Auftragsverarbeitungsvertrag (AVV)

Ready to Build up Your Website's Maintenance?

Subscribe and let us make your website better!

14 days Money Back Guarantee
Basic Care
$ 69
monthly
Basket Subscribe
Advanced Care
$ 99
monthly
Basket Subscribe
Premium Care
$ 159
monthly
Basket Subscribe

Version 1.0

 

Diese Datenverarbeitungsvereinbarung („DPA“) ist Bestandteil und Ergänzung der Nutzungsbedingungen, des Abonnementvertrags, des Bestellformulars oder anderer Vereinbarungen, die die Nutzung der CodiCo Dispatch Software regeln (der „Hauptvertrag“), geschlossen zwischen:

 

BILTO GROUP LLC, einem Unternehmen mit Sitz in den Vereinigten Arabischen Emiraten, das die CodiCo Dispatch Software betreibt („Auftragsverarbeiter“),

 

und

 

dem Kunden, der als Verantwortlicher für personenbezogene Daten handelt („Verantwortlicher“).

 

Der Verantwortliche und der Auftragsverarbeiter werden zusammen als die „Parteien“ bezeichnet.

 

1. ZWECK

Diese DPA regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der CodiCo Dispatch Software und damit verbundenen Dienstleistungen.

 

Die Parteien erkennen an, dass der Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und als Verantwortlicher agiert, während der Auftragsverarbeiter ausschließlich als Auftragsverarbeiter gemäß Artikel 28 DSGVO tätig wird.

 

2. DEFINITIONEN

„Personenbezogene Daten“, „Verantwortlicher“, „Auftragsverarbeiter“, „Betroffene Person“, „Verarbeitung“, „Aufsichtsbehörde“ und andere großgeschriebene Begriffe haben die ihnen im Rahmen der DSGVO zugewiesene Bedeutung.

 

„Kundendaten“ bezeichnet alle personenbezogenen Daten, die durch den Verantwortlichen oder in dessen Namen über die CodiCo Dispatch Software übermittelt, gespeichert, übertragen oder anderweitig verarbeitet werden.

 

3. ART DER VERARBEITUNG

Der Auftragsverarbeiter stellt cloudbasierte Dienste für Disposition, Buchung, Flottenmanagement, Fahrermanagement, Fahrgastmanagement, Terminplanung, Berichterstattung, Kommunikation und damit verbundene Dienstleistungen bereit.

 

Die Verarbeitung kann Folgendes umfassen:

 

● Erhebung;

● Speicherung;

● Organisation;

● Abruf;

● Konsultation;

● Übermittlung;

● Synchronisierung;

● Löschung;

● Analyse, die für den Betrieb des Dienstes erforderlich ist.

 

Der Auftragsverarbeiter wird personenbezogene Daten ausschließlich zum Zweck der Erbringung der Dienstleistungen und gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeiten.

 

4. KATEGORIEN DER BETROFFENEN PERSONEN

Die Kategorien der betroffenen Personen können Folgendes umfassen:

 

● Fahrgäste;

● Kunden;

● Fahrer;

● Disponenten;

● Operatoren;

● Administratoren;

● Mitarbeiter des Verantwortlichen;

● Geschäftskontakte.

 

5. KATEGORIEN PERSONENBEZOGENER DATEN

Die Kategorien personenbezogener Daten können Folgendes umfassen:

 

● Namen;

● E-Mail-Adressen;

● Telefonnummeren;

● Buchungsinformationen;

● Fahrtinformationen;

● Abhol- und Zielorte;

● Fahrerinformationen;

● Fahrzeuginformationen;

● Zugangsdaten für das Konto;

● GPS- und Standortdaten;

● Kommunikationsprotokolle;

● Informationen zur Nutzung des Dienstes.

 

Der Verantwortliche darf keine besonderen Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO hochladen oder übermitteln, es sei denn, dies wurde ausdrücklich schriftlich vereinbart.

 

Der Auftragsverarbeiter verlangt oder fordert keine Kopien von Reisepässen, Führerscheinen, Krankenakten oder anderen Daten besonderer Kategorien an.

