Kontaktformular/ E-Mail
Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO
zur Beauftragung der „24h-Serviceline“
(nachfolgend als „Hauptvertrag“ bezeichnet)
zwischen
dem Auftraggeber der 24h-Serviceline- Verantwortlicher, nachstehend „Auftraggeber“ genannt -
und der
ADAC Truckservice GmbH
Wilhelm-Maybach-Straße 3
89150 Laichingen
- Auftragsverarbeiter, nachstehend „Auftragnehmer“ genannt -
- einzeln und/oder gemeinsam nachstehend als „Vertragspartner“ genannt-
Gegenstand und Dauer der Vereinbarung
-
Der Auftrag, die konkrete Beschreibung der Dienstleistung sowie die Dauer sind im Annex „Ergänzung zum Auftragsverarbeitungsvertrag“ (Annex 1) geregelt.
-
Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
-
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union erbracht. Sollten wir personenbezogene Daten an weisungsgebundene Dienstleister außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) übermitteln, erfolgt eine Verarbeitung Ihrer Daten in Drittstaaten nur auf Grundlage sogenannter Standarddatenschutzklauseln der EU-Kommission, soweit durch bestimmte Maßnahmen sichergestellt ist, dass hierfür ein angemessenes Datenschutzniveau besteht (z. B. Angemessenheitsbeschluss der EU-Kommission oder sog. geeignete Garantien, Art. 44ff. DSGVO).
-
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will, oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert, oder gegen aus Art. 28 DS-GVO abgeleitete Pflichten verstoßen wird.
-
Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:
-
Einzelheiten zum Zweck, zur Art der Verarbeitung (gem. Art. 4 Nr. 2 DS-GVO), zur Art der personenbezogenen Daten (gem. Art. 4 Nr. 1, 13, 14 und 15 DS-GVO) und Kategorien betroffener Personen (gem. Art. 4 Nr. 1 DS-GVO) ergeben sich ebenfalls aus Annex 1.
-
Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
-
Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
-
Änderungen der Regelungsinhalte des Annex 1 und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem elektronischen Format festzulegen.
-
Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem elektronischen Format zu bestätigen.
-
Der Auftraggeber ist berechtigt, sich wie unter Ziffer 5. dieses Vertrages festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
-
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Ergebnisse der Verarbeitung feststellt.
-
Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers:
-
Die Einzelheiten hierzu sind ebenfalls in Annex 1 geregelt.
-
Bei einem Wechsel oder einer längerfristigen Verhinderung der Weisungsberechtigten sind dem jeweiligen Vertragspartner unverzüglich und grundsätzlich schriftlich, was auch in einem elektronischen Format erfolgen kann, die Nachfolger bzw. die Vertreter mitzuteilen.
-
Pflichten des Auftragnehmers
-
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
-
Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen als die in Annex 1 geregelten Zwecke, insbesondere nicht für eigene Zwecke.
-
Der Auftragnehmer ist für die gesamte Abwicklung seiner Dienstleistung für den Auftraggeber verantwortlich. Er hat dabei insbesondere regelmäßige Überprüfungen in seinem Betrieb durchzuführen und zu dokumentieren.
-
Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten (Art. 30 DS-GVO) sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich und angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten: Weisungsberechtigter gem. Annex 1
-
Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
-
Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
-
Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder schriftlicher Zustimmung durch den Auftraggeber erteilen
-
Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber -grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen im Sinne von Art. 28 Abs. 3 Satz 2 lit. h DS-GVO, zu kontrollieren.
-
Der Auftragnehmer wird, soweit erforderlich und angemessen, bei diesen Kontrollen unterstützend mitwirken.
-
Der Auftragnehmer gewährleistet, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
-
Als Datenschutzbeauftragter ist beim Auftragnehmer Herr Jörg Lüders bestellt. Sie erreichen den Datenschutzbeauftragten postalisch unter: lueders consulting, Harburger Stadtweg 5, 21224 Rosengarten oder per Email, info@lueders-consulting.de
-
Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.
-
Weisungen des Auftraggebers sind für ihre Geltungsdauer und anschließend noch für drei (3) volle Kalenderjahre aufzubewahren
-
Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
-
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer wird den Auftraggeber – soweit erforderlich bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziffer 4 dieses Vertrages durchführen.
-
Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)
-
Dem Auftraggeber ist bewusst, dass der Auftragnehmer im Rahmen der vertraglich geschuldeten Leistungserbringung Subunternehmer beauftragt, deren Auswahl dem Auftragnehmer obliegt.
-
Der Auftragnehmer hat die Einhaltung der Pflichten des/der Subunternehmer(s) zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren.
-
Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt.
-
Zurzeit werden von dem Auftragnehmer die in Annex 3)mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang eingesetzt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
-
Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)
-
Der Auftragnehmer gewährleistet für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
-
Zur Gewährleistung der datenschutzkonformen Verarbeitung wird der Auftragnehmer seine Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen verbindlich regeln.
-
Der Auftragnehmer weist die technisch-organisatorischen Maßnahmen über die ausgefüllte Checkliste gemäß Annex 2 nach.
-
Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.
-
Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.
-
Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO)
-
Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer auf Aufforderung des Auftraggebers sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber entweder auszuhändigen oder datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen. Diese Verpflichtung besteht nicht, sofern nach dem Unionsrecht oder dem anwendbaren nationalen Recht eine Verpflichtung zur Speicherung von der Daten besteht, worunter insbesondere abgabenrechtliche und handelsbilanzielle Aufbewahrungspflichten fallen.
-
Im Falle der Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
-
Haftung
-
Für die Haftung der Vertragspartner gilt Art. 82 DS-GVO.
