top of page
elvah Logo weiß

Vereinbarung über eine gemeinsame Verantwortlichkeit

– Datenverarbeitung im Rahmen des Flottenmanagements –

Zwischen 

elvah GmbH Oberescher Weg 7 53501 Grafschaft

– im Folgenden „Verantwortlicher A“ –

und

Partner

– im Folgenden „Verantwortlicher B“ –

Der Verantwortliche A und der Verantwortliche B werden im Folgenden auch einzeln als „Partei“ oder gemeinsam als die „Parteien“ bezeichnet.

§ 1 Vertragsgegenstand

(1) Zwischen den Parteien besteht ein Vertragsverhältnis („Hauptvertrag über die Nutzung des elvah Flottenmanagements“). Gegenstand des Vertrags ist die Bereitstellung und Nutzung der elvah Services als Flotten-Lösung („elvah Flottenmanagement“) im Flottenmanagement-Portal gemäß des Hauptvertrages. Die Parteien sind sich darüber einig, dass sie im Hinblick auf dieses Zusammenwirken gemeinsam über Zwecke und Mittel der Verarbeitung im Sinne des Art. 4 Nr. 7 der Datenschutz- Grundverordnung (im Folgenden: DSGVO) bestimmen und insoweit eine gemeinsame Verantwortlichkeit besteht. Die Parteien schließen diese Vereinbarung zwischen gemeinsam Verantwortlichen (im Folgenden „Vereinbarung“) nach Art. 26 DSGVO im Hinblick auf die Verarbeitung von personenbezogenen Daten der Flotten-Nutzer:innen im Zusammenhang mit dem elvah Flotten- Account. Dazu sind die Zwecke und die Mittel zu den nachstehend beschriebenen Verarbeitungsvorgängen (im Folgenden „Verarbeitungsvorgänge“) festgelegt und entsprechend einzuhalten.

(2) Zur Klarstellung wird festgehalten, dass hinsichtlich jeglicher Verarbeitungen, die außerhalb des Anwendungsbereichs dieser Vereinbarung fallen, jede der Parteien als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO allein verantwortlich und voll haftbar bleibt, und dass insoweit keinerlei Verantwortlichkeiten oder Verpflichtungen einer Partei gegenüber der jeweils anderen Partei bestehen. Darunter fallen insbesondere die Sicherstellung von ausreichenden Rechtsgrundlagen durch den Verantwortlichen B in Bezug auf die Verarbeitung der Daten seiner Beschäftigten im elvah Flotten- Account. Zudem ist der Verantwortliche B eigenverantwortlich für die Erfüllung etwaiger handels- oder steuerrechtlicher Aufbewahrungspflichten im Zusammenhang mit Daten im Flotten-Account verantwortlich. Falls der Verantwortliche B personenbezogene Daten (Rechnungsdaten) aus dem Flotten-Account oder elvah Reportings für die Erfüllung eigener handels- oder steuerrechtlicher Pflichten benötigt, hat er eigenverantwortlich dafür Sorge zu tragen, diese Daten in regelmäßigen Abständen, mindestens aber einmal im Jahr, außerhalb des Flotten-Accounts zu sichern und damit verbunden aus dem Flottenmanagement-Portal herunterzuladen. Sofern der Verantwortliche B für die Erfüllung eigener Pflichten Zugriff auf Daten benötigt, die von der bestehenden Exportfunktion nicht erfasst sind, so hat er dies dem Verantwortlichen A begründet darzulegen und aktiv den Zugriff anzufordern.

(3) Die vorliegende Vereinbarung enthält die wechselseitigen Verantwortlichkeiten und Verpflichtungen der Parteien hinsichtlich der Verarbeitungsvorgänge. Sollten die Bestimmungen dieser Vereinbarung zu denen des Hauptvertrags in Widerspruch stehen, gehen die der Vereinbarung vor, wenn und soweit die Verantwortlichkeiten und Verpflichtungen der Parteien hinsichtlich der Verarbeitungsvorgänge betroffen sind. Unbeschadet dessen sind die Parteien darüber einig, dass keine der Parteien für die Erfüllung ihrer Verantwortlichkeiten im Rahmen dieser Vereinbarung eine Vergütung verlangen kann, sondern dass derlei Ansprüche vollständig von den Vergütungsvereinbarungen unter dem Hauptvertrag abgedeckt werden.

(4) Soweit in dieser Vereinbarung nichts Abweichendes bestimmt ist, haben die hierin verwendeten Begriffe die Bedeutung, die ihnen in Art. 4 DSGVO zugeschrieben wird.

§ 2 Grundsätze für die Verarbeitung und Einzelheiten der Verarbeitungsvorgänge

(1) Die Parteien sichern einander zu und gewährleisten, dass sämtliche personenbezogenen Daten in Übereinstimmung mit den Bestimmungen dieser Vereinbarung und der anwendbaren Datenschutzgesetze erhoben und weiter verarbeitet werden, insbesondere aber nicht ausschließlich im Einklang mit den in Art. 5 DSGVO niedergelegten Grundsätzen für die Verarbeitung personenbezogener Daten.

Insbesondere haben sich auch die Mitarbeiter:innen beider Parteien, die Zugang zu personenbezogenen Daten haben, einer Verpflichtung zur Vertraulichkeit unterworfen oder unterliegen einer gesetzlichen Geheimhaltungspflicht. Sie dürfen personenbezogene Daten nur nach Weisung der anstellenden Partei verarbeiten, wenn nicht eine anderweitige gesetzliche Verpflichtung zur Verarbeitung besteht und sie werden regelmäßig, zumindest aber einmal im Jahr, im Hinblick auf die Verpflichtungen der Parteien unter der vorliegenden Vereinbarung, den Datenschutzgesetzen und insbesondere der DSGVO geschult.

Sollte eine der Parteien der Ansicht sein, dass die jeweils andere Partei im Rahmen der Ausführung der vorliegenden Vereinbarung, deren Bestimmungen oder die anwendbaren Datenschutzgesetze verletzt, wird sie diese andere Partei unverzüglich darüber in Kenntnis setzen.

(2) Im Rahmen der Verarbeitungsvorgänge werden die Parteien sämtliche personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format verarbeiten.

