Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil und unterliegt den Bedingungen des Vertrags (der Verträge) („Vertrag“), die im Hinblick auf die Nutzung der Software-als-Dienstleistung TimeMoto Cloud („SaaS“), einschließlich der Allgemeinen Geschäftsbedingungen von TimeMoto, zwischen TimeMoto B.V., mit Sitz und Geschäftsstelle in der Heliumstraat 14, 2718 SL  Zoetermeer, Niederlande, im folgenden „Auftragsverarbeiter“, und dem Kunden, der Vertragspartei ist, im folgenden „für die Verarbeitung Verantwortlicher“, einzeln „Partei“ und gemeinsam „die Parteien“, geschlossen wurden.

ERWÄGUNGSGRÜNDE:

A.   Der für die Verarbeitung Verantwortliche hat das Recht, die SaaS für die Dauer des Vertrags zu nutzen, wobei der Auftragsverarbeiter personenbezogene Daten im Namen und auf Rechnung des für die Verarbeitung Verantwortlichen verarbeitet;

B.   Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter haben ihre Vereinbarungen über die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß den Anweisungen des für die Verarbeitung Verantwortlichen in diesem AVV bestätigt.

DAHER VEREINBAREN DIE PARTEIEN FOLGENDES:

Artikel 1      Begriffsbestimmungen

1.1   „Personenbezogene Daten“ sind Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie z. B. Name, Identifikationsnummer, Standortdaten, Online-Kennung oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind.

1.2   Der Begriff „betroffene Person“ bezieht sich auf jede natürliche Person, deren personenbezogene Daten verarbeitet werden.

1.3   „Für die Verarbeitung Verantwortlicher“ ist die natürliche oder juristische Person, die den Zweck und die Mittel für die Verarbeitung personenbezogener Daten festlegt. Im Zusammenhang mit diesem AVV ist dies der Kunde, der Vertragspartei des Vertrags ist.

1.4   „Auftragsverarbeiter“ ist die natürliche oder juristische Person, die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. In diesem AVV ist dies TimeMoto B.V.

1.5     „Unterauftragsverarbeiter“ ist ein Dritter, der vom Auftragsverarbeiter beauftragt wurde, ihn bei der Erfüllung seiner Verpflichtungen gemäß dem Vertrag oder diesem AVV zu unterstützen. Unterauftragsverarbeiter sind nicht die Mitarbeiter, Auftragnehmer oder Berater des Auftragsverarbeiters.

1.6   „Besondere Kategorien personenbezogener Daten“ sind solche, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer betroffenen Person.

1.7   „Sicherheitsvorfall“ bezeichnet jede unbefugte oder unrechtmäßige Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust oder zur Veränderung oder zur unbefugten Weitergabe von oder zum unbefugten Zugang zu personenbezogenen Daten des für die Verarbeitung Verantwortlichen führt.

1.8     „Datenschutzrecht“ bezieht sich auf die geltenden Gesetze, die den Schutz personenbezogener Daten und den Datenschutz regeln. Dazu gehören in erster Linie die Rechtsvorschriften, die für die Verarbeitung personenbezogener Daten in der EU und im Vereinigten Königreich gelten, wie die Datenschutz-Grundverordnung, die Datenschutzrichtlinie für elektronische Kommunikation, das Datenschutzgesetz 2018, die Allgemeine Datenschutzverordnung des Vereinigten Königreichs, die Verordnung über den Schutz der Privatsphäre und die elektronische Kommunikation von 2003 sowie alle nationalen Gesetze, die im Zusammenhang mit den vorgenannten Rechtsvorschriften umgesetzt werden.

Artikel 2      Gegenstand des AVV

2.1   Dieser AVV gilt für SaaS und Aktivitäten, die der Auftragsverarbeiter im Namen des für die Verarbeitung Verantwortlichen im Rahmen des Vertrags durchführt, der die spezifischen SaaS-Lizenzdetails, die Allgemeinen Geschäftsbedingungen und die Nutzungsbedingungen enthält.

2.2   Dieser AVV ersetzt alle früheren Absprachen zwischen den Parteien über die Verarbeitung personenbezogener Daten. Wenn eine Bestimmung dieses AVV im Widerspruch zu früheren Vereinbarungen über die Verarbeitung personenbezogener Daten steht oder diese ändert, haben die Bestimmungen dieses AVV Vorrang, sofern in diesem AVV nicht ausdrücklich etwas anderes vorgesehen ist.

2.3   Gemäß diesem AVV verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und unter Verantwortung des für die Verarbeitung Verantwortlichen. 

2.4   Alle Anhänge sind diesem AVV beigefügt und bilden einen integralen Bestandteil desselben.

2.5   Alle in diesem AVV nicht definierten Begriffe haben die im Vertrag festgelegte Bedeutung.

Artikel 3      Verpflichtungen der Vertragsparteien

3.1   Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu den im Vertrag beschriebenen und in Anhang A detaillierten Zwecken.

