Auftragsbearbeitungsvertrag

Version Mai 2024

Download PDF File.
PDF-Datei herunterladen.
Scarica il file PDF.

Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Regelungen zu Datenschutz und Datensicherheit in Auftragsverhältnissen

nach Art. 28 DSGVO

Shiftmove GmbH

Warschauer Straße 57

10243 Berlin

- nachfolgend Auftragsverarbeiter” genannt -

und Ihnen

- nachfolgend „Verantwortlicher” genannt -

- gemeinsam nachfolgend gemeinsam „Vertragsparteien“ genannt -

Präambel

Dieser Auftragsverarbeitungsvertrag ("AVV") gem. Art. 28 DSGVO ist Teil unserer Allgemeinen Geschäftsbedingungen ("Hauptvertrag"), die zwischen unseren Nutzer*innen und der Shiftmove GmbH geschlossen wurden und hier aufrufbar sind: https://www.shiftmove.com/legal/agb.  Gemäß dieser Vereinbarung findet dieser AVV Anwendung auf die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Bereitstellung unseres Produkts.

Die Vereinbarung orientiert sich an den Regelungen der DSGVO und dem BDSG.

§ 1 Gegenstand des Auftrags; Art und Zweck der Verarbeitung;  Art der personenbezogenen Daten, Kategorien betroffener Personen

(1) Der Gegenstand des Auftrags ist die Bereitstellung von Software-as-a-Service-Dienstleistungen aus dem Angebot der Shiftmove Gruppe („Services“). Gegenstand und Zweck der Verarbeitung werden weiterhin in Anlage 1a genauer definiert. Die Art der Verarbeitung ist in Anlage 1b definiert.

(2) Die Kategorien betroffener Personen sind in Anlage 1c definiert.

(3) Die Art der verarbeiteten personenbezogenen Daten sind in Anlage 1d definiert.

(4)  Anlage 1 ist Bestandteil dieser Vereinbarung.

(5) Der Verantwortliche weist den Auftragsverarbeiter zur Verarbeitung dieser Daten zu diesen Zwecken an.

§ 2 Dauer des Auftrages

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.

§ 3 Verantwortlichkeit und Weisungsbefugnis

(1) Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke als in dieser Auftragsverarbeitungsvereinbarung und in dem Hauptvertrag festgelegt und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Etwas Anderes gilt nur in dem in Absatz 2 genannten Umfang.

(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn es besteht eine anderweitige Verpflichtung durch Unionsrecht oder dem Recht des Mitgliedsstaates, dem der Auftragsverarbeiter unterliegt. Im Falle einer anderweitigen Verpflichtung teilt der Auftragsverarbeiter dem Verantwortlichen vor der Verarbeitung unverzüglich die entsprechenden rechtlichen Anforderungen mit.

(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüglich den Verantwortlichen. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragsverarbeiter berechtigt, die Durchführung der Weisung auszusetzen.

(4) Änderungen des Verarbeitungsgegenstands mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO auf die Vertraulichkeit verpflichtet worden sind und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Auftragsverarbeitungsvertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

§ 5 Datensicherheit

(1) Die Vertragsparteien vereinbaren die in dem Anlage 2 „Technische und organisatorische Maßnahmen“ zu dieser Vereinbarung niedergelegten konkreten Datensicherheitsmaßnahmen gemäß Art. 28 Abs. 3 lit. c DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO, um die Sicherheit der Verarbeitung im Auftrag zu gewährleisten. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

(2) Anlage 2 ist Bestandteil dieser Vereinbarung.

(3) Der Auftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Verantwortlichen schriftlich mitzuteilen.  

(4) Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß Art. 33, 34 DSGVO nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

(5) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

  • eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
  • Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
  • die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

§ 6 Einbeziehung weiterer Auftragsverarbeiter (Subunternehmer)

(1) Als Subunternehmer im Sinne dieser Regelung sind weitere Auftragsverarbeiter zu verstehen, deren Dienstleistungen sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen und Reinigung in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Einsatz von Subunternehmer oder der Wechsel des bestehenden Subunternehmers sind zulässig, soweit:

  • der Auftragsverarbeiter eine solche Auslagerung auf Subunternehmer dem Verantwortlichen 14 Kalendertage  vorab schriftlich oder in Textform anzeigt und
  • der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt.

(3) Mit dem Subunternehmer ist eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 3 und 4 DSGVO abzuschließen.

