunden bestellte zusätzliche WinFleet® Verwaltungs-Applikationen durch den Auftragsverarbeiter, EcoMobility S.à r.l., für den Verantwortlichen, der Kunde von EcoMobility, abgeschlossen (nachfolgend „Services“ und „Rahmenvereinbarung für Services“ genannt).
Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Services unter der Rahmenvereinbarung für Services.
Der Verantwortliche hat den Auftragsverarbeiter für die Bereitstellung der Services ernannt und die Zwecke und wesentlichen Mittel der vom Auftragsverarbeiter im Auftrag des Verantwortlichen durchzuführenden Datenverarbeitung festgelegt.
Die Vertragsparteien schließen die vorliegende Vereinbarung, um ihre jeweiligen Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter in Übereinstimmung mit Artikel 28 der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachfolgend „DSGVO“, Datenschutz-Grundverordnung genannt) festzulegen.
Artikel 1 – VERTRAGSGEGENSTAND UND DEFINITIONEN
1.1 Die vorliegende Vereinbarung definiert die Rechte und Pflichten der Vertragsparteien in Bezug auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
1.2 Sofern nicht ausdrücklich abweichend vereinbart oder sofern es der Kontext nicht anders erfordert, haben die in dieser Vereinbarung verwendeten Begriffe die ihnen in der DSGVO zugeschriebene Bedeutung.
ARTIKEL 2 – BESCHREIBUNG DER VOM AUFTRAGSVERARBEITER DURCHGEFÜHRTEN DATENVERARBEITUNG
2.1 Der Auftragsverarbeiter wird vom Verantwortlichen angewiesen, personenbezogene Daten im Rahmen der vom Auftragsverarbeiter unter der Rahmenvereinbarung für Services bereitgestellten Services zu verarbeiten.
Die von der Datenverarbeitung betroffenen Kategorien von personenbezogenen Daten und betroffenen Personen sind in Anlage 1 festgelegt.
2.2 Der Auftragsverarbeiter wird die personenbezogenen Daten nur in Übereinstimmung mit den Weisungen des Verantwortlichen verarbeiten. Die Weisungen werden im Rahmen der vertraglichen Vereinbarung zwischen den Vertragsparteien bereitgestellt.
2.3 Der Verantwortliche verpflichtet sich, alle Weisungen für den Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten schriftlich zu bestätigen, unter anderem mithilfe des Bestellscheins für die Services und der Einstellungen im WinFleet®-System, und diese Weisungen zu dokumentieren.
2.4 Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur gemäß den Weisungen des Verantwortlichen im Rahmen der Bereitstellung der Services zu verarbeiten. Auf jeden Fall wird der Auftragsverarbeiter keine Daten für andere Zwecke als die Bereitstellung der Services für den Verantwortlichen verarbeiten und die Erfüllung seiner rechtlichen Verpflichtungen.
ARTIKEL 3 – PFLICHTEN DER VERTRAGSPARTEIEN
3.1 Der Verantwortliche hat den Zweck bzw. die Zwecke der Datenverarbeitung vor der Beauftragung der Services beim Auftragsverarbeiter festgelegt. Die Art der Datenverarbeitung und der Zweck bzw. die Zwecke der Datenverarbeitung sind in Anlage 1 beschrieben.
3.2 Der Verantwortliche hat darüber hinaus die wesentlichen Mittel der Datenverarbeitung definiert, unter anderem die zu erfassenden personenbezogenen Daten durch Festlegung der zu überwachenden Fahrzeuge, die Identität der Personen, die befugt sind, auf die personenbezogenen Daten im WinFleet®-System zuzugreifen, und die Zugriffsberechtigungen dieser Benutzer sowie die Aufbewahrungsdauer der personenbezogenen Daten. Der Verantwortliche hat dem Auftragsverarbeiter zum Zeitpunkt der Unterzeichnung der Rahmenvereinbarung für Services mit dem Auftragsverarbeiter Weisungen in Bezug auf diese Aspekte erteilt. Die wesentlichen Mittel der Datenverarbeitung werden vom Verantwortlichen festgelegt und können jederzeit von ihm geändert werden, indem er eine entsprechende schriftliche Anforderung an den Auftragsverarbeiter richtet oder die entsprechenden Einstellungen im WinFleet®-System ändert.
3.3 In Bezug auf den Zweck bzw. die Zwecke der Datenverarbeitung bestätigt und gewährleistet der Verantwortliche, dass er bei der Verwendung oder Verarbeitung der personenbezogenen Daten oder bei der Beauftragung des Auftragsverarbeiters mit der Verarbeitung der personenbezogenen Daten nicht gegen die in der DSGVO oder anderen geltenden Gesetzen enthaltenen Vorschriften verstößt.
3.4 Der Auftragsverarbeiter wird sich angemessen dazu bemühen den Verantwortlichen möglichst zu informieren, wenn die Weisungen des Verantwortlichen seiner Ansicht nach gegen die Bestimmungen der DSGVO verstoßen, wobei insbesondere die vom Verantwortlichen bereitgestellten Informationen berücksichtigt werden. Falls der Auftragsverarbeiter die Weisungen des Verantwortlichen für unrechtmäßig hält, kann dieser die Ausführung dieser Weisungen aussetzen, bis deren Rechtmäßigkeit durch den Verantwortlichen und auf Anforderung des Auftragsverarbeiters auch durch den externen Berater des Verantwortlichen überprüft und schriftlich bestätigt wird. Der Verantwortliche bleibt jedoch in jedem Fall dafür verantwortlich die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und sicherzustellen.