3.2   Der Auftragsverarbeiter wird personenbezogene Daten nur in Übereinstimmung mit und unter strikter Einhaltung der Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten. Der Auftragsverarbeiter hat keine unabhängige Kontrolle über die von ihm verarbeiteten personenbezogenen Daten. Der Auftragsverarbeiter darf personenbezogene Daten nicht zu seinem eigenen Nutzen, zum Nutzen Dritter oder zu anderen Zwecken verarbeiten, es sei denn, der für die für die Verarbeitung Verantwortliche hat vorher schriftlich seine Zustimmung erteilt oder es ist gesetzlich vorgeschrieben. Um jeden Zweifel auszuschließen, gilt dieser AVV nicht für Fälle, in denen TimeMoto B.V. selbst der für die Datenverarbeitung Verantwortliche ist.

3.3   Der für die Verarbeitung Verantwortliche kann die in diesem AVV und dem Vertrag vorgesehenen Anweisungen sowie weitere Anweisungen erteilen. Jede Anweisung wird schriftlich erteilt, es sei denn, die Dringlichkeit oder andere besondere Umstände erfordern eine andere (z. B. mündliche oder elektronische) Form. Spezifikationen und/oder weitere Anweisungen, die in einer anderen als der schriftlichen Form erteilt werden, sind vom für die Verarbeitung Verantwortlichen unverzüglich schriftlich zu bestätigen. 

3.4    Der für die Verarbeitung Verantwortliche darf dem Auftragsverarbeiter keine besonderen Kategorien personenbezogener Daten zur Verarbeitung im Rahmen des AVV zur Verfügung stellen (lassen). Der Auftragsverarbeiter haftet in keiner Weise für solche personenbezogenen Daten, weder im Zusammenhang mit einem Sicherheitsvorfall noch auf andere Weise.

3.5    Der für die Verarbeitung Verantwortliche ist dafür zuständig, zu prüfen, ob die Datenverarbeitung rechtmäßig ist und auf einer gültigen Rechtsgrundlage beruht, und die Rechte der betroffenen Personen zu wahren.

Artikel 4      Vertraulichkeit 

4.1   Der Auftragsverarbeiter ist verpflichtet, personenbezogene Daten vertraulich zu behandeln und sie in keiner Weise an seine Mitarbeiter und/oder Dritte weiterzugeben, es sei denn, (i) es ist erforderlich, dass Mitarbeiter und/oder Dritte zum Zwecke der Ausführung des Vertrags Kenntnis von personenbezogenen Daten haben müssen, oder (ii) es ist gesetzlich vorgeschrieben.

4.2   Der Auftragsverarbeiter gewährt seinen Mitarbeitern und/oder Dritten nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung der für die Erfüllung des Vertrags erforderlichen Verarbeitung erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass alle Personen, die zur Verarbeitung personenbezogener Daten befugt sind, einer angemessenen gesetzlichen oder vertraglichen Verpflichtung zur Vertraulichkeit unterliegen.

Artikel 5      Unterauftragsverarbeiter

5.1   Der für die Verarbeitung Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung für die Hinzufügung oder Ersetzung bestehender Unterauftragsverarbeiter unter den in diesem AVV festgelegten Bedingungen. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch von Unterauftragsverarbeitern, die personenbezogene Daten im Rahmen dieses Vertrags verarbeiten werden. Der für die Verarbeitung Verantwortliche kann gegen solche Änderungen Einspruch erheben, der jedoch nicht unangemessen sein darf.

5.2    Der Auftragsverarbeiter wählt jeden Unterauftragsverarbeiter sorgfältig aus und achtet dabei insbesondere auf seinen guten Ruf und seine Erfahrung bei der Erbringung der vergebenen Dienstleistungen sowie auf die Eignung seiner technischen und organisatorischen Maßnahmen. Der Auftragsverarbeiter bleibt für Handlungen oder Unterlassungen seiner Unterauftragsverarbeiter in gleicher Weise verantwortlich wie für seine eigenen Handlungen und Unterlassungen im Rahmen dieses Vertrags. Der Auftragsverarbeiter schließt mit allen zugelassenen Unterauftragsverarbeitern einen schriftlichen Datenverarbeitungsvertrag ab. Der Auftragsverarbeiter stellt sicher, dass alle Unterauftragsverarbeiter vertraglich an die gleichen oder höheren Verpflichtungen in Bezug auf die Verarbeitung gebunden sind, an die der Auftragsverarbeiter gemäß diesem AVV gebunden ist.

5.3   Wird während der Laufzeit dieses AVV ein neuer Unterauftragsverarbeiter beauftragt, informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen innerhalb eines angemessenen Zeitraums, bevor der neue Unterauftragsverarbeiter personenbezogene Daten des für die Verarbeitung Verantwortlichen verarbeitet, über die Beauftragung (einschließlich des Namens und des Standorts des betreffenden Unterauftragsverarbeiters und der von ihm durchgeführten Tätigkeiten), indem er sich mit dem/den Kontoinhaber/n des für die Verarbeitung Verantwortlichen in Verbindung setzt, der/die in dem vom für die Verarbeitung Verantwortlichen bei der Registrierung des TimeMoto Produkts eingerichteten Konto aufgeführt ist/sind.

