← Zurück zur Startseite

📜 Auftragsverarbeitungsvertrag (AVV)

Vertrag über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DSGVO.

zwischen

[Name und Anschrift des Kunden]

– als Verantwortlicher, nachfolgend „AG" für Auftraggeber genannt –

und

Daniela Seebald, Storchenweg 11, 33335 Gütersloh

– als Auftragsverarbeiter, nachfolgend „AN" für Auftragnehmer genannt –

– beide gemeinsam als „Parteien" bezeichnet –

Präambel

(1) Der AG hat den AN mit der softwaregestützten Verwaltung von Fuhrpark, Touren und Aufträgen beauftragt.

(2) Teil der Vertragsdurchführungen ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

§ 1 Begriffsbestimmungen

(1) Verantwortlicher ist gem. Art. 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

(2) Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(3) Personenbezogene Daten sind gem. Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

(4) Besonders schutzbedürftige personenbezogene Daten sind personenbezogene Daten gem. Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DSGVO, biometrische Daten gem. Art. 4 Abs. 14 DSGVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DSGVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

(5) Verarbeitung ist gem. Art. 4 Abs. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(6) Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DSGVO eine von einem Mitgliedstaat gem. Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.

§ 2 Angabe der zuständigen Datenschutz-Aufsichtsbehörde

(1) Zuständige Aufsichtsbehörde für den AG ist die Aufsichtsbehörde im Bundesland des Geschäftssitzes des AG, vgl. https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_node.html.

(2) Zuständige Aufsichtsbehörde für den AN ist die Aufsichtsbehörde im Bundesland des Geschäftssitzes des AN, vgl. https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_node.html.

(3) Die Parteien und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

§ 3 Vertragsgegenstand und -dauer

(1) Bei der Leistungserbringung erhält der AN Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des AG. Umfang und Zweck der Datenverarbeitung durch den AN ergeben sich aus den gemäß Leistungsscheinen vereinbarten Leistungen. Dem AG obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.

(2) Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung.

(3) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit der Leistungserbringung in Zusammenhang stehen und bei der der AN und seine Beschäftigten oder durch den AN Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom AG stammen oder für den AG erhoben wurden.

(4) Die Laufzeit dieses Vertrags richtet sich nach der vereinbarten Vertragslaufzeit, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

§ 4 Weisungsrecht

(1) Der AN wird Daten nur im Rahmen des Hauptvertrages und gemäß den Weisungen des AG verarbeiten; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der AN durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem AG diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Die Weisungen des AG werden anfänglich durch diesen Vertrag festgelegt und können vom AG danach in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der AG ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

(3) Alle erteilten Weisungen sind sowohl vom AG als auch vom AN zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

(4) Ist der AN der Ansicht, dass eine Weisung des AG gegen datenschutzrechtliche Bestimmungen verstößt, hat er den AG unverzüglich darauf hinzuweisen. Der AN ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den AG bestätigt oder geändert wird. Der AN darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 5 Art der verarbeiteten Daten, Kreis der Betroffenen

(1) Im Rahmen der Durchführung des Hauptvertrags erhält der AN Zugriff auf die in Anlage 1 näher spezifizierten personenbezogenen Daten.

(2) Der Kreis der von der Datenverarbeitung Betroffenen ist ebenfalls in Anlage 1 dargestellt.

§ 6 Schutzmaßnahmen des AN

(1) Der AN ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des AG erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

(2) Der AN wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des AG gem. Art. 32 DSGVO, insbesondere mindestens die in Anlage 2 aufgeführten Maßnahmen der a) Zutrittskontrolle, b) Zugangskontrolle, c) Zugriffskontrolle, d) Weitergabekontrolle, e) Eingabekontrolle, f) Auftragskontrolle, g) Verfügbarkeitskontrolle, h) Trennungskontrolle. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem AN jederzeit vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Den bei der Datenverarbeitung durch den AN beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Der AN wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b) DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem AN bestehen bleiben. Dem AG sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

§ 7 Informationspflichten des AN

(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des AN, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den AN, bei ihm im Rahmen des Auftrages beschäftigten Personen oder durch Dritte wird der AN den AG unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des AN durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:

(2) Der AN trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den AG und ersucht um weitere Weisungen.