3.5 Unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung, der Art und der Risiken der Verarbeitung personenbezogener Daten sowie der entsprechenden Industrienormen verpflichtet sich der Auftragsverarbeiter, in angemessenem Umfang, geeignete technische und organisatorische Maßnahmen zu implementieren, um den Schutz der personenbezogenen Daten und die Verarbeitung dieser personenbezogenen Daten zu gewährleisten. Die Vertragsparteien stimmen der Implementierung der technischen und organisatorischen Maßnahmen gemäß den Angaben in Anlage 2 durch den Auftragsverarbeiter zu.
3.6 Der Verantwortliche verpflichtet sich, den Auftragsverarbeiter ausdrücklich schriftlich zu benachrichtigen, wenn die Verarbeitung personenbezogener Daten in Verbindung mit den Services ein bestimmtes höheres Risiko darstellt, beispielsweise aufgrund des hohen Werts der Güter, die von den mittels der Geolokalisierungsdienste überwachten Fahrzeugen transportiert werden. Eine solche Benachrichtigung durch den Verantwortlichen muss rechtzeitig vor Beginn der Verarbeitung personenbezogener Daten erfolgen. In diesen Fällen verpflichtet sich der Verantwortliche, die Zugriffsberechtigungen von Benutzern im WinFleet®-System zu beschränken, dass sie nur bei begründetem Informationsbedarf darauf zugreifen können. Ferner kann er den Auftragsverarbeiter dazu auffordern, die internen Zugriffsbeschränkungen zu verstärken, indem Zugriffsberechtigungen auf bestimmte Mitarbeiter beschränkt werden.
3.7 Im Laufe der Erfüllung der Vereinbarung kann der Verantwortliche den Auftragsverarbeiter dazu auffordern, ein Angebot für die Implementierung zusätzlicher technischer oder organisatorischer Maßnahmen abzugeben. In diesem Fall wird der Auftragsverarbeiter dem Verantwortlichen mitteilen, ob diese zusätzlichen Maßnahmen seiner Ansicht nach aus technischer und organisatorischer Sicht durchführbar sind. Ist dies der Fall, wird der Auftragsverarbeiter den Verantwortlichen, über die bei der Implementierung dieser Maßnahmen entstehenden Kosten informieren. Nimmt der Verantwortliche das Angebot an, wird der Auftragsverarbeiter die zusätzlichen Maßnahmen in Übereinstimmung mit den zwischen den Vertragsparteien vereinbarten Bedingungen implementieren.
3.8 Zur Gewährleistung des Schutzes der personenbezogenen Daten und der Verarbeitung dieser personenbezogenen Daten nach seinen besten Möglichkeiten unter Berücksichtigung des technischen Fortschritts und anerkannter modernster Entwicklungen in der Branche des Auftragsverarbeiters kann der Auftragsverarbeiter – nach eigenem Ermessen und in Übereinstimmung mit Artikel 12.2 der vorliegenden Vereinbarung – Anlage 2 anpassen und ändern, um im Laufe der Erfüllung der Vereinbarung zusätzliche technische oder organisatorische Maßnahmen zu implementieren oder die zum Zeitpunkt des Inkrafttretens dieser Vereinbarung oder zu einem späteren Zeitpunkt implementierten technischen und organisatorischen Maßnahmen zu ändern. In diesem Fall verpflichtet sich der Auftragsverarbeiter, ein angemessenes Schutzniveau der personenbezogenen Daten und der Verarbeitung dieser Daten aufrechtzuerhalten. Wesentliche Änderungen an den vom Auftragsverarbeiter implementierten technischen und organisatorischen Maßnahmen sind in Übereinstimmung mit Artikel 12.2 dieser Vereinbarung zu dokumentieren und dem Verantwortlichen zu kommunizieren.
3.9 Der Auftragsverarbeiter verpflichtet sich, die Angemessenheit des Schutzniveaus der technischen und organisatorischen Maßnahmen regelmäßig zu prüfen.
3.10 Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten, die sich auf den Verantwortlichen beziehen, nicht für andere Zwecke als für die Bereitstellung der Services für den Verantwortlichen und ausschließlich gemäß den Weisungen des Verantwortlichen zu verarbeiten, es sei denn, der Auftragsverarbeiter ist dazu gesetzlich oder im Rahmen eines möglichen Rechtsstreits, z. B. in Bezug auf die Bereitstellung der Services für den Verantwortlichen, verpflichtet.
ARTIKEL 4 – RECHTE DER BETROFFENEN PERSONEN
4.1 Der Verantwortliche verpflichtet sich, die betroffenen Personen über die Einzelheiten der Datenverarbeitung zu informieren und allen sonstigen berechtigten Anforderungen der betroffenen Personen in Bezug auf ihre Rechte unter der DSGVO nachzukommen.
4.2 Falls eine betroffene Person eine Anforderung zur Ausübung ihrer Rechte gegenüber dem Auftragsverarbeiter geltend macht, wird dieser eine solche Anforderung innerhalb eines angemessenen Zeitraums, der sieben (7) Arbeitstage nicht übersteigen darf, an den Verantwortlichen weiterleiten.
ARTIKEL 5 – VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
5.1 Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten gemäß der Definition in der DSGVO unverzüglich zu melden, wenn ihm besagte Verletzung bekannt wird.
5.2 Im Rahmen der Meldung der Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen wird der Auftragsverarbeiter die folgenden Informationen bereitstellen:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;
- die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Person, die weitere erforderliche Informationen bereitstellen kann.