(3) Keine der Parteien wird Kopien oder Duplikate der unter dieser Vereinbarung verarbeiteten personenbezogenen Daten anfertigen, wenn dies nicht für die Verarbeitungsvorgänge (einschließlich Daten-Backups) oder zwecks Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist.

(4) Die Einzelheiten der Verarbeitungsvorgänge sind in Anlage A dargestellt. Diese Einzelheiten enthalten eine umfassende Darstellung von Art, Zweck und Gegenstand der Verarbeitungsvorgänge, die Kategorien der von den Verarbeitungsvorgängen betroffenen Personen und der Art der verarbeiteten personenbezogenen Daten. Zusätzlich werden die Parteien in Anlage A jeden Schritt der Verarbeitungsvorgänge beschreiben und dabei festhalten, welche der Parteien für welchen dieser Schritte verantwortlich zeichnet.

(5) Wenn dies wegen einer Veränderung der Verarbeitungsvorgänge selbst und/oder aufgrund einer Änderung oder Ergänzung des Hauptvertrags erforderlich wird, werden die Parteien die Festlegungen in Anlage A entsprechend anpassen. Angesichts der Verpflichtungen der Parteien als gemeinsam für die Verarbeitung Verantwortliche, ist jede der Parteien dafür verantwortlich, die jeweils andere Partei darüber zu unterrichten, wenn sie eine Anpassung der Festlegungen in Anlage A für notwendig erachtet. Unbeschadet dessen wird jede der Parteien regelmäßig, zumindest aber einmal jährlich, prüfen, ob die Festlegungen in Anlage A die dann aktuellen Verarbeitungsvorgänge widerspiegeln.

(6) Die Parteien weisen hiermit dem Verantwortlichen A die Befugnis zu, Entscheidungen hinsichtlich der Verarbeitungsvorgänge mit Wirkung für alle gemeinsam für die Verarbeitung Verantwortlichen umzusetzen. Hierdurch wird der Verantwortliche A für alle Parteien im Hinblick auf die Verarbeitungsvorgänge zur Hauptniederlassung in der Europäischen Union. Danach ist die federführende Aufsichtsbehörde hinsichtlich der Verarbeitungsvorgänge die folgende Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Postfach 30 40, 55020 Mainz, poststelle(at)datenschutz.rlp.de.

(7) Bei einem Verstoß gegen die Regelungen im Hauptvertrag sowie der in der Vereinbarung getroffenen Regelungen behält sich der Verantwortliche A das Recht vor, den Zugang des Verantwortlichen B bzw. der Flotten-Nutzer:innen vorübergehend oder dauerhaft zu sperren. Im Falle der vorübergehenden bzw. dauerhaften Sperrung informiert der Verantwortliche A den Verantwortlichen B.

§ 3 Ort der Datenverarbeitung

(1) Die Parteien werden personenbezogene Daten ausschließlich an ihrem eigenen oder dem Sitz ihrer befugten Auftragsverarbeiter verarbeiten. Danach werden sämtliche Verarbeitungsvorgänge grundsätzlich in den Mitgliedsstaaten der Europäischen Union oder in einem anderen Staat ausgeführt, der Partei des Vertrags über den Europäischen Wirtschaftsraum ist.

(2) Jede Verarbeitung personenbezogener Daten außerhalb von EU/EWR ist unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig.

§ 4 Rechte der betroffenen Personen

(1) Die Parteien werden den betroffenen Personen die Informationen gemäß Art. 13, 14 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache mitteilen. In diesem Zusammenhang stimmen die Parteien darin überein, dass (a) die in Anlage B aufgenommenen Datenschutzhinweise den vorgenannten Anforderungen des Art. 12 Abs. 1 DSGVO entsprechen, (b) im Hinblick auf Art. 13 Abs. 4, 14 Abs. 5 Nr. 1 DSGVO keine weiteren Informationspflichten hinsichtlich der Verarbeitungsvorgänge bestehen (mit Ausnahme der Informationspflichten, die der Verantwortliche B eigenverantwortlich zu erfüllen hat), und (c) die Datenschutzhinweise das Wesentliche der Vereinbarung im Sinne des Art. 26 Abs. 2 DSGVO enthalten, das auf diese Weise den betroffenen Personen zur Verfügung gestellt wird. § 2 Abs. 5 gilt entsprechend.

(2) Die Parteien geben den Verantwortlichen B als Anlaufstelle für die betroffenen Personen an. Die Parteien sind sich dabei gleichwohl bewusst, dass die betroffenen Personen ungeachtet dessen ihre Rechte bei und gegenüber jeder der Parteien geltend machen können. Aus diesem Grunde hat der Verantwortliche A den Verantwortlichen B unverzüglich über jede Beschwerde, Mitteilung oder Anfrage zu unterrichten, die er direkt von einer betroffenen Person hinsichtlich dessen oder deren personenbezogener Daten erhält, ohne auf jene Anfrage zu antworten. Der Verantwortliche A wird (sofern erforderlich) die notwendige Mitwirkungshandlung im Hinblick auf jede Beschwerde, Mitteilung oder Anfrage einer betroffenen Person dem Verantwortlichen B gegenüber unterstützend erbringen.

(3) Der Verantwortliche B wird der betroffenen Person bestätigen, ob sie betreffende personenbezogene Daten im Rahmen der Verarbeitungsvorgänge verarbeitet werden. Soweit dies der

Fall ist, wird der Verantwortliche B der betroffenen Person die Informationen gemäß Art. 15 Abs. 1 DSGVO sowie eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, gemäß Art. 15 Abs. 3 DSGVO zur Verfügung stellen.

(4) Der Verantwortliche B wird mit der gebotenen Sorgfalt jede Anfrage einer betroffenen Person hinsichtlich (a) der Berichtigung ihrer vermeintlich unrichtigen personenbezogenen Daten, (b) der Löschung ihrer personenbezogenen Daten, (c) der Einschränkung der Verarbeitung ihrer personenbezogenen Daten oder (d) des Rechts dieser betroffenen Person auf Datenportabilität untersuchen. Nach Abschluss der Untersuchung wird der Verantwortliche B entscheiden, ob die Anfrage begründet ist oder nicht, und welche der Parteien oder ob beide Parteien verpflichtet ist bzw. sind, die personenbezogenen Daten zu berichtigen oder zu löschen, oder ihre Verarbeitung einzuschränken, oder der betroffenen Person das Recht auf Datenportabilität zu gewähren. Der Verantwortliche B wird den Verantwortlichen A entsprechend informieren.

