2.17.94.1, 2019-07-05 00:05:51

Auftragsverarbeitungsvereinbarung.

Auftragsverarbeitungsvereinbarung

Datenschutzvereinbarung zur Sicherstellung der Konformität mit der Verordnung (EU) 2016/679 (DSGVO) für die Verarbeitung personenbezogener Daten im Auftrag

("ADV")

zwischen

Kunde (wie im Leistungsvertrag definiert)
(nachstehend Auftraggeber genannt)

und der

Volkswagen AG
Berliner Ring 2
38440 Wolfsburg
(nachstehend Auftragnehmer genannt)

§ 1 – Gegenstand

1. Leistungsvertrag / ADV. Diese ADV regelt die Verpflichtungen der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer im Rahmen der Bereitstellung von Connect Fleet-Diensten, auf Basis der "Nutzungsbedingungen Connect Fleet" ("Leistungsvertrag").

2. Einzelvertrag / Einzel-ADV. Die Modalitäten der Auftragsverarbeitung im Zusammenhang mit dem Leistungsvertrag sind in Anlage B niedergelegt. Diese ADV bildet in Verbindung mit der Anlage A, der Anlage B und der (jeweiligen) Anlage EU-Standardvertragsklauseln, sofern diese zum Vertragsbestandteil wird (s. § 10 Abs. 6), eine Einzel-ADV.

3. Vorrangregelung. Die Bestimmungen dieser ADV mitsamt der Anlage A und der Anlage B haben Vorrang gegenüber Regelungen im Leistungsvertrag. Spezielle, im Einzelnen von dieser ADV abweichende Regelungen gehen dieser ADV nur dann vor, wenn sie ausdrücklich auf diese ADV Bezug nehmen.

Wenn die Anlage EU-Standardvertragsklauseln zum Vertragsbestandteil wird (s. § 10 Abs. 6) und die Regelungen in dieser ADV im Widerspruch zu den Regelungen in der Anlage EU-Standardvertragsklauseln stehen, haben die Regelungen in der Anlage EU-Standardvertragsklauseln Vorrang gegenüber den Regelungen in dieser ADV.

Umfang. Gegenstand, Umfang sowie Art und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer ergeben sich aus der Anlage B und der Leistungsbeschreibung des Leistungsvertrags.

§ 2 – Pflichten des Auftraggebers, Weisungsrechte

1. Verantwortlichkeit. Der Auftraggeber ist Verantwortlicher im Sinne des Datenschutzrechts. Er ist insbesondere für die Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen verantwortlich.

2. Weisungen. Der Auftraggeber hat das Recht, umfassend Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a DSGVO vor. Die weisungsberechtigte Person des Auftraggebers entspricht dem Hauptansprechpartner beim Auftraggeber, der den Leistungsvertrag abgeschlossen hat. Die zuständigen Weisungsempfänger beim Auftragnehmer sind in der Anlage B genannt.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format (z.B. Textform). Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Auftraggeber erteilt den Auftrag in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO. Änderungen des Vertragsgegenstandes und Verfahrensänderungen sind der Anlage B festzuhalten.

Änderungen der weisungsberechtigten oder -empfangenden Personen werden die Parteien (i) unverzüglich schriftlich oder in einem dokumentierten elektronischen Format anzeigen und (ii) die Anlage B entsprechend anpassen.

3. Berichtigung, Sperrung und Löschung von Daten. Der Auftragnehmer hat (i) ausschließlich nach Weisung des Auftraggebers die personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren und (ii) dies zu dokumentieren, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a DSGVO vor.

§ 3 – Pflichten des Auftragnehmers

1. Weisungsgebundenheit, Zweckbindung. Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers ausschließlich für die in der Anlage B genannten Zwecke und im Rahmen des Leistungsvertrags gemäß den dokumentierten Weisungen des Auftraggebers, sofern er nicht durch zwingendes Recht zu einer bestimmten Verarbeitung verpflichtet ist. Der Auftragnehmer teilt dem Auftraggeber eine solche gesetzliche Verpflichtung mit, sofern eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt ist. Weisungen erteilt der Auftraggeber grundsätzlich schriftlich oder in einem dokumentierten elektronischen Format, wenn nicht Eilbedürftigkeit oder andere besondere Umstände eine andere Form (z.B. mündlich) geboten erscheinen lassen. Werden Weisungen in einer anderen Form als schriftlich oder in einem dokumentierten elektronischen Format erteilt, bestätigt der Auftraggeber die betreffende Weisung auf Verlangen des Auftragnehmers diesem gegenüber schriftlich oder in einem dokumentierten elektronischen Format. Den Erhalt der Weisung bestätigt der Auftragnehmer in jedem Fall gegenüber dem Auftraggeber schriftlich oder in einem dokumentierten elektronischen Format. Der Auftragnehmer dokumentiert die ihm erteilten Weisungen in geeigneter, übersichtlicher Form und stellt diese Dokumentation dem Auftraggeber auf Verlangen zur Verfügung.

Der Auftragnehmer verwendet die personenbezogenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt, es sei denn, sie sind zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich. Der Auftragnehmer erkennt die Datenherrschaft des Auftraggebers als Dateneigentümer an und übernimmt diesem gegenüber die Verantwortung, dass diese personenbezogenen Daten ausschließlich für die in Anlage B genannten Zwecke verwendet werden. Eine Anonymisierung der von dieser Vereinbarung erfassten personenbezogener Daten und anschließende Weiterverarbeitung durch den Auftragnehmer ist zulässig.

Etwaige spezielle Weisungen zu Vertragsbeginn sind in der Anlage B festgelegt. Der Auftragnehmer stellt sicher, dass die für ihn und / oder Unterauftragnehmer (s. § 5) tätigen Personen, die Zugang zu personenbezogenen Daten haben, diese ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten, es sei denn, dass sie rechtlich zu einer bestimmten Verarbeitung verpflichtet sind; § 3 Abs. 1 S. 2 gilt entsprechend.

2. Löschung, Rückgabe. Nach Abschluss der vertraglichen Arbeiten oder zuvor nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Leistungsvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände mit personenbezogenen Daten des Auftraggebers nach Wahl des Auftraggebers dem Auftraggeber auszuhändigen oder datenschutzgerecht zu vernichten bzw. zu löschen, soweit gesetzliche Aufbewahrungsfristen oder zwingendes Recht dem nicht entgegenstehen. Der Auftragnehmer teilt dem Auftraggeber eine solche gesetzliche Verpflichtung mit, sofern eine solche Mitteilung nicht gesetzlich untersagt ist. Die Löschung, Vernichtung oder vollständige Aushändigung ist dem Auftraggeber mit Datumsangabe in einem dokumentierten elektronischen Format zu bestätigen. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

3. Datenschutzbeauftragter. Der Auftragnehmer bestätigt, dass er – soweit gesetzlich erforderlich – einen betrieblichen Datenschutzbeauftragten bestellt hat. Dieser kann unter Datenschutzbeauftragter der Volkswagen AG, Berliner Ring 2, 38440 Wolfsburg, datenschutz@volkswagen.de kontaktiert werden.

4. Verarbeitung in Drittländern. Die Verarbeitung und Nutzung der Daten durch den Auftragnehmer und die vom Auftraggeber genehmigten Unterauftragnehmer (s. § 5) findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Verarbeitung in ein sonstiges Land ("Drittland") bedarf der vorherigen Zustimmung des Auftraggebers in einem dokumentierten elektronischen Format und darf zudem nur erfolgen, wenn die gesetzlichen Voraussetzungen für Datenexporte in Drittländer erfüllt sind. Dazu sind Angaben in der Anlage B erforderlich und ggf. zusätzliche (Vertrags-)Unterlagen beizufügen. Wenn die Verarbeitung (auch) in einem Drittland erfolgt, das kein angemessenes Schutzniveau bietet, gilt im Übrigen § 10 Abs. 6.

5. Datengeheimnis. Der Auftragnehmer ist verpflichtet, die dieser ADV unterliegenden Daten vertraulich zu behandeln. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer hat die Vorschriften der DSGVO zur Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zu beachten. Der Auftragnehmer setzt demnach bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend den Weisungen des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Diese Pflichten gelten auch nach Beendigung des Vertrages fort. Diese Vertraulichkeitsverpflichtung der Mitarbeiter muss auch nach Beendigung ihres jeweiligen Arbeitsvertrags gelten.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Auftragsverhältnisses erlangten Kenntnisse über technische und organisatorische Maßnahmen beim Auftragnehmer vertraulich zu behandeln. Die Zulässigkeit der Weitergabe dieser Informationen an Dritte richtet sich nach den Regelungen des Leistungsvertrags.

6. Kontrollen. Der Auftragnehmer kontrolliert die Einhaltung der datenschutzrechtlichen Vorschriften (insb. die internen Prozesse sowie die technischen und organisatorischen Maßnahmen) und seiner vertraglichen Verpflichtungen sowie der Weisungen des Auftraggebers regelmäßig während der gesamten Vertragslaufzeit.

7. Unterstützung des Auftraggebers bei Erfüllung von Pflichten nach DSGVO. Der Auftragnehmer wird angesichts der Art der Verarbeitung den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Wahrung der in Kapitel 3 DSGVO genannten Rechte der Betroffenen nachzukommen. Er wird ferner unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Die von dem Auftragnehmer mindestens zu treffenden Maßnahmen zur Unterstützung des Auftraggebers ergeben sich aus der Anlage B.