Wenn und soweit die Informationen vom Auftragsverarbeiter nicht zur gleichen Zeit bereitgestellt werden können, wird er diese Informationen dem Verantwortlichen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
5.3 Der Verantwortliche verpflichtet sich, die Verletzung des Schutzes personenbezogener Daten unverzüglich der zuständigen Datenschutzaufsichtsbehörde und, falls zutreffend, den davon betroffenen Personen zu melden, falls eine solche Meldung gemäß der DSGVO oder sonstigen Rechtsvorschriften erforderlich ist. Der Verantwortliche wird den Auftragsverarbeiter vor Abgabe einer solchen Meldung entsprechend informieren. Der Verantwortliche wird die Beobachtungen des Auftragsverarbeiters in Verbindung mit dem vorgeschlagenen Entwurf der Meldung der Verletzung des Schutzes personenbezogener Daten weitestgehend berücksichtigen.
5.4 Auf Anforderung und schriftliche Weisung des Verantwortlichen kann der Auftragsverarbeiter sich damit einverstanden erklären, die Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzaufsichtsbehörde und gegebenenfalls an die davon betroffenen Personen im Namen des Verantwortlichen zu übernehmen.
ARTIKEL 6 – UNTERSTÜTZUNG UND ÜBERPRÜFUNG
6.1 Der Auftragsverarbeiter wird den Verantwortlichen mit angemessenem Aufwand bei der Einhaltung seiner Pflichten in Bezug auf Datenschutz-Folgenabschätzungen, falls diese unter der DSGVO erforderlich sind, und zugehörige Verfahren der vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörde unterstützen.
6.2 Der Auftragsverarbeiter wird dem Verantwortlichen alle in angemessenem Umfang erforderlichen Informationen und Dokumente bereitstellen, um die Einhaltung seiner Pflichten unter der vorliegenden Vereinbarung und der DSGVO nachzuweisen. In diesem Kontext und zur Bestätigung der Einhaltung dieser Vereinbarung ist der Verantwortliche berechtigt, eine Überprüfung der vom Auftragsverarbeiter im Auftrag des Verantwortlichen durchgeführten Datenverarbeitung vorzunehmen.
Der Verantwortliche und der Auftragsverarbeiter werden schriftlich die angemessenen Bedingungen vereinbaren, unter denen eine solche Überprüfung durchgeführt werden kann. Auf jeden Fall muss eine Überprüfung die angemessenen Anforderungen des Auftragsverarbeiters erfüllen, beispielsweise hinsichtlich Sicherheit, Vertraulichkeit und Schutz von gewerblichen Schutzrechten und Geschäftsgeheimnissen. Insbesondere gilt Folgendes: Wenn die Überprüfung im Auftrag des Verantwortlichen von einem Dritten durchgeführt wird, darf dieser Dritte kein Mitbewerber des Auftragsverarbeiters sein und muss eine Geheimhaltungs- und Vertraulichkeitsvereinbarung unterzeichnen, von der andere Bedingungen, die der Auftragsverarbeiter in angemessenem Umfang auferlegen kann, nicht berührt werden.
Eine Überprüfung darf die üblichen Geschäftsabläufe des Auftragsverarbeiters nicht über Gebühr beeinträchtigen. Der Verantwortliche wird den Auftragsverarbeiter grundsätzlich mindestens zwei Wochen im Voraus schriftlich über eine Überprüfungsanforderung informieren.
Die Ergebnisse der Überprüfung werden von den Vertragsparteien ausgewertet und besprochen. Gegebenenfalls werden die daraus resultierenden, von den Vertragsparteien vereinbarten zusätzlichen Maßnahmen so bald wie möglich von der zutreffenden Vertragspartei implementiert.
6.3 Soweit erforderlich und falls der Verantwortliche keinen direkten Zugriff auf die relevanten Informationen hat, wird sich der Auftragsverarbeiter bemühen, den Verantwortlichen bei der Erfüllung seiner Pflicht zu unterstützen, auf berechtigte Anforderungen der betroffenen Personen in Bezug auf ihre Rechte unter der DSGVO zu reagieren.
6.4 Die Kosten der Überprüfung und sonstiger Services, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen bereitstellt, trägt der Verantwortliche.
6.5 Soweit gesetzlich zulässig, verpflichtet sich der Verantwortliche, den Auftragsverarbeiter unverzüglich über Überprüfungen, Inspektionen oder sonstige Maßnahmen der Datenschutzaufsichtsbehörde oder einer anderen zuständigen Behörde in Bezug auf die Verarbeitung personenbezogener Daten in Verbindung mit der vorliegenden Vereinbarung zu benachrichtigen. Eine solche Benachrichtigung muss gebührenfrei erfolgen und die wesentlichen Elemente zur Beschreibung des Inhalts der Maßnahmen der zutreffenden Behörde enthalten. Die Vertragsparteien werden bei der Reaktion auf solche Anfragen zusammenarbeiten.
ARTIKEL 7 – ÜBERMITTLUNG PERSONENBEZOGENER DATEN AUSSERHALB DER EU
7.1 Sofern vom Verantwortlichen nicht ausdrücklich schriftlich dazu angewiesen oder sofern nicht gesetzlich erforderlich, wird der Auftragsverarbeiter keine personenbezogenen Daten außerhalb der Europäischen Union (nachfolgend „EU“ genannt) übermitteln.
7.2 Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten außerhalb der EU zu übermitteln, muss er dem Auftragsverarbeiter schriftlich bestätigen, dass diese Übermittlung, die in der DSGVO festgelegten Beschränkungen einhält, und die relevanten Informationen und Dokumente mit Bezug auf die Rechtmäßigkeit dieser Übermittlung personenbezogener Daten außerhalb der EU beifügen, bevor die Übermittlung erfolgt.