 

6. VERANTWORTLICHKEITEN DES VERANTWORTLICHEN

Der Verantwortliche garantiert, dass:

 

a) er über eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten verfügt;

b) er den betroffenen Personen alle erforderlichen Informationen bereitgestellt hat;

c) er die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten trägt;

d) er alle erforderlichen Einwilligungen eingeholt hat, sofern diese erforderlich sind.

 

Der Verantwortliche bleibt allein verantwortlich für die Einhaltung der DSGVO und der geltenden Datenschutzgesetze.

 

7. PFLICHTEN DES AUFTRAGSVERARBEITERS

Der Auftragsverarbeiter wird:

 

a) personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen verarbeiten;

b) die Vertraulichkeit des Personals mit Zugriff auf personenbezogene Daten gewährleisten;

c) geeignete technische und organisatorische Maßnahmen umsetzen;

d) den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen unterstützen, soweit dies vernünftigerweise möglich ist;

e) den Verantwortlichen unverzüglich benachrichtigen, nachdem er von einer Verletzung des Schutzes personenbezogener Daten erfahren hat, die Kundendaten betrifft;

f) angemessene Unterstützung hinsichtlich der Verpflichtungen zur Einhaltung der DSGVO leisten.

 

8. SICHERHEITSMASSNAHMEN

Der Auftragsverarbeiter wird angemessene und geeignete administrative, technische und organisatorische Schutzmaßnahmen aufrechterhalten, um Kundendaten vor unbefugtem Zugriff, unbefugter Offenlegung, Änderung oder Zerstörung zu schützen.

 

Die Sicherheitsmaßnahmen können Folgendes umfassen:

 

● HTTPS-Verschlüsselung;

● Zugangskontrollen;

● Authentifizierungsverfahren;

● rollenbasierte Berechtigungen;

● Datensicherungen;

● Firewall-Schutz;

● Überwachung und Protokollierung;

● Sicherheitsupdates für Software.

 

Der Auftragsverarbeiter garantiert nicht, dass die Dienste frei von jeglichen Schwachstellen oder Sicherheitsvorfällen sind.

 

9. UNTERAUFTRAGSVERARBEITER

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern.

 

Der Auftragsverarbeiter kann von Zeit zu Zeit Unterauftragsverarbeiter hinzufügen, ersetzen oder entfernen, wenn dies für die Erbringung der Dienstleistungen vernünftigerweise erforderlich ist.

 

Der Auftragsverarbeiter wird eine aktuelle Liste der Unterauftragsverarbeiter führen und diese Informationen auf Anfrage zur Verfügung stellen.

 

Der Auftragsverarbeiter bleibt für die Leistung seiner Unterauftragsverarbeiter in dem vom geltenden Recht geforderten Umfang verantwortlich.

 

Dienste von Drittanbietern, die vom Verantwortlichen unabhängig ausgewählt, angebunden oder konfiguriert werden, gelten nicht als Unterauftragsverarbeiter des Auftragsverarbeiters.

 

10. INTERNATIONALE DATENÜBERMITTLUNG

Der Verantwortliche nimmt zur Kenntnis, dass auf Kundendaten international zugegriffen, diese verarbeitet oder übertragen werden können, wenn dies für den Betrieb, die Wartung, den Support und die Bereitstellung der Dienste erforderlich ist.

 

Der Auftragsverarbeiter wird geeignete Garantien implementieren, sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist.

 

11. ANFRAGEN VON BETROFFENEN PERSONEN

Wenn der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person bezüglich der Kundendaten erhält, kann der Auftragsverarbeiter die betroffene Person an den Verantwortlichen verweisen.

 

Der Auftragsverarbeiter wird den Verantwortlichen bei der Beantwortung solcher Anfragen angemessen unterstützen, sofern dies gesetzlich vorgeschrieben ist.

 

12. AUDITRECHTE

Der Verantwortliche kann Informationen anfordern, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA nachzuweisen.

 

Physische Inspektionen, Penetrationstests, Überprüfungen des Quellcodes, Schwachstellenscans, Zugriff auf interne Systeme, Zugriff auf vertrauliche Geschäftsinformationen oder Zugriff auf Daten anderer Kunden sind nicht erforderlich.

