DATENVERABEITUNGSVEREINBARUNG (DPA) FÜR SINDRI

                                                                                                                         

Diese Standardvertragsklauseln enthält die rechtlichen Verpflichtungen der Parteien hinsichtlich des Datenschutzes, der sich aus der Verarbeitung personenbezogener Daten im Zusammenhang mit dem jeweiligen Vertrag über den SINDRI-Service mit dem Kunden ergibt. Die nachstehende Diese Standardvertragsklauseln stützt sich auf die von der EU-Kommission im Durchführungsbeschluss (EU) 2021/915 der Kommission festgelegten offiziellen Standardvertragsklauseln.

 

Der Kunde als "Controller" und die Continental Aftermarket & Services GmbH als "Prozessor" vereinbaren wie folgt:

 

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

  1. Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von  Artikel 28  Absätze 3  und  4  der Verordnung  (EU) 2016/679  des  Europäischen  Parlaments  und  des  Rates  vom 27. April    2016    zum    Schutz    natürlicher    Personen    bei    der    Verarbeitung personenbezogener  Daten,  zum  freien  Datenverkehr  und  zur  Aufhebung  der Richtlinie 95/46/EG sichergestellt werden.
  2. Die oben genannten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
  3. Diese  Klauseln  gelten  für  die  Verarbeitung  personenbezogener  Daten  gemäß Anhang I.
  4. Die Anhänge I bis III sind Bestandteil der Klauseln.
  5. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
  6. Diese   Klauseln   stellen   für   sich   allein   genommen   nicht   sicher,   dass   die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

 

Klausel 2

Unveränderbarkeit der Klauseln

  1. Die Parteien  verpflichten  sich,  die  Klauseln  nicht  zu  ändern,  es  sei  denn,  zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
  2. Dies   hindert   die   Parteien   nicht   daran, die   in   diesen   Klauseln   festgelegten Standardvertragsklauseln   in   einen  umfangreicheren   Vertrag   aufzunehmen  und weitere  Klauseln  oder  zusätzliche  Garantien  hinzuzufügen,  sofern  diese  weder unmittelbar  noch  mittelbar  im  Widerspruch  zu  den  Klauseln  stehen  oder  die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung

  1. Werden  in  diesen  Klauseln  die  in  der  Verordnung  (EU) 2016/679  bzw.  der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
  2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
  3. Diese  Klauseln  dürfen  nicht  in  einer  Weise  ausgelegt  werden,  die  den  in  der Verordnung  (EU) 2016/679  oder  der  Verordnung  (EU) 2018/1725  vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

 

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

 

Klausel 5

Kopplungsklausel

  1. Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller  Parteien  jederzeit  als  Verantwortlicher  oder  als Auftragsverarbeiter  beitreten,  indem sie die Anhänge ausfüllt und diese Datenschutzbestimmungen mitunterzeichnet.
  2. Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung.
  3. Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

 

 

ABSCHNITT II - PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten   und   die   Zwecke,   für   die   die   personenbezogenen   Daten   im   Auftrag   des Verantwortlichen verarbeitet werden, sind in Anhang I aufgeführt.

 

Klausel 7

Pflichten der Parteien

 

7.1. Weisungen

a. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung   ist,   dass   vom   Verantwortlichen   erteilte   Weisungen   gegen   die Verordnung   (EU) 2016/679,   die   Verordnung   (EU) 2018/1725   oder   geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

 

7.2. Zweckbindung

Der Auftragsverarbeiter  verarbeitet  die  personenbezogenen  Daten  nur  für  den/die  in Anhang I  genannten  spezifischen  Zweck(e),  sofern  er  keine  weiteren  Weisungen  des Verantwortlichen erhält.

 

7.3. Dauer der Verarbeitung personenbezogener Daten

Die  Daten  werden  vom  Auftragsverarbeiter  nur  für  die  in  Anhang I  angegebene  Dauer verarbeitet.

