Auftragsverarbeitung

Anlage: Vertrag über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 Abs. 3 DSGVO zwischen 

  • dem Nutzer von GPS-Tracker und/oder Webplattform und/oder amicoo-App als Verantwortlicher (nachfolgend „Auftraggeber“) und der
  • amicoo GmbH, Alfred-Nobel-Straße 9, 86156 Augsburg als Auftragsverarbeiter (nachfolgend „Auftragnehmer“)

1 Vertragsgegenstand

Gegenstand des Vertrages ist die Verarbeitung personenbezogener Daten im Auftrag (nachfolgend „Auftragsverarbeitung“) gemäß Art. 28 DSGVO ). Dieser Vertrag ergänzt den zwischen den Parten geschlossenen Vertrag über die Nutzung der Services von amicoo (nachfolgend „Hauptvertrag).

2 Laufzeit

Die Laufzeit der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages und endet gleichzeitig mit dieser, ohne dass eine gesonderte Kündigung erforderlich ist.

3 Art und Zweck der Verarbeitung

Die Verarbeitung ergibt sich aus der Bereitstellung der Services vom amicoo im Zusammenhang mit dem Tracking und der damit verbundenen Nutzung der Webplattform sowie der mobilen Apps.

4 Art der personenbezogenen Daten und betroffene Personen

4.1 Gegenstand der Auftragsverarbeitung sind folgende Arten personenbezogener Daten: Standortdaten dritter Personen, die der Nutzer mithilfe des GPS-Trackers trackt und deren Standortdaten er über die Webplattform oder die App abrufen kann.

4.2 Die Kategorien betroffener Personen im Rahmen der Auftragsverarbeitung umfassen: Dritte Personen, deren Standort der Nutzer trackt.

5 Technische und organisatorische Maßnahmen

5.1 Der Auftragnehmer ergreift die erforderlichen Maßnahmen zur Gewährleistung der Datensicherheit und eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sowie der raschen Wiederherstellbarkeit der Verfügbarkeit und des Zugangs zu personenbezogenen Daten. Er berücksichtigt dabei den Stand der Technik und die Implementierungskosten sowie Art, Umfang und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 DSGVO.

5.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

6 Qualitätssicherung
Der Auftragnehmer hat die Pflichten gemäß Art. 28 DSGVO, insbesondere:

6.1 Ansprechpartner: Name und Kontaktdaten des Datenschutzfragen des Auftragnehmers werden, sofern ein solcher benannt wird, auf der Website des Auftragnehmers veröffentlicht. Anfragen können auch an die allgemeinen Supportadressen und -telefonnummern gerichtet werden.

6.2 Verpflichtung der Mitarbeiter auf die Vertraulichkeit: Alle Mitarbeiter, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen zuvor auf die Vertraulichkeit verpflichtet worden sein. Der Auftragnehmer und die dem Auftragnehmer unterstellten Personen, die im Rahmen des Auftrages Zugang zu personenbezogenen Daten hat, dürfen diese Daten gemäß Art. 29 DSGVO ausschließlich auf Weisung des Auftraggebers verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

6.3 Zusammenarbeit mit Aufsichtsbehörden: Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

6.4 Unverzügliche Information des Auftraggebers über Kontrollen und Maßnahmen der Aufsichtsbehörde. Der Auftragnehmer informiert den Auftraggeber unverzüglich über alle Kontrollen und sonstigen Maßnahmen einer Aufsichtsbehörde, die die Auftragsverarbeitung betreffen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeiten- oder Strafverfahrens beim Auftragnehmer ermittelt.

6.5 Unterstützung des Auftraggebers: Ist der Auftraggeber einer Kontrolle einer Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt, unterstützt ihn der Auftragnehmer nach besten Kräften. Der Auftragnehmer unterstützt den Auftraggeber ferner im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu und stellt alle relevanten Informationen unverzüglich zur Verfügung; er unterstützt den Auftraggeber bei einer Datenschutz-Folgenabschätzung des Auftraggebers und im Rahmen einer Konsultation mit der Aufsichtsbehörde.

6.6 Auftragskontrolle: Der Auftragnehmer kontrolliert durch regelmäßige Prüfungen die Vertragsausführung, insbesondere die Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung der Auftragsverarbeitung, um zu gewährleisten, dass die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer rechtmäßig erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

6.7 Dokumentation der technischen und organisatorischen Maßnahmen: Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit vorlegen.

6.8 Datenschutzverletzungen: Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn durch ihn oder eine ihm unterstellte Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder Verpflichtungen aus dem vorliegenden Vertrag verstoßen wurde. 