 

Jedes Audit muss:

 

● höchstens einmal pro Kalenderjahr stattfinden;

● während der normalen Geschäftszeiten durchgeführt werden;

● einer schriftlichen Vorankündigung von mindestens 30 Tagen unterliegen;

● den Betrieb des Auftragsverarbeiters nicht beeinträchtigen;

● auf Kosten des Verantwortlichen erfolgen.

 

13. RÜCKGABE UND LÖSCHUNG VON DATEN

Nach Beendigung der Dienste bleiben die Kundendaten zehn (10) Tage lang für den Export verfügbar.

 

Nach Ablauf dieses Zeitraums werden die Kundendaten dauerhaft aus den Produktionssystemen gelöscht.

 

In Backups enthaltene Restkopien können verbleiben, bis sie gemäß den Verfahren zur Aufbewahrung von Backups des Auftragsverarbeiters überschrieben werden.

 

14. HAFTUNGSBESCHRÄNKUNG

Soweit gesetzlich zulässig, übersteigt die gesamte Haftung des Auftragsverarbeiters, die sich aus oder im Zusammenhang mit dieser DPA ergibt, nicht die Gesamtgebühren, die der Verantwortliche in den zwölf (12) Monaten unmittelbar vor dem Ereignis, das den Anspruch begründet, an den Auftragsverarbeiter gezahlt hat.

 

Der Auftragsverarbeiter haftet nicht für indirekte, zufällige, Folgeschäden, besondere, Straf- oder exemplarische Schäden, einschließlich des Verlusts von Einnahmen, Gewinnen, Firmenwert, Geschäftsmöglichkeiten oder Daten.

 

Nichts in dieser DPA beschränkt die Haftung, wenn eine solche Beschränkung nach geltendem Recht verboten ist.

 

14.1 FREISTELLUNG DURCH DEN VERANTWORTLICHEN

Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen, Bußgeldern, Strafen, Schäden oder Kosten frei, die sich aus Folgendem ergeben:

 

● unrechtmäßige Erhebung personenbezogener Daten durch den Verantwortlichen;

● Fehlen einer rechtmäßigen Grundlage für die Verarbeitung;

● Unterlassung der Bereitstellung der erforderlichen Informationen an die betroffenen Personen;

● vom Verantwortlichen erteilte Anweisungen, die gegen geltendes Recht verstoßen.

 

15. ANWENDBARES RECHT

Diese DPA unterliegt dem im Hauptvertrag festgelegten Recht.

 

Fehlt eine solche Bestimmung, gelten die Gesetze der Vereinigten Arabischen Emirate.

 

16. RANGORDE

Im Falle eines Widerspruchs zwischen dieser DPA und dem Hauptvertrag geht diese DPA ausschließlich in Bezug auf Datenschutzangelegenheiten vor.

 

17. LAUFZEIT UND KÜNDIGUNG

Diese DPA wird an dem Tag wirksam, an dem der Verantwortliche den Hauptvertrag erstmals akzeptiert, ein Konto erstellt, auf die Dienste zugreift oder die Dienste anderweitig nutzt, je nachdem, welches Ereignis zuerst eintritt.

 

Diese DPA bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

 

Die Kündigung oder das Ablaufen des Hauptvertrags führt zur automatischen Beendigung dieser DPA, es sei denn, der Auftragsverarbeiter verarbeitet personenbezogene Daten nach einer solchen Beendigung weiterhin zum Zwecke der Datenaufbewahrung, der gesetzlichen Einhaltung, der Aufbewahrung von Backups, der Beilegung von Streitigkeiten, der Durchsetzung vertraglicher Rechte oder für andere legitime Geschäftszwecke, die nach geltendem Recht zulässig sind.

 

Die Bestimmungen in Bezug auf Vertraulichkeit, Haftung, Audits, internationale Übermittlungen, Datenlöschung, Beilegung von Streitigkeiten und alle anderen Bestimmungen, die ihrer Natur nach über die Beendigung hinaus gelten sollen, bleiben nach der Beendigung dieser DPA in Kraft.

 

Nach Beendigung der Dienste werden Kundendaten gemäß Abschnitt 13 (Rückgabe und Löschung von Daten) behandelt.

 

Die Beendigung dieser DPA entbindet die Parteien nicht von Verpflichtungen, die vor dem Datum des Wirksamwerdens der Kündigung entstanden sind.