Der Auftragnehmer wird den Auftraggeber im Übrigen bei der Beantwortung von behördlichen oder gerichtlichen Anfragen oder sonstigen behördlichen oder gerichtlichen Maßnahmen (z.B. Kontrollen) in angemessenem Umfang unterstützen und erforderliche Informationen zur Verfügung stellen.

Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, wird dieser den Auftraggeber hierüber unverzüglich informieren und alle weiteren Schritten mit dem Auftraggeber abstimmen. Der Auftragnehmer darf Auskünfte an Betroffene nur nach vorheriger Weisung durch den Auftraggeber erteilen.

8. Einhaltung gesetzlicher Vorschriften. Im Übrigen ist der Auftragnehmer verpflichtet, sämtliche ihn im Rahmen der Verarbeitung personenbezogener Daten im Auftrag betreffenden anwendbaren gesetzlichen Vorschriften zu beachten und dies dem Auftraggeber auf Verlangen in geeigneter Form nachzuweisen. Soweit die DSGVO weitergehende Verpflichtungen enthält als im BDSG oder in dieser ADV vorgesehen, oder soweit Verpflichtungen erst mit Inkrafttreten der DSGVO entstehen, gelten diese erst mit Wirkung zum 25. Mai 2018; dies gilt auch in Bezug auf den vorstehenden Abs. 7.

§ 4 – Technische und organisatorische Maßnahmen zur Datensicherheit

Umfang, Dokumentation. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein dem sich aus der Verarbeitung ergebenden Risiko angemessenes Datenschutzniveau zu gewährleisten. Die Festlegung der geeigneten Maßnahmen erfolgt unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Diese Maßnahmen schließen insbesondere die Art. 32 DSGVO vorgesehenen Maßnahmen ein. Der Auftragnehmer ist verpflichtet, die in der Anlage A i.V.m. der Anlage B sowie der (jeweiligen) Anlage EU-Standardvertragsklauseln, sofern sie Vertragsbestandteil ist (s. § 10 Abs. 6), vertraglich vereinbarten Maßnahmen vor Beginn der Datenverarbeitung und sodann fortwährend umzusetzen und diese ggf. (allgemein oder bezogen auf bestimmte Einzelverträge) adäquat anzupassen, sofern dies erforderlich ist, um ein angemessenes Datenschutzniveau zu gewährleisten. Der Auftragnehmer hat solche Anpassungen zu dokumentieren und diese Dokumentation dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

Das in Anlage A beschriebene Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele (wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen) nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.

Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in Anlage A vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind schriftlich oder in einem dokumentierten elektronischen Format zu vereinbaren.

§ 5 – Unterauftragnehmer

1. Einschaltung von Unterauftragnehmern. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Auftragnehmers oder Auftraggebers einschaltet bzw. Dritte mit Leistungen unterbeauftragt ("Unterauftragnehmer"), soweit Abs. 2 und 3 gewährleistet sind. Die derzeitigen Unterauftragnehmer sind in der Anlage B genannt. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der in dem Leistungsvertrag bzw. der Anlage B beschriebenen Verarbeitung der Daten beziehen. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt, bei denen eine Verarbeitung von personenbezogenen Daten ausgeschlossen werden kann.

Der Auftragnehmer informiert den Auftraggeber in der Regel mindestens 14 Tage im Voraus schriftlich oder in einem dokumentierten elektronischen Format über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Unterauftragnehmer. Die Änderung wird wirksam, wenn der Auftraggeber nicht schriftlich oder in einem dokumentierten elektronischen Format innerhalb dieser 14 Tage gegen diese beabsichtigte Änderung Einspruch erhebt (Art. 28 Abs. 2 S. 2 DSGVO). Im Falle eines Einspruchs verhandeln Parteien nach Treu und Glauben, um eine gemeinsame Lösung zu erzielen.

2. Verträge mit Unterauftragnehmern. Der Auftragnehmer hat die vertraglichen Vereinbarungen mit Unterauftragnehmern so zu gestalten, dass sie mindestens den Umfang und dasselbe Schutzniveau aufweisen, wie es aufgrund dieser ADV i.V.m. Anlage A, Anlage B und der (jeweiligen) Anlage EU-Standardvertragsklauseln, sofern sie Vertragsbestandteil sind (s. § 10 Abs. 6), sowie dem Leistungsvertrags zwischen Auftraggeber und Auftragnehmer vereinbart wurde.

Verarbeiten Unterauftragnehmer, welche in der Anlage B aufgeführt sind, personenbezogene Daten, welche Gegenstand dieses Vertrages sind, in einem Drittland, so erklärt der Auftraggeber bereits jetzt sein Angebot gerichtet auf den Abschluss der EU Standardvertragsklauseln entsprechend Anlage EU-Standardvertragsklauseln hinsichtlich des Umfangs der Verarbeitungstätigkeit des Unterauftragnehmers mit dem jeweiligen Unterauftragnehmer, soweit dieser in Anlage B mit "EUStv" gekennzeichnet ist. Der Auftragnehmer erklärt für den Unterauftragnehmer und in dessen Namen die Annahme des Angebotes des Auftraggebers. Der Auftragnehmer stellt sicher, dass er hierfür von dem jeweiligen Unterauftragnehmer bevollmächtigt ist oder der Vertragsschluss gemäß § 177 Abs. 1 des Bürgerlichen Gesetzbuches vom Unterauftragnehmer genehmigt wird.

Stimmt der Auftraggeber im Laufe des Vertragsverhältnisses der Einbeziehung weiterer Unterauftragnehmer zu bzw. erhebt der Auftraggeber keinen Einspruch gem. § 5 Abs. 1, so schließt der Auftragnehmer – soweit erforderlich – im Namen und in Vertretung des Auftraggebers die EU-Standardvertragsklauseln entsprechend Anlage EU-Standardvertragsklauseln mit dem im Drittland verarbeitenden Unterauftragnehmer hinsichtlich des Umfangs der Verarbeitungstätigkeit des Unterauftragnehmers. Zu diesem Zweck und in diesem Umfang erteilt der Auftraggeber dem Auftragnehmer hiermit unter Befreiung von den Beschränkungen des § 181 des Bürgerlichen Gesetzbuches Vollmacht.

Soweit Unterauftragnehmer in einem Drittland in Anlage B nicht mit "EUStv" gekennzeichnet sind, verpflichtet sich der Auftraggeber, die Übermittlung in Drittländer anderweitig rechtmäßig zu gestalten (etwa durch Einholung einer Einwilligung von den Betroffenen – Art. 49 Abs. 1 a) DSGVO).

3. Kontrollrechte gegenüber Unterauftragnehmern. Bei der Einschaltung von Unterauftragnehmern sind dem Auftraggeber direkte Kontrollrechte beim Unterauftragnehmer einzuräumen, die denjenigen entsprechen, die der Auftraggeber nach dieser ADV gegenüber dem Auftragnehmer hat. Die Wahrnehmung der Kontrollrechte des Auftraggebers gegenüber Unterauftragnehmern erfolgt grundsätzlich durch den Auftragnehmer im Rahmen der in § 6 beschriebenen Kontrollrechte. Durch den Auftragnehmer durchgeführte Kontrollen sind zu dokumentieren und die Dokumentation dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

§ 6 – Kontrollrechte des Auftraggebers

1. Kontrollrechte. Der Auftraggeber hat das Recht, die Einhaltung der Regelungen dieser ADV und der datenschutzrechtlichen Vorschriften durch den Auftragnehmer selbst oder durch einen vom Auftraggeber benannten geeigneten und zur Verschwiegenheit verpflichteten Dritten zu kontrollieren bzw. kontrollieren zu lassen. Insbesondere stellt der Auftragnehmer dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Vorschriften zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.

Als Nachweis kann der Auftragnehmer auch aktuelle, aussagekräftige Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), Nachweise der Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder eine geeignete Zertifizierung gemäß Art. 42 DSGVO vorlegen. Das eigene Kontroll- und Überprüfungsrecht durch den Auftraggeber bleibt hiervon unberührt.

2. Unterstützungspflicht. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen in einem zumutbaren Umfang unterstützend mitwirkt.

3. Durchführung. Kontrollen beim Auftragnehmer und dessen Unterauftragnehmern sind rechtzeitig anzukündigen und dürfen den Geschäftsbetrieb des Auftragnehmers und des Unterauftragnehmers nicht unverhältnismäßig beeinträchtigen.

4. Verzeichnis von Verarbeitungstätigkeiten. Der Auftragnehmer stellt dem Auftraggeber die für das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 und 3 DSGVO notwendigen Angaben zur Verfügung und unterstützt den Auftraggeber bei der Erstellung. Die Pflicht des Auftragnehmers zur Führung eines eigenen Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 und 3 DSGVO bleibt hiervon unberührt.

§ 7 – Hinweispflichten

1. Rechtswidrige Weisungen. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn eine vom Auftraggeber erteilte Weisung nach Meinung des Auftragnehmers gegen gesetzliche Vorschriften zum Datenschutz verstößt.

Der Auftragnehmer hat seine Auffassung in einem Umfang zu begründen, der dem Auftraggeber eine Überprüfung ermöglicht. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder die Parteien im Rahmen des jeweils anwendbaren Eskalationsverfahrens zum Ergebnis kommen, dass kein Verstoß gegen Datenschutzrecht vorliegt. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung verweigern.

