Kontaktformular/ E-Mail

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

zur Beauftragung der „24h-Serviceline“

(nachfolgend als „Hauptvertrag“ bezeichnet)

zwischen

dem Auftraggeber der 24h-Serviceline

- Verantwortlicher, nachstehend „Auftraggeber“ genannt -

und der

ADAC Truckservice GmbH

Wilhelm-Maybach-Straße 3

89150 Laichingen

- Auftragsverarbeiter, nachstehend „Auftragnehmer“ genannt -

- einzeln und/oder gemeinsam nachstehend als „Vertragspartner“ genannt-

Dieser Auftragsverarbeitungsvertrag wird nach Art 28 Abs 9 DSGVO in einem elektronischen Format abgeschlossen und bedarf daher keiner Unterschrift. Dies gilt ungeachtet einer etwaigen Schriftformklausel im Auftrag.
Annex 1 Ergänzung zum Auftragsverarbeitungsvertrag zwischen Auftraggeber der 24h-Serviceline und ADAC Truckservice GmbH
Gegenstand und Zweck des Auftrags Art der zu verarbeiteten Daten Kreis der Betroffenen Auftragsdauer: Weisungsberechtigte des Auftraggebers und Weisungsempfänger des Auftragnehmers
Übermittlung von Kundenanliegen und eines Rückrufwunsches an den Auftraggeber Personen- und Kommunikationsdaten Kunden und Interessenten Unbegrenzt. Beendigung durch Kündigung GF des Auftraggebers und GF des Auftragnehmers.
Annex 2

Checkliste technisch organisatorische Maßnahmen (TOM)

Datenschutz bzw. Datensicherheit nach DS-GVO & BDSG

Die beigefügte TOM-Checkliste wurde vom Auftragnehmer, der personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, ausgefüllt und dient der Dokumentation der bestehenden Umsetzung der gesetzlichen Vorgaben gem. Artikel 32 DS-GVO und § 64 Bundesdatenschutzgesetz (BDSG) auf Seiten des Auftragnehmers.

1. Vertraulichkeit (Art. 32 Abs. 1 b) DSGVO)

  • Zutrittskontrolle
  • Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z. B.:
  • Magnet- oder Chipkarten
  • Zutritt Serverräume permanent verschlossen, Sonderberechtigung notwendig
  • Schlüsselausgabe protokolliert
  • Videoüberwachungsanlage
  • Elektronische Zugangskontrolle
  • Keine unbefugte Nutzung von Datenverarbeitungs- und Datenspeicherungssystemen, z. B.:
  • Magnet- oder Chipkarten
  • Zutritt Serverräume permanent verschlossen, Sonderberechtigung notwendig
  • Schlüsselausgabe protokolliert
  • Videoüberwachungsanlage
  • Interne Zugangskontrolle (Nutzerrechte: Zugriff auf und Änderung von Daten)
  • Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten im System, z. B.:
  • Berechtigungs-/Rollenkonzept
  • Bedarfsorientierte Zugriffsrechte
  • Trennungskontrolle
  • Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z. B.:
  • Mandantentrennung
  • Getrennte Bereiche / Differenzierte IT Systeme
  • Pseudonymisierung (Art. 32 Abs. 1 a) und Art. 25 Abs. 1 DSGVO)
  • VVerarbeitung personenbezogener Daten auf eine Art und Weise, mit der ohne Zusatzinformationen keine Rückschlüsse auf eine betroffene Person möglich sind. Zusatzinformationen sind separat zu speichern und unterliegen entsprechenden technischen und organisatorischen Maßnahmen.

    ⇒ Für den Zweck dieses Vertrages nicht erforderlich

2. Integrität (Art. 32 Abs. 1 b) DSGVO)

  • Datenübertragungskontrolle
  • Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten bei der elektronischen Übertragung oder Versendung, z. B.:
  • Verschlüsselung
  • VPN (Virtual Private Network)
  • Automatisierte Empfängerzuordnung
  • ⇒ Elektronische Unterschrift

  • Eingabekontrolle
  • Prüfung, ob und von wem personenbezogene Daten in ein Datenverarbeitungssystem eingegeben, geändert oder gelöscht werden, z. B.:
  • Keine Datenspeicherung/-änderung beim Auftragnehmer
  • Daten werden vom Auftragnehmer aufgenommen und direkt an Auftraggeber weitergeleitet
  • ⇒ Dokumentenmanagement

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 b) DSGVO)

  • Verfügbarkeitskontrolle
  • Vermeidung von zufälliger oder beabsichtigter Zerstörung oder Verlust, z. B.:
  • Backup-Strategie (online/offline; extern)
  • Brandschutzmaßnahmen
  • Unterbrechungsfreie Stromversorgung (USV)
  • Virenschutz)
  • Firewall
  • Berichtswesen und Notfallplanung
  • Rasche Wiederherstellung (Art. 32 Abs. 1 c) DSGVO)
  • Mehrstufige Backup Strategie

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 d) DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutzmanagement
  • Störfallmanagement
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
  • Auftrags- bzw. Vertragskontrolle
  • Datenverarbeitung gemäß Art. 28 DSGVO nur auf entsprechende Anweisung des Auftraggebers, z. B.
  • Klare und unmissverständliche Regelung der Vertragsverhältnisse
  • Formalisiertes Auftragsmanagement
  • Strenge Kontrollen bei der Auswahl von Dienstleistern
  • Pflicht zur vorherigen Bewertung
  • Kontrollüberprüfungen

5. Übertragungskontrolle

Speicherung der Daten in der EU

Annex 3

EDELWEISS72 GmbH
Thomas-Wimmer-Ring 14
80538 München – Deutschland

Programmierung, Design und Hosting der Webpage und Datenbank der 24h-Serviceline.de

Bluestone Solutions GmbH
Seeblick 14
82266 Inning am Ammersee – Deutschland

Bluestone Solutions BH d.o.o.
Bulevar srpske vojske 17
78000 Banja Luka – Bosnien-Herzegowina

Beauftragter Call-Center
Dienstleister der ADAC
Truckservice GmbH

Eingesetzte Tochtergesellschaft
des beauftragten Call-Center-
Dienstleisters

Mollie B.V.
Keizersgracht 126
1015CW Amsterdam – Niederlande

Zahlungsdienstleister
Stand 01.08.2022