Gemäß Artikel 28 Absatz 3 der Verordnung 2016/679 (Datenschutz-Grundverordnung) im Hinblick auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter. Die Auftragsverarbeitungsvereinbarung tritt in Kraft, sobald Sie als Kunde auf der Evofleet-Plattform angelegt sind.
Die Vereinbarung wird geschlossen zwischen dem Kunden (nachfolgend „der Verantwortliche“) und Evofleet ApS, CVR 43560433, St. Sct. Mikkels Gade 7, 8800 Viborg, Dänemark (nachfolgend „der Auftragsverarbeiter“), die jeweils eine „Partei“ sind und gemeinsam die „Parteien“ bilden.
Die Parteien haben die folgenden Standardvertragsklauseln (die Klauseln) vereinbart, um die Datenschutz-Grundverordnung einzuhalten und den Schutz der Privatsphäre sowie der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten.
Diese Klauseln legen die Rechte und Pflichten des Auftragsverarbeiters fest, wenn dieser eine Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durchführt.
Diese Klauseln sind darauf ausgelegt, die Einhaltung von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) durch die Parteien sicherzustellen.
Im Rahmen der Bereitstellung der Online-Plattform von Evofleet verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen in Übereinstimmung mit diesen Klauseln.
Die Klauseln haben Vorrang vor etwaigen entsprechenden Bestimmungen in anderen Vereinbarungen zwischen den Parteien.
Zu diesen Klauseln gehören vier Anhänge, und die Anhänge sind integraler Bestandteil der Klauseln.
Anhang A enthält nähere Angaben zur Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien betroffener Personen und der Dauer der Verarbeitung.
Anhang B enthält die Bedingungen des Verantwortlichen für die Inanspruchnahme von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Liste der Unterauftragsverarbeiter, deren Inanspruchnahme der Verantwortliche genehmigt hat.
Anhang C enthält die Weisung des Verantwortlichen hinsichtlich der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, eine Beschreibung der Sicherheitsmaßnahmen, die der Auftragsverarbeiter mindestens umzusetzen hat, sowie die Modalitäten der Überwachung des Auftragsverarbeiters und etwaiger Unterauftragsverarbeiter.
Die Klauseln und die zugehörigen Anhänge sind von beiden Parteien schriftlich, auch in elektronischer Form, aufzubewahren.
Diese Klauseln entbinden den Auftragsverarbeiter nicht von Pflichten, die dem Auftragsverarbeiter nach der Datenschutz-Grundverordnung oder anderen Rechtsvorschriften auferlegt sind.
Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (siehe Artikel 24 der Verordnung), den Datenschutzbestimmungen anderer Vorschriften des Unionsrechts oder des nationalen Rechts der Mitgliedstaaten sowie diesen Klauseln erfolgt.
Der Verantwortliche hat das Recht und die Pflicht, Entscheidungen darüber zu treffen, zu welchen Zwecken und mit welchen Mitteln personenbezogene Daten verarbeitet werden dürfen.
Der Verantwortliche ist unter anderem dafür verantwortlich, sicherzustellen, dass eine Verarbeitungsgrundlage für die Verarbeitung personenbezogener Daten besteht, zu deren Durchführung der Auftragsverarbeiter angewiesen wird.
Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, es sei denn, dies ist nach dem Unionsrecht oder dem nationalen Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich. Diese Weisung ist in den Anhängen A und C zu spezifizieren. Nachträgliche Weisungen können vom Verantwortlichen auch während der Verarbeitung personenbezogener Daten erteilt werden, jedoch ist die Weisung stets zu dokumentieren und gemeinsam mit diesen Klauseln schriftlich, auch in elektronischer Form, aufzubewahren.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn eine Weisung seines Erachtens gegen diese Verordnung oder gegen Datenschutzbestimmungen anderer Vorschriften des Unionsrechts oder des nationalen Rechts der Mitgliedstaaten verstößt.
