Ergänzende Bedingungen für Auftragsdatenverarbeitung

Ergänzende Bedingungen für Auftragsdatenverarbeitung

(Stand: 10. Mai 2021)

  1. Allgemeines
    1. Gegenstand der Vereinbarung ist die Vereinbarung der Rechte und Pflichten des Kunden und der TSI, sofern im Rahmen der Leistungserbringung (nach AGB und mitgeltenden Dokumenten) eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (nachstehend „Daten“ genannt) durch die TSI für den Kunden im Sinne der Verordnung (EU) 2016/679 (DSGVO) und BSDG stattfindet.
  2. Verantwortung und Weisungsrechte des Kunden
    1. Der Kunde als für die Verarbeitung Verantwortlicher ist für die Beurteilung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Der Kunde hat dafür Sorge zu tragen, dass die gesetzlich oder behördlich vorgeschriebenen Voraussetzungen geschaffen werden bzw. Anforderungen erfüllt werden, wie z.B. die Einholung von Einwilligungserklärungen. Dies gilt auch für Anforderungen, z.B. an die Ausgestaltung der Auftragsverarbeitung, die daraus resultieren, dass der Kunde seinem lokalen Datenschutzrecht unterliegt.
    2. Der Kunde stellt die TSI in seinem Verantwortungsbereich von Ansprüchen Betroffener gegenüber der TSI frei. Rechte betroffener Personen sind nach §62 (1) BDSG ausschließlich gegenüber dem Kunden geltend zu machen.
    3. Zusätzliche Weisungen des Kunden im Hinblick auf die Verarbeitung personenbezogener Daten, die über die vertraglich vereinbarten Leistungen und Produktparameter hinausgehen und zu einem Mehraufwand für die TSI führen, sind entsprechend gesondert zu vergüten. Bei Weisungen, deren Umsetzung für die TSI nicht oder nur mit unverhältnismäßig hohem Mehraufwand möglich ist, kann die TSI den Vertrag kündigen. Zusätzliche Weisungen bedürfen der Schriftform.
  3. Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten
    1. Gegenstand, Dauer, Art und Zweck der ggf. erfolgenden Datenverarbeitung bestimmt der Kunde durch seine Produktwahl, dessen Leistungsinhalte sich aus den AGB und ggf. mit geltenden Dokumenten ergeben und hinsichtlich der datenschutzrechtlichen Anforderungen nachfolgend konkretisiert sind.
    2. Art der Daten
      Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten können folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien) sein:
      • Name
      • Anschrift
      • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
      • Vertragsabrechnungs- und Zahlungsdaten
      • Zugangsdaten
      • Verbrauchsdaten
      • Bewegungs- und Tätigkeitsdaten
      • Anmeldungen, Arbeitsorte, Arbeitszeiträume
      • Protokollierungsdaten
      • Personenbeziehbare oder personenbezogene Protokolldaten (Benutzernamen, IP-Adressen etc.)
      • Kontaktdaten (z.B. Telefon, E-Mail)
    3. Kreis der Betroffenen
      Der Kreis der Betroffenen, deren Daten im Rahmen dieses Auftrags verwendet werden, kann folgende Personenkategorien umfassen:
      • Kunden
      • Ansprechpartner/Business-Partner
      • Mitarbeiterdaten
  4. Ergänzende Bedingungen für die Nutzung von Route-KI
    1. Begriffsklärung
      Route-KI ist eine Funktionalität im Rahmen der Fahrtenbuchprodukte der TSI, welche selbst-lernende Algorithmen und Methoden der künstlichen Intelligenz (KI) mittels Erstellung von Bewegungsprofilen nutzt, um das Ausfüllen und Ergänzen von Fahrtenbüchern mit Fahrtgrund, zusätzlichen Fahrtinformationen, Bewegungsdaten und weiteren Metadaten zu erleichtern und teilweise oder vollständig zu automatisieren. Die Nutzung von Route-KI ist optional und erfordert eine explizite Zustimmung. Mit der Zustimmung zur Nutzung von Route-KI für ein oder mehrere Fahrzeuge gelten zusätzlich die nachfolgenden Absätze b. bis g.:
    2. Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten für Route-KI
      1. Es werden Datenverarbeitungen durchgeführt, die über den Umfang der unter Punkt 3 gemachten Angaben, wie in den Unterpunkten beschrieben, hinausgehen können.