 

7.4. Sicherheit der Verarbeitung

a. Der   Auftragsverarbeiter   ergreift   mindestens   die   in   Anhang II   aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise  zum  unbefugten  Zugang  zu  den  Daten  führt  (im  Folgenden „Verletzung  des  Schutzes  personenbezogener  Daten“).  Bei  der  Beurteilung  des angemessenen  Schutzniveaus  tragen  die  Parteien  dem  Stand  der  Technik,  den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b. Der Auftragsverarbeiter  gewährt  seinem  Personal  nur  insoweit  Zugang  zu  den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

 

7.5. Sensible Daten

Falls  die  Verarbeitung  personenbezogene  Daten  betrifft,  aus  denen  die  rassische  oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum  Zweck  der eindeutigen  Identifizierung einer  natürlichen  Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

 

7.6  Dokumentation und Einhaltung der Klauseln

a. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b. Der Auftragsverarbeiter  bearbeitet  Anfragen  des  Verantwortlichen  bezüglich  der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c. Der Auftragsverarbeiter  stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und  unmittelbar  aus  der  Verordnung  (EU) 2016/679  und/oder  der  Verordnung (EU) 2018/1725  hervorgehenden  Pflichten  erforderlich  sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen

d. Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e. Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

 

7.7. Einsatz von Unterauftragsverarbeitern

a. ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt   sind.   Der   Auftragsverarbeiter   unterrichtet   den   Verantwortlichen mindestens 30 (dreißig) Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b. Beauftragt    der    Auftragsverarbeiter    einen    Unterauftragsverarbeiter    mit    der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den  Auftragsverarbeiter gemäß diesen  Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

c. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen  Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

e. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der   Verantwortliche –  im   Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

 

7.8. Internationale Datenübermittlungen

a. Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter   Weisungen   des   Verantwortlichen   oder   zur   Einhaltung   einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt,  und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

b. Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter   einen   Unterauftragsverarbeiter   gemäß   Klausel 7.7   für   die Durchführung  bestimmter  Verarbeitungstätigkeiten  (im  Auftrag  des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten  im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46  Absatz 2  der  Verordnung  (EU) 2016/679  erlassen  wurden,  sofern  die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

 

Klausel 8

Unterstützung des Verantwortlichen

a. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten  gemäß  den  Buchstaben a  und  b  befolgt  der  Auftragsverarbeiter  die Weisungen des Verantwortlichen.

c. Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8  Buchstabe b  zu  unterstützen,  unterstützt  der  Auftragsverarbeiter  unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

1. Pflicht  zur  Durchführung  einer  Abschätzung  der  Folgen  der  vorgesehenen Verarbeitungsvorgänge   für   den   Schutz   personenbezogener   Daten   (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

2. Pflicht   zur   Konsultation   der   zuständigen   Aufsichtsbehörde(n)  vor   der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

3.  Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und  auf  dem  neuesten  Stand  sind,  indem  der  Auftragsverarbeiter  den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

4. Verpflichtungen      gemäß     Artikel 32     der     Verordnung (EU) 2016/679.  

d. Die Parteien legen in Anhang II die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

 

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit  der  Verantwortliche  seinen  Verpflichtungen  gemäß  den  Artikeln 33  und  34  der Verordnung  (EU) 2016/679  oder  gegebenenfalls  den  Artikeln 34  und  35  der  Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

 

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

a. bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b. bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

1. die Art der personenbezogenen  Daten,  soweit  möglich,  mit  Angabe  der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn  und  soweit  nicht  alle  diese  Informationen  zur  gleichen  Zeit  bereitgestellt  werden können,   enthält   die   ursprüngliche   Meldung   die   zu   jenem   Zeitpunkt   verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

c. bei  der  Einhaltung  der  Pflicht  gemäß  Artikel 34  der  Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

 

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a. eine  Beschreibung  der  Art  der  Verletzung  (möglichst  unter  Angabe  der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b. Kontaktdaten  einer  Anlaufstelle,  bei  der  weitere  Informationen  über  die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c. die voraussichtlichen Folgen und die ergriffenen  oder  vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

 