-
Schlussbestimmung
-
Folgende Annexe sind fester Bestandteil dieses Vertrages:
-
Annex 1 Ergänzung zum Auftragsverarbeitungsvertrag
-
Annex 2 TOM vom 01.08.2022
-
Annex 3 Liste Subunternehmer
-
Die Annexe können angepasst werden; die jeweils neue Version wird dabei automatisch Vertragsbestandteil.
-
-
Eventuell zwischen den Vertragspartner bestehende frühere Vereinbarungen über den Auftrag zur Datenverarbeitung gemäß § 11 BDSG werden aufgehoben und durch diesen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO ersetzt.
-
Änderungen oder Ergänzungen dieses Vertrages sind schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. Mündliche Nebenabreden bestehen nicht.
-
Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfunterlagen (auch zu Subunternehmen) gem. Ziffer 7.1 und 8.3 dieses Vertrages sind von beiden Vertragspartnern für die Dauer der Auftragsverarbeitung und anschließend noch für drei (3) volle Kalenderjahre aufzubewahren.
-
Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
-
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt.
-
Gegenstand und Zweck des Auftrags | Art der zu verarbeiteten Daten | Kreis der Betroffenen | Auftragsdauer: | Weisungsberechtigte des Auftraggebers und Weisungsempfänger des Auftragnehmers |
---|---|---|---|---|
Übermittlung von Kundenanliegen und eines Rückrufwunsches an den Auftraggeber | Personen- und Kommunikationsdaten | Kunden und Interessenten | Unbegrenzt. Beendigung durch Kündigung | GF des Auftraggebers und GF des Auftragnehmers. |
Checkliste technisch organisatorische Maßnahmen (TOM)
Datenschutz bzw. Datensicherheit nach DS-GVO & BDSG
Die beigefügte TOM-Checkliste wurde vom Auftragnehmer, der personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, ausgefüllt und dient der Dokumentation der bestehenden Umsetzung der gesetzlichen Vorgaben gem. Artikel 32 DS-GVO und § 64 Bundesdatenschutzgesetz (BDSG) auf Seiten des Auftragnehmers.
1. Vertraulichkeit (Art. 32 Abs. 1 b) DSGVO)
- Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z. B.:
- Magnet- oder Chipkarten
- Zutritt Serverräume permanent verschlossen, Sonderberechtigung notwendig
- Schlüsselausgabe protokolliert
- Videoüberwachungsanlage
- Elektronische Zugangskontrolle Keine unbefugte Nutzung von Datenverarbeitungs- und Datenspeicherungssystemen, z. B.:
- Magnet- oder Chipkarten
- Zutritt Serverräume permanent verschlossen, Sonderberechtigung notwendig
- Schlüsselausgabe protokolliert
- Videoüberwachungsanlage
- Interne Zugangskontrolle (Nutzerrechte: Zugriff auf und Änderung von Daten) Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten im System, z. B.:
- Berechtigungs-/Rollenkonzept
- Bedarfsorientierte Zugriffsrechte
- Trennungskontrolle Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z. B.:
- Mandantentrennung
- Getrennte Bereiche / Differenzierte IT Systeme
- Pseudonymisierung (Art. 32 Abs. 1 a) und Art. 25 Abs. 1 DSGVO) VVerarbeitung personenbezogener Daten auf eine Art und Weise, mit der ohne Zusatzinformationen keine Rückschlüsse auf eine betroffene Person möglich sind. Zusatzinformationen sind separat zu speichern und unterliegen entsprechenden technischen und organisatorischen Maßnahmen.
⇒ Für den Zweck dieses Vertrages nicht erforderlich
2. Integrität (Art. 32 Abs. 1 b) DSGVO)
- Datenübertragungskontrolle Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten bei der elektronischen Übertragung oder Versendung, z. B.:
- Verschlüsselung
- VPN (Virtual Private Network)
- Automatisierte Empfängerzuordnung
⇒ Elektronische Unterschrift
- Eingabekontrolle Prüfung, ob und von wem personenbezogene Daten in ein Datenverarbeitungssystem eingegeben, geändert oder gelöscht werden, z. B.:
- Keine Datenspeicherung/-änderung beim Auftragnehmer
- Daten werden vom Auftragnehmer aufgenommen und direkt an Auftraggeber weitergeleitet
⇒ Dokumentenmanagement
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 b) DSGVO)
- Verfügbarkeitskontrolle Vermeidung von zufälliger oder beabsichtigter Zerstörung oder Verlust, z. B.:
- Backup-Strategie (online/offline; extern)
- Brandschutzmaßnahmen
- Unterbrechungsfreie Stromversorgung (USV)
- Virenschutz)
- Firewall
- Berichtswesen und Notfallplanung
- Rasche Wiederherstellung (Art. 32 Abs. 1 c) DSGVO)
- Mehrstufige Backup Strategie
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 d) DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutzmanagement
- Störfallmanagement
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
- Auftrags- bzw. Vertragskontrolle Datenverarbeitung gemäß Art. 28 DSGVO nur auf entsprechende Anweisung des Auftraggebers, z. B.
- Klare und unmissverständliche Regelung der Vertragsverhältnisse
- Formalisiertes Auftragsmanagement
- Strenge Kontrollen bei der Auswahl von Dienstleistern
- Pflicht zur vorherigen Bewertung
- Kontrollüberprüfungen
5. Übertragungskontrolle
Speicherung der Daten in der EU
EDELWEISS72 GmbH |
Programmierung, Design und Hosting der Webpage und Datenbank der 24h-Serviceline.de |
Bluestone Solutions GmbH Bluestone Solutions BH d.o.o. |
Beauftragter Call-Center Eingesetzte Tochtergesellschaft |
Mollie B.V. |
Zahlungsdienstleister |