DATASECURITY

Datenschutz- und Sicherheitskonzept von fleetster Datenschutzerklärung zur Auftragsdatenverarbeitung i.S.d. §11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Datenschutz- und Sicherheitskonzept von fleetster Datenschutzerklärung zur Auftragsdatenverarbeitung i.S.d. §11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Präambel

Diese Erklärung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus den Allgemeinen Geschäftsbedingungen zwischen der Next Generation Mobility GmbH & Co. KG (im Folgenden „Auftragnehmer“) (www.fleetster.de/agb) und dem Kunden von fleetster (im Folgenden „Auftraggeber“) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

1. Gegenstand, Dauer und Spezifizierung der Auftragsdatenverarbeitung

fleetster ist eine Web-Anwendung zur Verwaltung von Poolfahrzeugen, bzw. Fuhrparkverwaltung. Bereits vorhandene Fahrzeuge können mit einem einfachen Buchungsprozess für alle Mitarbeiter zugänglich gemacht werden. fleetster kann ebenfalls ein finanzamtkonformes Fahrtenbuch für alle Fahrzeuge führen, die Führerscheinkontrolle durchführen und hilft bei der Schlüsselverwaltung. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:

Art der Daten

Zweck der Datenerhebung,-verarbeitung oder –nutzung

Kreis der Betroffenen

Bestandsdaten (Unternehmen)
  • Ansprechpartner
  • Anrede
  • Vorname, Nachname
  • Telefonnummer
  • E-Mail
  • Firma
  • Straße, Hausnummer
  • Postleitzahl, Ort
  • Zahlungsdaten (nur, wenn Lastschrift- oder Kreditkartenzahlungen ausgewählt werden)
  • Rechnungsstellung
  • Kontakt / Ansprechpartner
  • Support
  • Zahlungsabwicklung
Unternehmen, allgemein
Bestandsdaten (Nutzer)
  • Anrede
  • Name
  • E-Mail
  • Telefonnummer (optional)
  • Handynummer (optional)
  • Kostenstelle (optional)
  • Rechnungsstellung (optional)
  • Fahrtenbucheinträge (optional)
  • Identifikation der Fahrer der Fahrzeuge (Halterhaftung) für die Fahrzeugbuchung
Im fleetster-Portal registrierte Nutzer
Während der Nutzung
  • Buchungsdaten von Fahrzeugen
  • Sofern Fahrtenbuch aktiviert:
  • Grund der Fahrt
  • Geschäftspartner
  • Fahrtziel
  • Umwege
  • Kostenstelle (optional)
  • Führerschein vorhanden (optional) Führerscheinnummer, o.ä. wird nicht gespeichert!
  • Fahrtenbuch für alle Fahrzeuge
  • Führerscheinkontrolle
  • Identifikation der Fahrer der Fahrzeuge (Halterhaftung)
Im fleetster-Portal registrierte Nutzer

Zusätzlich werden bei der Registrierung des Unternehmens, sowie bei jedem Nutzer-Login, die aktuelle Uhrzeit und das Datum der durchgeführten Aktion(en) gespeichert. Diese Daten werden nicht zur Erstellung von Nutzerprofilen oder dergleichen verwendet. Ihre IP-Adresse wird verschlüsselt gespeichert und ist im Normalfall keinem Mitarbeiter zugänglich. Sie kann jedoch auf Anordnung eines ordentlichen Gerichts, bei Aufforderung durch eine Ermittlungsbehörde oder zu Beweiszwecken genutzt und offengelegt werden. Soweit die Nutzerdaten für Abrechnungszwecke erforderlich sind, werden sie längstens bis zu sechs Monate nach Versandt der Rechnung gespeichert, darüber hinaus nur, wenn der Nutzer Einwendungen gegen die Rechnung erhebt oder die Rechnung nicht bezahlt oder wenn gesetzliche Regelungen eine längere Speicherungsfrist erfordern. Werden die Daten zur Erfüllung bestehender gesetzlicher Aufbewahrungsfristen benötigt, werden die Daten gesperrt. Die Laufzeit dieser Datenschutzerklärung richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.

2. Anwendungsbereich und Verantwortlichkeit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die den AGBs und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»verantwortliche Stelle« im Sinne des § 3 Abs. 7 BDSG).

(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

3. Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf Daten von Betroffenen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen des Bundesdatenschutzgesetzes (Anlage zu § 9 BDSG) genügen. Die Software fleetster wird ausschließlich auf deutschen Servern gehostet. Der Anbieter der Server ist Amazon Web Services Inc. (Amazon Cloud). Es besteht ein sog. „Data Processing Addendum“ zwischen der Next Generation Mobility GmbH & Co. KG und der Amazon Web Services Inc. vom 30. Juni 2014. Die technischen und organisatorischen Maßnahmen der Amazon Web Services Inc. können Sie hier nachlesen: http://aws-de-media.s3.amazonaws.com/images/Region%20Frankfurt/AWS_Security_Whitepaper-german_final.pdf Besonders relevant für fleetster sind hier die Absätze über die Amazon Virtual Private Cloud und die Amazon Elastic Compute Cloud. Weiterhin ist das ISO 27001 Zertifikat von Amazon Web Services hier einsehbar: http://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Über wesentliche Änderungen ist der Auftraggeber rechtzeitig vor deren Einführung schriftlich zu informieren.

(3) Der Auftragnehmer stellt auf Anforderung dem Auftraggeber die für die Übersicht nach § 4g Abs. 2 S. 1 BDSG notwendigen Informationen zur Verfügung, sofern er sie sich nicht selbst beschaffen kann.