7.3 Wenn der Auftragsverarbeiter kraft Gesetzes personenbezogene Daten außerhalb der EU übermitteln muss, wird er sich bemühen, den Verantwortlichen vor einer solchen Übermittlung entsprechend zu informieren, es sei denn, dies ist gesetzlich verboten.
ARTIKEL 8 – ZUSICHERUNGEN UND GEWÄHRLEISTUNGEN, HAFTUNG
8.1 Im Rahmen ihres Vertragsverhältnisses bestätigen und gewährleisten die Vertragsparteien, dass sie ihre jeweiligen Pflichten gemäß der DSGVO einhalten werden.
8.2 Der Auftragsverarbeiter ist allein dafür verantwortlich, die Verarbeitung der personenbezogenen Daten in Übereinstimmung mit dieser Vereinbarung bestmöglich sicherzustellen. Insbesondere kann der Auftragsverarbeiter nicht garantieren, dass die technischen und organisatorischen Sicherheitsmaßnahmen unter allen Umständen effektiv sind. Der Auftragsverarbeiter wird jedoch nach besten Kräften sicherstellen, dass das Schutzniveau der personenbezogenen Daten und der Verarbeitung personenbezogener Daten gemäß Artikel 3 dieser Vereinbarung angemessen ist.
8.3 Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass die Datenverarbeitung, die der Auftragsverarbeiter gemäß seinen Weisungen durchführen soll, rechtmäßig ist sowie rechtmäßigen und verhältnismäßigen Zwecken folgt. Der Verantwortliche bestätigt und gewährleistet zudem, dass die in dieser Vereinbarung erwogene Datenverarbeitung rechtmäßig ist, nicht gegen geltende Gesetze verstößt und keine Rechte Dritter (einschließlich gewerblicher Schutzrechte) verletzt. Insbesondere die Übermittlung personenbezogener Daten außerhalb der EU auf Weisung des Verantwortlichen gemäß den Artikeln 7.1 und 7.2 der vorliegenden Vereinbarung erfolgt ausschließlich auf Verantwortung des Verantwortlichen. Darüber hinaus ist der Auftragsverarbeiter weder haftbar für die Verarbeitung personenbezogener Daten, die der Verantwortliche selbst durchführt, noch für die Verarbeitung personenbezogener Daten durch Dritte, die auf Weisung des Verantwortlichen handeln.
ARTIKEL 9 – UNTERAUFTRAGSVERGABE
9.1 Der Verantwortliche autorisiert den Auftragsverarbeiter hiermit im Allgemeinen, Unterauftragsverarbeiter mit bestimmten Datenverarbeitungsvorgängen zu beauftragen (nachfolgend „Unterauftragsverarbeiter“ genannt). Eine vorherige ausdrückliche Genehmigung des Verantwortlichen ist in diesem Fall nicht erforderlich.
9.2 Im Falle der Beauftragung eines Unterauftragsverarbeiters gilt Folgendes: Der Auftragsverarbeiter wird den Verantwortlichen mindestens dreißig (30) Tage vor einer geplanten Ernennung oder Ersetzung eines Unterauftragsverarbeiters schriftlich informieren. Diese Vorabbenachrichtigung muss eine Beschreibung der Art der betroffenen Verarbeitungstätigkeiten und die Benennung des Unterauftragsverarbeiters enthalten. Der Verantwortliche kann, binnen fünfzehn (15) Tagen der Vorabbenachrichtigung und aufgrund berechtigter datenschutzrechtlicher Gründe, Einwände gegen die Ernennung erheben.
9.3 Der Auftragsverarbeiter verpflichtet sich, einem Unterauftragsverarbeiter durch eine vertraglich verbindliche schriftliche Vereinbarung zwischen den Vertragsparteien Datenschutzpflichten aufzuerlegen, die im Wesentlichen, den in dieser Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten entsprechen. Insbesondere verpflichtet sich der Auftragsverarbeiter, dem Unterauftragsverarbeiter Pflichten zur Anwendung geeigneter technischer und organisatorischer Maßnahmen aufzuerlegen, die im Wesentlichen, den in Anlage 2 festgelegten entsprechen. Dabei werden die gegebenenfalls vom Unterauftragsverarbeiter durchgeführten bestimmten Datenverarbeitungsvorgänge berücksichtigt.
9.4 Der Verantwortliche wird darüber informiert, dass die in Anlage 3 aufgeführten. Unterauftragsverarbeiter personenbezogene Daten im Rahmen der Bereitstellung der Services verarbeiten.
9.5 Die Vertragsparteien vereinbaren, dass der Begriff „Unterauftragsverarbeiter“ sich nur auf Serviceanbieter bezieht, die Datenverarbeitungsservices in der Eigenschaft als Auftragsverarbeiter bereitstellen. Die Vertragsparteien vereinbaren ferner, dass dieser Begriff nicht für alle Serviceanbieter gelten soll, die Nebenleistungen in der Eigenschaft als Verantwortlicher erbringen und die der Auftragsverarbeiter möglicherweise im Rahmen der Bereitstellung der Services unter der Rahmenvereinbarung für Services in Anspruch nimmt, wie z. B. Telekommunikationsdienste, Postdienste, Wartungsdienste usw.