      2. Für Route-KI aktivierte Fahrzeuge (Geräte) werden Bewegungsprofile erstellt, sofern eine explizite Zustimmung gemäß Punkt 4 Absatz e dazu vorliegt. Die Bewegungsprofile werden automatisiert unter Einsatz von Methoden der künstlichen Intelligenz erstellt.
      3. Die Bewegungsprofile enthalten unter anderem Daten, die eine Kategorisierung besuchter Orte, Aufenthaltszeiten und Besuchshäufigkeiten sowie gleichartiger Daten, die eine teilweise oder vollständige Klassifizierung von Fahrten mit z.B. Fahrtgrund ermöglichen.
      4. Die erstellten Bewegungsprofile können beiläufig auch Daten enthalten, bzw. können eine Ableitung von Daten ermöglichen, die gemäß DSGVO Art. 9 zu den besonders schützenswerten personenbezogenen Informationen zählen. Dies können unter anderem Daten sein, aus denen z.B.
        • die rassische und ethnische Herkunft,
        • politische Meinungen,
        • religiöse oder weltanschauliche Überzeugungen,
        • oder die Gewerkschaftszugehörigkeit
        hervorgehen können.
        Das Ziel der Datenverarbeitung mit KI-Funktion ist explizit nicht die Ableitung derartiger Informationen, es lässt sich jedoch nicht ausschließen, dass diese Datenkategorien direkt oder indirekt abgeleitet werden können. Daten dieser Art, sofern diese anfallen, werden zu keinem Zeitpunkt von der TSI genutzt oder ausgewertet und ggf. lediglich beiläufig zu dem unter Unterpunkt (5) definierten Zweck verarbeitet.
      5. Zweck der Verarbeitung bei der Nutzung von Route-KI
        Der Zweck der Datenverarbeitung bei der Nutzung von Route-KI und der Erstellung von Bewegungsprofilen dient ausschließlich zur Ergänzung des Fahrtenbuchs für das zugehörige Fahrzeug (Gerät), sowie zur Verbesserung der damit verbundenen Algorithmen und Technologien. Es findet keine Weitergabe, Verknüpfung mit anderen Daten oder weitere, sonstige automatisierte Verarbeitung, Nutzung oder Auswertung der Daten im Rahmen der Verarbeitung mit KI-Funktionen statt. Sonstige Datenverarbeitungen, die bereits im Zusammenhang der allgemeinen Vertragsbedingungen anderweitig vereinbart wurden, sind hiervon nicht betroffen.
    3. Vertraulichkeit von Daten und Bewegungsprofilen bei der Nutzung von Route-KI
      Die Bewegungsprofile sind Fahrzeug (Geräte)-spezifisch und können nur von Personen eingesehen werden, die auch zum Zugang zu den Gerätedaten berechtigt sind.
      1. Sofern für den Kunden Zugänge für weitere Personen eingerichtet werden – dies können z.B. Supervisor oder Administratoren sein, ist der Kunde dafür verantwortlich, diese weiteren berechtigte Personen auf die Vertraulichkeit der schützenswerten personenbezogenen Daten hinzuweisen. Der Kunde hat dafür Sorge zu tragen, dass weitere Zugänge restriktive Zugangsberechtigungen verwenden. Die Kontrolle der Einhaltung des Datenschutzes durch diese Personen mit weiteren Zugängen obliegt dem Kunden.