(5) Wenn eine Anfrage betreffend die Löschung personenbezogener Daten begründet ist, oder nach Kündigung oder Auslaufen des Hauptvertrags werden die Parteien die betreffenden oder sämtliche personenbezogenen Daten löschen. Wenn die Datenschutzgesetze, denen eine Partei unterliegt, es dieser Partei verbieten, sämtliche oder Teile der personenbezogenen Daten zu löschen, muss diese Partei garantieren, dass (a) die Vertraulichkeit dieser personenbezogenen Daten gewahrt bleibt, (b) sie die personenbezogenen Daten nicht mehr aktiv verarbeitet und (c) sie diese personenbezogenen Daten löschen wird, sobald die gesetzliche Verpflichtung, die Daten nicht zu löschen, nicht mehr besteht.

§ 5 Verzeichnis von Verarbeitungstätigkeiten

Die Parteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO auf, insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer oder alleiniger Verantwortung.

§ 6 Ansprechpartner:innen

(1) Die Parteien haben zuständige Ansprechpartner als alleinige Ansprechpartner für sämtliche Kommunikation bezüglich der Verarbeitungsvorgänge bestimmt. Zurzeit sind die folgenden Personen bestimmt:

Der zuständiger Ansprechpartner für den Verantwortlichen A ist erreichbar unter:

datenschutz@elvah.de

Die Parteien werden einander sofort schriftlich über jeden Wechsel in der Person des zuständigen Ansprechpartners unterrichten und einen Ersatz benennen. Bis eine solche Mitteilung die jeweils andere Partei erreicht hat, bleiben die benannten Personen berechtigt, Nachrichten der jeweils anderen Partei entgegenzunehmen und an diese gerichtete Nachrichten gelten als ordnungsgemäß übermittelt.

(2) Jegliche Kommunikation zwischen den Parteien erfolgt grundsätzlich schriftlich oder zumindest in Textform durch die hierzu nach der vorliegenden Vereinbarung berechtigten Personen. Mündliche Mitteilungen werden unverzüglich schriftlich oder in Textform bestätigt.

§ 7 Technische und organisatorische Maßnahmen

(1) Der Verantwortliche A hat die in Anlage C genannten technischen und organisatorischen Maßnahmen umgesetzt. Hierbei handelt es sich um technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten. Der Verantwortliche B garantiert ebenfalls das Ergreifen von geeigneten technischen und organisatorischen Maßnahmen zwecks Gewährleistung der Datensicherheit. Dabei müssen der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden.

(2) Weil die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und technologischen Fortentwicklungen unterliegen, ist es den Parteien erlaubt, alternative und angemessene Maßnahmen umzusetzen, wenn hierdurch der Sicherheitsstandard der in Anlage C spezifizierten Maßnahmen nicht unterschritten wird.

(3) Unbeschadet dessen sind die Parteien zur Umsetzung weiterer Maßnahmen verpflichtet, wenn sich herausstellt, dass die ergriffenen spezifizierten Maßnahmen angesichts des technischen Fortschritts und technologischer Fortentwicklungen nicht länger angemessen im Sinne des obigen Absatzes 1 sind und/oder (b) ein Audit oder eine Untersuchung durch eine Aufsichtsbehörde ergeben hat, dass die getroffenen Maßnahmen unzureichend sind.

§ 8 Vorgehen bei Datenschutzverletzungen und Kommunikation mit Aufsichtsbehörden

(1) Für die Prüfung und Bearbeitung aller Verletzungen des Schutzes personenbezogener Daten, einschließlich der Erfüllung damit verbundener Meldepflichten gegenüber der zuständigen Datenschutzaufsichtsbehörde (Art. 33 DSGVO) und/ oder den betroffenen Personen (Art. 34 DSGVO) ist der Verantwortliche A zuständig.

(2) Der Verantwortliche B wird den Verantwortlichen A im Falle des Verdachts und/ oder Kenntnis von einem Datenschutzvorfall unverzüglich, spätestens innerhalb von 24 Stunden, nachdem er eine Verletzung des Schutzes personenbezogener Daten festgestellt hat, hierüber unterrichten. Diese Mitteilung muss die Informationen gemäß Art. 33 Abs. 3 DSGVO oder, wenn die mitteilende Partei nicht in der Lage ist, diese Informationen innerhalb der 24-Stunden-Frist zur Verfügung zu stellen, zumindest eine Erklärung enthalten zu (a) den Gründen für dieses Unvermögen, (b) dem zu erwartenden zusätzlichen Zeitraum bis zur Vervollständigung der Informationen und (c) soweit vorhanden, dem Einfluss dieses Unvermögens auf die ergriffenen Maßnahmen zur Abmilderung der nachteiligen Auswirkungen dieser Verletzung des Schutzes personenbezogener Daten. Sollte eine Partei wegen eines Risikos für die Rechte und Freiheiten natürlicher Personen gesetzlich dazu verpflichtet sein, Informationen bereitzustellen (insbesondere, aber nicht ausschließlich nach Art. 33, 34 DSGVO), hat die jeweils andere Partei die verpflichtete Partei nach besten Kräften bei der Erfüllung ihrer Informationspflichten zu unterstützen. Die rechtliche Einschätzung sowie Beurteilung zur Risikoabwägung von Datenschutzvorfällen (insbesondere Meldepflicht an die Datenschutzaufsichtsbehörde sowie Benachrichtigungspflicht der betroffenen Personen) fallen in den alleinigen Zuständigkeitsbereich des Verantwortlichen A.

(3) Wird einer der Parteien eine Verletzung des Datenschutzes bekannt oder tritt eine sicherheitsrelevante Störung des Datenverarbeitungsprozesses auf, sind die Parteien ungeachtet der Zuständigkeitsverteilung verpflichtet, innerhalb ihrer Organisation unverzüglich Maßnahmen zu ergreifen, die zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen erforderlich sind. Der Vorfall ist der jeweils anderen Partei unverzüglich zu melden.