Der Auftragsverarbeiter darf den Zugang zu personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur Personen gewähren, die der Weisungsbefugnis des Auftragsverarbeiters unterstehen, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und nur im erforderlichen Umfang. Die Liste der Personen, denen Zugang gewährt wurde, ist fortlaufend zu überprüfen. Auf der Grundlage dieser Überprüfung kann der Zugang zu personenbezogenen Daten gesperrt werden, wenn der Zugang nicht mehr erforderlich ist, und die personenbezogenen Daten dürfen diesen Personen anschließend nicht mehr zugänglich sein.
Der Auftragsverarbeiter muss auf Verlangen des Verantwortlichen nachweisen können, dass die betreffenden Personen, die der Weisungsbefugnis des Auftragsverarbeiters unterstehen, der oben genannten Verschwiegenheitspflicht unterliegen.
Artikel 32 der Datenschutz-Grundverordnung legt fest, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Der Verantwortliche muss die Risiken für die Rechte und Freiheiten natürlicher Personen, die mit der Verarbeitung verbunden sind, bewerten und Maßnahmen zur Bewältigung dieser Risiken umsetzen. Je nach ihrer Relevanz kann dies Folgendes umfassen:
Gemäß Artikel 32 der Verordnung muss auch der Auftragsverarbeiter – unabhängig vom Verantwortlichen – die Risiken für die Rechte natürlicher Personen, die mit der Verarbeitung verbunden sind, bewerten und Maßnahmen zur Bewältigung dieser Risiken umsetzen. Zum Zweck dieser Bewertung muss der Verantwortliche dem Auftragsverarbeiter die erforderlichen Informationen zur Verfügung stellen, die ihn in die Lage versetzen, solche Risiken zu identifizieren und zu bewerten.
Darüber hinaus muss der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflicht nach Artikel 32 der Verordnung unterstützen, unter anderem indem er dem Verantwortlichen die erforderlichen Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen, die der Auftragsverarbeiter gemäß Artikel 32 der Verordnung bereits umgesetzt hat, sowie alle weiteren Informationen zur Verfügung stellt, die für die Einhaltung der Pflicht des Verantwortlichen nach Artikel 32 der Verordnung erforderlich sind.
Wenn die Bewältigung der identifizierten Risiken – nach Einschätzung des Verantwortlichen – die Umsetzung weiterer Maßnahmen als der bereits vom Auftragsverarbeiter umgesetzten Maßnahmen erfordert, muss der Verantwortliche die umzusetzenden zusätzlichen Maßnahmen in Anhang C angeben.
Der Auftragsverarbeiter muss die in Artikel 28 Absatz 2 und Absatz 4 der Datenschutz-Grundverordnung genannten Bedingungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) in Anspruch zu nehmen.
Der Auftragsverarbeiter darf daher zur Erfüllung dieser Klauseln keinen Unterauftragsverarbeiter in Anspruch nehmen ohne vorherige allgemeine schriftliche Genehmigung des Verantwortlichen.
Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung des Verantwortlichen zur Inanspruchnahme von Unterauftragsverarbeitern. Der Auftragsverarbeiter muss den Verantwortlichen schriftlich über etwaige beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern mit einer Frist von mindestens einem Monat unterrichten und dem Verantwortlichen damit die Möglichkeit geben, gegen solche Änderungen Einspruch zu erheben, bevor der/die betreffende(n) Unterauftragsverarbeiter in Anspruch genommen wird/werden. Eine längere Unterrichtungsfrist im Zusammenhang mit bestimmten Verarbeitungstätigkeiten kann in Anhang B angegeben werden. Die Liste der Unterauftragsverarbeiter, die der Verantwortliche bereits genehmigt hat, ergibt sich aus Anhang B.