5.4    Der für die Verarbeitung Verantwortliche kann gegen die Bestellung eines neuen Unterauftragsverarbeiters durch den Auftragsverarbeiter innerhalb von fünf (5) Kalendertagen nach Erhalt der Mitteilung schriftlich Einspruch erheben, sofern dieser Einspruch auf angemessenen Gründen im Zusammenhang mit dem Datenschutz beruht. In diesem Fall erörtern die Parteien diese Bedenken nach Treu und Glauben mit dem Ziel, eine wirtschaftlich angemessene Lösung zu finden. Kann eine solche Lösung nicht erreicht werden, wird der Auftragsverarbeiter nach seinem alleinigen Ermessen entweder den Unterauftragsverarbeiter nicht ernennen oder dem für die Verarbeitung Verantwortlichen gestatten, den betroffenen Dienst gemäß den Kündigungsbestimmungen des Vertrags auszusetzen oder zu beenden, ohne dass eine der Parteien dafür haftet (unbeschadet der dem für die Verarbeitung Verantwortlichen vor der Aussetzung oder Beendigung entstandenen Gebühren).

5.5    Die vom Auftragsverarbeiter beauftragten Unterauftragsverarbeiter sind im einzelnen in Anhang B des vorliegenden AVV aufgeführt.

Artikel 6      Sicherheitsvorfall

6.1   Der Auftragsverarbeiter hat technische und organisatorische Sicherheitsmaßnahmen getroffen, wie in Anhang C dargelegt, einschließlich Verfahren zur angemessenen Erkennung von und Reaktion auf Sicherheitsvorfälle, um ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten im Rahmen des Vertrags zu gewährleisten.

6.2   Sobald der Auftragsverarbeiter Kenntnis von einem (potentiellen) Sicherheitsvorfall in Bezug auf die personenbezogenen Daten des für die Verarbeitung Verantwortlichen erhält, wird er den für die Verarbeitung Verantwortlichen unverzüglich und ohne unnötige Verzögerung über den/die Kontoinhaber des für die Verarbeitung Verantwortlichen informieren.

6.3    Die Meldung nach Absatz 6.2 enthält, soweit verfügbar, die folgenden Angaben: 

1.      Tag und Uhrzeit, an dem der Auftragsverarbeiter Kenntnis von dem Sicherheitsvorfall erhalten hat;

2.      Die Art des Sicherheitsvorfalls;

3.      Der Zeitpunkt oder der wahrscheinlichste Zeitpunkt oder Zeitraum, zu dem der Sicherheitsvorfall eingetreten ist und wie lange er gedauert hat;

4.      Der Umfang der personenbezogenen Daten des (möglicherweise) von dem Sicherheitsvorfall betroffenen Verantwortlichen;

5.      Die möglichen Folgen/Risiken des Sicherheitsvorfalls für die Privatsphäre der betroffenen Personen, d. h. der Beteiligten;

6.      Die Kontaktstelle(n), bei der/denen weitere Informationen über den Sicherheitsvorfall eingeholt werden können;

7.      Die empfohlenen Maßnahmen zur Verringerung der negativen Folgen des Sicherheitsvorfalls;

8.      Die Maßnahmen, die der Auftragsverarbeiter zur Behebung des Sicherheitsvorfalls ergriffen hat oder zu ergreifen gedenkt;

9.      Alle anderen Informationen, die für die Bewertung des Sicherheitsvorfalls relevant sind.

6.4   In Bezug auf jeden in Absatz 6.2 genannten Sicherheitsvorfall leistet der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen jede Unterstützung, die vernünftigerweise von ihm erwartet werden kann, einschließlich der Bereitstellung angemessener Informationen und Unterstützung bei der Bereitstellung der in Absatz 6.3 genannten Informationen, bei Anfragen von Behörden, bei der Begrenzung der Auswirkungen eines Sicherheitsvorfalls auf die Privatsphäre der betroffenen Person(en) und/oder bei der Begrenzung des Schadens, der dem für die Verarbeitung Verantwortlichen durch den Sicherheitsvorfall entstanden ist.    

6.5    Die für die Verarbeitung Verantwortliche ist allein dafür verantwortlich, die auf ihn anwendbaren Gesetze zur Meldung von Sicherheitsvorfällen oder anderen Vorfällen einzuhalten und alle Meldepflichten gegenüber Dritten im Zusammenhang mit einem Sicherheitsvorfall zu erfüllen.

Artikel 7      Export personenbezogener Daten

7.1   Der Auftragsverarbeiter oder ein von ihm beauftragter Unterauftragsverarbeiter darf personenbezogene Daten nur in Übereinstimmung mit den in den Datenschutzgesetzen festgelegten Datenschutzstandards in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) und des Vereinigten Königreichs übermitteln, auch zur Bereitstellung personenbezogener Daten.