Wenn  und  soweit  nicht  alle  diese  Informationen  zur  gleichen  Zeit  bereitgestellt  werden können,   enthält   die   ursprüngliche   Meldung   die   zu   jenem   Zeitpunkt   verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt

 

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

 

 

ABSCHNITT III - SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

a. Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche –   unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 –   den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b. Der Verantwortliche  ist  berechtigt,  den  Vertrag  zu  kündigen,  soweit  er  die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

1. der  Verantwortliche  die  Verarbeitung  personenbezogener  Daten  durch  den Auftragsverarbeiter  gemäß  Buchstabe a  ausgesetzt  hat  und  die  Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln   verstößt   oder   seine   Verpflichtungen   gemäß   der   Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;

3. der Auftragsverarbeiter  einer  bindenden  Entscheidung  eines  zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen  Klauseln,  der  Verordnung  (EU) 2016/679  und/oder  der  Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

c. Der Auftragsverarbeiter  ist  berechtigt,  den  Vertrag  zu  kündigen,  soweit  er  die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter  darüber  in  Kenntnis  gesetzt  wurde,  dass  seine  Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d. Nach Beendigung des Vertrags  löscht  der  Auftragsverarbeiter  nach  Wahl  des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

 

ANHANG I: BESCHREIBUNG DER VERARBEITUNG 

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden

☒ Kunden                                                       ☐ Besucher

☐ Veranstaltungsteilnehme                        ☒ Service-Benutzer

☒ Kommunikationsteilnehmer                   ☐ Abonnenten 

☐ Interessierte

☐ Lieferant und/oder Dienstleister (individuelle Ansprechpartner bei diesen Anbietern)

☒ Mitarbeiter                                                  ☐ Bewerber

☐ Ehemalige Mitarbeiter                               ☐ Auszubildende/Praktikanten

☐ Mitarbeiter Angehörige                             ☐ Berater 

☐ Handelsvertreter                                        ☐ Aktionäre / Organe

☐ Ansprechpartner für Unternehmen        ☐ Lieferanten und Dienstleister

☒ Geschäftspartner                                        

☒ andere (bitte angeben): Kunde unseres Kunden (Workshop)

 

Kategorien personenbezogener Daten, die verarbeitet werden

Allgemeine Daten / Private Kontaktinformationen:

☒ Namen Persönliche Profile                                        ☐ Bild

☒ Private Adressdaten                                                   ☐ Geburtsdaten / Alter

☐ Ausweisdaten / IDs (z.B. Pass, Führerschein, Sozialversicherungsnummer)

☒ andere (bitte angeben): Car-ID

 

Vertragsdaten

☒ Abwicklungs-Zahlungsdaten                      ☐ Bankverbindungs-/Kreditkartendaten              

☐ Finanzlage/ Kreditwürdigkeit                     ☒ Vertrags- / Nutzungshistorien                          

☐ andere (bitte angeben): ________________________________________________

 

Berufliche Daten

☐ Persönliche Daten                                                      ☐ Positions- und Beschäftigungsdetails

☐ Performance Management                                      ☐ Qualifikation und Ausbildung Details

☐ Lohn-/Gehalts- Sozialversicherungsdaten             ☒ Arbeitszeit-, Abwesenheitsdaten                     

☐ andere (bitte angeben): ________________________________________________

 

Dienste- und IT-(Nutzungs) Daten:

☐ Gerätekennungen                                                       ☒ Nutzungs- und Verbindungsdaten

☐ Bild- / Videodaten                                                      ☒ Telekommunikationsdaten/ Nachrichteninhalte

☐ Audio- / Sprachdaten                                                 ☒ Identifikationsdaten / IDs

☒ Zugangsdaten                                                             ☒ Autorisierung/Zulassungen

☒ Metadaten                                                                                                                                                                     

☒ andere (bitte angeben): ___________________________________

 

Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung  absolviert  haben),  Aufzeichnungen  über  den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen

 

Besondere Kategorien personenbezogener Daten:

☐ Rassische / Ethnische Herkunft                      ☐ Religiöse / weltanschauliche Überzeugungen

☐ Gesundheitsdaten                                           ☐ Politische Meinungen