(3) Der AN ist darüber hinaus verpflichtet, dem AG jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.

(4) Sollten die Daten des AG beim AN durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist.

(5) Der AN wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim AG als „Verantwortlichem" im Sinne der DSGVO liegt.

(6) Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 6 Abs. 2 dieses Vertrages hat der AN den AG unverzüglich zu unterrichten.

(7) Der AN und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des AG durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DSGVO enthält. Das Verzeichnis ist dem AG auf Anforderung zur Verfügung zu stellen.

(8) An der Erstellung des Verzeichnisses durch den AG hat der AN im angemessenen Umfang mitzuwirken. Er hat dem AG die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

§ 8 Kontrollrechte des AG

(1) Der AG hat das Recht, im Benehmen mit dem AN Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den AN in dessen Geschäftsbetrieb zu überzeugen.

(2) Der AN verpflichtet sich, dem AG auf dessen Anforderung in Textform innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des AN erforderlich sind. Der AN stellt sicher, dass sich der AG von der Einhaltung der Pflichten des AN nach Art. 28 DSGVO überzeugen kann.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch eine Übersicht der technischen und organisatorischen Maßnahmen oder ein Datenschutzkonzept.

(4) Für die Ermöglichung von Kontrollen durch den AG kann der AN einen Vergütungsanspruch geltend machen.

§ 9 Einsatz von Subunternehmern

(1) Die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung von nachfolgenden Subunternehmen durchgeführt:

ALL-INKL.COM (Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland) – für das Hosting.

Anthropic PBC, 548 Market Street, PMB 58790, San Francisco, CA 94104-5401, USA – für den Chatbot-Support.

(2) Der AN ist darüber hinaus im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis") befugt, soweit er den AG hiervon vorab in Kenntnis setzt und dieser der Beauftragung des Subunternehmers vorab in Textform zugestimmt hat. Der AN ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der AN hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der AG seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der AN sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Zertifizierung nach Data Privacy Framework oder durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der AN wird dem AG auf Verlangen das Zertifikat bzw. den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

(3) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der AN Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der AN für den AG erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den AG genutzt werden.

§ 10 Anfragen und Rechte Betroffener

(1) Der AN unterstützt den AG nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12-22 sowie 32 und 36 DSGVO.

(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem AN geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den AG und wartet dessen Weisungen ab.

§ 11 Beendigung

(1) Der AN wird dem AG nach Beendigung des Vertrages jederzeit auf dessen Anforderung etwaig ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des AG, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim AN. Der AN hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.

(2) Der AG hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim AN in geeigneter Weise zu kontrollieren.

(3) Der AN ist verpflichtet, auch über das Ende des Vertrages hinaus die ihm im Zusammenhang mit dem Vertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Vertrages hinaus solange gültig, wie der AN über personenbezogene Daten verfügt, die ihm vom AG zugeleitet wurden oder die er für diesen erhoben hat.

§ 12 Haftung

(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum AN alleine der AG gegenüber dem Betroffenen verantwortlich.

(2) Der AG hält den AN von Geldforderungen Dritter im Zusammenhang mit der Auftragsverarbeitung von Daten auf erstes Anfordern des AN in wirtschaftlicher Hinsicht frei. Dies gilt nicht, wenn und soweit der AN seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des AG oder gegen diese Anweisungen gehandelt hat und die Geldforderung sich hieraus begründet. Art. 82 Abs. 2 bis 4 DSGVO bleiben hiervon unberührt.

(3) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

§ 13 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

(2) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nichtig oder unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle von nicht einbezogenen oder unwirksamen Bestimmungen tritt das Gesetzesrecht. Sofern solches Gesetzesrecht im jeweiligen Fall nicht zur Verfügung steht (Regelungslücke) oder zu einem untragbaren Ergebnis führen würde, werden die Parteien in Verhandlungen darüber eintreten, anstelle der nicht einbezogenen oder unwirksamen Bestimmung eine wirksame Regelung zu treffen, die ihr wirtschaftlich möglichst nahekommt.

(3) Diese Vereinbarung unterliegt deutschem Recht.