      2. Die TSI behandelt erstellte Bewegungsprofile streng vertraulich. Alle Mitarbeiter der TSI und deren Erfüllungsgehilfen, die mit diesen Daten in Kontakt kommen könnten, sind zur Verschwiegenheit verpflichtet. Die TSI setzt darüber hinaus systemische, technische und organisatorische Sicherungsmaßnahmen wie unter Punkt 6 ein, um Daten vor Zugriffen Unbefugter zu schützen.
    4. Rechtliche Pflichten des Kunden
      Die Nutzung von Route-KI für weitere Personen als der Kunde selbst, oder wenn weitere Personen, als der Kunde davon betroffen sind oder sein könnten, ist explizit nur dann gestattet, wenn die nachfolgenden Punkte erfüllt sind.
      1. Der Kunde trägt für die Erfüllung etwaiger Informations- und Auskunftspflichten aller betroffenen Personen (z.B. Nutzer des Fahrzeugs) im Sinne der DSGVO die Verantwortung. Dies umfasst unter anderem alle unter Punkt 4 aufgeführten Informationen.
      2. Mit Erteilung der Zustimmung des Kunden zur Nutzung von Route-KI für ein oder mehrere Fahrzeuge (Geräte) gegenüber der TSI bestätigt der Kunde Kenntnis über alle rechtlichen Pflichten zu haben sowie ggf. geeignete Maßnahmen zur Einhaltung dieser ergriffen zu haben.
    5. Zustimmung
      Der Kunde erteilt die Zustimmung zur Nutzung von Route-KI gegenüber der TSI. Die Zustimmung wird vom Kunden selbst online im System für jedes für Route-KI zu aktivierende Fahrzeug (Gerät) erteilt. Sofern dies ggf. auch im Namen etwaiger anderer betroffener Personen geschieht, versichert der Kunde dazu berechtigt zu sein und hier insbesondere folgende Pflichten zu erfüllen:
      1. Der Kunde hat die Pflicht die Einwilligung bei allen betroffenen Personen einzuholen und ggf. zu dokumentieren.
      2. Die betroffenen Personen sind durch den Kunden zu informieren und über ihre Rechte und Pflichten im Rahmen des Datenschutzes gemäß DSGVO aufzuklären.
      3. Die betroffenen Personen haben Auskunftsrechte, sowie weitere Rechte gemäß der DSGVO, die der Kunde sicherstellt und erfüllt.
      4. Die Einwilligung durch jegliche betroffene Person kann jederzeit auch ohne Angabe von Gründen widerrufen werden. Widerruft eine der betroffenen Personen ihre Einwilligung, hat der Kunde unverzüglich die Zustimmung zur Nutzung von Route-KI gegenüber der TSI zu widerrufen. Siehe Absatz g.
      5. Die TSI dokumentiert diese Einwilligung und hält Zustimmungszeitpunkt und die Person, durch welche die Zustimmung gegenüber der TSI erteilt wird, fest. Der Kunde bestätigt die Richtigkeit aller ggf. gemachten Angaben.
    6. Korrektur und Recht auf Korrektur
      Automatisiert weiterverarbeitete Daten können jederzeit durch den Kunden oder anderen berechtigten Personen mit Zugang korrigiert werden. Der Kunde stellt die TSI in seinem Verantwortungsbereich von Ansprüchen Betroffener gegenüber der TSI frei bzw. führt nötige Korrekturen auf Verlangen berechtigter, betroffener Personen zeitnah durch.
    7. Widerruf der Zustimmung zur Nutzung von Route-KI
      Wird die Zustimmung durch den Kunden widerrufen, werden die Bewegungsprofile für dieses Fahrzeug (Gerät) umgehend gelöscht. Es werden keine weiteren neuen Bewegungsprofile für dieses Fahrzeug (Gerät) durch Route-KI Funktionalität erstellt. Fahrtgrundangaben und sonstige Meta-Daten oder Fahrtinformationen zu einzelnen Fahrten, die von Route-KI zuvor erstellt, ermittelt oder anderweitig klassifiziert und vom Kunden dann manuell bestätigt wurden, bleiben erhalten. Die Daten aus den Bewegungsprofilen welche ggf. zu diesen automatisch ermittelten Fahrtgrundangaben oder sonstigen Meta-Daten oder Fahrtinformationen zu einzelnen Fahrten geführt haben, werden ebenfalls gelöscht. Alle anderen automatisch ermittelten Fahrtgrundangaben und sonstige Meta-Daten oder Fahrtinformationen zu einzelnen Fahrten werden gelöscht.