2. Kontrolle durch Aufsichtsbehörde. Der Auftragnehmer informiert den Auftraggeber unverzüglich über alle ihn betreffenden Kontrollen und Maßnahmen der Aufsichtsbehörde.

3. Fehler und Unregelmäßigkeiten. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie einen etwaigen Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 S. 2 lit. f DSGVO). 

§ 8 – Haftung

1. Gesamtschuldnerausgleich im Innenverhältnis. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

2. Freistellung. Die Parteien stellen sich jeweils von der Haftung frei, soweit eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

3. Beziehung zum Leistungsvertrag. Im Übrigen richtet sich die Haftung nach dem Leistungsvertrag.

§ 9 – Laufzeit

Laufzeit. Diese ADV gilt für die Dauer des Leistungsvertrags.

§ 10 – Sonstiges

1. Änderungen. Änderungen dieser ADV bedürfen grundsätzlich eines dokumentierten elektronischen Formats (z.B. E-Mail, IT-Plattformen des Auftragnehmers welche das Herunterladen von Texten ermöglichen). Der Auftragnehmer kann für den Auftraggeber zumutbare Änderungen an dieser Datenschutzvereinbarung vornehmen. Änderungen dieser Datenschutzvereinbarung werden Vertragsinhalt, wenn die Änderungen dem Auftraggeber per E-Mail mitgeteilt wurden, der Auftraggeber nicht innerhalb von vier Wochen nach Zugang der Mitteilung widerspricht und der Auftragnehmer den Auftraggeber in der Änderungsmitteilung ausdrücklich auf diese Folge hingewiesen hat. Widerspricht der Auftraggeber den Änderungen fristgerecht, werden die Änderungen dem Auftraggeber gegenüber nicht wirksam. Der Auftragnehmer hat in diesem Fall das Recht, den Vertrag mit einer Frist von einem Monat zu kündigen, sofern eine Fortführung des Vertragsverhältnisses ohne die Änderungen für den Auftragnehmer unmöglich oder unzumutbar ist. § 5 Abs. 1 des Vertrags bleibt hiervon unberührt.

2. Anpassungen. Soweit Anpassungen dieser ADV erforderlich sind, damit die Parteien gesetzlichen Vorgaben entsprechen, werden die Parteien die entsprechenden Anpassungen unverzüglich vornehmen. Dies gilt auch in Bezug auf Anpassungen, die aufgrund lokalen Rechts der mit der Volkswagen AG verbundenen Unternehmen erforderlich sind.

3. Salvatorische Klausel. Sollten einzelne Teile dieser ADV unwirksam sein oder werden, so berührt dies die Wirksamkeit der ADV im Übrigen nicht.

4. Anwendbares Recht, Gerichtsstand. Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist Wolfsburg, wenn der Auftraggeber Kaufmann ist.

5. Anlage A und Anlage B. Die Anlage A und die Anlage B sind Vertragsbestandteil und werden gemeinsam mit dieser ADV abgeschlossen.

6. EU-Standardvertragsklauseln. Wenn die (jeweilige) Verarbeitung (auch) in einem Drittland erfolgt, das kein angemessenes Schutzniveau bietet, wird die Anlage EU-Standardvertragsklauseln jeweils zum Vertragsbestandteil und wird zusammen mit dieser ADV elektronisch abgeschlossen. 

Anlagen:

Anlage A Technische und organisatorische Maßnahmen gem. Art. 32 DSGVO
Anlage B Beschreibungen der Auftragsdatenverarbeitung
Anlage EU-Standardvertragsklauseln

§ Begriffserklärungen

1. Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:
(Beschreibung des Zutrittskontrollsystems, z.B. Ausweisleser, kontrollierte Schlüsselvergabe etc.)

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:
(Verschlüsselungsverfahren entsprechend dem Stand der Technik)

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

(Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsselungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen des Auftraggebers ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.)

4. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

5. Pseudonymisierung

Maßnahmen, welche es ermöglichen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zuzuordnen sind, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und geeigneten technischen und organisatorischen Maßnahmen unterliegen.

6. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
(Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf u.a.)

7. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.
(Sämtliche Systemaktivitäten werden protokolliert; die Protokolle werden mindestens drei Jahre lang durch den Auftragnehmer aufbewahrt.)

8. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

9. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
(Sicherungskopien des Datenbestandes werden in folgenden Verfahren hergestellt: Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und Aufbewahrungsort für Back-up-Kopien.)

10. Laufende Überprüfung

Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen, z.B.

  • Datenschutz-Management
  • Meldeprozesse bei Datenschutzverstößen
  • Datenschutzfreundliche Voreinstellungen
§ Weitere Begriffserklärungen

1. Datenschutzvereinbarung zur Auftragsdatenverarbeitung

auch: Auftragsdatenvereinbarung; kurz: ADV

Vereinbarung zur Regelung der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers vornimmt. Die Vereinbarung regelt die allgemeinen vertraglichen Bedingungen, die für den jeweiligen konkreten Fall in einer separaten Anlage B spezifiziert werden.

2. Leistungsvertrag

Vertrag, welcher die allgemeinen vertraglichen und finanziellen Bedingungen zur Erbringung der Leistungen regelt.

3. Einzel-Datenschutzvereinbarung

auch kurz: Einzel-ADV

ADV i.V.m. der Anlage A zur Vereinbarung technischer und organisatorischer Maßnahmen sowie einer spezifischen Anlage B zur Beschreibung der Auftragsdatenverarbeitung; ggf. unter zusätzlicher Einbeziehung der Anlage EU-Standardvertragsklauseln. Die Einzel-ADV konkretisiert die durch die ADV vorgeschriebenen Regelungen in Bezug auf die jeweilige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. 

ANLAGE A

Fragenkatalog zur Dokumentation von Prüfungen im Zusammenhang mit Auftragsdatenverarbeitung gemäß Art. 32 DSGVO

  • Auftraggeber: Kunden (wie im Leistungsvertrag definiert)
  • Auftragnehmer: Volkswagen AG
  • Auftragsgegenstand: Connect Fleet

Die folgenden technischen und organisatorischen Maßnahmen sind beim Auftragnehmer und seinen Unterauftragnehmern implementiert. 

Zusätzlich unterwerfen sich folgende Unterauftragnehmer einer TISAX (Trusted Information Security Assessment Exchange) Zertifizierung: CSTx Software Engineering GmbH, Ultra Tendency GmbH, T-Systems International GmbH (für Telekom Cloud), ckc ag, Microsoft Corporation (für Azur Cloud), Amazon Web Services. TISAX dient einer unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilindustrie und schafft hierfür einen gemeinsamen Prüf- und Austauschmechanismus. Weiter Informationen finden Sie hier: http://www.enx.com/tisax/ 

Technische und organisatorische Maßnahme // ✔ = ja

0. Organisationskontrolle

0.1 Ist die Umsetzung des Datenschutzes organisiert? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Verantwortungsstrukturen für Datenschutz innerhalb des Unternehmens bis zur Leitungsebene ✔
  • Benennung eines Datenschutzbeauftragten (intern/extern)? ✔
       ◦   bei intern: herausgehobene Stellung ✔
       ◦   bei extern: geeignet hohes Renommee ✔
       ◦   formalisierter Austausch zwischen Datenschutzbeauftragtem, den für den Datenschutz Verantwortlichen und den Fachbereichen (z.B. „Datenschutzkreis Konzern“, „Jour Fix Datenschutz“) und den Dienstleistern. ✔
       ◦   Einbindung von Datenschutzanforderungen in relevante Prozesse ✔

0.2 Wurden organisatorische Maßnahmen zur gesetzeskonformen Verarbeitung personenbezogener Daten getroffen? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Implementierung von unternehmensinternen Gremien unter Mitarbeit des Datenschutzbeauftragten ✔
  • klare interne Regeln zum Datenschutz (z.B. Datenschutz-Policy) ✔
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis ✔

0.3 Wird sichergestellt, dass die internen Prozesse/Arbeitsabläufe gemäß den jeweils gültigen Datenschutzbestimmungen und nur auf Anweisung des Auftraggebers ablaufen? ✔

Wenn ja, erfolgt insoweit eine regelmäßige Qualitätsprüfung? ✔ Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Auditierung der Prozesse durch renommierte externe Stellen ✔
  • Verfahren zur Beobachtung der Entwicklung der rechtlichen und technischen Datenschutzanforderungen ✔

0.4 Werden die Mitarbeiter in Bezug auf die Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO geschult? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • für jeden Mitarbeiter verfügbares, umfangreiches Handbuch ✔
  • unternehmensinternes Wiki zum Datenschutz ✔
  • datenschutzrechtliche Schulungen von Mitarbeitern
       ◦   bei Einstellung neuer Mitarbeiter ✔
       ◦   in regelmäßigen Abständen verpflichtend für alle Mitarbeiter ✔
  • strukturiertes Verfahren zur Ermittlung und Umsetzung der Schulungsnotwendigkeit hinsichtlich aktueller Entwicklungen ✔
  • Umsetzung neuer Erkenntnisse bei den Schulungsmaßnahmen ✔
  • Einbeziehung von Fremdkräften insb. Leiharbeitnehmer, Mitarbeiter von Dienstleistern in die o.g. Maßnahmen ✔

0.5 Werden die einschlägigen Datenverarbeitungen hinsichtlich ihrer datenschutzrechtlichen Zulässigkeit dokumentiert? ✔

Wenn ja, wird insoweit ein Verfahrensverzeichnis für den Auftragsverarbeiter erstellt? ✔

