Dieser Vertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der ZAGRO Group App und stellt eine Auftragsverarbeitung gemäß Art. 28 DSGVO dar.
Verantwortlicher (nachfolgend „Auftraggeber"): [PLATZHALTER: Firma, Anschrift des B2B-Kunden]
Auftragsverarbeiter (nachfolgend „Auftragnehmer"): ZAGRO Bahn- und Baumaschinen GmbH, Mühlstraße 11–15, 74906 Bad Rappenau, Deutschland (vertreten durch die Geschäftsführer Wolfgang Zappel und Wikko Zappel)
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers im Rahmen der Bereitstellung der App. Soweit der Auftragnehmer Daten für eigene Zwecke verarbeitet (z. B. eigene Produkthaftungs-Beweissicherung, Vertragsabwicklung mit dem Auftraggeber), ist er insoweit eigenständig Verantwortlicher; hierfür gilt dieser AVV nicht.
1.1 Gegenstand: Verarbeitung personenbezogener Daten der Mitarbeiter/Nutzer des Auftraggebers im Rahmen der App-Funktionen (insb. Schulungs-/Nachweisverwaltung, Fahrzeug-/Wartungszuordnung, Support).
1.2 Dauer: Der AVV gilt für die Laufzeit des zugrunde liegenden Hauptvertrags über die Nutzung der App und endet mit dessen Beendigung, vorbehaltlich fortbestehender Lösch-/Rückgabepflichten (Ziffer 11).
2.1 Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Verwenden, Bereitstellen, Einschränken und Löschen im Rahmen der App.
2.2 Zweck: Bereitstellung der vertraglich vereinbarten App-Funktionen für den Auftraggeber und dessen Nutzer.
3.1 Datenarten: Stammdaten (Name, E-Mail, Telefon, Sprache), Zugangsdaten, Organisations-/Rollenzuordnung, Schulungs- und Prüfungsergebnisse, Zertifikatsdaten, Fahrzeug-/Wartungszuordnungen, Support-/Ticketinhalte, Nutzungs-/Protokolldaten.
3.2 Kategorien betroffener Personen: Mitarbeiter und benannte Nutzer des Auftraggebers.
Der Auftragnehmer verpflichtet sich,
4.1 personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers zu verarbeiten, sofern keine gesetzliche Verpflichtung zu einer anderweitigen Verarbeitung besteht (in diesem Fall vorherige Mitteilung, soweit zulässig);
4.2 die Vertraulichkeit zu wahren und sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen;
4.3 die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO umzusetzen (Anlage 1);
4.4 die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragnehmer) einzuhalten (Ziffer 6);
4.5 den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) durch geeignete technische und organisatorische Maßnahmen zu unterstützen, soweit möglich;
4.6 den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung) zu unterstützen;
4.7 dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen (Audits) zu ermöglichen (Ziffer 8);
4.8 den Auftraggeber unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
5.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte verantwortlich (Verantwortlicher i. S. d. DSGVO).
5.2 Der Auftraggeber erteilt Weisungen grundsätzlich in Textform bzw. über die hierfür vorgesehenen Funktionen der App. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
5.3 Der Auftraggeber benennt eine weisungsberechtigte Kontaktstelle: [PLATZHALTER: Ansprechpartner Auftraggeber].
6.1 Der Auftraggeber stimmt der Einschaltung der zum Zeitpunkt des Vertragsschlusses in Anlage 2 genannten Unterauftragnehmer zu (allgemeine Genehmigung).
6.2 Der Auftragnehmer informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen (Hinzuziehung/Austausch). Der Auftraggeber kann aus wichtigem datenschutzrechtlichen Grund innerhalb von 14 Tagen widersprechen.
6.3 Der Auftragnehmer verpflichtet Unterauftragnehmer auf ein gleichwertiges Datenschutzniveau (Art. 28 Abs. 4 DSGVO).
Die getroffenen Maßnahmen nach Art. 32 DSGVO sind in Anlage 1 beschrieben. Der Auftragnehmer darf diese fortentwickeln, solange das Schutzniveau nicht unterschritten wird.
8.1 Der Auftraggeber hat das Recht, sich von der Einhaltung dieses Vertrags zu überzeugen.
8.2 Nachweise können vorrangig durch geeignete Dokumentation, Zertifizierungen oder Prüfberichte erbracht werden. Vor-Ort-Prüfungen erfolgen nach angemessener Vorankündigung, ohne Störung des Betriebsablaufs und unter Wahrung der Geheimhaltungs- und Sicherheitsinteressen Dritter.
Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Kenntniserlangung und unterstützt diesen bei dessen Melde-/Benachrichtigungspflichten (Art. 33, 34 DSGVO).
Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss oder geeignete Garantien wie Standardvertragsklauseln). Stand: Die App-Infrastruktur wird vom Auftragnehmer im eigenen Haus (on-premises, EU) betrieben. Eine Drittlandübermittlung erfolgt nur mittelbar beim Versand von E-Mail-Benachrichtigungen über Microsoft 365 (Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert; Verarbeitung vorrangig innerhalb der EU Data Boundary). Eine darüber hinausgehende Drittlandübermittlung findet nicht statt.
11.1 Nach Beendigung der Verarbeitung löscht der Auftragnehmer die personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
11.2 Hinweis Produkthaftung: Schulungsnachweise/Zertifikate können der gesetzlichen Aufbewahrung bzw. dem berechtigten Beweissicherungsinteresse unterliegen. Insoweit kann der Auftragnehmer als eigenständig Verantwortlicher zur weiteren Speicherung berechtigt oder verpflichtet sein; dies ist gesondert festzuhalten (siehe speicherfristen-rechtsgrundlagen.md).
Es gilt die Haftungsregelung des Hauptvertrags. Die gesetzliche Haftung nach Art. 82 DSGVO bleibt unberührt.
13.1 Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
13.2 Es gilt deutsches Recht. Änderungen bedürfen der Textform.
Infrastruktur/Hosting und das Ticketsystem (Zammad) werden vom Auftragnehmer selbst on-premises betrieben und sind daher keine Unterauftragnehmer. Eingesetzter externer Unterauftragnehmer:
| Unterauftragnehmer | Leistung | Sitz/Standort der Verarbeitung |
|---|---|---|
| Microsoft Ireland Operations Ltd. (Microsoft 365 / Exchange Online) | Versand von E-Mail-Benachrichtigungen | Dublin (Irland) / EU Data Boundary; DPF-zertifiziert |
Hinweis: Beim Laden von Kartenkacheln (sofern die Kartenansicht aktiviert ist) wird die IP-Adresse des Endgeräts an den OpenStreetMap-Kachelserver (UK) übermittelt. Dies ist keine Auftragsverarbeitung, sondern eine eigenständige Verarbeitung des Anbieters (siehe Datenschutzerklärung, Ziffern 5.4 und 6) und daher kein Unterauftragsverhältnis.