(4) Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Subunternehmer und dessen erstmaliges Tätigwerden ist erst mit Vorliegen aller gesetzlichen Voraussetzungen für eine Unterbeauftragung gestattet. Die durch den Verantwortlichen zum Zeitpunkt des Vertragsschlusses genehmigten Subunternehmer sind in Anlage 3 genannt. Weiterhin können die Dienstleister der jeweiligen Subdienstleister unter folgenden Links https://vimcar.de/datenschutz/subunternehmer und https://www.avrios.com/legal/sub-processors  eingesehen werden.

(5) Verbundene Unternehmen der Shiftmove Gruppe sind als Subunternehmer beauftragt, soweit sie in den Listen unter § 6 Abs. 4 dieser Vereinbarung genannt sind.

(6) Jede Verlagerung der Datenverarbeitung in ein Drittland bedarf der vorherigen dokumentierten Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO) und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44-49 DSGVO erfüllt sind.

(7) Anhang 3 ist Bestandteil dieser Vereinbarung.

§ 7 Betroffenenrechte

(1) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, den Pflichten zur Beantwortung von Anträgen auf Wahrung der in Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Personen nachzukommen (Art. 28 Abs. 3 S. 2 lit. e DSGVO).

(2) Soweit die betroffene Person gegenüber dem Verantwortlichen ein Recht auf Datenübertragbarkeit besitzt, stellt der Auftragsverarbeiter sicher, dass der Verantwortliche die im Verantwortungsbereich des Auftragsverarbeiters verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann.    

(3) Der Auftragsverarbeiter darf personenbezogene Daten nur nach dokumentierter Weisung des Verantwortlichen herausgeben, berichtigen, löschen oder deren Verarbeitung einschränken (Art. 28 Abs. 3 S. 2 lit. g DSGVO).

(4) Soweit eine betroffene Person sich unmittelbar an den Auftragsverarbeiter wendet, um ihre Rechte gemäß Art. 12 bis 22 DSGVO geltend zu machen, wird der Auftragsverarbeiter das Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

(5) Auskünfte an Dritte oder den betroffenen Personen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen.

(6) Der Verantwortliche ist dafür verantwortlich, Betroffene im Rahmen der Art. 12 und 13 DSGVO zu informieren. Erforderliche Informationen, die im Zusammenhang mit dieser Pflicht stehen und über die nur der Auftragsverarbeiter verfügt, wird dieser dem Verantwortlichen auf Anfrage zur Verfügung stellen.

§ 8 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags die gesetzlichen Pflichten gemäß Art. 28 bis 36 DSGVO zu beachten. Insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Ist der Auftragsverarbeiter nach Art. 37 DSGVO, § 38 BDSG gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten schriftlich zu benennen, so teilt der Auftragsverarbeiter dem Verantwortlichen die Kontaktdaten des Datenschutzbeauftragten zum Zwecke der direkten Kontaktaufnahme mit. Ein Wechsel des Datenschutzbeauftragten ist bei dem Verantwortlichen unverzüglich anzuzeigen.

  2. Als externe Datenschutzbeauftragte ist beim Auftragsverarbeiter

clever datenschutz GmbH

E-Mail: privacy@shiftmove.com

bestellt.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 - 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören insbesondere

  • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
  • die Verpflichtung, den Verantwortlichen unverzüglich zu informieren, wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 28 Abs. 3 lit. f, Art. 33 Abs. 2 DSGVO);
  • die Verpflichtung, dem Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
  • die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung;
  • die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

§ 9 Kontrollrechte des Verantwortlichen, Art. 28 Abs. 3 S. 2 lit. h DSGVO

(1) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle im schriftlichen Verfahren erforderlich sind.

(2) Der Verantwortliche überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters. Dies soll primär durch

  • Einholung von Auskünften des Auftragsverarbeiters oder
  • unabhängige Prüfberichte und Zertifizierungen

erfolgen.

Sofern der Verantwortliche aufgrund tatsächlicher Anhaltspunkte berechtigte Zweifel an der Richtigkeit der Prüfberichte bzw. Zertifizierungen geltend machen kann, Vorfälle i. S. d. Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Datenverarbeitung vorliegen, oder vorab übermittelte Dokumente die erforderlichen Nachweise nicht vollständig erbringen, kann er Vor-Ort-Kontrollen durchführen. Diese sind dem Auftragsverarbeiter zuvor rechtzeitig, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Anlasslose Vor-Ort-Kontrollen können maximal einmal pro Jahr durchgeführt werden. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb des Auftragsverarbeiters nicht über Gebühr stören oder missbräuchlich sein. Die durch anlasslose Vor-Ort-Kontrollen beim Auftragsverarbeiter tatsächlich verursachten Kosten trägt der Verantwortliche.