(4) Ist der AG Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist der ausschließliche Gerichtsstand für alle Streitigkeiten aus dieser Vereinbarung der Sitz des AN.

_______________________________     _______________________________

Ort, Datum (AG)                  Ort, Datum (AN)

_______________________________     _______________________________

AG                                          AN

Anlage 1 – Arten der verarbeiteten Daten / Betroffene / Zweck

1. Kategorien personenbezogener Daten

1.1 Stammdaten / Identifikationsdaten: Namen von Nutzer:innen der Software (z.B. Fahrer:innen, Disponent:innen, Administrator:innen), Benutzername / Login-Name, Firmenzugehörigkeit, Rolle/Funktion im System, Namen von Mitarbeiter:innen (Mitarbeiter-Stammdaten), ggf. Namen von Ansprechpartner:innen bei Kund:innen, ggf. BF3-Schein-Gültigkeit.

1.2 Kontaktdaten und Kommunikationsinhalte: E-Mail-Adressen der Nutzer:innen und Ansprechpartner:innen, ggf. Telefonnummern, Inhalte von Anfragen über Kontaktformular oder E-Mail, Inhalte von Chat-Nachrichten im auftragsbezogenen internen Chat, Metadaten der Kommunikation (Zeitpunkt, Absender, Empfänger).

1.3 Kunden- und Account-Daten: Benutzerkontodaten (Login-E-Mail, Passwort-Hash, Rollen/Rechte, Zuordnung zu einer Firma), Stammdaten des Kundenkontos (Name der Firma/Organisation, Adressdaten, Einstellungen, Tarife/Pläne), Kundendaten zu Endkund:innen des Mandanten (z.B. Name, Adresse, Kontaktdaten, Auftragsadressen).

1.4 Nutzungs- und Protokolldaten der Software: Zeitpunkt des Zugriffs, genutzte Funktionen / aufgerufene Bereiche, IP-Adresse, Browserinformationen (User-Agent), Server-Logfiles, Protokolldaten zu Push-Subscriptions (Endpunkt-URL, kryptografische Schlüssel, Gerätezuordnung), ggf. Token-Daten für geteilte Streckenprotokolle und vergleichbare Einmal-Links.

1.5 Auftrags-, Touren- und Fuhrparkdaten: Auftragsdaten (Auftragsort, Ziel, Datum, Kennzeichen, Kilometerstand), Begleitscheindaten und Tourinformationen, digitale Unterschriften (als Bilddatei gespeichert), Zeiterfassungsdaten (Beginn/Ende), Fahrzeugdaten (Kennzeichen, Fahrzeugtyp, TÜV-Termine, Wartungsintervalle), Zuordnung von Fahrzeugen zu Mitarbeiter:innen / Touren, ggf. Spesendaten.

1.6 Inhaltsdaten aus der Nutzung der Software: hochgeladene Dokumente (z.B. Genehmigungen, Roadbooks, Bestellaufträge), interne Notizen und Dokumente, Spesenbelege (Foto/PDF), Inhaltsdaten in Streckenprotokollen, sonstige durch den Kunden eingestellte oder erzeugte Inhalte, soweit personenbezogen.

1.7 Daten im Zusammenhang mit Streckenprotokoll & GPS: GPS-Tracks (Routenpunkte mit Zeitstempel), Points of Interest (POIs), Fotos von Streckenabschnitten, Token-Daten für geteilte Streckenprotokolle, ggf. Empfänger-Daten bei geteilten Protokollen.

1.8 Daten im Zusammenhang mit Führerschein-Kontrolle: Führerscheinnummer (Feld 5), Datum der letzten erfolgreichen Kontrolle, Verifikationsstatus (ja/nein). Hinweis: Das Foto des Führerscheins wird ausschließlich lokal auf dem Endgerät verarbeitet und nicht beim Auftragnehmer gespeichert.

1.9 Mitarbeiter-Stammdaten: Name, Benutzername/Login, Rolle, optional Kennzeichen, BF3-Schein-Gültigkeit, Datum der letzten Führerschein-Kontrolle, Führerscheinnummer (Feld 5).