Artikel 8      Recht auf Prüfung

8.1   Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die nach vernünftigem Ermessen erforderlich sind, um die Einhaltung dieses AVV nachzuweisen, und ermöglicht Prüfungen, einschließlich Inspektionen durch den für die Verarbeitung Verantwortlichen, um die Einhaltung dieses AVV zu beurteilen, und trägt zu diesen Prüfungen bei.

8.2   Der für die Verarbeitung Verantwortliche sorgt dafür, dass seine Vertreter, die die Prüfung durchführen, alle angemessenen Anstrengungen unternehmen, um Störungen des Geschäftsbetriebs des Auftragsverarbeiters im Zusammenhang mit der Unterstützung der Prüfung durch den Auftragsverarbeiter so gering wie möglich zu halten.

8.3    Die Unterstützung bei Prüfungen kann höchstens einmal jährlich oder nach Maßgabe der Datenschutzvorschriften oder einer zuständigen Aufsichtsbehörde angefordert werden.

8.4   Der für die Verarbeitung Verantwortliche ist für alle Kosten verantwortlich, die sich aus oder im Zusammenhang mit der Prüfung ergeben, es sei denn, die Prüfung ergibt, dass der Auftragsverarbeiter seinen Verpflichtungen zur Informationssicherheit gemäß den Datenschutzgesetzen oder diesem AVV nicht nachgekommen ist; in diesem Fall kann sich der Auftragsverarbeiter nach Rücksprache mit dem für die Verarbeitung Verantwortlichen an den angemessenen Kosten beteiligen. Der für die Verarbeitung Verantwortliche kann einen Prüfungsbericht erstellen, der die Ergebnisse und Beobachtungen zusammenfasst und als vertrauliche Information behandelt wird, die nicht an Dritte weitergegeben werden darf, es sei denn, dies ist unbedingt erforderlich, z. B. an den Rechtsbeistand, die Berater, den Datenschutzbeauftragten, die Mitarbeiter, die verbundenen Unternehmen des für die Verarbeitung Verantwortlichen oder wenn dies gesetzlich oder von einer zuständigen Aufsichtsbehörde vorgeschrieben ist, oder wenn der Auftragsverarbeiter seine Zustimmung zur Weitergabe erteilt hat.

8.5   Der Auftragsverarbeiter ist nicht verpflichtet, dem für die Verarbeitung Verantwortlichen oder einem beauftragten Prüfer über folgendes Auskunft oder Zugang zu erteilen:

1.      Alle (personenbezogenen) Daten, die einen anderen Auftraggeber des Auftragsverarbeiters betreffen;

2.      Interne, geschäftskritische oder finanzielle Informationen des Auftragsverarbeiters; oder

3.      Jegliche Informationen, die nach angemessener Einschätzung des Auftragsverarbeiters die Sicherheit des Auftragsverarbeiters oder seiner Räumlichkeiten gefährden oder den Auftragsverarbeiter dazu veranlassen könnten, seine gesetzlichen oder vertraglichen Verpflichtungen zu verletzen.

Artikel 9      Inspektionen oder Prüfungen durch Behörden

9.1   Der Auftragsverarbeiter unterzieht seine einschlägigen Verarbeitungssysteme und -einrichtungen sowie die entsprechenden Unterlagen einer Inspektion oder Prüfung durch eine zuständige Behörde, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Im Falle einer Inspektion oder Prüfung leistet jede Vertragspartei der anderen Vertragspartei jede zumutbare Unterstützung bei der Beantwortung dieser Fragen. Hält eine zuständige Behörde die Verarbeitung im Zusammenhang mit dem AVV für rechtswidrig, so ergreifen die Parteien unverzüglich Maßnahmen, um die künftige Einhaltung der geltenden Datenschutzvorschriften zu gewährleisten.

Artikel 10     Anfragen zur Zusammenarbeit und Rechte der betroffenen Person

10.1  Der für die Verarbeitung Verantwortliche ist in erster Linie für die Bearbeitung und Beantwortung der von den betroffenen Personen gestellten Anträge zuständig. Der für die Verarbeitung Verantwortliche ist verpflichtet, festzustellen, ob eine betroffene Person das Recht hat, die in den Datenschutzgesetzen festgelegten Rechte auszuüben, und dem Auftragsverarbeiter mitzuteilen, inwieweit die in Absatz 10.3 dieses Artikels genannte Unterstützung erforderlich ist.