0.6 Werden die Privacy-/Data Protection-by-Design- und –by-Default-Prinzipien unternehmensintern umgesetzt? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Aufnahme der Privacy-/Data Protection-by-Design- und –by-Default-Anforderungen in Entwicklungsrichtlinien ✔
  • testgetriebene Entwicklung auch mit dem Ziel der Einhaltung von Privacy-by-Design ✔
  • Verwendung von nicht-personenbezogenen Testdaten bei der Entwicklung ✔
  • umfassende Verwendung von Verschlüsselungstechnologie ✔

1. Maßnahmen zur Zutrittskontrolle

1.1 Werden die Gebäude, in denen die Datenverarbeitung stattfindet, vor unbefugtem Zutritt gesichert? ✔

Ergriffene Maßnahmen zur Gebäudesicherung (Mehrfachauswahl möglich):

  • überwiegend detailliertes Zutrittsberechtigungsmanagement ✔
  • organisatorische Anweisung zur Meldung von Austritten, Freistellungen etc. an die Zutrittsverwaltung ✔
  • besondere Schließverfahren, elektronische Zutrittskontrolle (z.B. Keycard o.ä.) ✔
  • teilweise Zugangskontrolle am Empfang ✔
  • teilweise Videoüberwachung ✔
  • überwiegend Wachpersonal ✔
  • besondere technische Maßnahmen gegen unbefugtes Betreten
       ◦   teilweise einbruchsichere Fenster ✔
       ◦   einbruchsichere Türen ✔
       ◦   Alarmanlage ✔
       ◦   Bewegungsmelder ✔
       ◦   teilweise Rollläden mit Hochschiebesicherung ✔
  • Einhaltung einschlägiger Standards ✔

1.2 Werden die Räume/Büros, in denen die Datenverarbeitung stattfindet, vor unbefugtem Zutritt gesichert? ✔

Ergriffene Maßnahmen zur Sicherung der Gebäude bzw. Räume/Büros (Mehrfachauswahl möglich):

  • Büros mit separaten Schlössern für ausschließlichen Zugang durch Zutrittsberechtigte ✔
  • detailliertes Zutrittsberechtigungsmanagement für die Räume ✔
  • risikoorientiertes Schutzzonenkonzept für Zutrittsberechtigungen ✔
  • Beschränkung des Kreises der Zutrittsberechtigten über das Need-to-know-Prinzip ✔
  • besondere Schließverfahren, elektronische Zutrittskontrolle (z.B. Keycard o.ä.) ✔
  • Überwiegend Videoüberwachung ✔
  • teilweise Wachpersonal ✔
  • besondere technische Maßnahmen gegen unbefugtes Betreten
       ◦   einbruchsichere Türen ✔
       ◦   Alarmanlage ✔
       ◦   Bewegungsmelder ✔
       ◦   teilweise Rollläden mit Hochschiebesicherung ✔
  • Anordnung zur Einhaltung einschlägiger Standards ✔

1.3 Werden die Hardwarekomponenten / physische Datenspeicher vor Missbrauch geschützt? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • speziell gesicherter Server-Schrank ✔
  • Alarm bei Öffnung der Tür des Serverschrankes ✔
  • Anweisung zum sorgfältigen Umgang mit mobilen Endgeräten ✔
  • Verbot der Weitergabe mobiler Endgeräte ✔
  • lückenlose Verschlüsselung nach BSI State-of-the-Art ✔
  • Anweisung zum Wegschließen von Notebooks und anderer mobiler Endgeräte ✔
  • Anweisung zum Wegschließen von vertraulichen Papierdokumenten ✔

1.4 Werden die oben genannten Zutrittskontrollmaßnahmen auf Tauglichkeit überprüft? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • regelmäßige, dokumentierte Testverfahren ✔
  • regelmäßige Überprüfung (mindestens einmal jährlich) der Zutrittsberechtigungen ✔
  • regelmäßige Untersuchung und Bestätigung des Standards durch Dritte ✔
  • regelmäßige Untersuchung und Bestätigung des Standards durch den Datenschutzbeauftragten ✔

2. Maßnahmen zur Zugangskontrolle

2.1 Benutzerverwaltung

2.1.1 Erfolgt eine kontrollierte Vergabe von Benutzerzugängen (-accounts)? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Errichtung einer zentralen Stelle für die Benutzerverwaltung ✔
  • klares Vergabekonzept (standardisierter Prozess zur Antragstellung, Genehmigung, Einrichtung, Änderung, Löschung etc.) ✔
  • restriktive Vergabe von Benutzerkennungen (Need-to-Know-Prinzip) ✔
  • restriktive Vergabe / Differenzierung von Rechten für die jeweiligen Benutzer (z.B. Administratorrechten) ✔

2.1.2 Wird die Gültigkeit von Benutzerzugängen (-accounts) überprüft? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • regelmäßige, stichprobenartige Überprüfung der Zugänge ✔
  • teilweise automatische Deaktivierung / Löschung inaktiver Zugänge ✔
  • Abbildung von Standardänderungen (z.B. Versetzung, Austritt, Elternzeit etc.) im Nutzerkonzept ✔

2.1.3 Werden die Benutzerzugänge (-accounts) dokumentiert? ✔

Wird das Antrags- und Genehmigungsverfahren sowie das Änderungsverfahren dokumentiert? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Dokumentation wird vom System automatisch erstellt (z.B. Systemprotokollierung, Workflow-Management etc.) ✔
  • Benutzerverwaltung durch zentrale, hierfür verantwortliche Stelle ✔

2.1.4 Wird sichergestellt, dass die Vergabe von Administrationszugängen auf die notwendige Anzahl beschränkt ist? ✔

Wird sichergestellt, dass die Administratoren fachlich und persönlich geeignet sind? ✔

Wird sichergestellt, dass externe Administratoren, Service oder Wartungstechniker persönlich geeignet sind? ✔

2.2 Passwortsicherheit

2.2.1 Wird durch Maßnahmen sichergestellt, dass Passwörter nur dem jeweiligen Benutzer und keinem Unbefugten bekannt sind? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • technisch zwingende Änderung des Initialpassworts ✔
  • Verbot der Weitergabe von Passwörtern ✔
  • Anweisung zur Geheimhaltung von Passwörtern ✔
  • Anweisung zur sicheren Übermittlung von Passwörtern ✔
  • Verbot jeglicher Dokumentation von Passwörtern ✔
  • Benutzerverwaltung durch zentrale, hierfür verantwortliche Stelle ✔

2.2.2 Werden erhöhte Anforderungen an die Komplexität von Passwörtern gestellt? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • interne Kennwortrichtlinie mit konkreten Vorgaben ✔
  • Überwiegend technische Voreinstellung, die nur die der Richtlinie entsprechende Kennwörter zulässt ✔

2.2.3 Wird gewährleistet, dass der Benutzer sein Passwort regelmäßig ändern kann bzw. muss? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • technisch zwingende Erneuerung des Passworts in bestimmten zeitlichen Abständen (z.B. monatlich) ✔
  • Verpflichtung zur Erneuerung des Passworts ✔
  • Verpflichtung zur sofortigen Änderung voreingestellter Passwörter ✔
  • Überwiegend Speicherung einer Kennworthistorie zur Vermeidung identischer Kennwörter innerhalb bestimmter Zeiträume ✔

2.2.4 Werden Passwörter durch eine zentrale Einheit verwaltet? ✔

Wenn ja, ist innerhalb dieser zentralen Einheit ein Rollen- und Rechtekonzept festgelegt? ✔

2.2.5 Werden bei gescheitertem Anmeldeversuch Maßnahmen ergriffen? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • überwiegend Benutzerkonto wird automatisch gesperrt ✔
  • teilweise Verantwortlicher (Administrator / zentrale Einheit) wird automatisch über den gescheiterten Anmeldeversuch informiert ✔
  • teilweise Freigabe durch Administrator ✔

2.2.6 Wurden organisatorische Vorkehrungen zur Verhinderung unberechtigter Zugriffe auf personenbezogene Daten am Arbeitsplatz getroffen? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • regelmäßige Unterweisungen zum Umgang mit diverser Hardware ✔
  • regelmäßige Unterweisung zum Umgang mit Dokumenten ✔
  • Zwei-Faktor-Authentifizierung (Beispiel: Neben Benutzername und Passwort ist z.B. eine Smartcard / ein Hardware-Token erforderlich) ✔
  • Vorkehrungen, dass nur unternehmenseigene und verschlüsselte USB-Sticks eingesetzt werden können ✔
  • Einsatz spezieller Data-Loss-Software ✔
  • Einführung eines Incident-response-Systems ✔

3. Maßnahmen zur Zugriffkontrolle

3.1 Ist sichergestellt, dass Rollen / Zugriffsberechtigungen anforderungsgerecht und zeitlich beschränkt vergeben werden? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Identitätsmanagementsystem (IDMS) zur Festlegung von Rollen / Berechtigungen ✔
  • regelmäßige Auditierung bestehender Rollen / Berechtigungen ✔
  • Beantragung von Rechten über IDMS und Genehmigung durch Vorgesetzten ✔

3.2 Werden die Zugriffsberechtigungen dokumentiert? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Es besteht ein verpflichtendes Berechtigungskonzept (Differenzierung bspw. lokaler Admin / Group Admin / Standard-Benutzer). ✔
  • überwiegend Benutzer, Rollen und Anträge werden im IDMS dokumentiert ✔