1.10 Abrechnungs- und Zahlungsdaten (beim AN): Rechnungs-E-Mail-Adresse, Name/Firma des Kunden, Vertrags- und Abrechnungsdaten (Tarif/Plan, Laufzeit, Rechnungsnummer, -betrag, Zahlungsverlauf). Hinweis: Zahlungsdaten wie IBAN/Kartendaten werden durch den Zahlungsdienstleister (Mollie) verarbeitet und nicht dauerhaft beim Auftragnehmer gespeichert.

2. Kategorien betroffener Personen

3. Zweck der Verarbeitung

3.1 Bereitstellung und Betrieb der Software (Touren-, Auftrags- und Fuhrparkverwaltung): Verwaltung von Kundenkonten, Benutzer:innen, Rollen und Zugriffsrechten; Planung, Durchführung und Dokumentation von Aufträgen und Touren; Erstellung, Verarbeitung und Archivierung von Begleitscheinen, Tourdaten und Dokumenten; interne Fuhrparkverwaltung; Erfassung und Auswertung von Spesen und Belegen; Nutzung des optionalen Streckenprotokoll-Moduls.

3.2 Interne Kommunikation und Zusatzfunktionen: Bereitstellung eines internen, auftragsbezogenen Chats; Austausch und Archivierung von Chat-Nachrichten; Bereitstellung von Push-Nachrichten; Nutzung optionaler Module (z.B. Streckenprotokoll-Sharing per Token-Link).

3.3 Führerschein-Kontrolle und gesetzliche Halterpflichten: Unterstützung der regelmäßigen Führerscheinkontrolle; Nachweis der Kontrollen; Erfüllung der Halterhaftungs-Pflichten (§ 31 StVZO) und interner Compliance-Vorgaben.

3.4 Nutzungs- und Systemsicherheit: Sicherstellung des technischen Betriebs; Protokollierung von Zugriffen und sicherheitsrelevanten Ereignissen; Fehlererkennung und -behebung, Monitoring; IT-Sicherheit; Verwaltung von Push-Subscriptions.

3.5 Vertragsdurchführung und Kundenbetreuung: Begründung, Durchführung und Beendigung des Vertragsverhältnisses; Verwaltung von Tarifen/Plänen, Abrechnungs- und Vertragsdaten; Rechnungsstellung, Zahlungsabwicklung und Leistungsnachweis; Bearbeitung von Supportanfragen.

3.6 Erfüllung gesetzlicher Pflichten: Einhaltung handels- und steuerrechtlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO); Nachweis- und Auskunftspflichten gegenüber Aufsichtsbehörden; Erfüllung weiterer gesetzlicher Pflichten (Halterhaftung, Arbeitsschutz, Verkehrssicherheit).

Anlage 2 – Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO

Legende: = beim Auftragnehmer umgesetzt  ·  ⊘ Hoster = wird durch das Rechenzentrum ALL-INKL.COM gewährleistet (eigene TOM des Hosters)  ·  = nicht einschlägig

Der Betrieb der Software erfolgt in einem ISO-zertifizierten Rechenzentrum des Hosters ALL-INKL.COM (Neue Medien Münnich) in Deutschland. Sämtliche infrastrukturbezogenen Maßnahmen (insbesondere Zutritts-, Verfügbarkeits- und physische Datenträgerkontrolle) werden durch den Hoster nach dessen eigenen, dokumentierten technischen und organisatorischen Maßnahmen gewährleistet, die dem AG auf Anfrage nachgewiesen werden.

2.1 Zutrittskontrolle

Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren.

2.2 Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

2.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte ausschließlich auf die ihrer Berechtigung unterliegenden Daten zugreifen können.

2.4 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass Daten bei Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

2.5 Eingabekontrolle

Maßnahmen, die nachträglich überprüfbar machen, ob und von wem Daten eingegeben, verändert oder entfernt wurden.

2.6 Auftragskontrolle

Maßnahmen, die sicherstellen, dass im Auftrag verarbeitete Daten weisungsgemäß verarbeitet werden.

2.7 Verfügbarkeitskontrolle

Maßnahmen, die Daten gegen zufällige Zerstörung oder Verlust schützen.

2.8 Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

Stand: Juni 2026