(4) Ungeachtet der Zuständigkeitsverteilung dieser Vereinbarung werden die Parteien der jeweils anderen Partei unverzüglich anzeigen, wenn sich eine Datenschutzaufsichtsbehörde im Zusammenhang mit diesem Vertrag an sie wendet.

(5) Auf Anfrage werden die Parteien einander im Falle von Ermittlungen oder Anfragen einer Datenschutzaufsichtsbehörde unterstützen, wenn und soweit sich diese Ermittlung oder Anfrage auf die Verarbeitungsvorgänge bezieht. Die Parteien unternehmen die erforderlichen Schritte, um jegliche Verpflichtungen im Zusammenhang mit einer solchen Ermittlung oder Anfrage einzuhalten. Unabhängig von einer Unterstützungsanfrage wird der Verantwortliche B den Verantwortlichen A in jedem Falle über jegliche derartige Ermittlung oder Anfrage einer Datenschutzaufsichtsbehörde unterrichten.

(6) In Anbetracht der Art der Verarbeitungsvorgänge und unter Berücksichtigung der Bestimmungen des Art. 35 DSGVO stimmen die Parteien darin überein, dass eine Datenschutz-Folgenabschätzung nicht erforderlich ist. Unbeschadet dessen werden die Parteien miteinander kooperieren und sich im Rahmen einer dann notwendigen Datenschutz-Folgenabschätzung und/oder einer vorherigen Konsultation der Datenschutzaufsichtsbehörde, zu der die Parteien nach Art. 36 DSGVO im Hinblick auf eine solche Datenschutz-Folgenabschätzung gesetzlich verpflichtet sind, unterstützen, wenn künftige Änderungen der Verarbeitungsvorgänge aufzeigen, dass die Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

§ 9 Weitere Verantwortliche; Einschaltung von Auftragsverarbeitern

(1) Die Parteien erkennen an, dass keinen weiteren Verantwortlichen durch Beitritt zu dieser Vereinbarung Zugriff auf die bis zu diesem Zeitpunkt als Teil der Verarbeitungsvorgänge verarbeiteten personenbezogenen Daten gewährt werden darf. Die Parteien sind weiter darüber einig, dass, sofern sie einen weiteren Verantwortlichen in künftige Verarbeitungsvorgänge einbeziehen wollten, dies (a) eine Ergänzungsvereinbarung sowohl zum Hauptvertrag als auch zu dieser Vereinbarung, (b) eine sorgfältige Durchführung des in § 2 Abs. 5 niedergelegten Prozesses und (c) eine aktualisierte Information an die betroffenen Personen im Sinne des § 4 Abs. 1 erforderlich machen würde.

(2) Der Verantwortliche A setzt Auftragsverarbeiter ein. Die vom Verantwortlichen A aktuell

eingesetzten Auftragsverarbeiter sind

https://www.flotte.elvah.de/auftragsverarbeiter.

zu finden unter folgendem Link: https://www.flotte.elvah.de/auftragsverarbeiter.

(3) Setzt eine Partei einen Auftragsverarbeiter ein, so muss sie diesem die Verpflichtungen zu Datenschutz, Vertraulichkeit und Datensicherheit auferlegen, die (a) den Anforderungen der Art. 28, 29 DSGVO genügen und (b) zumindest so streng ausfallen wie die in dieser Vereinbarung niedergelegten Pflichten.

(4) Der Verantwortliche A informiert den Verantwortlichen B über die Aktualisierung der Liste zu den Auftragsverarbeitern, sofern der Verantwortliche B das Formular (https://www.flotte.elvah.de/auftragsverarbeiter) zur Benachrichtigungs-Aufforderung ausgefüllt an den Verantwortlichen A gesendet hat. Der Verantwortliche B verpflichtet sich, regelmäßig Einsicht in die Liste der eingesetzten Auftragsverarbeiter (https://www.flotte.elvah.de/auftragsverarbeiter) zu nehmen. Der Verantwortliche B stimmt dem Einsatz der aufgelisteten Auftragsverarbeiter zu. Der Verantwortliche B stimmt jeder Änderung der Auftragsverarbeiter (Ersetzen bestehender Auftragsverarbeiter mit neuen Auftragsverarbeitern sowie Einsatz weiterer Auftragsverarbeiter) im Rahmen einer allgemeinen Genehmigung zu. Dem Verantwortlichen B steht ein Einspruchsrecht bei der Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter zu. Sofern die Erbringung der Leistung aber ohne Einsatz der jeweiligen Auftragsverarbeiter dem Verantwortlichen A nicht zumutbar ist – etwa aufgrund von damit verbundenen unverhältnismäßigen Aufwendungen für den Verantwortlichen A – können die Parteien diese Vereinbarung sowie den Hauptvertrag mit einer Frist von einem Monat zum Monatsende kündigen.

(5) Die Parteien sind darüber einig, dass die Erbringer von Hilfsleistungen keine Auftragsverarbeiter im Sinne der Datenschutzgesetze sind; dies betrifft insbesondere Transportdienstleistungen von Post- oder Kurierdiensten, Geldtransportleistungen, Telekommunikationsleistungen, Sicherheitsdienste und Reinigungsleistungen. Unbeschadet dessen werden die Parteien mit solchen Dienstleistern übliche Vertraulichkeitsvereinbarungen abschließen.

§ 10 Auditrechte

(1) Jede Partei hat das Recht, die Einhaltung dieser Vereinbarung aufseiten der jeweils anderen Partei zu überprüfen, wenn dies erforderlich ist, um (a) einer Verpflichtung gegenüber einer Datenschutzaufsichtsbehörde ordnungsgemäß nachzukommen oder (b) sich selbst davon zu überzeugen unter den unten genannten Voraussetzungen, dass die jeweils andere Partei datenschutzkonform handelt.

(2) Der Verantwortliche A erfüllt die Mindest-Standards zu den technischen und organisatorischen Maßnahmen und handelt damit datenschutzkonform. Nur in nachweislich, schriftlich begründeten Fällen steht dem Verantwortlichen B eine Vor-Ort-Inspektion ohne unnötige Störungen des Betriebsablaufs zu. Die Partei, die eine Überprüfung durchführt, wird die jeweils andere Partei mit einer angemessenen Frist, spätestens zwei Monate vor der gewünschten Inspektion, über sämtliche mit der Überprüfung verbundenen Umstände unterrichten.