3.3 Ist sichergestellt, dass Benutzer ihre Zugriffsberechtigung nicht missbräuchlich verwenden? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • teilweise Monitoring durch IDMS ✔
  • Nutzung von Protokollierungs- und Protokollauswertungssystemen ✔
  • Nutzung eines Systems zur Feststellung von auffälligen bzw. verdächtigen Aktivitäten ✔

4. Maßnahme zur Weitergabekontrolle

4.1 Wird die Integrität und Vertraulichkeit bei der Weitergabe personenbezogener Daten gewährleistet? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Klassifizierung von Daten nach Grad der Vertraulichkeit ✔
  • Pseudonymisierung / Anonymisierung der Daten vor Weitergabe ✔
  • vertragliche Geheimhaltungsabreden mit Dienstleistern / Subunternehmern ✔
  • Verschlüsselung von Mails und sonstiger elektronischer Kommunikation ✔
  • elektronische Signaturen für Mails ✔
  • Passwortsicherung / Verschlüsselung von mobilen Geräten ✔
  • organisatorische Vorgaben / Unternehmensrichtlinie zur Beschränkung der Verwendung mobiler Geräte / Datenträger (z.B. Verbot von USB-Sticks, Verbot der Nutzung privater mobiler Geräte) ✔
  • technische Trennung von dienstlicher und privater Kommunikation ✔
  • sorgfältige Auswahl der Transportmittel und Boten beim Transport von Datenträgern ✔
  • Unternehmensrichtlinie mit entsprechenden organisatorischen Maßnahmen ✔
  • Data-breach-Prozess ✔
  • Incident-response-System ✔

4.2 Werden bei der Weitergabe von personenbezogenen Daten Verschlüsselungssysteme eingesetzt? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • SSH-Verfahren ✔
  • Bitlocker zur Verschlüsslung von Laptops ✔
  • TLS-Verschlüsselung ✔
  • verschlüsselte Plattformen zum Datenaustausch ✔
  • E-Mail-Verschlüsselung
       ◦   Ende-zu-Ende-Verschlüsselung ✔
       ◦   Transportverschlüsselung ✔

4.4 Wird der unberechtigte Abfluss von personenbezogenen Daten durch technische Maßnahmen beschränkt? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Verpflichtung zum Schutz von Datenträgern gegen Verlust, Beschädigung etc. ✔
  • Berechtigungen für Download ✔
  • Beschränkung des Ausdrucks ✔
  • Beschränkung der Speicherung / automatische Löschung bei bestimmten Ereignis bzw. Zeitablauf ✔
  • System zur sicheren Vernichtung von Datenträgern ✔

4.5 Gibt es ein Kontrollsystem, das einen unberechtigten Abfluss von personenbezogenen Daten aufdecken kann? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • systemseitige Protokollierung ✔
  • regelmäßiger Auswertungsprozess ✔
  • Nutzung eines Systems zur Feststellung von auffälligen bzw. verdächtigen Aktivitäten ✔

5. Maßnahme zur Eingabekontrolle

5.1 Werden Maßnahmen ergriffen, um Einzelheiten (Zeitpunkt, Dauer) eines Zugriffs auf die Daten nachvollziehen zu können? ✔

Werden die Login-, Logout-Daten protokolliert? ✔

5.2 Werden Maßnahmen getroffen, die es nachvollziehbar machen, welche Aktivitäten auf den entsprechenden Applikationen durchgeführt wurden? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Protokollierung von Eingabe, Änderungs- bzw. Löschzugriffen ✔
  • Starten von Reports ✔
  • Nutzung eines Systems zur Feststellung von auffälligen bzw. verdächtigen Aktivitäten ✔

6. Maßnahmen zur Auftragskontrolle

6.1 Werden Maßnahmen ergriffen, damit die Verarbeitung der personenbezogenen Daten durch die damit betrauten Mitarbeiter nur gemäß den Weisungen des Auftraggebers erfolgen kann? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Richtlinien, Arbeitsanweisungen zum Datenschutz / Datensicherheit ✔
  • Einweisung der mit dem Auftrag betrauten Mitarbeiter ✔
  • Dokumentation aller Weisungen des Auftraggebers ✔
  • Zugriffssteuerung (insbes. Differenzierung externe / interne Mitarbeiter) ✔
  • Verpflichtung der Mitarbeiter auf Datengeheimnis / Datenschutz ✔
  • Verpflichtung auf besondere Geheimhaltungspflichten (z.B. strafrechtlich geschützte Informationen) ✔

6.2 Werden Maßnahmen getroffen, damit auch ein Unterauftragnehmer keine unbefugten Aktivitäten mit den zur Verfügung gestellten Daten durchführt? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Anweisung zur sorgfältigen Auswahl der Unterauftragnehmer ✔
  • Verbot der Einbindung von Unterauftragnehmern in (unsicheren) Drittstaaten, wenn nicht durch Volkswagen AG genehmigt ✔
  • entsprechende vertragliche Verpflichtung der Unterauftragnehmer ✔

6.3 Werden Maßnahmen getroffen, die am Ende des Aufbewahrungszwecks der personenbezogenen Daten deren Löschung / Sperrung sicherstellen? ✔

Sind diese technisch implementiert? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Arbeitsanweisungen / Unternehmensrichtlinien zu Löschung / Sperrung / Speicherbegrenzung ✔
  • Technische / automatisierte Löschkonzepte ✔
  • entsprechende vertragliche Verpflichtung der Unterauftragnehmer ✔

7. Maßnahmen zur Verfügbarkeitskontrolle

7.1 Werden organisatorische und technische Maßnahmen getroffen, um auch im Schadensfall die Verfügbarkeit von Daten und Systemen schnellstmöglich zu gewährleisten? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Backup und Disaster-Recovery mit Notfallplänen ✔
  • Unternehmensrichtlinien zu Backup-Prozessen ✔
  • Synchron und/oder asynchrones physikalisches Spiegeln von Festplatten an getrennten Data-Center-Lokationen mit adäquaten Betriebsszenarien (unabhängige Stromversorgung) ✔
  • Data-breach-Prozess ✔
  • Incident-response-System ✔

7.2 Wird gewährleistet, dass die Datenträger vor elementaren Einflüssen (Feuer, Wasser, elektromagnetische Abstrahlungen etc.) geschützt sind? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Rauch- und Brandmelder ✔
  • Sprinkleranlage ✔
  • Brandschutztüren ✔
  • Wasserschutzeinrichtungen ✔
  • Schirmdämpfung ✔
  • Notstromversorgung ✔
  • Standardisiertes Verfahren zur regelmäßigen Überprüfung der Angemessenheit der ergriffenen Schutzmaßnahmen ✔
  • Hausordnung, die Zutritt nur nach Schulung/Unterweisung oder in Begleitung erlaubt ✔

7.3 Werden Schutzmaßnahmen zur Bekämpfung von Schadprogrammen eingesetzt? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Anti-Malware Software ✔
  • Virenscanner ✔
  • Anti-Spy-Programme ✔
  • Regelmäßige „Full-Scan“ und „Quick-Scans“ der gesamten Rechnerbestände ✔
  • Firewalls ✔
  • Spam-Filter ✔
  • teilweise IDS-/IPS-Systeme x Wird deren Aktualität gewährleistet? ✔
  • Bestehen Unternehmensrichtlinien zur Aktualisierung der Programme? ✔

7.4 Wird sichergestellt, dass nicht mehr benötigte bzw. defekte Datenträger ordnungsgemäß entsorgt werden? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • grundsätzliche Beauftragung von Unternehmen, die den Standard DIN 66399 erfüllen ✔
  • Server-Festplatten/SSDs nur mit „No-Return“-Policy (verlassen in keinem Fall mehr eigene Räumlichkeiten) ✔

8. Maßnahme zur Trennungskontrolle

8.1 Werden Maßnahmen getroffen, um das Trennungsgebot, insbesondere in Bezug auf die Zweckgebundenheit der personenbezogenen Daten, zu gewährleisten? ✔

Ergriffene Maßnahmen (Mehrfachauswahl möglich):

  • Nutzung von differenzierten, kundenspezifischen bzw. mandantenfähigen Systemen ✔
  • gesonderte Speicherung bei Pseudonymisierung von personenbezogenen Daten ✔
  • Trennung von Test- und Produktivdaten ✔
  • detaillierte Zugriffskonzepte ✔
  • technische Beschränkung des Zugriffs ✔
  • Verschlüsselung der Datensätze (at rest) ✔
  • Arbeitsanweisungen / Unternehmensrichtlinien zur Zweckbindung ✔
ANLAGE B

Beschreibung der Auftragsdatenverarbeitung zum Leistungsvertrag

Connect Fleet

zur ADV zwischen dem

Kunden (wie im Leistungsvertrag definiert)

und der

Volkswagen AG

Diese Anlage B regelt die Modalitäten der Auftragsdatenverarbeitung im Zusammenhang mit dem oben genannten Einzelvertrag und wird der ADV zur Sicherstellung der Konformität mit dem Bundesdatenschutzgesetz (BDSG) und mit der Verordnung (EU) 2016/679 (DSGVO) für die Verarbeitung personenbezogener Daten beigefügt.

Diese Anlage B spezifiziert die ADV. Die ADV bildet in Verbindung mit der Anlage A und dieser Anlage B eine Einzel-ADV. Wenn die Voraussetzungen von § 10 Abs. 6 der ADV vorliegen, ist auch die (jeweilige) Anlage EU-Standardvertragsklauseln Teil der Einzel-ADV.