Nimmt der Auftragsverarbeiter im Rahmen der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen einen Unterauftragsverarbeiter in Anspruch, so muss der Auftragsverarbeiter dem Unterauftragsverarbeiter durch einen Vertrag oder ein anderes Rechtsdokument nach dem Unionsrecht oder dem nationalen Recht der Mitgliedstaaten dieselben Datenschutzpflichten auferlegen, wie sie sich aus diesen Klauseln ergeben, wobei insbesondere die erforderlichen Garantien dafür geboten werden müssen, dass der Unterauftragsverarbeiter die technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen dieser Klauseln und der Datenschutz-Grundverordnung entspricht.
Der Auftragsverarbeiter ist daher dafür verantwortlich, vom Unterauftragsverarbeiter zu verlangen, dass dieser mindestens die Pflichten des Auftragsverarbeiters nach diesen Klauseln und der Datenschutz-Grundverordnung einhält.
Die Unterauftragsverarbeitungsvereinbarung(en) und etwaige spätere Änderungen daran werden – auf Verlangen des Verantwortlichen – dem Verantwortlichen in Kopie übermittelt, der dadurch die Möglichkeit hat, sich zu vergewissern, dass dem Unterauftragsverarbeiter entsprechende Datenschutzpflichten auferlegt sind, wie sie sich aus diesen Klauseln ergeben. Bestimmungen über kommerzielle Konditionen, die den datenschutzrechtlichen Inhalt der Unterauftragsverarbeitungsvereinbarung nicht berühren, müssen dem Verantwortlichen nicht übermittelt werden.
Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, so bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragsverarbeiters voll verantwortlich. Dies berührt nicht die Rechte der betroffenen Personen, die sich aus der Datenschutz-Grundverordnung ergeben, insbesondere aus den Artikeln 79 und 82 der Verordnung, gegenüber dem Verantwortlichen und dem Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters.
Jegliche Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen darf vom Auftragsverarbeiter nur auf der Grundlage einer dokumentierten Weisung des Verantwortlichen vorgenommen werden und muss stets in Übereinstimmung mit Kapitel V der Datenschutz-Grundverordnung erfolgen.
Ist eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, zu deren Durchführung der Auftragsverarbeiter nicht vom Verantwortlichen angewiesen wurde, nach dem Unionsrecht oder dem nationalen Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich, so muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung unterrichten, es sei denn, das betreffende Recht verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.
Ohne dokumentierte Weisung des Verantwortlichen darf der Auftragsverarbeiter somit im Rahmen dieser Klauseln nicht:
Die Weisung des Verantwortlichen hinsichtlich der Übermittlung personenbezogener Daten an ein Drittland, einschließlich der etwaigen Übermittlungsgrundlage in Kapitel V der Datenschutz-Grundverordnung, auf die sich die Übermittlung stützt, ist in Anhang C.6 anzugeben.
Diese Klauseln sind nicht mit Standardvertragsklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d der Datenschutz-Grundverordnung zu verwechseln, und diese Klauseln können keine Grundlage für eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Datenschutz-Grundverordnung darstellen.
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der Datenschutz-Grundverordnung festgelegten Rechte der betroffenen Personen.
Dies bedeutet, dass der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit dabei unterstützt, die Einhaltung folgender Punkte sicherzustellen:
Zusätzlich zur Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 6.3. zu unterstützen, unterstützt der Auftragsverarbeiter den Verantwortlichen ferner unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei:
Die Parteien geben in Anhang C die erforderlichen technischen und organisatorischen Maßnahmen an, mit denen der Auftragsverarbeiter den Verantwortlichen unterstützen soll, sowie in welchem Umfang und in welcher Reichweite. Dies gilt für die Pflichten, die sich aus den Klauseln 9.1. und 9.2. ergeben.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm bekannt geworden ist, dass eine Verletzung des Schutzes personenbezogener Daten eingetreten ist.
Die Unterrichtung des Verantwortlichen durch den Auftragsverarbeiter muss möglichst binnen 72 Stunden, nachdem diesem die Verletzung bekannt geworden ist, erfolgen, damit der Verantwortliche seine Pflicht zur Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemäß Artikel 33 der Datenschutz-Grundverordnung erfüllen kann.