(3) Eine Partei darf nur einen fachkundigen Dritten oder den Datenschutzbeauftragten mit der Durchführung der Überprüfung beauftragen. In einem solchen Fall ist der fachkundige Prüfer schriftlich auf die strikte Wahrung von Geheimhaltung und Vertraulichkeit zu verpflichten.

(4) Die prüfende Partei trägt die Kosten des Audits und die Kosten des Mehraufwands, die der geprüften Partei durch das Audit entstehen.

§ 11 Haftung

(1) Die Parteien erkennen an, dass sie beide hinsichtlich der Verarbeitungsvorgänge gegenüber betroffenen Personen nach Art. 82 Abs. 2 - 4 DSGVO haftbar sind.

(2) Hat eine Partei gemäß Art. 82 Abs. 4 DSGVO einer betroffenen Person vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist diese Partei berechtigt, von der jeweils anderen Partei den Teil des Schadenersatzes zurückzufordern, der dem Anteil dieser anderen Partei an der Verantwortung für den Schaden entspricht.

(3) Abs. 2 findet entsprechende Anwendung für den Fall, dass eine Datenschutzaufsichtsbehörde ein Bußgeld gegen eine Partei verhängt hat, wenn und soweit der Verstoß, der Anlass für das Bußgeld gegeben hat, ganz oder teilweise auf einen Verstoß der jeweils anderen Partei gegen die vorliegende Vereinbarung oder die anwendbaren Datenschutzgesetze beruht. Unbeschadet dessen kann eine Partei nur dann Entschädigung für ein Bußgeld verlangen, wenn sie alle angemessenen Anstrengungen unternommen hat, dieses Bußgeld im Rahmen der verwaltungsrechtlichen Verfahren abzuwehren oder zu reduzieren.

(4) Des Weiteren gelten die im Hauptvertrag vereinbarten Haftungsregelungen und es gilt insbesondere 10.3 der Nutzungsbedingungen des elvah Flottenmanagements.

§ 12 Sonstige Bestimmungen

(1) Die vorliegende Vereinbarung unterliegt demselben Recht wie der Hauptvertrag, und für sämtliche Streitigkeiten aus und im Zusammenhang mit dieser Vereinbarung sind ausschließlich diejenigen Gerichte zuständig, auf welche sich die Parteien im Hauptvertrag verständigt haben.

(2) Änderungen oder Ergänzungen der vorliegenden Vereinbarung sind nur wirksam, wenn sie schriftlich abgefasst wurden.

(3) Wenn eine Bestimmung dieser Vereinbarung von dem zuständigen Gericht für unwirksam oder nicht durchsetzbar erklärt wird, bleiben die übrigen Bestimmungen uneingeschränkt wirksam.

(4) Diese Vereinbarung tritt mit Unterschrift des Hauptvertrags in Kraft. Sie gilt, ungeachtet des Endes der Vertragslaufzeit des Hauptvertrags solange bis sämtliche personenbezogenen Daten von den Parteien und/oder sämtlichen eingesetzten Auftragsverarbeitern gelöscht worden sind und tritt sodann automatisch außer Kraft.

Anlagen:

Anlage A Verarbeitungsvorgänge
Anlage B Datenschutzhinweise
Anlage C Technische und organisatorische Maßnahmen

Anlage A

I. Kategorien der personenbezogenen Daten

Folgende Datenarten sind Gegenstand der Verarbeitung:

Informationen des Verantwortlichen B:

  • Firmendaten (Firmenname, Anschrift)

  • Vertragsdaten (Vertragsdetails, Leistungen, Kundennummer)

  • Vertragsabrechnungsdaten und Zahlungsinformationen (Rechnungsdetails, Bankverbindung,

    Kreditkarteninformationen)

    Informationen der Floten-Nutzer:innen: • E-Mail-Adresse

  • elvah-Reporting (Aufzeichnung über den elvah Floten-Account durch Ladevorgänge verbrauchten kWh und

    etwaige Standzeitüberschreitungen an den Ladesäulen)

  • Leistungsdaten (Ladevorgänge, Standorte, Ladesäule und Ladesession)

  • Personenstammdaten (Name, Anrede, Titel/akademischer Grad, Geburtsdatum)

  • Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift)

  • Standortzugriff über die GPS-Funktion

  • Feedback zu einzelnen Ladestationen (insbesondere Fotos, Texte, beschreibende Merkmale der Station

    und Umgebung sowie Angaben zum korrekten Standort)

    II. Zwecke der Datenverarbeitung

    • Zwecks Vertragserfüllung und Leistungserbringung

    • Zu Abrechnungszwecken

      Informationen der Flotten-Nutzerinnen

    • Zwecks Bearbeitung der Anmeldung und Registrierung zur Nutzung der elvah Services

      (Flottenmanagement).

    • Verwaltung der Nutzungsdaten, wie Ladevorgänge, Standorte, Ladesession zu Abrechnungszwecken.

    • Technische Betreuung des Portals (Kundensupport) im Rahmen der Nutzung des Flotenmanagements.

    • Für die volle Funktionsfähigkeit des elvah Ladedienstes müssen die Floten-Nutzer:innen in der elvah App

      einen Standortzugriff über die GPS-Funktion ihres Endgeräts zulassen. Ohne Standortzugriff kann eine Funktionsfähigkeit der Karten nicht gewährleistet werden, zudem ist elvah ohne Standortzugriff nicht in der Lage bzw. verpflichtet, Ladevorgänge über die elvah App abzuwickeln.

    • Bei Nutzung der elvah App haben Floten-Nutzer:innen die Möglichkeit, Feedback zu einzelnen Ladestationen zu geben, das elvah und ggf. in anonymisierter Form auch den anderen Nutzern zur Verfügung gestellt wird. Das Feedback dient dazu, Informationen in Bezug auf Ladestationen zu verbessern bzw. zu korrigieren.