  5. Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Personen
    1. Alle Personen, die auftragsgemäß auf die unter Punkt 3 und 4 aufgeführten Daten der Auftraggeberin zugreifen könnten, werden auf das Datengeheimnis gemäß Art. 28 DSGVO, sowie §62 Absatz 5 Satz 2 BDSG verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten, sowie die bestehende Weisungs- bzw. Zweckbindung belehrt.
  6. Sicherstellung der technischen und organisatorischen Maßnahmen
    1. Die TSI als Auftragsdatenverarbeiter gewährleistet bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau, wobei hierbei die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt werden.
    2. Die TSI ergreift angemessene Maßnahmen auf dem aktuellen Stand der Technik basierend auf einer Risikobewertung, um die in §64 BDSG Absatz 3 definierten Anforderung zur Sicherheit der Datenverarbeitung zu erfüllen. Die Auftragnehmerin informiert auf Anfrage die Auftraggeberin über Risikobewertungen und getroffene Maßnahmen.
    3. Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Maßnahmen umzusetzen. Sie muss die Auftraggeberin hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird.
    4. Einzelne umgesetzte Maßnahmen sowie Sicherheitsabwägungen sind in der „Risikobewertung zur Gewährleistung der Sicherheit der Datenverarbeitung“ der TSI beschrieben und definiert und auf Anfrage jederzeit erhältlich. Im Sinne der Reduktion von Angriffsflächen sind diese Informationen vertraulich und werden von der TSI nicht weiter veröffentlicht.
  7. Einsatz von Subunternehmen
    1. Die Auftraggeberin ist grundsätzlich damit einverstanden, dass die Auftragnehmerin an sorgfältig ausgewählten Drittunternehmen Unteraufträge erteilt, insbesondere, aber nicht ausschließlich, für die Bereiche Hosting, Wartung und Installation, Telekommunikationsdienstleistungen, Benutzerservice, Entwicklung, Reinigungskräfte, Prüfer und Entsorgung von Datenträgern.
    2. Die TSI hat bei der Vergabe von Unteraufträgen die Anforderungen des § 62 BDSG zu beachten und die vertragliche Vereinbarung mit dem Unterauftragnehmer so zu gestalten, dass sie den in dieser Vereinbarung festgelegten Datenschutzanforderung zwischen Auftragnehmerin und Auftraggeberin entsprechen.
    3. Die TSI informiert in der Anlage zu den „Ergänzenden Bedingungen für die Auftragsdatenverarbeitung“ über die jeweils eingesetzten Unterauftragsnehmer, welche mit der Verarbeitung von personenbezogenen Daten oder Teilen dessen betraut sind, und veröffentlicht diese auf der Webseite der TSI ( tsi-telematic.com/de/AGB). Beabsichtigte Hinzuziehungen oder Ersetzungen weiterer Unterauftragsnehmer werden an gleicher Stelle rechtzeitig veröffentlicht. Die sorgfältige Auswahl hinzugezogener Unterauftragsnehmer zur Erbringung der Auftragsdatenverarbeitung für den Kunden obliegt allein der TSI. Das Recht des Kunden die Hinzuziehung von Unterauftragnehmern nach §62 Absatz 3 BDSG zu untersagen bleibt hiervon unberührt. Macht der Kunde von seinem Einspruchsrecht gebraucht, behält sich die TSI vor, den Vertrag zur Auftragsdatenverarbeitung zu kündigen.