In Übereinstimmung mit Klausel 9.2.a muss der Auftragsverarbeiter den Verantwortlichen bei der Meldung der Verletzung an die zuständige Aufsichtsbehörde unterstützen. Das bedeutet, dass der Auftragsverarbeiter bei der Bereitstellung der nachstehenden Informationen behilflich sein muss, die gemäß Artikel 33 Absatz 3 in der Meldung der Verletzung durch den Verantwortlichen an die zuständige Aufsichtsbehörde enthalten sein müssen:
Die Parteien geben in Anhang C die Informationen an, die der Auftragsverarbeiter im Rahmen seiner Unterstützung des Verantwortlichen bei dessen Pflicht zur Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde bereitzustellen hat.
Der Kunde ist Verantwortlicher in Bezug auf etwaige personenbezogene Daten, die in die Dienste hochgeladen und darin verarbeitet werden. Der Kunde ist Eigentümer seiner eigenen Daten in den Diensten. Die Daten des Kunden werden jedoch fortlaufend gelöscht oder anonymisiert, sobald der Zweck, zu dem sie erhoben wurden, abgeschlossen ist.
Buchhaltungsbezogene Daten können gemäß dem Buchführungsgesetz bis zu 5 Jahre aufbewahrt werden.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und dieser Klauseln erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei.
Die Verfahren für die Prüfungen des Verantwortlichen, einschließlich Inspektionen, beim Auftragsverarbeiter und bei Unterauftragsverarbeitern sind in den Anhängen C.7. und C.8. näher angegeben.
Der Auftragsverarbeiter ist verpflichtet, Aufsichtsbehörden, die nach geltendem Recht Zugang zu den Einrichtungen des Verantwortlichen oder des Auftragsverarbeiters haben, oder Vertretern, die im Auftrag der Aufsichtsbehörde handeln, gegen ordnungsgemäße Legitimation Zugang zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.
Die Parteien können andere Bestimmungen über den Dienst betreffend die Verarbeitung personenbezogener Daten vereinbaren, z. B. über die Haftung, sofern diese anderen Bestimmungen weder unmittelbar noch mittelbar gegen die Klauseln verstoßen oder die Grundrechte und Grundfreiheiten der betroffenen Person, die sich aus der Datenschutz-Grundverordnung ergeben, beeinträchtigen.
Die Klauseln treten am Tag der Unterzeichnung durch beide Parteien in Kraft.
Beide Parteien können eine Neuverhandlung der Klauseln verlangen, wenn Gesetzesänderungen oder Unzweckmäßigkeiten in den Klauseln dazu Anlass geben.
Die Klauseln gelten, solange der Dienst betreffend die Verarbeitung personenbezogener Daten dauert. In diesem Zeitraum können die Klauseln nicht gekündigt werden, es sei denn, die Parteien vereinbaren andere Bestimmungen, die die Erbringung des Dienstes betreffend die Verarbeitung personenbezogener Daten regeln.
Endet die Erbringung der Dienste betreffend die Verarbeitung personenbezogener Daten und sind die personenbezogenen Daten in Übereinstimmung mit Klausel 11.1 und Anhang C.4 gelöscht oder an den Verantwortlichen zurückgegeben worden, können die Klauseln von beiden Parteien mit schriftlicher Frist gekündigt werden.
Diese Vereinbarung ist Bestandteil unserer Bedingungen, und bei der Kundenanlage werden diese akzeptiert, womit die Vereinbarung als vom Kunden genehmigt gilt.
Die Parteien können einander über die nachstehenden Ansprechpartner kontaktieren.
Die Parteien sind verpflichtet, einander fortlaufend über Änderungen bei den Ansprechpartnern zu informieren.
Der Verantwortliche kann den Auftragsverarbeiter per E-Mail an hello@evofleet.com oder telefonisch unter 70 604 604 kontaktieren. Der Auftragsverarbeiter kann den Verantwortlichen per E-Mail oder Telefon kontaktieren.