9.6 Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Unterauftragsvereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
9.7 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten, gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
ARTIKEL 10 – VERTRAULICHKEIT
10.1 Der Auftragsverarbeiter bestätigt, dass alle Mitarbeiter, die personenbezogene Daten verarbeiten, einer Vertraulichkeitsverpflichtung unterliegen und über die Datenschutzgrundsätze der DSGVO informiert wurden.
10.2 Die Vertragsparteien vereinbaren, die Vertraulichkeit des Inhalts der vorliegenden Vereinbarung zu bewahren. Jede Vertragspartei wird die Offenlegung des Inhalts der vorliegenden Vereinbarung in ihrem eigenen Unternehmen auf die Geschäftsführer, Führungskräfte und/oder Mitarbeiter mit begründetem Informationsbedarf beschränken und die Vereinbarung nicht ohne die vorherige schriftliche Zustimmung der anderen Vertragspartei gegenüber Dritten (sei es eine Einzelperson, ein Unternehmen oder eine andere Einrichtung) offenlegen. Die Vertragsparteien sind berechtigt, die Vereinbarung gegenüber der zuständigen Behörde offenzulegen, falls dies gesetzlich erforderlich ist oder im Falle eines Rechtsstreits. Der Verantwortliche bestätigt die Wichtigkeit der Bewahrung der Vertraulichkeit der in dieser Vereinbarung und insbesondere in den Anlagen 2 und 3 enthaltenen Informationen für das Unternehmen des Auftragsverarbeiters und verpflichtet sich, geeignete Maßnahmen zu ergreifen, um die Vertraulichkeit zu gewährleisten. Die Vertraulichkeitsverpflichtung der Vertragsparteien besteht nach Beendigung der vorliegenden Vereinbarung fort.
ARTIKEL 11 – LAUFZEIT UND KÜNDIGUNG
11.1 Die vorliegende Vereinbarung wird für die Laufzeit der Rahmenvereinbarung für Services geschlossen. Falls keine Laufzeit angegeben ist, bleibt die Vereinbarung für die Dauer der Geschäftsbeziehung zwischen den Vertragsparteien in Kraft.
11.2 Falls der Auftragsverarbeiter seinen Pflichten gemäß dieser Vereinbarung nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der DSGVO – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Vereinbarung einhält. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Vereinbarung einzuhalten.
11.3 Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung betrifft, wenn:
- der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Artikel 11.2. ausgesetzt hat und die Einhaltung dieser Vereinbarung nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb 3 Monaten nach der Aussetzung, wiederhergestellt wurde,
- der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Vereinbarung verstößt oder seine Verpflichtungen gemäß der DSGVO nicht erfüllt,
- der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß dieser Vereinbarung, der DSGVO zum Gegenstand hat, nicht nachkommt.
11.4 Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen verstoßen.
11.5 Nach Abschluss der Bereitstellung der Services in Verbindung mit der Verarbeitung der personenbezogenen Daten vereinbaren die Vertragsparteien, dass der Auftragsverarbeiter die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten grundsätzlich sobald wie möglich löschen wird. Alternativ kann der Verantwortliche im Rahmen einer eigenständigen schriftlichen Vereinbarung zwischen den Vertragsparteien gegen Bezahlung der vom Auftragsverarbeiter für einen solchen Service angegebenen Gebühren eine Kopie der in seinem Auftrag verarbeiteten personenbezogenen Daten anfordern.
Auf jeden Fall ist der Auftragsverarbeiter berechtigt, eine Kopie der personenbezogenen Daten aufzubewahren, solange dies für beweiserhebliche oder gesetzliche Aufbewahrungszwecke notwendig ist.
ARTIKEL 12 – VERSCHIEDENES
12.1 Diese Vereinbarung mit den zugehörigen Anlagen ersetzt alle vorherigen mündlichen oder schriftlichen Absprachen und Vereinbarungen zwischen den Vertragsparteien in Bezug auf den Vertragsgegenstand und stellt die einzige und ausschließliche Vereinbarung zwischen den Vertragsparteien in Bezug auf den besagten Vertragsgegenstand dar. Insbesondere die Bestimmungen der allgemeinen Geschäftsbedingungen des Auftragsverarbeiters in Bezug auf Datenschutz und Datenspeicherung sind nichtig und werden durch die Bestimmungen der vorliegenden Vereinbarung mit den zugehörigen Anlagen ersetzt.
12.2 Diese Vereinbarung darf nur in Schriftform mit ausdrücklichem Verweis auf diese Vereinbarung geändert werden. Der Auftragsverarbeiter ist berechtigt, diese Vereinbarung zu ändern, sofern er den Verantwortlichen nach Ankündigung mit einer Frist von dreißig (30) Tagen schriftlich darüber informiert. Insbesondere die Anlagen 2 und 3 zu dieser Vereinbarung können vom Auftragsverarbeiter nach eigenem Ermessen von Zeit zu Zeit geändert werden, sofern er den Verantwortlichen nach Ankündigung mit einer Frist von dreißig (30) Tagen schriftlich darüber informiert und folgende Voraussetzungen erfüllt:
- Anlage 2 darf nicht auf eine Art verändert werden, durch die das Schutzniveau personenbezogener Daten wesentlich und wissentlich verändert würde, das durch die in Übereinstimmung mit dieser Anlage 2 zum Zeitpunkt des Inkrafttretens der vorliegenden Vereinbarung implementierten technischen und organisatorischen Maßnahmen sichergestellt wird;
- Anlage 3 darf in Übereinstimmung mit Artikel 9.2 dieser Vereinbarung geändert werden.