      III. Kreis der betroffenen Person

      Kreis der von der Datenverarbeitung betroffenen Personen:

• Floten-Nutzer:innen der elvah Services (Mitarbeiter:innen)

III. Verarbeitungsvorgänge und Zuständigkeiten

Verarbeitungsvorgang

- Erfüllung bzw. Wahrnehmung der datenschutzrechtlichen Vorgaben nach der DSGVO

Verantwortlichkeit/ Zuständigkeit

Wahrnehmung der Betroffenenrechte

Vornahme von Löschungen

Bearbeitung von Datenschutzvorfällen

Erfüllung der Informationspflichten

Führen eines Verzeichnisses von Verarbeitungstätigkeiten

Durchführung von Datenschutz- Folgenabschätzungen

Verantwortlicher (B)

Verantwortlicher (A)

Verantwortlicher (A); mit Unterstützung des Verantwortlichen (B)

Verantwortlicher (B) mit unterstützender Vorlage von Verantwortlichem (A)

Verantwortlicher (A) und Verantwortlicher (B)

Verantwortlicher (A) und Verantwortlicher (B)

Anlage B

Datenschutzhinweise zu der Verarbeitung 
Ihrer Daten im Zusammenhang mit dem elvah-Flottenmanagement

In diesen Datenschutzhinweisen möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Da- ten im Zusammenhang sowie bei Nutzung des Flottenmanagements informieren und kommen hiermit unseren Informationspflichten nach Art. 13, 14 der Datenschutz-Grundverordnung (im Folgenden: DSGVO) nach.

elvah Gmbh („elvah“ oder „wir/ uns“) bietet diverse technische Dienstleistungen rund um das Thema Elektromobilität an („elvah Services“). Zu den elvah Services gehört insbesondere die Möglichkeit, über eine Anwendung für mobile Endgeräte („elvah App“) die dort angezeigten Elektroauto-Ladestationen ohne zusätzliche Anmeldung beim jeweiligen Ladeinfrastrukturbetreiber zum bargeldlosen Laden von einem Elektroauto zu nutzen („elvah Ladedienst“).

Über das elvah Flottenmanagement können Kunden von elvah („elvah-Vertragspartner“) einer von ihnen definierten Gruppe von Personen („Flotten-Nutzer:innen“) Zugang zu den elvah Services zentral ermöglichen. Der elvah-Vertragspartner kann bestimmten Personen Admin-Zugang zum Flottenma- nagement gewähren („Flottenadmin“).

I. Verantwortlicher und Datenschutzbeauftragter


1. Verantwortlicher im Sinne der DSGVO:


Verantwortlich für die Datenverarbeitung im Rahmen der Nutzung des Flottenmanagements ist

elvah GmbH

Oberescher Weg 7

53501 Grafschaft

Telefon: +49 2641 8939580

Fax: +49 2641 8939589

E-Mail: info@elvah.de

Der elvah-Vertragspartner ist gemeinsam Verantwortlicher mit elvah und es wurde ein entsprechen- der Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zwischen dem elvah-Vertrags- partner und elvah abgeschlossen. Sofern der elvah-Vertragspartner auch weitere Daten der Flotten- Nutzer:innen für eigene Zwecke eigenverantwortlich verarbeitet, so finden sich die Informationen in separaten Datenschutzhinweisen, die von dem elvah-Vertragspartner zur Verfügung gestellt werden. elvah übernimmt für die weitere Datenverarbeitung durch den elvah-Vertragspartner keine Verant- wortung.

2. Datenschutzbeauftragter:

Den Datenschutzbeauftragten von elvah erreichen Sie unter der E-Mail-Adresse datenschutz@el- vah.de. Wir weisen ausdrücklich darauf hin, dass bei Nutzung dieser E-Mail-Adresse die Inhalte nicht ausschließlich von unserem Datenschutzbeauftragten zur Kenntnis genommen werden. Wenn Sie vertrauliche Informationen austauschen möchten, sollten Sie daher zunächst über diese E-Mail-Ad- resse um direkte Kontaktaufnahme mit dem Datenschutzbeauftragten bitten.

Daneben können Sie sich auch an den Datenschutzbeauftragten des elvah-Vertragspartners wenden. Weitere Informationen zu Ihren Betroffenenrechten finden Sie unter Abschnitt IV.

II. Art, Umfang und Zwecke der Datenverarbeitung, Rechtsgrundlagen und Speicherdauer

Im Folgenden möchten wir Ihnen Informationen darüber geben, welche Daten wir zu welchen Zwecken, auf welchen Rechtsgrundlagen verarbeiten und wie lange diese Daten gespeichert werden.

1. Datenverarbeitung im Rahmen der Nutzung des Flottenmanagements

 

a. Kategorien der personenbezogenen Daten
 

Folgende Datenarten sind Gegenstand der Verarbeitung:

Informationen des Kunden:

  • —  Firmendaten (Firmenname, Anschrift)

  • —  Vertragsdaten (Vertragsdetails, Leistungen, Kundennummer)

  • —  Vertragsabrechnungsdaten und Zahlungsinformationen (Rechnungsdetails, Bankverbindung,

    Kreditkarteninformationen)

Informationen der Flote-Nutzer:innen:

  • —  E-Mail-Adresse

  • —  elvah-Reporting (Aufzeichnung über den elvah Floten-Account durch Ladevorgänge

    verbrauchten kWh und etwaige Standzeitüberschreitungen an den Ladesäulen)

  • —  Leistungsdaten (Ladevorgänge, Standorte, Ladesäule und Ladesession)

  • —  Personenstammdaten (Name, Anrede, Titel/akademischer Grad, Geburtsdatum)

  • —  Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift)

  • —  Standortzugriff über die GPS-Funktion

  • —  Feedback zu einzelnen Ladestationen (insbesondere Fotos, Texte, beschreibende Merkmale der

    Station und Umgebung sowie Angaben zum korrekten Standort)

b. Zwecke der Datenverarbeitung

  • —  Zwecks Vertragserfüllung und Leistungserbringung

  • —  Zu Abrechnungszwecken

  • Informationen der Flotte-Nutzerinnen

  • —  Zwecks Bearbeitung der Anmeldung und Registrierung zur Nutzung der elvah Services (elvah- Flot-

    tenmanagement).

  • —  Verwaltung der Nutzungsdaten, wie Ladevorgänge, Standorte, Ladesession zu Abrechnungszwe-

    cken.