 

ANHANG A

DETAILS DER VERARBEITUNG

 

A. GEGENSTAND DER VERARBEITUNG

Der Auftragsverarbeiter stellt cloudbasierte Dienste für Transportdisposition, Buchungsmanagement, Fahrermanagement, Fahrgastmanagement, Flottenmanagement, Kommunikation, Terminplanung, Berichterstattung und damit verbundene Softwarelösungen über die Plattform der CodiCo Dispatch Software bereit.

 

B. ZWECK DER VERARBEITUNG

Personenbezogene Daten werden ausschließlich zu folgenden Zwecken verarbeitet:

 

● Bereitstellung der Dienste;

● Verwaltung von Transportbuchungen;

● Disposition und Zuweisung von Fahrten;

● Verwaltung von Fahrern und Fahrzeugen;

● Erleichterung der Kommunikation zwischen Fahrgästen, Fahrern und Disponenten;

● Erstellung von Berichten und Analysen;

● Kundenbetreuung;

● Aufrechterhaltung der Sicherheit, Verfügbarkeit und Leistung der Dienste.

 

C. DAUER DER VERARBEITUNG

Die Verarbeitung wird für die Dauer des aktiven Abonnements des Kunden fortgesetzt.

 

Nach Beendigung der Dienste bleiben die Kundendaten zehn (10) Tage lang für den Export verfügbar.

 

Nach Ablauf dieses Zeitraums werden die Kundendaten gemäß der DPA gelöscht.

 

D. KATEGORIEN DER BETROFFENEN PERSONEN

Die Kategorien der betroffenen Personen können Folgendes umfassen:

 

Fahrgäste

● Kunden

● Fahrgäste

● Reisende

 

Fahrer

● angestellte Fahrer

● Vertragsfahrer

● selbstständige Fahrer (Owner-Operator)

 

Personal des Kunden

● Disponenten

● Operatoren

● Administratoren

● Manager

● Mitarbeiter

● Auftragnehmer

 

Geschäftskontakte

● Lieferanten

● Partner

● Agenten

● verbundene Unternehmen

 

E. KATEGORIEN PERSONENBEZOGENER DATEN

 

Fahrgastdaten

● Vorname

● Nachname

● E-Mail-Adresse

● Telefonnummer

● Abholadresse

● Zieladresse

● Buchungsinformationen

● Fahrtenhistorie

 

Fahrerdaten

● Vorname

● Nachname

● E-Mail-Adresse

● Telefonnummer

● Fahrzeuginformationen

● Verfügbarkeitsstatus

● GPS-Standortdaten

● zugewiesene Fahrten

 

Betriebsdaten

● Kontoinformationen

● Login-Protokolle

● Aktivitätsprotokolle

● Kommunikationsprotokolle

● Informationen zur Nutzung des Dienstes

 

Standortdaten

● Fahrzeugstandorte

● Fahrerstandorte

● Fahrtrouten

● Dispositionsinformationen

 

F. BESONDERE KATEGORIEN VON DATEN

Die Dienste sind nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO bestimmt.

 

Der Verantwortliche darf solche Daten nicht hochladen oder anderweitig bereitstellen, es sei denn, der Auftragsverarbeiter hat dem ausdrücklich schriftlich zugestimmt.

 

Der Auftragsverarbeiter behält sich das Recht vor, solche Daten zu entfernen, wenn dies vernünftigerweise erforderlich ist, um die Integrität und Konformität der Dienste zu schützen.

 

ANHANG B

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Der Auftragsverarbeiter unterhält angemessene und geeignete technische und organisatorische Maßnahmen, um Kundendaten zu schützen.

 

Die folgenden Maßnahmen können von Zeit zu Zeit implementiert und aktualisiert werden:

 

1. ZUGANGSKONTROLLE

● passwortgeschützte Systeme;

● rollenbasierte Berechtigungen;

● eingeschränkter Zugriff für Mitarbeiter;

● Prinzipien der minimalen Rechtevergabe (Least-Privilege);

● Mechanismen zur Benutzerauthentifizierung.

 

2. NETZWERKSICHERHEIT

● HTTPS/TLS-verschlüsselte Kommunikation;

● Firewall-Schutz;

● Sicherheitskontrollen für die Infrastruktur;

● Überwachung und Protokollierung.

