Auftragsverarbeitungsvertrag
Vereinbarung betreffend die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art 28 DSGVO
1. Auftragsverarbeitung
Das Firmenmitglied nutzt ÖAMTC Smart Connect in seinen Firmenfahrzeugen. In diesem Zusammenhang werden auch personenbezogene Daten der Mitarbeiter des Firmenmitglieds erhoben und an den ÖAMTC weiteregegeben. Der ÖAMTC verarbeitet die Nutzungsdaten im Rahmen von ÖAMTC Smart Connect im Auftrag des Firmenmitglieds.
Das Firmenmitglied ist Verantwortlicher (iSd Art 4 Z 7 DSGVO) und der ÖAMTC ist Auftragsverarbeiter (iSd Art 4 Z 8 DSGVO) betreffend die Datenverarbeitung im Rahmen der Nutzung von ÖAMCT Smart Connect bei den Firmenfahrzeugen des Firmenmitglieds. Diese Vereinbarung legt in Ergänzung zu den Nutzungsbedingungen - ÖAMTC Smart Connect die datenschutzrechtlichen Rahmenbedingungen für den Verantwortlichen und den Auftragsverarbeiter in diesem Zusammenhang fest.
2. Gegenstand der Datenverarbeitung
Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen die in der Datenschutzerklärung - ÖAMTC Smart Connect beschriebenen Daten zu den darin beschriebenen Zwecken.
Eine genaue Auflistung der verarbeiteten Daten finden Sie unter folgendem Link.
3. Ort der Durchführung der Datenverarbeitung
Die Datenverarbeitung erfolgt ausschließlich innerhalb der EU bzwdes EWR.
Der Connector überträgt die ermittelten Nutzungsdaten des Fahrzeugs über eine verschlüsselte Mobilfunkverbindung zum Telematikserver der DRVN Solutions Ltd., dem Softwarepartner des ÖAMTC. DRVN Solutions Ltd. hat keine Möglichkeit, aus den gespeicherten Nutzungsdaten einen Personenbezug herzustellen. Alle personenbezogenen Daten verbleiben beim ÖAMTC.
4. Rechte und Pflichten des VERANTWORTLICHEN
(1) Der Verantwortliche trägt die Verantwortung für die Sicherstellung, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO (siehe Artikel 24 DSGVO), den einschlägigen Datenschutzbestimmungen der Union oder Mitgliedstaaten und den Klauseln erfolgt.
(2) Der Verantwortliche hat das Recht und die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.
(3) Der Verantwortliche trägt ua die Verantwortung für die Sicherstellung, dass die Verarbeitung personenbezogener Daten, mit der der Auftragsverarbeiter beauftragt wird, auf einer rechtlichen Grundlage erfolgt.
(4) Der Verantwortliche hat das Recht dem Auftragsverarbeiter Weisungen über die Verarbeitung zu erteilen. Die erteilten Weisungen haben in dokumentierter Form zu erfolgen.
Die erteilten Weisungen müssen im Einklang mit den Datenschutzbestimmungen der Union oder der Mitgliedstaaten stehen.
(5) Der Verantwortliche ist berechtigt die Einhaltung der in diesem Vertrag bzw. in den einschlägigen Bestimmungen der DSGVO (insb. Art 28 DSGVO) niedergelegten Pflichten zu Überprüfen— einschließlich Inspektionen (Audits).
Dies schließt insbesondere das Recht mit ein, dass sich der Verantwortliche von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb durch Stichproben, die vom Verantwortlichen oder einem anderen von diesem beauftragten fachkundigen Prüfer durchgeführt werden, überzeugt.
5. Pflichten des Auftragsverarbeiters
(6) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich im Rahmen der schriftlichen Aufträge des ÖAMTC zu verarbeiten. Er hat den Verantwortlichen unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Verantwortlichen verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Verantwortlichen herauszugeben, so hat er – sofern gesetzlich zulässig – den Verantwortlichen unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen.
(7) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
(8) Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO gemäß Anlage./1 ergriffen hat.
(9) Der Auftragsverarbeiter ist nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen berechtigt, Sub-Auftragsverarbeiter heranzuziehen.
Nimmt der Auftragsverarbeiter gemäß dem vorherigen Absatz Sub-Auftragsverarbeiter in Anspruch so schließt er die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem/den Sub-Auftragsverarbeiter/n ab. Dabei ist sicherzustellen, dass der Sub- Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragsverarbeiter auf Grund dieser Vereinbarung obliegen. Kommt der Sub- Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
Beabsichtigte Änderungen von Sub-Auftragsverarbeitern sind dem Verantwortlichen rechtzeitig schriftlich bekannt zu geben, so dass er dies allenfalls untersagen bzw gegen Änderungen Einspruch erheben kann.
(10) Der Auftragsverarbeiter ist verpflichtet, angesichts der Art der Verarbeitung, den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, dass dieser seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person (Art 12 bis 23 DSGVO) innerhalb der gesetzlichen Frist jederzeit nachkommen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragsverarbeiter gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenverarbeitung hält, hat der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiterzuleiten und dies dem Antragsteller mitzuteilen.
(11) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
(12) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag bzw. in den einschlägigen Bestimmungen der DSGVO (insb. Art 28 DSGVO) niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten fachkundigen Prüfer durchgeführt werden, zu ermöglichen bzw. dazu beizutragen. Dies schließt insbesondere das Recht mit ein, dass sich der Verantwortliche von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb durch Stichproben überzeugt.
(13) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, falls er der Ansicht ist, dass eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
(14) Der Auftragsverarbeiter verpflichtet sich, nach Beendigung des Auftrages alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Verantwortlichen zu übergeben bzw in dessen Auftrag zu vernichten, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Wenn der Auftragsverarbeiter die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Verantwortlichen in dem Format, in dem er die Daten vom Verantwortlichen erhalten hat oder in einem anderen, gängigen Format herauszugeben.
(15) Der Auftragsverarbeiter stellt sicher, dass Art 29 und 30 DSGVO eingehalten werden.
(16) Unbeschadet der Artikel 82, 83 und 84 DSGVO gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.
(17) Wird der Verantwortliche von einem Dritten/Betroffenen aufgrund unrechtmäßiger Verarbeitungstätigkeiten beim Auftragsverarbeiter und/oder wegen Verletzung obiger Pflichten in Anspruch genommen, so hat der Auftragsverarbeiter den Verantwortlichen für Schäden, die dadurch entstanden sind, gemäß Art 82 DSGVO schad- und klaglos zu halten.
Anlage ./1: Technische und organisatorische Datensicherheitsmaßnahmen
Vertraulichkeit:
- Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen;
- Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
- Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten;
- Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.
- Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).
Integrität:
- Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
- Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
Verfügbarkeit und Belastbarkeit:
- Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern;
- Rasche Wiederherstellbarkeit;
- Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, udgl.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen;
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen;
- Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des VERANTWORTLICHEN, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.