  • —  Technische Betreuung des Portals (Kundensupport) im Rahmen der Nutzung des Flotenmanage-

    ments.

  • —  Für die volle Funktionsfähigkeit des elvah Ladedienstes müssen die Floten-Nutzer:innen in der elvah App einen Standortzugriff über die GPS-Funktion ihres Endgeräts zulassen. Ohne Standort- zugriff kann eine Funktionsfähigkeit der Karten nicht gewährleistet werden, zudem ist elvah ohne Standortzugriff nicht in der Lage bzw. verpflichtet, Ladevorgänge über die elvah App abzuwickeln.

  • —  Bei Nutzung der elvah App haben Floten-Nutzer:innen die Möglichkeit, Feedback zu einzelnen Ladestationen zu geben, das elvah und ggf. in anonymisierter Form auch den anderen Nutzer:in- nen zur Verfügung gestellt wird. Das Feedback dient dazu, Informationen in Bezug auf Ladestatio- nen zu verbessern bzw. zu korrigieren.

  • c. Rechtsgrundlagen für die Verarbeitungen:

  • —  Die Verarbeitung der firmenbezogenen Daten wie Kontaktdaten des elvah-Vertragspartners, Ver- tragsdaten, Abrechnungsdaten und Zahlungsinformationen sowie Informationen zu den Flotten- Nutzer:innen (mit Ausnahme der GPS-Daten, des Feedbacks) erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Erfüllung des mit dem Kunden geschlossenen (Haupt-) Vertrages.

  • —  Des Weiteren erfolgt die Verarbeitung der oben genannten Daten der Flotten-Nutzer:innen zum Zwecke der Nutzung des elvah-Flottenmanagements sowie die Verarbeitung der Informationen zu den mit dem Produkt verknüpften Fahrzeugen zum Zwecke der Abrechnung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO.

  • —  Die Weitergabe der Personenstammdaten und Kontaktdaten der Flotten-Nutzer:innen des Pro- dukts an uns erfolgt nur, sofern der elvah-Vertragspartner die für die Weitergabe dieser Daten erforderliche Einwilligung der jeweiligen Flotten-Nutzer:in eingeholt hat. In diesem Fall erfolgt die Datenverarbeitung auf Grundlage der erteilten Einwilligung, die jederzeit mit Wirkung für die Zu- kunft widerrufbar ist.

  • —  Der Standort wird nur mit elvah geteilt, sofern die Flotten-Nutzer:innen ihre Einwilligung erteilt haben. Die Datenverarbeitung im Zusammenhang mit dem Standortzugriff erfolgt mithin auf Grundlage Ihrer erteilten Einwilligung, die jederzeit mit Wirkung für die Zukunft widerrufbar ist.

  • —  Sofern die Flotten-Nutzer:innen ein Feedback abgeben, so erfolgt die damit verbundene Daten- verarbeitung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f DSGVO), das darin liegt, Informationen in Bezug auf Ladestationen zu verbessern bzw. zu korrigieren.

d. Speicherdauer:

  • Wir speichern Ihre personenbezogenen Daten bis die Zwecke der Verarbeitung erreicht sind und keine ge- setzlichen Aufbewahrungsfristen entgegenstehen. So speichern wir im Falle von gesetzlichen Aufbewah- rungsfristen nach § 257 des Handelsgesetzbuches und § 147 der Abgabeordnung Ihre Daten (empfangene Handelsbriefe) für sechs und Buchungsbelege für zehn Jahre. Diese gesetzlich vorgeschriebene Aufbewah- rung der Unterlagen dient der Dokumentation, um z. B. steuerliche Nachprüfungen und Kontrollen zu er- möglichen.

  • Im Falle der Geltendmachung von Betroffenenrechten speichern wir Ihre Daten zu Nachweiszwecken auf Grundlage unseres berechtigten Interesses (Nachweisbarkeit der Erfüllung der Betroffenenrechte)

  • 2. Datenverarbeitung im Rahmen des Kundensupports bei Nutzung des Flottenmanagements

  • Im Rahmen des zur Verfügung gestellten technischen Kundensupports verarbeiten wir Ihre personen- bezogenen Daten, wie firmenbezogene Daten, Kontaktdaten des Anfragenden zum Zwecke der Be- antwortung Ihres Anliegens sowie zur Bereitstellung der technischen Funktionalität.

  • Rechtsgrundlage für die Verarbeitung: Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Datenverarbeitung dient unserem berechtigten Interesse an der Beantwortung Ihres Anliegens.

  • Dauer der Speicherung: Die Daten werden nach abschließender Bearbeitung Ihres Anliegens gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

  • III. Kategorien von Empfänger:innen

  • Wir geben Ihre Daten nur dann an Empfänger:innen weiter, wenn Sie dazu Ihre Einwilligung erteilt haben oder eine (gesetzliche) Rechtsgrundlage vorliegt.
    Wir geben Ihre Daten an folgende EmpfängerInnen weiter: https://www.flotte.elvah.de/Auftragsver- arbeiter.

  • Dabei setzen wir Dienstleister ein, die teilweise in sogenannten Drittländern (außerhalb der Europäi- schen Union bzw. des Europäischen Wirtschaftsraums) sitzen oder dort personenbezogene Daten ver- arbeiten, also Ländern, deren Datenschutzniveau nicht dem der Europäischen Union entspricht. Soweit dies der Fall ist und die Europäische Kommission für diese Länder keinen Angemessenheitsbeschluss (Art. 45 DSGVO) erlassen hat und/ oder einen Angemessenheitsbeschluss für ungültig erklärt hat (wiez. B. für die USA), haben wir entsprechende Vorkehrungen getroffen, um ein angemessenes Daten- schutzniveau für etwaige Datenübertragungen zu gewährleisten. Hierzu zählen u.a. die Standardver- tragsklauseln der Europäischen Union, die auf Anfrage in Kopie vorgelegt werden können.