10.2 Als Teil der im Rahmen des Vertrags erbrachten Dienstleistung stellt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen eine Reihe von Selbstbedienungsfunktionen zur Verfügung, die der für die Verarbeitung Verantwortliche nutzen kann, um personenbezogene Daten von Endnutzern abzurufen, zu berichtigen, zu löschen oder deren Verwendung einzuschränken oder um ihn bei der Erfüllung seiner Pflichten in Bezug auf die Beantwortung von Anträgen der betroffenen Person über das Kundenkonto des für die Verarbeitung Verantwortlichen ohne zusätzliche Kosten zu unterstützen. Darüber hinaus ergreift der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen, um den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtung zur Beantwortung von Anträgen auf Ausübung der in den Datenschutzgesetzen beschriebenen Rechte der betroffenen Person zu unterstützen, soweit dies möglich ist. 

10.3 Der Auftragsverarbeiter wird bei Anfragen des für die Verarbeitung Verantwortlichen im Zusammenhang mit der Verarbeitung im Rahmen des AVV, einschließlich, aber nicht beschränkt auf Beschwerden, Anträge oder Anfragen von betroffenen Personen, unverzüglich und in vollem Umfang kooperieren, soweit dies möglich ist, aber spätestens innerhalb von zehn (10) Arbeitstagen. Der Auftragsverarbeiter antwortet den betroffenen Personen nicht direkt, es sei denn, er wird vom für die Verarbeitung Verantwortlichen ausdrücklich dazu aufgefordert.

10.4 Falls der für die Verarbeitung Verantwortliche zusätzliche oder geänderte technische und organisatorische Maßnahmen benötigt, um den Rechten der betroffenen Person gerecht zu werden, die über die vom Auftragsverarbeiter gemäß Absatz 10.2 und 10.3 geleistete Unterstützung hinausgehen, wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über die Kosten für die Durchführung dieser zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen informieren. Sobald der für die Verarbeitung Verantwortliche die Übernahme dieser Kosten bestätigt hat, wird der Auftragsverarbeiter diese zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen durchführen, um den für die Verarbeitung Verantwortlichen bei der Beantwortung der Anträge der betroffenen Personen zu unterstützen.

Artikel 11     Datenschutz-Folgenabschätzungen

11.1 Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung und zur vorherigen Konsultation der Aufsichtsbehörden, die sich auf die vom Auftragsverarbeiter für den für die Verarbeitung Verantwortlichen im Rahmen dieses AVV erbrachten Dienstleistungen beziehen, indem er dem für die Verarbeitung Verantwortlichen die erforderlichen und verfügbaren Informationen zur Verfügung stellt. Wenn dem Auftragsverarbeiter dadurch zusätzliche Kosten entstehen, werden die Parteien die Fragen nach Treu und Glauben erörtern und eine Vereinbarung darüber treffen.

Artikel 12     Anfragen von Regierungsstellen

12.1  Der Auftragsverarbeiter wird einem Ersuchen einer Regierungsstelle um Bereitstellung von (oder Zugang zu) personenbezogenen Daten nur dann nachkommen, wenn dies gesetzlich vorgeschrieben ist und das Ersuchen den rechtlichen Anforderungen entspricht, einschließlich der Grundsätze der Verhältnismäßigkeit und der Subsidiarität.

12.2  Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen über ein Ersuchen einer Regierungsstelle zur Verarbeitung personenbezogener Daten, es sei denn, das Ersuchen der Regierungsstelle verbietet eine solche Mitteilung ausdrücklich. 

Artikel 13     Haftung und Entschädigung  

13.1 Jede Partei haftet für ihre in diesem AVV und in den Datenschutzgesetzen festgelegten Verpflichtungen. Jegliche Haftung, die sich aus oder im Zusammenhang mit einer Verletzung der Verpflichtungen aus diesem AVV oder der Datenschutzgesetzgebung ergibt, unterliegt den Haftungsbestimmungen, die im Vertrag festgelegt sind oder anderweitig auf diese Anwendung finden, sofern in diesem AVV nichts anderes vorgesehen ist. Fällt die Haftung unter die im Vertrag festgelegten oder anderweitig anwendbaren Haftungsbestimmungen, so gilt für die Berechnung der Haftungshöchstbeträge und/oder die Bestimmung der Anwendung anderer Haftungsbeschränkungen die im Rahmen dieses AVV entstandene Haftung als im Rahmen der betreffende Vertrag entstanden.

13.2  Der für die Verarbeitung Verantwortliche verteidigt, entschädigt und hält den Auftragsverarbeiter schadlos von allen Ansprüchen, Schäden, Verbindlichkeiten, Bewertungen, Verlusten, Kosten, Bußgeldern und anderen Ausgaben (einschließlich, aber nicht beschränkt auf angemessene Anwalts- und Gerichtskosten), die sich aus Ansprüchen, Behauptungen, Forderungen, Prozessen, Klagen, Anordnungen oder anderen Verfahren Dritter (einschließlich Aufsichtsbehörden) ergeben, die sich aus der Verletzung der Verpflichtungen des für die Verarbeitung Verantwortlichen gemäß diesem AVV oder der Datenschutzgesetze ergeben oder damit in Zusammenhang stehen.