    4. Zum reibungslosen Betrieb der technischen und organisatorischen Infrastruktur der TSI, setzt die TSI weitere Unterauftragsnehmer ein, die personenbezogene Daten des Kunden weder verarbeiten noch Zugang zu diesen haben.
  8. Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
    1. Die TSI als Auftragsdatenverarbeiter unterstützt den Kunden als für die Verarbeitung Verantwortlichen mit geeigneten Mitteln dabei, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten. Zusätzliche Leistungen und Mehraufwand für die TSI, die über die vertraglich vereinbarten Leistungen und Produktparameter hinausgehen, sind entsprechend gesondert zu vergüten.
  9. Unterstützung bei der Meldepflicht des für die Verarbeitung Verantwortlichen
    1. Stellt die Auftragnehmerin fest, dass die bei ihr gespeicherten auftragsrelevanten Daten der Auftraggeberin unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat sie dies ohne Ansehen auf die Verursachung unverzüglich der Auftraggeberin mitzuteilen.
    2. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs (z.B. längerer Ausfall eines Server-Systems), beim Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit den relevanten Daten des Kunden.
    3. Die TSI unterstützt den Kunden mit den der TSI zur Verfügung stehenden Informationen bei der Einhaltung der §§ 64 bis 67 und 69 BDSG. Zusätzliche Leistungen und Mehraufwand für die TSI, die über die vertraglich vereinbarten Leistungen und Produktparameter hinausgehen, sind dabei entsprechend gesondert zu vergüten.
    4. Die Auftraggeberin informiert die Auftragnehmerin, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  10. Rückgabe und Löschung der personenbezogenen Daten nach Ende der Auftragsdatenverarbeitung
    1. Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch die Auftraggeberin – spätestens mit Beendigung der Leistungsvereinbarung – hat die Auftragnehmerin sämtliche in ihrem Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen und einen Personenbezug zulassen könnten, der Auftraggeberin auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten.
    2. Zu einem Datenträgeraustausch zwischen den Beteiligten dieser Auftragsdatenverarbeitung kommt es nicht. Insoweit ist eine Rückgabe hier nicht zu regeln.
  11. Kontrollrechte des für die Verarbeitung Verantwortlichen
    1. Auf Anfrage stellt die TSI der Auftraggeberin alle erforderlichen Informationen, insbesondere die gemäß §76 BDSG erstellten Protokolle, zum Nachweis der Einhaltung der Pflichten des zur Verarbeitung Verantwortlichen in angemessenem Umfang und Format zur Verfügung. Zusätzliche Leistungen und Mehraufwand für die TSI sind entsprechend gesondert zu vergüten.
    2. Die TSI ermöglicht Überprüfungen, die von dem Kunden oder einem von diesem beauftragten Prüfer durchgeführt werden.
  12. Mitteilungspflicht zum Datenschutzbeauftragten
    1. Zur Einhaltung des §70 (2) BDSG unterrichtet die Auftraggeberin die TSI über Namen und Kontaktdaten jedes Verantwortlichen der Datenverarbeitung (sofern abweichend von der Auftraggeberin), sowie gegebenenfalls der oder des Datenschutzbeauftragten und meldet etwaige Änderungen zeitnah und ohne Aufforderung.
  13. Hinweispflicht des Auftragsverarbeiters, wenn eine Weisung gegen den Datenschutz verstößt
    1. Ist die TSI der Auffassung, dass eine Weisung der Auftraggeberin gegen die Bestimmungen der DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert die TSI den Verantwortlichen unverzüglich.
  14. Sonstiges
    1. Die Unwirksamkeit einer Bestimmung dieser Vereinbarung berührt die Gültigkeit der übrigen Bestimmungen nicht. Sollte sich eine Bestimmung als unwirksam erweisen, wird die TSI diese durch eine neue ersetzen, die dem von Kunde und TSI Gewollten am nächsten kommt.

 

 

Fehler und Auslassungen vorbehalten. Es gilt ausschließlich die aktuellste Druckversion als rechtsverbindlich.