☐ Biometrische Daten                                         ☐ Genetische Daten

☐ Gewerkschaftszugehörigkeit                          ☐ Daten zum Sexualleben / sexuellen Orientierung           

☐ Straftaten, Verurteilungen oder Urteile

☐ andere bitte angeben: ________________________________________________

 

Art der Verarbeitung

Der Prozessor bietet eine Hardware (Vehicle Communication Interface) und App zur Beurteilung des Fahrzeugstatus. Mit dieser Hardware und App kann per Diagnose mit Fahrzeugen kommuniziert werden, um Fahrzeugdaten auszulesen. Nutzungsfälle sind der Empfang von Fahrzeugen innerhalb der Werkstatt und die Wertbeurteilung, für die relevante Fahrzeuginformationen über die Diagnoseschnittstelle aus dem Fahrzeug ausgelesen werden. Darüber hinaus kann der Nutzer Informationen hinzufügen und Fotos des Fahrzeugs an einen Bericht anhängen.

 

Zweck(e), zu dem/denen die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

Erfüllung des Vertrags

Dauer der Verarbeitung

Mindestens Vertragsende

  

ANHANG II TECHNISCHE    UND    ORGANISATORISCHE    MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

ERLÄUTERUNG:

Die technischen und organisatorischen Maßnahmen müssen konkret beschrieben werden; eine allgemeine Beschreibung ist nicht ausreichend.

 

Beschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen Beispiele für mögliche Maßnahmen

 

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten

Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Maßnahmen zur Identifizierung und Autorisierung der Nutzer 

Maßnahmen zum Schutz der Daten während der Übermittlung 

Maßnahmen zum Schutz der Daten während der Speicherung

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration

Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit 

Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten 

Maßnahmen zur Gewährleistung der Datenminimierung

Maßnahmen zur Gewährleistung der Datenqualität

Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung 

Maßnahmen zur Gewährleistung der Rechenschaftspflicht

Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung

 

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen  Maßnahmen  zu  beschreiben, die der (Unter-) Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss.

 

Beschreibung  der  spezifischen  technischen  und  organisatorischen  Maßnahmen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss.

 

  1. Zutrittskontrolle

Verwehrung des Zutritts / Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (z. B. durch physikalische Objektsicherung: Zaun, Pförtner, Personenschleuse, Drehkreuz, mit Ausweisleser geschützte Tür, Kameraüberwachung; Organisatorische Objektsicherung, Regelung der Zutrittsberechtigungen, Registrierung der Zutritte):

☒ Alarmanlage 
☒ Automatisches Zugangskontrollsystem
☐ Schließsystem mit Codesperre
☐ Biometrische Zugangssperren 
☐ Lichtschranken/Bewegungsmelder 
☒ Manuelles Schließsystem inklusive Schlüsselregelung (Schlüsselbuch, Schlüsselausgabe)
☒ Protokollierung der Besucher
☒ Sorgfältige Auswahl von Wachpersonal
☒ Chipkarten-/ Transponder-Schließsystem 
☒ Videoüberwachung der Zugänge
☒ Sicherheitsschlösser
☒ Personenkontrolle beim Pförtner/Empfang
☒ Sorgfältige Auswahl von Reinigungspersonal
☒ Tragepflicht von Mitarbeiter-/Gästeausweisen
☐ Sonstiges:

 

  1. Zugangskontrolle / Benutzerkontrolle

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (z. B. Bildschirmschoner mit Passwort):

☒ Authentifikation mit Benutzername / Passwort (Passwortvergabe erfolgt auf Basis der gültigen Passwortregelungen)
☒ Einsatz von Intrustion-Detection-Systemen
☒ Einsatz von Anti-Viren-Software
☒ Einsatz einer Software-Firewall
☒ Erstellen von Benutzerprofilen
☒ Zuordnung von Benutzerprofilen zu IT-Systemen
☒ Einsatz von VPN-Technologie
☒ Verschlüsselung von mobilen Datenträgern
☒ Verschlüsselung von Datenträgern in Laptops / Notebooks
☒ Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten)
☒ Sonstiges: 