Artikel 14     Rückgabe und Vernichtung von personenbezogenen Daten

14.1  Bei Beendigung des Vertrags kann der für die Verarbeitung Verantwortliche die personenbezogenen Daten einschließlich aller Kopien nach seiner Wahl herunterladen. Der für die Verarbeitung Verantwortliche kann den Auftragsverarbeiter auffordern, die personenbezogenen Daten sicher zu vernichten, es sei denn, der Vertrag oder die Datenschutzgesetze sehen etwas anderes vor. In diesem Fall darf der Auftragsverarbeiter die personenbezogenen Daten nicht mehr verarbeiten, es sei denn, dies ist aufgrund des Vertrags oder der Datenschutzgesetze erforderlich. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen eine Reihe von Selbstbedienungsfunktionen zur Verfügung, die der für die Verarbeitung Verantwortliche nutzen kann, um seine personenbezogenen Daten selbständig zu extrahieren.

14.2 Falls der für die Verarbeitung Verantwortliche zusätzliche oder geänderte technische und organisatorische Maßnahmen benötigt, um personenbezogene Daten zu erhalten, die über die angemessene Unterstützung durch den Auftragsverarbeiter gemäß Absatz 14.1 hinausgehen, wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über die Kosten für die Umsetzung dieser zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen informieren. Sobald der für die Verarbeitung Verantwortliche die Übernahme dieser Kosten bestätigt hat, wird der Auftragsverarbeiter die zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen ergreifen, um dem für die Verarbeitung Verantwortlichen zu helfen, eine Kopie seiner personenbezogenen Daten zu erhalten.

14.3  Wenn der für die Verarbeitung Verantwortliche den Auftragsverarbeiter nicht innerhalb von dreißig (30) Tagen nach Beendigung des AVV auffordert, die personenbezogenen Daten zurückzugeben oder zu vernichten, kann der Auftragsverarbeiter die personenbezogenen Daten vernichten. In diesem Fall vernichtet der Auftragsverarbeiter die personenbezogenen Daten spätestens innerhalb von neunzig (90) Tagen nach Beendigung des AVV.

Artikel 15     Laufzeit und Kündigung

15.1  Dieser AVV tritt in Kraft, sobald der Auftragsverarbeiter nach Annahme des AVV mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beginnt.

15.2  Dieser AVV ist so lange gültig, wie der Vertrag besteht. Bei Beendigung des Vertrags endet dieser AVV von Rechts wegen.

15.3  Alle Verpflichtungen aus diesem AVV, die ihrer Natur nach auch nach Beendigung des Vertrags fortbestehen sollen, gelten auch nach der Beendigung weiter.

Artikel 16     Änderungen und Neuverhandlungen

16.1  Der Auftragsverarbeiter kann von Zeit zu Zeit Änderungen an diesen Bedingungen vornehmen. Falls Änderungen vorgenommen werden, wird der für die Verarbeitung Verantwortliche über den/die Kontoinhaber des für die Verarbeitung Verantwortlichen oder durch eine produktinterne Benachrichtigung oder einen anderen praktischen Kommunikationskanal über diese Änderungen informiert. Sofern der Auftragsverarbeiter in der Mitteilung nichts anderes angibt, gelten die geänderten Bedingungen ab dem Zeitpunkt, zu dem der Vertrag des für die Verarbeitung Verantwortlichen verlängert wird. Die Erneuerung des Vertrags bestätigt, dass der für die Verarbeitung Verantwortliche die Änderungen akzeptiert. Wenn der für die Verarbeitung Verantwortliche den geänderten Bedingungen nicht zustimmt, muss er die Nutzung der Dienste des Auftragsverarbeiters einstellen, indem er den Vertrag gemäß den Kündigungsrechten kündigt.

16.2  Die Vertragsparteien stimmen hiermit im voraus Änderungen des AVV zu, die sich aus Änderungen des Rechtsrahmens für den Schutz personenbezogener Daten ergeben und die für die Einhaltung der einschlägigen Gesetze und Vorschriften oder deren Auslegung oder der Politik der Behörden unbedingt erforderlich sind.

Artikel 17     Kontaktpersonen

17.1  Bei Fragen oder Beschwerden im Zusammenhang mit diesem AVV kann der Kundendienst des Auftragsverarbeiters unter den nachstehenden Kontaktdaten kontaktiert werden:

Funktion: Kundendienst

Kontaktseite: https://www.timemoto.com/contact-sales  

Artikel 18     Verschiedenes

18.1  Dieser AVV unterliegt dem niederländischen Recht.

18.2  Streitigkeiten, die sich aus diesem AVV ergeben, werden unter Ausschluss des Rechtsweges der Stelle vorgelegt, die für die Verhandlung und Entscheidung von Streitigkeiten aus dem Vertrag zuständig ist. In Ermangelung einer solchen Stelle ist das im Vertrag vereinbarte zuständige Gericht ausschließlich zuständig.

18.3  Etwaige allgemeine Geschäftsbedingungen des für die Verarbeitung Verantwortlichen gelten nicht für diesen AVV und werden vom Auftragsverarbeiter ausdrücklich abgelehnt. Im Falle eines Widerspruchs zwischen diesem AVV und dem Vertrag hat der AVV Vorrang.