12.3 Jede Vertragspartei wird der anderen alle Benachrichtigungen und Kommunikationen schriftlich bereitstellen.
12.4 Gültigkeit, Auslegung und Erfüllung dieser Vereinbarung unterliegen dem Recht des Großherzogtums Luxemburg, ungeachtet der Prinzipien des Kollisionsrechts, die zur Anwendung des materiellen Rechts einer anderen Rechtsordnung führen können.
12.5 Ausschließlicher Gerichtsstand für sämtliche Klagen, Verfahren oder Ansprüche, die sich aus dieser Vereinbarung ergeben oder damit in Zusammenhang stehen, sind die zuständigen Gerichte des Gerichtsbezirks Luxemburg-Stadt, Großherzogtum Luxemburg.
ANLAGE 1 – ART UND ZWECK DER DATENVERARBEITUNG
KATEGORIEN PERSONENBEZOGENER DATEN UND BETROFFENER PERSONEN
1. Art der Datenverarbeitung:
Bereitstellung des Winfleet®-Systems zur
- Geolokalisierung von Fahrzeugen und Objekten wie Baumaschinen, Containern, Baumaterial einschließlich zugehöriger personenbezogener Daten
- Verwaltung der befugten Benutzer des WinFleet®-Systems
2. Der Verantwortliche ist verpflichtet die Zweckbestimmung(en) seiner Datenverarbeitung im Kundendatenerfassungsblatt schriftlich festzulegen.
3. Kategorien personenbezogener Daten
- Fahrzeugkennzeichen
- SIM-Kartennummer zur Übertragung der Geolokalisierungsdaten
- Standardlokalisierungsdaten wie Position des Fahrzeugs (Datum, Uhrzeit, Längengrad, Breitengrad, Geschwindigkeit, Fahrtrichtung) und Statusinformationen (wie Fahrt / Stopp, Zündung ein / aus, Privat- / Arbeitsmodus)
- Zusätzliche Geolokalisierungsdaten für spezielle Kundenanforderungen, wie technische Daten der Fahrzeuge, Temperatur der Ladung, gedrückte SOS-Taste, Fahrerinformationen
- Daten, die sich aus den Standard- und zusätzlichen Geolokalisierungsdaten ergeben, wie gefahrene Route, zurückgelegte Distanz, Durchschnittsgeschwindigkeit, Anzahl und Dauer der Stopps, Beginn und Ende der Fahrzeugnutzung, verbrauchter Kraftstoff
- E-Mail-Adressen, Telefonnummern von Personen, die im Alarmfall per E-Mail, SMS oder per Sprachanruf benachrichtigt werden
Daten bezüglich der Überschreitung von Geschwindigkeitsbeschränkungen werden vom Auftragsverarbeiter nicht verarbeitet.
Daten der WinFleet®-System Benutzer: Name, E-Mail-Adresse, Telefonnummer.
4. Kategorien betroffener Personen
Der Verantwortliche gibt im Kundendatenerfassungsblatt Anweisungen zu den Fahrzeugen, die geolokalisiert werden.
EcoMobility verarbeitet Daten bezüglich der Fahrzeugkennzeichen.
Die Kunden können, falls notwendig im Rahmen der Verwaltung ihrer Fahrzeugflotte und Dienstleistungen, ggf. die Namen der Fahrzeugführer direkt in das WinFleet®-System eintragen. EcoMobility verarbeitet nur Daten der WinFleet®-System Benutzer, die vom Verantwortlichen angegeben werden.
5. Dauer der Datenverarbeitung
Der Kunde von EcoMobility ist verpflichtet die Dauer der Datenverarbeitung im Kundendatenerfassungsblatt anzugeben. Die Dauer kann jederzeit vom Verantwortlichen in der Konfiguration/in den Settings des WinFleet®-Systems angepasst werden.
ANLAGE 2 – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
(vgl. Artikel 28 und 32 der DSGVO)
SICHERHEIT UND REGELMÄßIGE ÜBERPRÜFUNG | ||
Sicherheitskonzept (Art.32 DSGVO) und | Maßnahmen:
| |
VERTRAULICHKEIT | ||
Zugangskontrolle | Maßnahmen:
| |
Zugriffskontrolle | Maßnahmen:
| |
Datenzugriffskontrolle oder
| Maßnahmen:
| |
Trennungskontrolle
| Maßnahmen:
| |
Pseudonymisierung | Maßnahmen:
| |
INTEGRITÄT | ||
Transportkontrolle
| Maßnahmen:
| |
Dateneingabe- und Datenverarbeitungskontrolle | Maßnahmen:
| |
VERFÜGBARKEIT UND BELASTBARKEIT | ||
Verfügbarkeitskontrolle
| Maßnahmen:
| |
Sicherheitsvorfälle und Datenschutzverletzungen | Maßnahmen:
| |
Notfallwiederherstellung | Maßnahmen:
| |
ANLAGE 3 – LISTE DER UNTERAUFTRAGSVERARBEITER
Infrastruktur Unterauftragsverarbeiter
Unterauftragsverarbeiter | Land | Datacenter |
Datacenter Luxembourg S.A. | LU | – EBRC Resilience Centre Luxembourg West, Tier IV – LuxConnect S.A., Tier IV |
DLX A/S | DK | – DLX Datacenter, ISAE 3402 |
Dienstspezifische Unterauftragsverarbeiter
WinFleet® Alarme
Die Telefonnummer der Empfänger und der Inhalt der Alarmmeldung werden zur Lieferung an die Unterauftragsverarbeiter übertragen.
Unterauftragsverarbeiter | Land |
M-PLIFY S.A. | LU |
seven communications GmbH & Co. KG | DE |
Digitaler Tachograph Download (RDL)
Auf Kundenwunsch: Verarbeitung der Daten des digitalen Fahrtenschreibers und der Fahrerkarte.