1. Verantwortliche Stelle; Auftragsverarbeiter:

Auftraggeber und Verantwortlicher im Sinne des Datenschutzrechts ist:
Kunde (wie im Leistungsvertrag definiert)

Auftragnehmer und Auftrags(daten)verarbeiter im Sinne des Datenschutzrechts ist:
Volkswagen AG
Anschrift: Berliner Ring 2, 38440 Wolfsburg

2. Dauer des Auftrags

✔ Die Dauer des Auftrags ergibt sich aus dem Leistungsvertrag

Name: Nutzungsbedingungen Connect Fleet

3. Gegenstand des Auftrags und ggf. Tätigkeiten des Auftraggebers und -nehmers

Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

(Beschreibung des Auftrags in Bezug auf den Umgang mit personenbezogenen Daten)

Zur Erfüllung der Pflichten aus dem Leistungsvertrag werden Daten, welche der Auftraggeber oder von ihm einbezogene Dritte (in der Regel Fahrer) selbst im Connect Fleet-Portal oder der Connect Fleet-App eingeben, erhoben und im Rahmen der einzelnen Connect Fleet-Dienste verarbeitet und ausgewertet. Der Auftragnehmer erbringt über das Connect Fleet-Portal des Auftragnehmers https://connectfleet.io/ (nachstehend Connect Fleet-Portal genannt) in Verbindung mit der mobilen Anwendungssoftware Connect Fleet (nachstehend Connect Fleet-App genannt) sowie einer in dem jeweiligen Fahrzeug fest verbauten VW TelematikBox (ein Steuergerät, mit dem eine Online-Verbindung hergestellt wird; "VW TelematikBox") oder einer in dem jeweiligen Fahrzeug fest verbauten TomTom LINK 610 (ein Steuergerät, mit dem eine Online-Verbindung hergestellt wird; "TomTom LINK 610") oder dem nicht fest verbauten Volkswagen-Adapter (Smartphone Bluetooth-Link) ("DataPlug") verschiedene Dienste im Bereich Fuhrparkmanagement ("Connect Fleet-Dienste"). Die Connect Fleet-Dienste bieten die Möglichkeit, eine Fahrzeugflotte mitsamt den wichtigsten Informationen einsehen zu können. Im Connect Fleet-Portal können alle registrierten Fahrer eines Unternehmens (Name oder Pseudonym, Telefonnummer und Kennzeichen des zuletzt verbundenen Fahrzeuges) in einer Übersichtsliste eingesehen und nach unterschiedlichen Kriterien sortiert angezeigt werden. Der Auftraggeber kann im Connect Fleet-Portal folgende Daten in einer Übersichtsliste abrufen: aktueller Fahrer, Kennzeichen, Modell, Fahrzeug-Konfiguration, Motorisierung, FIN (Fahrzeugidentifikationsnummer), Laufleistung, Fahrtenbuch, Tankstopps, Google-Maps-Karte und zuletzt übermittelte GPS-Positionsdaten einzelner Fahrzeuge. Die dafür notwendigen Daten werden einerseits durch den DataPlug und andererseits durch die Eingaben des Fahrers in der Connect Fleet-App generiert.

4. Umfang, Gegenstand, Art und Zweck der Datenerhebung, -verarbeitung und/oder -nutzung von personenbezogenen Daten

Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Gegenstand, Art und Zweck:

Die einzelnen Funktionen im Connect Fleet-Portal:

Connect Fleet-Portal

Das Connect Fleet-Portal bietet dem Auftraggeber die Möglichkeit, die gesamte Fahrzeugflotte mitsamt den wichtigsten Informationen einsehen zu können. Im Connect Fleet-Portal können alle registrierten Fahrer des Unternehmens (Name oder Pseudonym, Telefonnummer und Kennzeichen des zuletzt verbundenen Fahrzeuges) in einer Übersichtsliste eingesehen und nach unterschiedlichen Kriterien sortiert angezeigt werden. Es können im Connect Fleet-Portal folgende Daten in einer Übersichtsliste abgerufen werden: aktueller Fahrer, Kennzeichen, Modell, Fahrzeug-Konfiguration, Motorisierung, VIN (Fahrzeugidentifikationsnummer), Laufleistung, Fahrtenbuch, Tankstopps, Google-Maps-Karte, zuletzt übermittelte GPS-Positionsdaten (bei bestimmten Fahrzeugen in nahezu Echtzeit sowie der Aufzeichnung der gefahrenen Strecke), Langzeit- und Kurzzeitverbrauch – je nach Fahrzeugausstattung (z. B. wenn eine VW TelematikBox im Fahrzeug vorhanden ist) –.

Automatisiertes Fahrtenbuch

Die Fahrtenbuchfunktion der Connect Fleet-App ermöglicht die teilautomatische Führung elektronischer Fahrtenbücher. Die dort verarbeiteten Fahrtdaten (Straßenname, Hausnummer, Ort, Postleitzahl, Land, Geoposition, Fahrtanlass) werden an das Connect Fleet-Portal übertragen und sind dort abrufbar.

Tankbuch

Die aus der Connect Fleet-App über die Tankbuch-Funktion ermittelten Daten (Gesamtkosten, Tankmenge) werden an das Connect Fleet-Portal übertragen und dort angezeigt. Zudem können in dem Tankbuch auch Tankrechnungen hochgeladen werden.

Personalisierung Fahrer- und Fahrzeugbild

Der Auftraggeber kann im Connect Fleet-Portal eigene Fotos oder Abbildungen einstellen und diese als Fahrer- oder Fahrzeugbilder hinterlegen. Diese Fotos oder Abbildungen werden dann in der Connect Fleet-App und im Connect Fleet-Portal als Fahrer- oder Fahrzeugbild angezeigt.

Hinweise (Warn- und Fehlermeldungen)

Der Auftraggeber kann sich – je nach Fahrzeugausstattung – bestimmte Informationen zu Wartungs- und Inspektionsbedarf sowie über Fahrzeugzustände (wie etwa Servicemeldungen, Warnungen, Hinweis zu Ölwechsel) anzeigen lassen.

Fahreffizienzbericht

Die Funktion Fahreffizienzbericht ermöglicht es dem Auftraggeber – je nach Fahrzeugausstattung – nach ihrer Aktivierung im Portal Informationen über die Effizienz von Fahrzeugen seiner Flotte anzeigen zu lassen. Hierzu werden verschiedene Informationen (wie etwa Werte zur Berechnung von Kaltstart, Geschwindigkeit, Bremsverhalten, Beschleunigung, Kickdown, Gangwahl) für geschäftliche Fahrten verarbeitet und pro Fahrzeug im Portal angezeigt. Die Daten aus den Fahreffizienzberichten werden zudem genutzt, um die Effizienz des eigenen Fahrzeugs im Vergleich zu allen Fahrzeugen mit aktiviertem Fahreffizienzbericht in Connect Fleet für den Auftraggeber darzustellen und insoweit auch als Basis der Vergleichsgrundlage verwendet.

Technische Unterstützung

Der Auftraggeber kann sich zum Zwecke der technischen Unterstützung und Fehlerbehebung an den Auftragnehmer wenden. Hierzu kann der Auftraggeber die auf dem Portal im Reiter Kontakt angezeigten Kontaktkanäle nutzen. Überdies besteht für den Auftraggeber die Möglichkeit, detaillierte Log-Dateien aus der Connect Fleet-App dem Auftragnehmer zur Verfügung zu stellen. Diese Log-Dateien können personenbezogene Daten, wie etwa GPS-Positionen, UserID oder Adressen enthalten. Hierfür muss zunächst der Fahrer eine Log-Datei aus der App versenden, die dem Auftraggeber angezeigt wird. Der Auftragnehmer kann dann durch Mitteilung einer Report-ID, die dem Auftragnehmer vom Auftraggeber genannt wird, auf diese Log-Datei zugreifen.

Die einzelnen Funktionen in der Connect Fleet-App:

Anmeldung

Der Auftraggeber legt den Fahrer im Portal an (Vorname, Name, Benutzername, Passwort), damit sich dieser in der App anmelden kann. Der Fahrer selbst kann zum Beispiel selbstständig ein Bild hochladen und sein Passwort ändern.

Fahrzeugbezogene Daten

Im Zuge der Erbringung der Connect Fleet-Dienste werden fahrzeugbezogene Daten, wie zum Beispiel die aktuelle Fahrzeugposition über GPS oder Kilometerstand, erhoben und genutzt. Initial werden bei der Fahrzeugregistrierung bei der Verwendung eines DataPlug darüber hinaus die Fahrzeugidentifikationsnummer und der tatsächliche Kilometerstand einmalig und automatisch aus dem Fahrzeug übertragen, damit etwaige Falscheingaben in der App überprüft und gegebenenfalls korrigiert werden können. Dies dient dazu, damit die Dienste, wie zum Beispiel das Fahrtenbuch, korrekt ausgeführt werden können. Auch kann zu unserer Übersicht der Langzeit- und Kurzzeitverbrauch des Fahrzeugs erhoben werden – je nach Fahrzeugausstattung – (z. B. wenn eine VW TelematikBox im Fahrzeug vorhanden ist) –.

Automatisiertes Fahrtenbuch

Die Fahrtenbuchfunktion ermöglicht die teilautomatische Führung elektronischer Fahrtenbücher. Sobald der Fahrer in das Fahrzeug einsteigt und die Connect Fleet-App mit dem Fahrzeug verbunden ist, kann über die Connect Fleet-App eine Fahrtaufzeichnung gestartet werden.