ANHANG A - INFORMATIONEN ÜBER DIE VERARBEITUNG

A.1. Der Auftragsverarbeiter hat eine Lösung für die Zeiterfassung mit dem Namen TimeMoto definiert, entworfen und entwickelt, die intelligente Zeiterfassungssysteme verwendet. Die Lösung ermöglicht eine einfache und sichere Zeiterfassung mit einer begleitenden TimeMoto Cloud, die es Unternehmen ermöglicht, Echtzeitdaten zu verwalten, einschließlich Arbeitsplänen, Überstunden und Abwesenheiten. Die Zwecke der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen sind:

-            Erstellen und Einrichten von Endnutzerkonten

-            Zeiterfassung und Terminplanung

-            Registrierung von Abwesenheit und Überstunden

-            Erstellung von Berichten.

A.2. Die Verarbeitung umfasst die folgenden Arten von personenbezogenen Daten:

·      Bezüglich TimeMoto Uhren

Fingerabdruck und Gesichtserkennung, PIN, Dienstnummer.

TimeMoto B.V. verarbeitet diese Daten nicht in der Eigenschaft als Auftragsverarbeiter, weshalb diese nicht in den Geltungsbereich dieses AVV fallen. TimeMoto hat keinen Zugang zu diesen Daten.

·      Bezüglich TimeMoto Cloud

Vor- und Nachname, Zeitdatensätze, E-Mail-Adresse, Kontopasswort, Endnutzer-ID der Stechuhr, Zeitzone, Sprache, Mitarbeiternummer / zweite Mitarbeiternummer, Dienstnummer (Nummer des Ausweises, den der Endnutzer zur Identifizierung an der/den Stechuhr[en] verwenden kann), Endnutzerstatus, Tätigkeitsdaten, Gehaltsvorlage (mit allen Informationen über das Gehalt des Mitarbeiters und Überstundenregelungen), Arbeitszeitplan, Stundensatz, Urlaubs-/Ferienprofil, sonstige Urlaubsgründe (z. B., Krankheit) ohne Offenlegung spezifischer Krankheits- oder Gesundheitsinformationen, Flexibank mit Angabe der angesammelten Urlaubstage, Mitglied des Notfallteams (Mitglieder des Notfallteams sind befugt, Feueralarm auszulösen, um das Personal des für die Verarbeitung Verantwortlichen im Notfall vor Ort zu alarmieren), Abteilung, Orte, an denen Mitarbeiter ihre Arbeitszeit mit Stechuhren erfassen können, Endnutzerprivilegien, Ort der Stechuhr.

A.3. Die Verarbeitung umfasst die folgenden Kategorien von betroffenen Personen:

-            Mitarbeiter des für die Verarbeitung Verantwortlichen,

-            Berater, Zeitarbeitskräfte, Praktikanten oder andere Personen, denen der für die Verarbeitung Verantwortliche Zugang gewähren kann.

ANHANG B - UNTERAUFTRAGSVERARBEITER

Name:          Microsoft Azure

Funktion:               Unterauftragsverarbeiter

Aktivitäten: Der Hosting-Service für Kunden aus der EU und dem Vereinigten Königreich befindet sich in der EU (den Niederlanden).

Name:          Utilus

Funktion:               Unterauftragsverarbeiter

Aktivitäten: Produktentwicklung und Wartung der Software und der Infrastruktur.

Name:          Sendgrid

Funktion:               Unterauftragsverarbeiter

Aktivitäten: Versand von Transaktions-E-Mails (Zugriff auf E-Mail-Daten) wie Aktivierung, Zurücksetzen von Passwörtern, Berichte über Benachrichtigungen.

Name:          Hibernating Rhinos

Funktion:               Unterauftragsverarbeiter

Aktivitäten: Datenbankdienste.

ANHANG C - TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN

Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust oder jede Form der unrechtmäßigen Verarbeitung zu schützen. Diese Maßnahmen, die Implementierungskosten sowie die Art, der Umfang, der Kontext und die Verarbeitungsziele bieten ein angemessenes Maß an Sicherheit. Die Maßnahmen zielen auch darauf ab, die unnötige Erhebung und Weiterverarbeitung personenbezogener Daten zu verhindern. Zu den Sicherheitsmaßnahmen gehören:  

A.   Vertraulichkeit der Daten: 

1.    Maßnahmen für den physischen Zugriff auf die Hardware 

Die Anwendungen des Auftragsverarbeiters werden in hochsicheren Datenzentren in der EU (Niederlande) gehostet. Die Datenzentren sind mit strengen physischen Zugangskontrollen ausgestattet, wie: 

-       Der physische Zugang zu den Rechenzentren wird nur dem ernannten und registrierten Personal der Kunden und der Rechenzentren gewährt;

-       Besucher müssen bei der Leitung des Rechenzentrums vorher angemeldet werden, damit der Zugang freigegeben werden kann;

-       Besucher der Rechenzentren müssen sich mit einem gültigen Ausweis und einem auf ihren Namen ausgestellten persönlichen Zugangsausweis ausweisen;

-       Über alle Besuche wird ein Protokoll geführt;

-       Die Regale, in denen die Server untergebracht sind, sind verschlossen. Es gibt eine Schlüsselverwaltung;

-       Maßnahmen zur Verhinderung von Einbrüchen und Verbindung zur Alarmzentrale.