Unterauftragsverarbeiter | Land |
Aplicom Oy | FI |
Kunden-Support
Unterauftragsverarbeiter | Land |
Microsoft 365 | EU |
Salesforce | EU |
Dienstleister
Nur zu Informationszwecken: Dienstleister, die nicht als Unterauftragsverarbeiter eingestuft werden.
Allgemeine Dienstleister
- Google Maps
Telekommunikationsdienstleister
- POST Luxembourg
- Orange Luxembourg S.A.
- Orange Belgium
- Join Experience S.A.
- Tango S.A.
- Deutsche Telekom AG
- Telia Danmark
- Telenor Danmark
Zusatzvereinbarung zur Vereinbarung zur Auftragsdatenverarbeitung: WinFleet Mobile Applikationen
Folgende Bestimmungen gelten für die Verarbeitung personenbezogener Daten durch den Datenverarbeiter EcoMobility S.à r.l. für und im Auftrag des Kunden von EcoMobility im Rahmen der Verwendung von WinFleet® Mobile Applikationen durch die Mitarbeiter auf den vom Kunden zur Verfügung gestellten professionellen Mobiltelefonen.
Folgende Bestimmungen ersetzen Anlage 1 der Vereinbarung zur Auftragsdatenverarbeitung zwischen den Parteien in Bezug auf WinFleet® Mobile Applikationen. Alle anderen Bestimmungen der Vereinbarung zur Auftragsdatenverarbeitung bleiben für die Datenverarbeitung in Bezug auf WinFleet® Mobile Applikationen anwendbar.
ART UND ZWECK DER DATENVERARBEITUNG
Der Auftragsverarbeiter verarbeitet Daten im Rahmen der Nutzung der vom Kunden bestellten WinFleet® Mobile Applikationen.
Die Applikationen dienen den Zwecken der Verwaltung und Optimierung von Arbeitsabläufen durch den Kunden.
KATEGORIEN PERSONENBEZOGENER DATEN UND BETROFFENER PERSONEN
Das unten abgebildete in den App-Stores verfügbare Informationsblatt, genannt „WinFleet® apps PRIVACY POLICY“, beschreibt die Datenverarbeitung im Rahmen der vom Kunden bestellten WinFleet® Mobile Applikationen. Bei Bedarf kann der Kunde bei EcoMobility eine Übersetzung der PRIVACY POLICY vor Vertragsabschluss schriftlich beantragen.
WinFleet® Apps PRIVACY POLICY:
Use of WinFleet® applications (apps) is reserved to WinFleet® customers which have accepted the terms and conditions, including the WinFleet® data processing agreement, which are available online under the menu heading (§) „DSGVO / GDPR / RGPD‟ in the WinFleet® navigation bar (https://app.WinFleet®.lu).
The data controller is the end users’ employer organisation, a WinFleet® customer. The employer designates the end users authorised to download the WinFleet® apps as well as the WinFleet® system users, by providing them with the necessary access rights. The WinFleet® customer is responsible for the company’s use of the selected WinFleet® apps as well as the data processing connected thereto. EcoMobility S.à r.l., the developer of the WinFleet® apps, is a data processor.
WinFleet® customer’s privacy policy applies to its data processing with the WinFleet® system, including its apps. In addition, end users are provided with the information below by the WinFleet® system developer, which is accessible at any time under the menu item “Data protection” within the relevant WinFleet® app.
Is information processed when downloading a WinFleet® app?
When downloading the WinFleet® apps, the necessary information is transferred to the App Store you have selected (e.g. Google Play Store or Apple App Store), i.e. in particular, your user name, e-mail address, customer account number, time of download and device ID. The app developer has no control over this and is not responsible for this data processing which is done under the exclusive control of the respective App Store.
What data is processed when using a WinFleet® app?
All WinFleet® apps
WinFleet® apps are fully-integrated in the WinFleet® system.
Login details as well as support information relating to app use are processed for security and debugging and includes login name, username, device ID, framework of the mobile app, screen resolution, operating system (OS), telephone type, app version and configuration, IP address.
WinFleet® apps only work in combination with an up-to-date WinFleet® system account.
In addition, the following data will be processed, depending on the application used:
WinFleet® Mobile, Eco Go, Eco Drive
WinFleet® Mobile enables WinFleet® system users, authorised by the WinFleet® customer, to display WinFleet® data like real-time positions, position history and alarm configuration on their mobile device. Configurations (e.g. alarms or asset details) set by the WinFleet® system user are processed in WinFleet. Data access is equivalent to the access on the WinFleet® web application and all access is granted to WinFleet® system users by the WinFleet ® customer. Eco Drive is used for setting trips to private or business state for the purpose of driver logbook or private driving.
WinFleet® Connect
WinFleet® Connect App is a professional chat messaging system that enables end users of the WinFleet® system to receive/send professional communications from/to his/her employer organisation, a WinFleet® customer.
Upon activation of the push notifications after a separate query by the app, the end user will have the option to receive messages sent by other end users of the same organisation, even when the App is not open. The mobile device OS (Android, iOS) will generate an identifier for the mobile device and this device token is then issued in the WinFleet® Connect app. The device token and a generated unique ID are transferred to Azure Notification Hub to register the mobile device for push notifications. The generated unique ID is stored in EcoMobility’s backend to send out push notifications. Azure Notification Hub is not able to identify an end user personally.