(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen per Verpflichtung untersagt ist, die Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis entsprechend § 5 BDSG). Das Datengeheimnis besteht auch nach Beendigung des Auftrages fort.

(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Verstößen des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder die im Vertrag getroffenen Festlegungen. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informationspflichten nach § 42a BDSG.

(6) Für im Rahmen des Vertrages anfallende Datenschutzfragen kann sich der Auftraggeber jederzeit an qngrafpuhgm@syrrgfgre.arg wenden.

(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach §§ 4f, 4g BDSG nachzukommen (§ 11 Abs. 2 Nr. 5 i.V.m. § 11 Abs. 4 BDSG), wie z. B. seiner Pflicht, einen Datenschutzbeauftragen zu bestellen, soweit vom Gesetz vorgeschrieben.

(8) Der Auftragnehmer verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung.

(9) Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.

(10) Entstehen zusätzliche Kosten durch abweichende Vorgaben des Auftraggebers bei der Löschung der Daten, so trägt diese der Auftraggeber.

4. Pflichten des Auftraggebers

(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

(2) Die Pflicht zur Führung des öffentlichen Verfahrensverzeichnisses (Jedermannverzeichnis) gem. § 4g Abs. 2 S. 2 BDSG liegt beim Auftraggeber.

5. Anfragen Betroffener

(1) Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu erteilen, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen. Dies setzt voraus, dass der Auftraggeber den Auftragnehmer hierzu schriftlich oder in Textform aufgefordert hat und der Auftraggeber dem Auftragnehmer die durch diese Unterstützung entstandenen Kosten erstattet. Der Auftragnehmer wird keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Auftraggeber verweisen.

(2) Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den Auftragnehmer, wird der Auftragnehmer den Betroffenen an den Auftraggeber verweisen.

6. Kontrollpflichten

(1) Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis.

  • Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen,
  • sich ein ggf. vorhandenes Testat eines Sachverständigen vorlegen lassen
  • oder nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich prüfen oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind.

7. Subunternehmer

(1) Zum Zeitpunkt des Abschlusses dieser Vereinbarung sind die Amazon Web Services Inc. als Subunternehmer für Teilleistungen für den Auftragnehmer tätig und hosten die Daten des Auftraggebers. Für die Subunternehmer gilt die Einwilligung für das Tätigwerden als erteilt.

(2) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. Eine etwaige Prüfung durch den Auftraggeber beim Subunternehmer erfolgt nur in Abstimmung mit dem Auftragnehmer. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.

8. Datenhoheit, Service Passwort

Auf Wunsch des Kunden kann ein sogenanntes Service-Password erstellt werden. Sobald dies der Fall ist, hat niemand mehr Zugriff auf die Daten, abgesehen, vom System-Admin und den Nutzern – auch nicht das Team von fleetster. Damit entfällt die Support-Möglichkeit durch das Auftragnehmer, falls der Auftraggeber inhaltliche Hilfe benötigt (Fahrzeuge löschen, Nutzer anlegen, etc.) Sofern eine Unterstützung durch das fleetster-Team gewünscht wird (bspw. Für den Upload von Nutzerdaten, die Änderung von Einstellungen, Ändern von Buchungsrechten, etc.), muss der Kunde dem Team das Service-Password nennen. Das Password kann über die Plattform durch den Kunden verwaltet und nach jedem Service-Vorgang geändert werden.

9. Verschlüsselung

Ein Zugriff auf Ihre in unserer Datenbank gespeicherten Daten erfolgt jederzeit nur über eine verschlüsselte Verbindung. Dritte haben somit keine Möglichkeit, diese Daten einzusehen oder zu nutzen. Durch den Einsatz modernster Technik sorgen wir für den größtmöglichen Schutz Ihrer Daten. Auch die Registrierung über unsere Homepage erfolgt ausschließlich über eine SSL-verschlüsselte Verbindung (Feldverschlüsselung). Des Weiteren werden alle unsere Server mit folgendem Algorithmus verschlüsselt: sha 1, salt 8, random salt.

10. Dauer der Datenspeicherung

Der Auftragnehmer löscht mit Ablauf von 14 Tagen nach Vertragsende vom Auftraggeber ggf. noch nicht gelöschte fleetster-Portale. Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung die ordnungsgemäße Löschung in geeigneter Weise, z.B. durch Überlassung eines Löschprotokolls, nachweisen. Der Auftraggeber hat dafür Sorge zu tragen alle für ihn relevanten Daten wie Fahrtenbuch, Analysen, Reports, Nutzerlisten, etc. rechtzeitig zu exportieren und zu sichern. Soweit ein Auftragnehmer gegen die Höhe der in der Rechnung gestellten Leistungsentgelte Einwendungen erhoben haben, dürfen die Abrechnungsdaten gespeichert werden, bis die Einwendungen abschließend geklärt sind. Ferner können Bestandsdaten bis zum Ablauf von zwei Jahren gespeichert bleiben, sofern Beschwerdebearbeitungen sowie sonstige Gründe einer ordnungsgemäßen Abwicklung des Vertragsverhältnisses dies erfordern. Im Übrigen darf die Löschung von Bestands- und Abrechnungsdaten unterbleiben, soweit dies gesetzliche Regelungen vorsehen oder die Verfolgung von Ansprüchen dies erfordert.

11. Informationspflichten, Schriftformklausel, Rechtswahl

(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »verantwortlicher Stelle« im Sinne des Bundesdatenschutzgesetzes liegen.

(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

(4) Es gilt deutsches Recht.

Stand April 2015