2.    Maßnahmen für den physischen Zugang zum Büro des externen IT-Partners des Auftragsverarbeiters 

-       Besucher müssen dem Management des IT-Partners angekündigt werden;

-       Besucher in den Räumlichkeiten des IT-Partners müssen stets von einem Mitarbeiter des IT-Partners begleitet werden;

-       In den Räumlichkeiten des IT-Partners werden keine Produktionsdaten gespeichert; 

-       Maßnahmen zur Verhinderung von Einbrüchen und Verbindung zur Alarmzentrale.

3.    Maßnahmen zur Zugangskontrolle auf Serverebene 

-       Der Zugang zu Servern über ein VPN (Virtual Private Network) erfordert individuelle Anmeldedaten, und das VPN ist nur auf Client-Systemen in einem dedizierten Netzwerk zugänglich, für das eine passwortbasierte Netzwerkauthentifizierung erforderlich ist. Nur befugtes Personal verfügt über die erforderlichen Berechtigungsnachweise, und es gibt eine Berechtigungsmatrix;         

-       Die VPN-Verwaltung läuft über ein separates Netzwerkmanagementsystem, auf das nur autorisiertes Personal Zugriff hat. Es gibt eine Zulassungsmatrix;       

-       Der Zugang zu den Servern wird protokolliert und ist rückverfolgbar.

4.    Maßnahmen zur Zugriffskontrolle auf Datenebene  

-       Der Zugang zu den Daten erfordert Autorisierungsschlüssel, die über eine Autorisierungsmatrix verwaltet werden;

-       Software-Versionskontrolle und DTAP-Protokolle (Design, Test, Accept & Production) sind vorhanden.

5.    Maßnahmen für Kopierverfahren und Sicherheit 

-       Alle Backups werden verschlüsselt und an einem separaten Ort aufbewahrt;

-       Alle Passwörter und Anmeldedaten werden sicher verschlüsselt und mit einer klaren Struktur und Hierarchie gespeichert und sind nur für autorisiertes Personal zugänglich;

-       Alle betroffenen Mitarbeiter haben eine Geheimhaltungsvereinbarung unterzeichnet und sich mit dem Verhaltenskodex für Datensicherheit und -integrität einverstanden erklärt;

-       Alle Server verfügen über gültige SSL-Zertifikate;

-       Sichere VPN-Tunnel werden mit Verschlüsselungsstandards wie AES256 und/oder 3DES und PFS gehasht (siehe A.3);

-       Die Server sind durch Firewalls vor Angriffen von außen geschützt;

-       Biometrische Daten werden immer sicher in gehashten Textstrings verschlüsselt, die nicht auf einzelne biometrische Daten zurückverfolgt werden können. Auf keinem Produkt der TimeMoto Suite werden biometrische Stammdaten gespeichert;

-       Nur bestimmte Rollen haben innerhalb des Systems das Recht, Profile zu löschen;

-       Ein Aktivitätsprotokoll darüber, wer die Löschung eines Profils veranlasst hat; in Situationen, in denen ein Backup absichtlich und möglicherweise böswillig gelöscht wird, würde das System ein Protokoll darüber ermöglichen, wer die Löschung durchgeführt hat.

B.   Integrität der Daten: 

-        Die Schnittstellen zwischen Terminals und Servern sind mit HTTPS-Verbindungen gesichert;

-        Es werden nur die personenbezogenen Daten verarbeitet, die für die ordnungsgemäße Erfüllung des Vertragszwecks erforderlich sind (Vor- und Nachnamen, E-Mail-Adressen und Zeiterfassungsdaten [Anwesenheit, Abwesenheit, Projektzeiten, freie Tage, Urlaub, Fehlzeiten]);

-        Es gibt einen VPN-Tunnel für den Zugang zu Servern (siehe A.3);

-        Es gibt rückverfolgbare Protokolle für die Kommunikation zwischen Terminal und Server, den Serverzugang und den Datenbankzugang.

C.   Verfügbarkeit der Daten: 

-        Die Server haben eine Verfügbarkeitszeit von 99,95 %;

-        Es werden regelmäßige Testwiederherstellungen von Backups durchgeführt;

-        Redundante Hardware und Verbindungen sind vorhanden;

-        Die Rechenzentren sind mit mehreren unterbrechungsfreien Stromversorgungen (USV) und Dieselgeneratoren ausgestattet, um eine redundante Stromversorgung zu gewährleisten.