Vereinbarung über die Auftragsverarbeitung (AVV)
gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)
§ 1 Gegenstand und Dauer des Auftrags
(1) Diese Vereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher). Sie findet Anwendung auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Dritte mit personenbezogenen Daten des Verantwortlichen in Berührung kommen können.
(2) Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages über die Nutzung der Software "BusWay". Sie endet automatisch mit Beendigung des Hauptvertrages, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen eine Software-as-a-Service (SaaS) Plattform zur Verfügung. Die Verarbeitung umfasst die Erhebung, Speicherung, Auswertung und Bereitstellung von Daten zur Unterstützung von betrieblichen Abläufen.
(2) Zweck der Verarbeitung ist die digitale Linieneinweisung, Navigation von Fahrpersonal, Verwaltung von Routeninformationen sowie die technische Sicherstellung des Betriebs der Software.
§ 3 Art der Daten und Kreis der Betroffenen
(1) Kategorien betroffener Personen: Beschäftigte des Kunden (Fahrer, Disponenten, Administratoren).
(2) Art der verarbeiteten personenbezogenen Daten:
- Identifikationsdaten (Benutzername, E-Mail-Adresse, Vor- und Nachname).
- Standort- und Bewegungsdaten (GPS-Koordinaten während der aktiven Nutzung der App, Routenverläufe).
- Geräte-Metadaten (IP-Adresse, Geräte-ID, Betriebssystem-Version, App-Version).
- Nutzungsdaten (Zeitstempel der Logins, erstellte oder befahrene Routen, Synchronisations-Logs).
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen, sofern er nicht durch gesetzliche Vorschriften zu einer anderen Verarbeitung verpflichtet ist.
(2) Der Auftragsverarbeiter gewährleistet, dass sich alle Personen, die mit der Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (z.B. Meldung von Verletzungen des Schutzes personenbezogener Daten) nach besten Kräften.
§ 5 Pflichten des Verantwortlichen
(1) Der Verantwortliche trägt die alleinige Verantwortung für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen (z.B. Information der Mitarbeiter über die GPS-Ortung).
(2) Der Verantwortliche erteilt seine Weisungen in der Regel durch die Nutzung der Softwarefunktionen (z.B. Anlegen oder Löschen von Nutzern). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform (E-Mail) zu bestätigen.
§ 6 Technisch-organisatorische Maßnahmen (TOM)
(1) Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen ergriffen, um die Daten vor unbefugtem Zugriff, Verlust oder Veränderung zu schützen.
- Vertraulichkeit: Verschlüsselung der Datenübertragung (SSL/TLS), Passwortschutz (Hashing), Zugriffskontrollen.
- Integrität: Eingabekontrolle, Protokollierung von Systemzugriffen, Trennung von Mandantendaten (logische Trennung).
- Verfügbarkeit: Regelmäßige Backups, redundante Server-Infrastruktur, Notfallpläne (Disaster Recovery).
- Belastbarkeit: Einsatz skalierbarer Cloud-Infrastrukturen und regelmäßige Überprüfung der Systemsicherheit.
§ 7 Unterauftragsverhältnisse
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Sub-Unternehmer) zur Erfüllung der vertraglichen Pflichten hinzuzuziehen.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von weiteren Auftragsverarbeitern. Dem Verantwortlichen steht ein Einspruchsrecht zu.
(3) Die aktuell eingesetzten Sub-Unternehmer sind in der Anlage zu diesem Vertrag aufgeführt.
§ 8 Kontrollrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften und der Regelungen dieses Vertrages beim Auftragsverarbeiter in angemessenem Umfang zu überprüfen. Da es sich um eine SaaS-Lösung handelt, kann der Nachweis vorrangig durch Zertifikate oder Testate unabhängiger Dritter erbracht werden.
§ 9 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.
§ 10 Schlussbestimmungen
(1) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(2) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragsverarbeiters.
Der Auftragsverarbeiter nutzt folgende Dienstleister zur Erfüllung seiner Leistung:
| Dienstleistung | Dienstleister | Server-Standort |
|---|---|---|
| Hosting, Datenbank & Backend | Strato AG | Berlin / Karlsruhe, DE |
| Kartendaten & Geocoding | Google Cloud EMEA | Dublin, IE (EU) |
| Reseller / Merchant of Record | Paddle.com Market Ltd | London, UK (Adäquanzbeschluss) |