(3) Über die Kontrolle und deren Ergebnisse ist vom Verantwortlichen ein Protokoll anzufertigen.

§ 10 Haftung

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.

(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. § 10 Abs. 2 Satz 1 gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

§ 11 Kündigung und Beendigung des Auftrages (Art. 28 Abs. 3 S. 2 lit. g DSGVO)

(1) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

(2) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

  • Der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
  • der Auftragsverarbeiter fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen aus der Datenschutz-Grundverordnung verletzt.
  • der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln oder der Datenschutz-Grundverordnung zum Gegenstand hat, nicht nachkommt.

(3) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

(4) Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, sofern nicht nach einer gesetzlichen Norm eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(5) Der Auftragsverarbeiter bestätigt dem Verantwortlichen in diesem Falle mit Datumsangabe in Textform ohne weitergehende Aufforderung, dass er sämtliche ihm gegebenenfalls überlassenen Datenträger sowie sonstigen Unterlagen an den Verantwortlichen herausgegeben oder vernichtet bzw. sicher gelöscht und somit keine Daten des Verantwortlichen zurückbehalten hat.

(6) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 12 Schlussbestimmungen

(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.

(2) Sollten einzelne oder mehrere Regelungen dieser Vereinbarung unwirksam sein, so wird die Wirksamkeit der übrigen Vereinbarung hiervon nicht berührt. Für den Fall der Unwirksamkeit einzelner oder mehrere Regelungen werden die Vertragsparteien die unwirksame Regelung unverzüglich durch eine solche Regelung ersetzen, die der unwirksamen Regelung wirtschaftlich und datenschutzrechtlich am ehesten entspricht.

(3) Die Vertragsparteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

(4) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder eines dokumentierten elektronischen Formats. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(5) Soweit andere Vereinbarungen zum Zeitpunkt des Abschlusses dieses Vertrages anderslautende oder diesem Vertrag widersprechende Angaben enthalten, so gehen die Inhalte dieses Vertrages vor.

(6) Die folgenden Anlagee sind Bestandteil dieser Vereinbarung: Anlage 1 „Informationen zur Verarbeitung“, Anlage 2 „Technische organisatorische Maßnahmen“, Anlage 3 “Subunternehmer”.

Anlage 1

Informationen zur Verarbeitung

a) Gegenstand und Zweck der Verarbeitung

Der Gegenstand des Auftrages ist die Bereitstellung einer oder mehrerer der folgenden Services als  Software-as-a-Service:

  • Software für Flottenmanagement (Avrios) inklusive der folgenden Zwecke: some text
    • Verwaltung von Fahrzeugen und Fahrern
    • Verwaltung von Bußgeldbescheiden
    • Verwaltung von Tankkarten
    • Verwaltung von Schadensmeldungen
    • Durchführung von Führerscheinkontrollen
    • Erstellung von Reports und Analysen
  • Live-Ortung und Routendokumentation (Vimcar Fleet Geo) inklusive der folgenden Zwecke:some text
    • Live-Ortung von Fahrzeugen
    • Routendokumentation von Fahrzeugen
    • Geo-Fencing Benachrichtigung für Fahrzeuge
  • elektronisches Fahrtenbuch (Fahrtenbuch) inklusive der folgenden Zwecke:some text
    • Routendokumentation von Fahrzeugen
    • Export von Fahrtenbuchdaten

Die weiteren Einzelheiten des Auftrags ergeben sich aus dem Vertrag zwischen den Vertragsparteien über einen oder mehrere dieser Services, auf den hier verwiesen wird (im Folgenden „Hauptvertrag“ genannt).

b) Art der Verarbeitung

Im Rahmen der Beauftragung wird der Auftragsverarbeiter folgende Arten der Verarbeitung nach Art. 4 Nr. 2 DSGVO: Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Übermittlung, Einschränkung, Löschung und Vernichtung von Daten.

c) Kategorien der Betroffenen und personenbezogener Daten

Bei der Bereitstellung der Services können regelmäßig personenbezogene Daten folgender Kategorien von Betroffenen verarbeitet werden:

  1. Fahrer (ehemalige und aktuelle Mitarbeiter und deren Ehepartner und Angehörige, aktuelle Auftragnehmer sowie Bewerber und zukünftige Mitarbeiter);
  2. Benutzer (autorisierte Benutzer des Kunden (die keine Fahrer sind), die zur Nutzung der Dienstleistungen berechtigt sind);
  3. Dritte (Kunden, Geschäftspartner, Lieferanten, Berater, Vertreter, Freiberufler und/oder Subunternehmer des Kunden (natürliche Personen)).

d) Art der verarbeiteten Daten

Bei der Nutzung unserer Produkte werden, je nach Umfang und individueller Nutzung, die folgenden Kategorien von Daten verarbeitet werden:

Flottenmanagement Avrios:

  • Aufgaben und Kommentare
  • Bußgeldbescheidinformationen (Adressat, Höhe, Fotos)
  • Eintrittsdatum und Austrittsdatum
  • Fahrzeuginformationen (CO2-Ausstoß, Schadensmeldungen, Nummernschild, Fahrgestellnummer)
  • Fotos (Führerscheinfotos und Portraitfotos)
  • Führerscheininformationen
  • Kontaktinformationen (Telefonnummer, Faxnummer, Mobiltelefonnummer, E-Mail-Adresse)
  • Kommunikationsverläufe (E-Mail-Verläufe mit Zulieferern, Dienstleistern, Versicherungen etc.)
  • Personenstammdaten (Vorname, Nachname, Adresse, Geschlecht, Geburtsdatum und -ort, Sprache, Nationalität, Aufenthaltsberechtigung, Zivilstand, Angaben zu Angehörigen, nationale Identifikationsnummer)
  • Unternehmensverwaltungsdaten (interne ID, Kostenstelle, Organisation, Abteilung, Standort, Branche und Teilbranche, Berichtsstruktur)
  • Informationen zur Lohnplanung (Nebenleistungen rund um Firmenwagen), Leistungsverzeichnisse und zugehörige Informationen (Anspruch auf Firmenwagen und Klasse des Firmenwagens)
  • Tankkarteninformationen (Anbieter, Kosten, Datum, Produkt)
  • Unfallverhütungsvorschrift-Testergebnisse
  • Gerätedaten und IT-Nutzungsdaten

Vimcar Fleet Geo:

  • Vorname, Nachname
  • E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer
  • Fahrtenbuchdaten
  • Fahrtdaten während der Fahrt
  • Live-Ortung und Routendokumentation;
  • VIN (Vehicle Identification Number)
  • Prüfparameter für die Durchführung der automatisierten Führerscheinkontrolle (optional bei Nutzung der Führerscheinkontrolle)
  • Technische Fahrzeugdaten (z.B. Reparaturstatus), Fotos von Fahrzeugen (optional bei der Nutzung des Schadensmanagements
  • Gerätedaten und IT-Nutzungsdaten

Vimcar Fahrtenbuch:

  • Vorname, Nachname
  • E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer
  • Fahrtenbuchdaten
  • Fahrtdaten während der Fahrt
  • Start- und Endpunkt von Touren
  • gefahrene Kilometer
  • Kategorisierung von Privat- und Geschäftsfahrten
  • Kontakt- und Adressdaten
  • VIN (Vehicle Identification Number)
  • Prüfparameter für die Durchführung der automatisierten Führerscheinkontrolle (optional bei Nutzung der Führerscheinkontrolle)
  • Technische Fahrzeugdaten (z.B. Reparaturstatus), Fotos von Fahrzeugen (optional bei der Nutzung des Schadensmanagements
  • Gerätedaten und IT-Nutzungsdaten

Anlage 2

Technische und organisatorische Maßnahmen

Sie finden unsere technischen und organisatorischen Maßnahmen als Anhang 2 in den oben bereitgestellten .pdf-Dateien.

Anlage 3

Subunternehmer

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

1.     Name: Vimcar GmbH
        Anschrift: Warschauer Str. 57, 10243 Berlin, Deutschland
        Kontakt: datenschutz@vimcar.com
        Drittland: Nein
        Zweck: - Bereitstellung und Entwicklung der SaaS Vimcar Fahrtenbuch und Vimcar Fleet Geo
                    - Kundensupport
                    - Spedition

2.    Name: Avrios International AG
        Anschrift: Weststrasse 50, 8003 Zürich, Schweiz
        Kontakt: privacy@avrios.com
        Drittland: Ja
        Garantie: Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO
        Zweck: - Bereitstellung der SaaS Avrios Flottenmanagement
                    - Kundensupport