 

  1. Zugriffskontrolle / Datenträgerkontrolle /Speicherkontrolle

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern, (Datenträgerkontrolle) Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle). Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (z. B. durch Berechtigungskonzepte, Passworte, Regelungen bei Austritt und Versetzung von Mitarbeitern.) (Zugriffskontrolle):

☒ Rolle und Berechtigungen auf Basis „Need to Know Prinzip“
☒ Anzahl der Administratoren auf das „Notwendigste“ reduziert
☒ Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
☒ Physische Löschung von Datenträgern vor Wiederverwendung
☒ Einsatz von Aktenvernichtern bzw. Dienstleistern
☒ Verwaltung der Rechte durch definierte Systemadministratoren
☒ Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
☒ Sichere Aufbewahrung von Datenträgern
☒ Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
☒ Protokollierung der Vernichtung
☐ Sonstiges: 

 

  1. Weitergabekontrolle / Transportkontrolle

Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird (z.B. durch starke Verschlüsselung bei Datenübertragung, verschlossener Umschlag bei (Haus-) Postversendung, verschlüsselte Speicherung auf Datenträger):

☒ Einrichtungen von Standleitungen bzw. VPN-Tunneln
☒ Verschlüsselte Datenübertragung im Internet (z.B. HTTPS, SFTP, etc.)
☒ E-Mail-Verschlüsselung
☐ Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
☒ Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und –fahrzeugen
☐ Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
☐ Beim physischen Transport: sichere Transportbehälter/-verpackungen
☐ Sonstiges: 

 

  1. Eingabekontrolle / Übertragungskontrolle

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind, z. B. durch Protokollierung (Eingabekontrolle). Je nach System, Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle):

☒ Protokollierung der Eingabe, Änderung und Löschung von Daten
☒ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
☒ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
☒ Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
☐ Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
☐ Sonstiges: 

 

  1. Verfügbarkeitskontrolle /Wiederherstellung / Zuverlässigkeit / Datenintegrität

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit). Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit). Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität). Gewährleistung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) z. B. durch Implementierung entsprechender Backup- und Desaster Recovery Konzepte:

 

☒ Unterbrechungsfreie Stromversorgung (USV)
☒ Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
☒ Feuer- und Rauchmeldeanlagen
☒ Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
☒ Testen von Datenwiederherstellung
☒ Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
☐ In Hochwassergebieten: Serverräume über der Wassergrenze
☐ Klimaanlage in Serverräumen
☒ Schutzsteckdosenleisten in Serverräumen
☒ Feuerlöschgeräte in Serverräumen
☒ Erstellen eines Backup- & Recovery Konzepts
☒ Erstellen eines Notfallplans
☐ Sonstiges: 

 

  1. Trennungsgebot / Trennbarkeit

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (z. B. durch logische Trennung von Kundendaten, spezielle Zugriffskontrollen (Berechtigungskonzept), Trennung von Test- und Produktionsdaten.) Nachfolgende technische und organisatorische Maßnahmen sind für die im Vertrag genannte Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch den Auftragnehmer implementiert:

 

☐ Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
☐ Versehen der Datensätze mit Zweckattributen/Datenfeldern
☒ Festlegung von Datenbankrechten
☐ Logische Mandantentrennung (softwareseitig)
☐ Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
☐ Trennung von Produktiv- und Testsystem
☐ Sonstiges: 
 

 

ANHANG III: LISTE DER UNTERAUFTRAGSVERARBEITER

Unternehmen(Bezeichnung (einschl. Gesellschaftsform), Sitz) Einsatzzweck Ort der Datenverarbeitung Schutzniveau (AVV, Standardvertragsklauseln, BCR, Zertifikate, etc)
VALEO IT Personalservice GmbH  In der Scheibe 3,   92706 Wildenau Wildenau Support (Mitarbeiter) EU/Deutschland DPA
Amazon Webservices EMEA SARL5 Rue Plaetis, L-2338 Luxembourg Hosting EU/Frankfurt DPA
Zendesk 989 Market St San Francisco CA 94103  Support EU/Frankfurt SCC + BCR