7 Datenverarbeitung außerhalb von EU/EWR

Die Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraumstatt. Die Verlagerung in einen Drittstaat oder die Einschaltung eines Unterauftragnehmers in einem Drittstaat darf nur nach Zustimmung des Auftraggebers in Textform und unter den Voraussetzungen der Art. 44 ff. DSGVO erfolgen.

8 Unterauftragsverhältnisse

8.1 Sollen Unterauftragnehmer (weitere Auftragsverarbeiter gemäß Art. 28 DSGVO) einbezogen werden sollen, gilt: 

  • Die Einschaltung von Unterauftragnehmern ist grundsätzlich nur mit Zustimmung des Auftraggebers in Textform gestattet. Ohne eine solche Zustimmung kann der Auftragnehmer zur Vertragsdurchführung unter Wahrung seiner Pflicht zur Auftragskontrolle Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies dem Auftraggeber vor Beginn der Verarbeitung in Textform mitteilt und der Auftraggeber der Verlagerung der Datenverarbeitung nicht innerhalb eines Monats nach Zugang der Mitteilung in Textform widersprochen hat. 
  • Der Auftragnehmer gestaltet die vertraglichen Vereinbarungen mit dem Unterauftragnehmer so, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer sowie Art. 28 DSGVO entsprechen.
  • Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
  • Die Einschaltung des Unterauftragnehmers ist unzulässig, solange nicht alle Voraussetzungen erfüllt sind.

8.2 Die vorstehenden Regelungen gelten entsprechend, wenn der Unterauftragnehmer seinerseits ein Unterauftragsverhältnis begründen will.

8.3 Erbringt der Unterauftragnehmer seine Leistungen nicht in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, stellt der Auftragnehmer sicher, dass die Verarbeitung personenbezogener Daten rechtmäßig ist.

8.4 Abweichend von Ziffer 8.1, erster Spiegelstrich, genehmigt der Auftraggeber bereits jetzt die Einschaltung der folgenden Unterauftragnehmer des Auftragnehmers vorbehaltlich der Einhaltung der sonstigen Voraussetzungen gemäß Ziffern 8.1 bis 8.3 Mittwald CM Service GmbH & Co. KG, Novalnet AG, PELA Fulfillment UG, Billbee GmbH, Google Inc.

9 Weisungsbefugnis des Auftraggebers

9.1 Die Auftragsverarbeitung erfolgt gemäß Art. 28 Abs. 3 Buchst. a DSGVO ausschließlich nach Weisung des Auftraggebers. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich in Textform.

9.2 Der Auftraggeber hat ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung in Textform durch den Auftraggeber erteilen. 

9.3 Der Auftragnehmer darf nur nach dokumentierter Weisung des Auftraggebers Daten berichtigen, löschen oder ihre Verarbeitung einzuschränken. Wendet sich eine betroffene Person an den Auftragnehmer, leitet dieser das Ersuchen an den Auftraggeber weiter.

9.4 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

9.5 Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 

10 Kontrollrechte des Auftraggebers

10.1 Der Auftraggeber hat das Recht, Kontrollen im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung der vertraglichen Pflichten durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen..

10.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 32 DSGVO und der Anlagenach. 

11 Löschung von Daten und Rückgabe von Datenträgern

11.1 Nach Aufforderung durch den Auftraggeber sowie unaufgefordert bei Beendigung der Auftragsverarbeitung wird der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit der Auftragsverarbeitung stehen, dem Auftraggeber aushändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 

11.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer gemäß den gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Beendigung der Auftragsverarbeitung dem Auftraggeber übergeben.

11.3 Ein Zurückbehaltungsrecht des Auftragnehmers nach § 273 BGB hinsichtlich der in Ziffer 11.1 genannten Gegenstände ist ausgeschlossen.

12 Schlussbestimmungen

12.1 Dieser Vertrag ersetzt etwaige frühere Abreden der Parteien über den Vertragsgegenstand. Von den in diesem Vertrag niedergelegten Bestimmungen abweichende oder sonstige Vereinbarungen sind nur wirksam, wenn sie schriftlich vereinbart sind. Dies gilt auch für die Aufhebung dieser Schriftform.

12.2 Wenn in diesem Vertrag Textform verlangt wird, gilt § 126b BGB. Hierfür genügt die Übermittlung einer lesbaren Erklärung, in der die Person des Erklärenden genannt ist, z. B. per E-Mail oder Fax.

12.3 Anwendbares Recht und Gerichtsstand bestimmen sich nach dem Hauptvertrag