Die Startposition (Straßenname, Hausnummer, Ort, Postleitzahl, Land) wird bei vorhandenem GPS-Signal zum Startzeitpunkt automatisch erfasst. Am Ziel angekommen, wird die Adresse des Fahrtendes wieder automatisch in der Connect Fleet-App hinterlegt (bei vorhandenem GPS-Signal).

Der Fahrer trägt manuell den Fahrtanlass und den Fahrtzweck (Geschäftlich/Arbeitsweg/Privat) ein. Hierbei können auch Kontaktdaten der besuchten Personen eingetragen werden. Von der Connect Fleet-App werden Kilometerstand, gefahrene Kilometer und Uhrzeiten automatisch ergänzt. Die vorgenannten Fahrtdaten werden an das Connect Fleet-Portal übertragen und sind dort abrufbar. Bei einer als "Privat" und "Arbeitsweg" eingetragenen Fahrt erfolgt keine Aufzeichnung der Start- und Zieladresse.

Routenverfolgung über GPS

Zusätzlich zur automatischen Aufzeichnung der Start- und Zieladresse besteht – je nach Fahrzeugausstattung – die Möglichkeit der konkreten Routenverfolgung (einschließlich ihrer Aufzeichnung). Dazu muss der Fahrer seine Einwilligung erteilen und auf dieser Basis übermittelt die Connect Fleet-App, die TomTom LINK 610 bzw. die VW TelematikBox – je nach Fahrzeugausstattung – dann ca. alle 30 Sekunden und bei bestimmten Ereignissen Geopositionsinformationen des Fahrzeugs an das Connect Fleet-Portal. Die an das Connect Fleet-Portal übermittelte Geoposition kann dort in nahezu Echtzeit eingesehen werden. Eine Übermittlung der Geoposition beim DataPlug findet nur statt, solange der Fahrer am Smartphone die GPS-Funktion aktiviert hat, über ein GPS-Signal verfügt und eine Verbindung mit dem DataPlug besteht. Somit ist gewährleistet, dass der Fahrer auch ohne bewusste Abmeldung von der Connect Fleet-App nicht lokalisiert werden kann, wenn er sich nicht im Fahrzeug oder dessen unmittelbarer Nähe befindet. Für Fahrzeuge, die mit einer TomTom LINK 610 ausgestattet sind, besteht die Möglichkeit, die Übermittlung der Positionsdaten aus dem Fahrzeug mittels der Connect Fleet App zu deaktivieren. Für die Modelle der VW TelematikBox, die eine Routenverfolgung zulassen, kann die Verarbeitung der Daten durch entsprechende Konfiguration im Fahrzeug über das Menü des Infotainment-Systems verhindert werden. Zusätzlich besteht die Möglichkeit über das Menü "Einstellungen" in der Connect Fleet-App die Darstellung der Route mittels GPS-Signal im Portal jederzeit auszuschalten.

Die GPS-Daten der jeweiligen Fahrt werden mit dem entsprechenden Fahrtenbucheintrag verknüpft.

Tankbuch

Bei der Betankung eines Flottenfahrzeugs können Tankvorgänge manuell in der Connect Fleet-App erfasst werden. Die eingegebenen Gesamtkosten der Betankung sowie die getankte Treibstoffmenge in Litern werden festgehalten. Die über die Tankbuch-Funktion eingegebenen Daten werden an das Connect Fleet-Portal übertragen und dort angezeigt.

Hinweise (Warn- und Fehlermeldungen)

Die Connect Fleet-App kann – je nach Fahrzeugausstattung – bestimmte Informationen zu Wartungs- und Inspektionsbedarf sowie über Fahrzeugzustände (wie etwa Servicemeldungen, Warnungen, Hinweis zu Ölwechsel) anzeigen. Diese Warnungen werden an das Portal übertragen und dort angezeigt.

Technische Unterstützung

Der Fahrer kann dem Auftraggeber eine ausgewählte Log-Datei zur Verfügung stellen. Diese Log-Datei kann personenbezogene Daten, wie etwa GPS-Positionen, UserID oder Adressen enthalten. Diese Log-Datei kann der Auftraggeber durch Nennung einer Report-ID an den Auftragnehmer weitergeben. Der Auftragnehmer verarbeitet in diesem Fall die Log-Datei, um Fehler zu beheben und technische Unterstützung zu leisten.

5. Art der personenbezogenen Daten

Datenkategorie
Beispiele für Daten
Berufliche Kontakt- und (Arbeits-) Organisationsdaten
Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Gesellschaft, Bereich
IT-Nutzungsdaten
UserID, Rollen, Berechtigungen, Login-Zeiten, Rechnername, IP-Adresse, Zugriffe, Fehlermeldungen
Sonderkategorie: Mitarbeiterfoto
Portraitfotos, die durch den Fahrer freiwillig über die Apps hochgeladen werden
Private Kontakt- und Identifikationsdaten
Name, Vorname, Geschlecht, Anschrift, falls diese im Fahrtenbuch manuell als Start, Ziel, oder Grund der Fahrt eingetragen wurden
Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen  Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb
Bei der Kfz-Nutzung anfallende Daten, die mit FIN/Kfz-Kennzeichen verknüpft werden können und im Zusammenhang mit Warnmeldungen im Auto von Bedeutung sind oder deren Verfügbarkeit für den sicheren Fahrzeugbetrieb erforderlich ist; Informationen zu Wartungs- und Inspektionsbedarf sowie über Fahrzeugzustände
Positionsdaten
GPS Bewegungsdaten der Fahrer, Adressdaten von Start- und Zieladressen im Fahrtenbuch

6. Kategorien der betroffenen Personen

Betroffenengruppe
Beschreibung
Beispiele
Mitarbeiter
Mitarbeiter der eigenen Konzerngesellschaft (i.S. Beschäftigter der verantwortlichen Stelle)
Fahrer der Flottenfahrzeuge des Flottenmanagers
Partnerfirmen-Mitarbeiter
Mitarbeiter eines Lieferanten, Dienstleisters, Joint-Ventures, Leih-Arbeitsfirma
Kontaktdaten von Firmenpartnern, sofern sie in Fahrtenbüchern als Start, Ziel, Grund der Fahrt angegeben sind
Kunden
Jede Person, mit der eine (Kunden-) Geschäftsbeziehung besteht (mit der jeweiligen verantwortlichen Stelle)
Kontaktdaten von Kunden, sofern sie in Fahrtenbüchern als Start, Ziel, Grund der Fahrt angegeben sind
Sonstige Geschäftspartner
Jede (natürliche oder juristische) Person, mit der eine Geschäftsbeziehung besteht (mit der jeweiligen verantwortlichen Stelle) außer Kunden
Kontaktdaten von Geschäftspartnern, sofern sie in Fahrtenbüchern als Start, Ziel, Grund der Fahrt angegeben sind

7. Weisungen

Weisungen sind entsprechend der (Rahmen-) ADV in der Regel schriftlich oder in einem anderen dokumentierten elektronischen Format zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder in einem anderen dokumentierten elektronischen Format zu bestätigen.

8. Weisungs- und Kontrollberechtigte beim Auftraggeber

Der Weisungs- und Kontrollberechtigte ergibt sich aus dem Vertragspartner, der als Kunde im Leistungsvertrag definiert ist.

9. Zuständige Weisungsempfänger beim Auftragnehmer

Name
Org.-Einheit
Funktion
Telefon
E-Mail
Kersten Lange
NM-M
Produktmanagement MOD
0511-798-1717
Lange, Kersten Markus, Dr. (NM-M) (kersten.markus.lange@volkswagen.de)
Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Auftraggeber unverzüglich die Nachfolger bzw. die Vertreter entsprechend der Form von Weisungen mitzuteilen.

10. Ort der Verarbeitung
(Mehrfachnennungen möglich)

✔ Deutschland
✔ USA
✔ Philippinen

Bei Mehrfachnennungen bitte abgrenzen und beschreiben, welche Art der Verarbeitung (von) wo erbracht wird.

Deutschland: Hosting und Support Dienstleistungen;
USA: Third-Level Support der Hosting Provider;
Philippinen: Tochtergesellschaft von Subsub-Unternehmern mit Hosting und Third-Level Support für Fahrzeuganbindung (VW TelematikBox Fahrzeuge).

11. Datentransport
✔ Der Auftraggeber stimmt der elektronischen Übertragung von Daten unter der Voraussetzung der Einhaltung folgender zusätzlicher Mindestanforderungen zu:

  • Die Daten werden Ende-zu-Ende verschlüsselt übertragen.
  • Es erfolgt eine Protokollierung über die Übermittlung der Informationen.
  • Der Zugriff auf die Informationen erfolgt geschützt, ein mind. zehnstelliges Passwort bestehend aus Klein- und Groß-Buchstaben, Zahlen und Sonderzeichen wird genutzt.
  • Das Passwort ist auf separatem sicherem Weg, mittels eines weiteren Mediums, zu übermitteln.

12. Einrichtungen, die vom Auftragnehmer zur Verarbeitung der personenbezogenen Daten genutzt werden
[An dieser Stelle sind die Einrichtungen zu benennen, die der Auftragnehmer für die Verarbeitung der personenbezogenen Daten des Auftraggebers nutzt.]