 

3. DATENSICHERHEIT

● logische Trennung der Kundenumgebungen;

● kontrollierter Zugriff auf Kundendaten;

● Backup-Verfahren;

● Verfahren zur sicheren Löschung.

 

4. PERSONAL-SICHERHEIT

Autorisiertes Personal unterliegt Vertraulichkeitsverpflichtungen.

 

Der Zugriff auf Kundendaten wird nur gewährt, wenn dies vernünftigerweise erforderlich ist für:

 

● Kundenbetreuung;

● Wartung;

● Fehlerbehebung;

● Leistungserbringung.

 

5. FERNZUGRIFF

Der Auftragsverarbeiter arbeitet mit einer verteilten Belegschaft.

 

Autorisiertes Personal kann von verschiedenen Gerichtsbarkeiten aus der Ferne auf Kundendaten zugreifen, und zwar ausschließlich für legitime Geschäftszwecke im Zusammenhang mit den Diensten.

 

Ein solcher Zugriff ist auf autorisiertes Personal beschränkt und unterliegt Sicherheitskontrollen.

 

6. INCIDENT MANAGEMENT

Der Auftragsverarbeiter unterhält Verfahren zur Identifizierung, Untersuchung und Reaktion auf Sicherheitsvorfälle.

 

Sofern nach geltendem Recht erforderlich, wird der Verantwortliche unverzüglich benachrichtigt, nachdem der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten erfahren hat, die Kundendaten betrifft.

 

7. TESTEN UND WARTUNG

Der Auftragsverarbeiter führt laufende Wartungsarbeiten, Überwachungen und Sicherheitsupdates durch, die der Art der Dienste angemessen sind.

 

Der Auftragsverarbeiter übernimmt keine Gewährleistung oder Garantie für die absolute Sicherheit oder den ununterbrochenen Betrieb der Dienste.

 

8. ÄNDERUNGEN

Der Auftragsverarbeiter kann die Sicherheitsmaßnahmen von Zeit zu Zeit ändern, verbessern oder ersetzen, vorausgesetzt, dass das Gesamtsicherheitsniveau dadurch nicht wesentlich verringert wird.

 

ANHANG C

UNTERAUFTRAGSVERARBEITER

Der Verantwortliche nimmt zur Kenntnis und erklärt sich damit einverstanden, dass der Auftragsverarbeiter die folgenden Unterauftragsverarbeiter beauftragen kann:

 

Unterauftragsverarbeiter

Zweck

DigitalOcean

Cloud-Infrastruktur und Hosting

Stripe

Zahlungsabwicklung

Google Workspace

E-Mail- und Kalenderdienste

Google Maps Platform

Karten-, Geolokalisierungs- und Routing-Dienste

Firebase Cloud Messaging

Mobile Push-Benachrichtigungen

Usertour

Onboarding im Produkt und Benutzerführung

 

VOM KUNDEN ANBETHUNGENE DIENSTE

Dienste von Drittanbietern, die vom Verantwortlichen unabhängig ausgewählt, angebunden, konfiguriert oder autorisiert werden, gelten nicht als Unterauftragsverarbeiter des Auftragsverarbeiters.

 

Beispiele können sein:

 

● E-Mail-Anbieter des Kunden;

● SMTP-Dienste des Kunden;

● Zahlungsanbieter des Kunden;

● Kommunikationsanbieter des Kunden;

● CRM-Systeme des Kunden;

● Integrationen des Kunden.

 

Der Verantwortliche bleibt allein dafür verantwortlich, solche Dienste zu bewerten und zu genehmigen.

 

ZUKÜNFTIGE UNTERAUFTRAGSVERARBEITER

Der Auftragsverarbeiter kann Unterauftragsverarbeiter hinzufügen, ersetzen oder entfernen, wenn dies für die Bereitstellung, Wartung, Verbesserung oder Absicherung der Dienste vernünftigerweise erforderlich ist.

 

Eine aktualisierte Liste der Unterauftragsverarbeiter wird auf Anfrage zur Verfügung gestellt.

 

Der Verantwortliche erklärt sich damit einverstanden, dass solche Änderungen nicht den Abschluss einer neuen Datenverarbeitungsvereinbarung erfordern.

 

×