Personenbezogene Daten werden für die Kundenanlage, die Erstellung von Leasingverträgen, die selbstschuldnerische Bürgschaft, Bonitätsprüfungen, Schlussabrechnungen und die Rechnungsstellung verwendet.
Der Auftragsverarbeiter stellt dem Verantwortlichen ein Portal und den Kunden des Verantwortlichen ein Kundenportal zur Verfügung.
Name, E-Mail-Adresse, Telefonnummer, Adresse, Führerscheinnummer, CPR-Nr. (CPR wird nur bei der selbstschuldnerischen Bürgschaft verwendet).
Der Verantwortliche und dessen Kunden.
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann nach dem Inkrafttreten dieser Klauseln beginnen. Die Verarbeitung dauert an, bis eine Vereinbarung gekündigt wird.
Bei Inkrafttreten der Klauseln hat der Verantwortliche die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
Bei Inkrafttreten der Klauseln hat der Verantwortliche die Inanspruchnahme der oben genannten Unterauftragsverarbeiter für die beschriebene Verarbeitungstätigkeit genehmigt. Der Auftragsverarbeiter darf – ohne schriftliche Genehmigung des Verantwortlichen – einen Unterauftragsverarbeiter nicht für eine andere als die beschriebene und vereinbarte Verarbeitungstätigkeit in Anspruch nehmen oder einen anderen Unterauftragsverarbeiter für diese Verarbeitungstätigkeit in Anspruch nehmen.
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt dadurch, dass der Auftragsverarbeiter Folgendes ausführt: Der Verantwortliche legt den Kunden auf der Plattform an. Anschließend wird ein Leasingvertrag erstellt, der dem Kunden per E-Mail zugesandt wird.
Der Verantwortliche kann von einem Kunden eine selbstschuldnerische Bürgschaft verlangen. Das bedeutet, dass in diesen Fällen CPR-Nr.-Daten auf der Plattform gespeichert werden.
Der Auftragsverarbeiter ist berechtigt und verpflichtet, Entscheidungen darüber zu treffen, welche technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen sind, um das erforderliche (und vereinbarte) Sicherheitsniveau herzustellen.
Der Auftragsverarbeiter muss jedoch – in jedem Fall und als Mindeststandard – die folgenden mit dem Verantwortlichen vereinbarten Maßnahmen umsetzen:
Der Auftragsverarbeiter muss den Verantwortlichen nach Möglichkeit – im vereinbarten Umfang und in der vereinbarten Reichweite – in Übereinstimmung mit den Klauseln 9.1 und 9.2 unterstützen, indem er die erforderlichen technischen und organisatorischen Maßnahmen umsetzt.
Bei Beendigung des Dienstes betreffend die Verarbeitung personenbezogener Daten muss der Auftragsverarbeiter die personenbezogenen Daten in Übereinstimmung mit Klausel 11.1 entweder löschen oder zurückgeben, es sei denn, der Verantwortliche hat – nach Unterzeichnung dieser Klauseln – seine ursprüngliche Wahl geändert. Solche Änderungen sind zu dokumentieren und im Zusammenhang mit den Klauseln schriftlich, auch in elektronischer Form, aufzubewahren.
Die Verarbeitung der von den Klauseln erfassten personenbezogenen Daten darf ohne vorherige schriftliche Genehmigung des Verantwortlichen an keinen anderen Orten als den folgenden erfolgen: Die Verarbeitung erfolgt in den Rechenzentren von Amazon Web Services in Frankfurt und Stockholm.
Personenbezogene Daten werden nicht an Drittländer außerhalb der EU übermittelt.
Diese Auftragsverarbeitungsvereinbarung unterliegt dänischem Recht. Die Vereinbarung liegt in mehreren Sprachen als Service für den Kunden vor. Im Falle von Unstimmigkeiten oder Streitigkeiten zwischen den Sprachversionen hat die dänische Version Vorrang.