Software 
Hardware 
Bemerkungen
Ort der Erhebung, Verarbeitung, Nutzung / Einrichtung 
Open Telekom Cloud
Virtualisierte Server
 
Rechenzentren in Biere und Magdeburg
Microsoft Azure
Virtualisierte Server
 
Azure Cloud – Region Germany Northeast / Germany Central
Amazon Web Services
Virtualisierte Server
 
Amazon Web Services Cloud – Region Frankfurt

13. Unterauftragnehmer

Der Auftragnehmer beabsichtigt, folgende Unterauftragnehmer mit der Verarbeitung von personenbezogenen Daten des Auftraggebers zu beauftragen:

✔ Der Auftraggeber stimmt der Beauftragung der im Folgenden aufgeführten Unterauftragnehmer zu:

[Liste aller Unterauftragnehmer (inkl. verbundener Unternehmen des Auftragnehmers), die die Möglichkeit des Zugriffs auf personenbezogene Daten des Auftraggebers haben, ist hier aufzuführen. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der in dem (Rahmen-)Leistungs-Vertrag bzw. der (jeweiligen) Anlage B beschriebenen Verarbeitung der Daten beziehen. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt, bei denen eine Verarbeitung von personenbezogenen Daten ausgeschlossen werden kann.]

Nr.
Unterauftragnehmer (Firma, Adresse, Ansprechpartner)
Verarbeitete Datenkategorien
Verarbeitungsschritte / Zweck der Unterauftragsdaten-verarbeitung
EU-Standardvertragsklauseln (siehe § 5 Abs. 2 ADV)
1
CSTx Software Engineering GmbH Salzdahlumer Str. 196 38126 Braunschweig
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Second und Third Level Support für das Backend
 
2
Ultra Tendency GmbH August-Bebel-Str. 46 39326 Colbitz
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Second und Third Level Support für das Backend
 
3
Audi AG Auto-Union-Straße 1 85045 Ingolstadt
IT-Nutzungsdaten · Private Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Dienstleister für Fahrzeuganbindung (VW TelematikBox Fahrzeuge)
 
4
Volkswagen Group IT Services GmbH Major-Hirst-Straße 11 38442 Wolfsburg Deutschland
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Second Level Support
 
5
T-Systems International GmbH Hahnstraße 43d 60528 Frankfurt am Main Deutschland
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Cloud Anbieter
 
6
ckc ag Am Alten Bahnhof 13 38122 Braunschweig
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Support iOS / Android Apps, Support Integrator
 
7
Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Cloud Anbieter
EUStV
8
DXC Technology Company 17th Floor, Ayala Life FGU Centre
6811 Ayala Avenue, Makati City 1226
Philippines
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Hosting, Third-Level Support für Fahrzeuganbin-dung (VW Tele-matikBox Fahr-zeuge) als Unter-Unterauftragneh-mer von Audi AGHosting, Third-Level Support für Fahrzeuganbin-dung (VW Tele-matikBox Fahr-zeuge) als Unter-Unterauftragneh-mer von Audi AG
 
9

MHP Manage-ment- und IT-Beratung GmbH

Film- und Medienzentrum, Königsallee 49, 71638 Ludwigsburg, Deutschland
info@mhp.com

IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Unterstützung bei Betroffenenanfragen
 
10

CarMobility GmbH

Gifhorner Straße 57, 38112 Braunschweig, Deutschland

info@car-mobility.com

IT-Nutzungsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Integration von Fahrzeugen mit TomTom LINK 610 in Connect Fleet System; ggf. Support im Einzelfall
 
11
Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, Washington 98109-5210, USA
IT-Nutzungsdaten · Private Kontakt- und Identifikationsdaten · Berufliche Kontakt- und (Arbeits-)Organisationsdaten · Mitarbeiterfotos · Kfz-Nutzungs-Daten mit FIN/Kfz-Kennzeichen Garantie-, Gewährleistung, Produkthaftung, sicherer Fahrzeugbetrieb · Positionsdaten
Cloud Anbieter
EUStV

14. Unterstützungsmaßnahmen zur Erfüllung der Pflichten nach der DSGVO und dem BDSG

Der Auftragnehmer wird den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Wahrung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen. Er wird ferner unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten unterstützen.

Zu den Unterstützungspflichten zählen insbesondere:

  • Technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie mögliche Sicherheitslücken und Rechtsverletzungen berücksichtigen und eine unverzügliche Feststellung von Datenschutzverletzungen ermöglichen;
  • Verletzungen des Schutzes personenbezogener Daten sind dem Auftraggeber unverzüglich, nachdem die Verletzung bekannt wurde, zu melden. Die Meldungen sind dabei an die folgenden Personen zu richten: Kunde (wie im Leistungsvertrag definiert)
  • Der Auftragnehmer ist verpflichtet, eine telefonische Erreichbarkeit eines geeigneten Ansprechpartners für die Wahrung der in Kapitel 3 der DSGVO genannten Rechte und der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten sicherzustellen. Zudem ist der Auftragnehmer verpflichtet, eine E-Mail-Adresse für die Kommunikation mit diesem Ansprechpartner und einen Schlüssel zur Verschlüsselung der E-Mail-Kommunikation zur Verfügung zu stellen. Der Auftragnehmer benennt folgende Personen als Ansprechpartner: Dr. Michael Nolting, 0511 798-3179, michael.nolting@volkswagen.de. Diese Anforderungen gelten für jegliche Art von personenbezogenen Daten und erstrecken sich auch auf etwaige Unterauftragnehmer.
  • Der Auftragnehmer ist verpflichtet, dem Auftraggeber bei der Erstellung einer Datenschutzfolgenabschätzung zu unterstützen
  • Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Beantwortung von Betroffenenanfragen zu unterstützen
  • Im Übrigen verpflichtet sich der Auftragnehmer, dem Auftraggeber weitere angeforderte Informationen zur Verfügung zu stellen, die erforderlich sind, um die vorgenannten Zwecke zur Erfüllung der Anforderungen des BDSG und der DSGVO zu erfüllen.
ANLAGE EU-STANDARDVERTRAGSKLAUSELN

zur Auftragsdatenverarbeitung zum Einzelvertrag

STANDARDVERTRAGSKLAUSELN (AUFTRAGSVERARBEITER)

gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist

Bezeichnung der Organisation (Datenexporteur): Auftraggeber wie in Anlage B genannt

("Datenexporteur")

und

Bezeichnung der Organisation (Datenimporteur): Auftragnehmer wie in Anlage B genannt

("Datenimporteur")

(die "Partei", wenn eine dieser Organisationen gemeint ist, die "Parteien", wenn beide gemeint sind)

VEREINBAREN folgende Vertragsklauseln ("Klauseln"), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten.

Klausel 1

Begriffsbestimmungen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

a) die Ausdrücke "personenbezogene Daten", "besondere Kategorien personenbezogener Daten", "Verarbeitung", "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "Kontrollstelle" entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr1;

b) der "Datenexporteur" ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

c) der "Datenimporteur" ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

d) der "Unterauftragsverarbeiter" ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;

e) der Begriff "anwendbares Datenschutzrecht" bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;

f) die "technischen und organisatorischen Sicherheitsmaßnahmen" sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

(1) Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.

(2) Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.

(3) Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

(4) Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;

b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;

d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;

e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;

i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und

j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs2

Der Datenimporteur erklärt sich bereit und garantiert, dass:

a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

d) er den Datenexporteur unverzüglich informiert über

i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

ii) jeden zufälligen oder unberechtigten Zugang und

iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;

g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;

i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;

j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

Klausel 6

Haftung

(1) Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.

(2) Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.

Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.

(3) Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

(1) Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:

a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder

b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.

(2) Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Kontrollstellen

(1) Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

(2) Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.

(3) Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: S. Anlage B unter 1.

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Vergabe eines Unterauftrags

(1) Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss3. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.

(2) Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

(3) Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: S. Anlage B unter 1.

(4) Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

(1) Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.

(2) Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

1. Die Parteien können die Begriffsbestimmungen der Richtlinie 95/46/EG in diese Klausel aufnehmen, wenn nach ihrem Dafürhalten der Vertrag für sich allein stehen sollte.
2. Zwingende Erfordernisse des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist, widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staates, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche.
3. Dies kann dadurch gewährleistet werden, dass der Unterauftragsverarbeiter den nach diesem Beschluss geschlossenen Vertrag zwischen dem Datenexporteur und dem Datenimporteur mitunterzeichnet.

Für den Datenexporteur:

Siehe § 10 Abs. 6 und Anlage B Nr. 1

Für den Datenimporteur:

Siehe § 10 Abs. 6 und Anlage B Nr. 1

Anhang 1

zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden

Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen

Datenexporteur

Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): S. Anlage B unter 1 und 3.

Datenimporteur

Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind): S. Anlage B unter 1 und 3.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben): S. Anlage B unter 6.

Kategorien von Daten

Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben): S. Anlage B unter 5.

Besondere Datenkategorien (falls zutreffend)

Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben): S. Anlage B unter 5.

Verarbeitung

Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben): S. Anlage B unter 3. und 4.

DATENEXPORTEUR

Siehe § 10 Abs. 6 und Anlage B Nr. 1

DATENIMPORTEUR

Siehe § 10 Abs. 6 und Anlage B Nr. 1

Anhang 2

zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

S. Anlage A

DATENEXPORTEUR

Siehe § 10 Abs. 6 und Anlage B Nr. 1

DATENIMPORTEUR

Siehe § 10 Abs. 6 und Anlage B Nr. 1

 

Stand: Mai 2019