A push notification is triggered via the Azure Notification Hub, a multi-platform, scaled-out push notification infrastructure of Microsoft. It is sent via the respective provider of the mobile device operation system (e.g. Android Firebase Messaging or Apple Push Services).
Push notifications are sent to the generated unique ID and include the content of the chat text that is transmitted but no individual end user data. The end user is solely responsible for the content of the chat messages sent via the chat messaging system of WinFleet® Connect app which is intended for professional use.
WinFleet® Mango
WinFleet® Mango is an order management app allowing the end user to manage client orders using his/her mobile device. The app enables efficient order processing by entering new orders and manually tracking execution tasks of existing orders.
Data (text, images) entered or selected by the end user will be processed in the WinFleet® system together with a timestamp when the data was sent.
The end user has the option to use the third-party Google navigation tool by activating a button to map routes between clients. The relevant data processing takes place under the exclusive control of Google in the Google maps app as installed by the end user.
WinFleet® Scout
WinFleet® Scout is an app enabling an end user to search for WinFleet® customer property (assets such as tools, machines) by scanning nearby registered BLE tags with a mobile device.
Processed data includes current mobility activity at the time of scanning (including in-vehicle, walking, stationary, and other data automatically provided by the mobile device OS). Location of the end user will only be recorded in frontend mode, when explicitly requested by the end user, not in background mode.
When the scan button is pressed by the end user, the WinFleet® Scout app locates BLE tags of assets in the vicinity of the mobile device and sends registered assets’ MAC-addresses to the WinFleet® system server. Only information on assets that belong to the WinFleet® customer and that are assigned to the relevant end user are transferred to WinFleet®. Any other BLE tags that are recognized by the app are ignored and no data is transferred to the server.
The location of the BLE tags is uploaded and stored on the WinFleet® system’s server by using the location of the mobile device activated by the end user at the time of the scan. Neither location nor BLE tag ID information will be recorded if the user is not logged in.
Purposes of the data processing
WinFleet® Apps data is processed for the purposes defined in the employer’s privacy policy in relation to its use of the WinFleet® system, including the apps and is stored and processed in accordance with the Settings defined by your employer’s organisation, a WinFleet® customer.
End users must consent to download a specific WinFleet® App as well as to the processing of push notifications and location data.
As an end user, you can revoke your consent to the data processing in the WinFleet® Apps at any time by deactivating the App directly in the Settings of your mobile device OS.
Data storage period
The WinFleet® customer defines the storage period of App users’ data through its chosen configurations in the WinFleet® system.
Processing infrastructure
All WinFleet® Apps use a backend hosted on the data processor’s infrastructure.
Anpassungen der Vereinbarung zur Auftragsdatenverarbeitung
Zum 02.04.2025 wird die Vereinbarung zur Auftragsdatenverarbeitung wie folgt angepasst:
ANLAGE 3
Infrastruktur Unterauftragsverarbeiter
CMD S.A. wurde als Unterauftragsverarbeiter entfernt.
DLX A/S wurde als Unterauftragsverarbeiter eingefügt.
Kunden-Support
FreshWorks Inc wurde als Unterauftragsverarbeiter entfernt.
Salesforce wurde als Unterauftragsverarbeiter eingefügt.
Telekommunikationsdienstleister
Telenor Danmark wurde hinzugefügt.
Zum 01.09.22 wird die Vereinbarung zur Auftragsdatenverarbeitung wie folgt angepasst:
ANLAGE 1
Anpassung der Anlage bezüglich der Zweckbestimmung(en) der Datenverarbeitung sowie der betroffenen Personen und der Dauer der Datenverarbeitung: Hinweis auf die schriftlichen Anweisungen des Kunden im Kundendatenerfassungsblatt.
ANLAGE 3
Kunden-Support
Zendesk Inc. wurde als Unterauftragsverarbeiter entfernt.
Telekommunikationsdienstleister
Telia Danmark wurde hinzugefügt.
Zum 23.03.22 wird die Vereinbarung zur Auftragsdatenverarbeitung wie folgt angepasst:
Kunden-Support
Freshworks Inc. wurde als Unterauftragsverarbeiter hinzugefügt; die Daten werden in der EU gehostet.
Zum 08.12.21 wird die Vereinbarung zur Auftragsdatenverarbeitung wie folgt angepasst:
Anlehnung der Vereinbarung an den Rahmenvertrag der EU.
ANLAGE 1
Anpassung der Zweckbestimmungen an Richtlinien der CNPD vom 15. April 2021.
ANLAGE 3
WinFleet® Alarme
Twilio Inc. wurde entfernt.
SMS77 wurde als Unterauftragsverarbeiter hinzugefügt; die Daten werden in der EU gehostet.
Kunden-Support
Bei Zendesk Inc. erfolgt die Datenspeicherung in der EU
SONSTIGES
Zusatzvereinbarung für mobile Applikationen hinzugefügt
Zum 08.12.20 wird die Vereinbarung zur Auftragsdatenverarbeitung wie folgt angepasst:
ANLAGE 3
Infrastruktur Unterauftragsverarbeiter
Bei Datacenter Luxembourg S.A. ist das Datacenter „DATA4 Luxembourg S.à r.l. (TIER II)“ ersetzt durch „LuxConnect S.A. (TIER IV)“.
Dienstspezifische Unterauftragsverarbeiter
WinFleet® Alarme
Bei Twilio Inc. ist der Verweis auf die verbindlichen internen Datenschutzvorschriften eingefügt.
Kunden-Support
Bei Zendesk Inc. ist der Verweis auf die verbindlichen internen Datenschutzvorschriften eingefügt.