  • Wo dies nicht möglich ist, stützen wir die Datenübermittlung auf Ausnahmen des Art. 49 DSGVO, ins- besondere die Erforderlichkeit der Übermittlung zur Vertragserfüllung oder zur Durchführung vorver- traglicher Maßnahmen.
    Sofern eine Drittstaatenübermittlung vorgesehen ist und kein Angemessenheitsbeschluss oder geeig- nete Garantien vorliegen, ist es möglich und besteht das Risiko, dass Behörden im jeweiligen Drittland (z. B. Geheimdienste) Zugriff auf die übermittelten Daten erlangen können, um diese zu erfassen und zu analysieren, und dass eine Durchsetzbarkeit Ihrer Betroffenenrechte nicht gewährleistet werden kann.

V. Ihre Betroffenenrechte

Ihnen stehen in Bezug auf die Datenverarbeitung – bei Vorliegen der jeweiligen Voraussetzungen – insbesondere folgende Rechte zu:

  • —  Recht auf Auskunft, welche Daten wir über Sie verarbeiten (Art. 15 DSGVO);

  • —  Recht auf Berichtigung Ihrer Daten (Art. 16 DSGVO);

  • —  Recht auf Löschung (Art. 17 DSGVO);

  • —  Recht auf Einschränkung der Verarbeitung Ihrer Daten (Art. 18 DSGVO);

— Recht auf Datenübertragbarkeit (Art. 20 DSGVO);

Im Falle der Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Inte- resse) steht Ihnen ein jederzeitiges Widerspruchsrecht mit Wirkung für die Zukunft unter den Vo- raussetzungen von Art. 21 DSGVO zu.

Im Falle der Datenverarbeitung auf Grundlage einer Einwilligung steht Ihnen ein jederzeitiges Wi- derrufsrecht zu, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf er- folgten Verarbeitung berührt wird.

Um Ihre hier beschriebenen Rechte geltenden zu machen, können Sie sich jederzeit an den elvah-Ver- tragspartner (als ersten Ansprechpartner) wenden sowie an die oben genannten Kontaktdaten. Sie haben auch das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für elvah ist die folgende Datenschutzaufsichtsbehörde zuständig:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Post- fach 30 40, 55020 Mainz, poststelle@datenschutz.rlp.de.

Anlage C

I

Technische und organisatorische Maßnahme

 

Maßnahmen zur Verschlüsselung:

Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:

  • Verschlüsselung der Daten im Ruhezustand (AES 256)

  • Verschlüsselung der Daten während des Datentransfers (TLS 1.2)

Maßnahmen zur Sicherung der Vertraulichkeit

Zutrittskontrolle:
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:

  • Einsatz von Überwachungssystemen zur Kontrolle der Aktivitäten an den Zugängen im öffentlichen Raum;

  • In den Rechenzentren müssen Besucher eine Geheimhaltungsvereinbarung unterzeichnen

  • Entzug der Zugangsberechtigung des Personals innerhalb von 12 Stunden nach der Kündigung

  • Der Zugang zu Sperrbereichen wird auf Mitarbeiter beschränkt, die zur Ausübung ihrer Tätigkeit

    Zugang zu diesen Bereichen benötigen

    Zugangskontrolle:
    Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können:

    • Login mit Benutzername und Passwort

    • Passwort-Richtlinie

    • Transportverschlüsselung bei Remote-Zugriffen

    • Firewalls (NACLs and Security Groups)

    • Das Netzwerk ist segmentiert (Aufteilung in DMZ)

    • Restriktive Konfiguration virtueller IT-Systeme

    • Administration der IT über sichere Protokolle (SSH)

      Zugriffskontrolle:
      Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

      • Einsatz von Berechtigungskonzepten (Regelungen zur Einrichtung, Einteilung von Benutzerkennungen, Benutzergruppen und Rechteprofilen)

      • Benutzerkennungen und Berechtigungen werden auf need-to-know Basis vergeben

      • Verarbeitung personenbezogener Daten entspricht dem Berechtigungskonzept

      • Benutzer und Benutzerkennungen dürfen nur über administrative Rollen eingerichtet und gelöscht

        werden

      • Passwörter der Mitarbeiter müssen einem Standard entsprechen; Einsatz von Multi-Faktor-

                       Authentifizierung

  • Deaktivierung, Löschung nicht benötigter Standardkonten (Gast, Standard-Admin-Konten)

  • Deaktivierung inaktiver, nicht mehr benötigter Benutzerkennungen

  • Eingeschränkter Zugriff von Betriebssystemen und Apps auf Daten / Schnittstellen (need-to-know)

  • Im Rahmen des Rechenzentrums erfolgt eine Protokollierung der Zugriffe der Mitarbeiter

    Trennungskontrolle:
    Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist:

• Getrennte Datenbanken

Maßnahmen zur Sicherung der Integrität:

Datenintegrität:
Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt, werden:

• Einspielen neuer Releases und Patches mit (Release-/Patchmanagement)

Übertragungskontrolle:
Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können:

• Transportverschlüsselung bei Remote-Zugriffen

Transportkontrolle:
Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:

• Transportverschlüsselung (TLS 1.2/https)

Eingabekontrolle:
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:

• Applikationsspezifischer Auditlog

Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit:

Rasche Wiederherstellbarkeit:
Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen:

  • Backup ist vorhanden

  • Schriftliches Backup & Recovery-Konzept

  • Regelmäßige Kontrolle auf korrekte Funktionsweise der Backuperstellung

    Zuverlässigkeit:
    Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:

  • Regelmäßige interne Risikobewertungen zur Aufdeckung von technischen Schwachstellen

  • Regelmäßig automatische Schwachstellenscans

  • Richtlinie zum Schwachstellenmanagement

  • Automatisches Monitoring mit automatischer Alarmierung und menschlicher Überprüfung

Maßnahmen zur regelmäßigen Evaluation:

Überprüfungsverfahren:
Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen:

  • Formalisierte Prozesse für Datenschutzvorfälle

  • Verpflichtung der Mitarbeiter zur Wahrung der Vertraulichkeit

  • Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung bzw. EU-

    Standardvertragsklauseln

  • Schriftliche Weisungen an den Auftragsverarbeiter

  • Formalisiertes Auftragsmanagement

Maßnahmen zur Auftragskontrolle:

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

  • Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung bzw. EU- Standardvertragsklauseln

  • Schriftliche Weisungen an den Auftragsverarbeiter

  • Verpflichtung des Auftragsverarbeiters zur Wahrung der Vertraulichkeit

  • Formalisiertes Auftragsmanagement

bottom of page