Auftragsverarbeitungsvertrag
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO – inkl. technisch-organisatorischer Maßnahmen (TOM) und Übersicht der Unterauftragnehmer.
Dieser Vertrag zur Auftragsverarbeitung (AVV) regelt die Verarbeitung personenbezogener Daten durch die Centhree Advanced Mobility GmbH (nachfolgend „Auftragsverarbeiter" bzw. „Auftragnehmer") im Auftrag des Verantwortlichen (nachfolgend „Auftraggeber") im Rahmen der Nutzung des RONYA-Dienstes.
1. Gegenstand und Dauer des Vertrags
Gegenstand: Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Bereich des digitalen Fuhrpark- und Fahrzeugmanagements. Die Verarbeitung personenbezogener Daten erfolgt insbesondere zur Bereitstellung, zum Betrieb und zur Unterstützung folgender Produkt- und Leistungsbereiche:
SMR (Service, Maintenance & Repair) / Wartung und Verschleiß
- Planung, Steuerung und Dokumentation von Inspektionen, Wartungen und Verschleißmaßnahmen
- Abwicklung und Dokumentation von UVV-Prüfungen
- Abwicklung und Dokumentation von HU-/AU-Terminen
- Kommunikation und Statusmeldungen im Rahmen der Auftragsabwicklung
Leasingrückgaben / Rückgabeprozesse
- Organisation, Terminierung und Dokumentation von Leasingrückgaben
- Verarbeitung und Bereitstellung von leasingbezogenen Vertrags- und Rückgabedaten
- Kommunikation und Statusmeldungen im Rahmen des Rückgabeprozesses
Dauer: Die Dauer dieses Vertrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.
2. Konkretisierung des Vertragsinhalts
Art und Zweck der vorgesehenen Verarbeitung von Daten
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich zu folgenden Zwecken:
- Betrieb und Bereitstellung der vom Verantwortlichen beauftragten Module/Produkte (SMR, Leasingrückgaben, Schadenmanagement, Fleetmanagement)
- Organisation, Steuerung und Dokumentation der jeweiligen Prozesse (z. B. Inspektionen, UVV, HU, Rückgaben, Schadenbearbeitung)
- Kommunikation, Statusmeldungen und Support im Rahmen der Auftragsabwicklung
- Erstellung von Auswertungen/Reports für den Verantwortlichen im Rahmen der beauftragten Leistungen
Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
- Personenstammdaten: Vor- und Nachname; Fahrer-ID / Personalnummer (sofern vorhanden)
- Kommunikationsdaten: dienstliche E-Mail-Adresse; dienstliche Telefonnummer
- Vertragsstammdaten: Leasingvertragsnummer, Status, Laufzeit; Zuordnung von Fahrzeugen zu Personen; Vertragsbezug (z.B. Dienstwagennutzer)
- Fahrzeugbezogene Daten mit Personenbezug: Kfz-Kennzeichen (wenn Fahrzeug einem Nutzer zugeordnet ist); FIN/VIN im Kontext dienstlicher Fahrzeugnutzung; Statusdaten (z.B. HU-/UVV-Fälligkeit im Zusammenhang mit Fahrer/Nutzer)
- Planungs- und Steuerungsdaten: Wartungstermine, UVV-/HU-Planung; Zuordnung von Fahrzeug- und Prozessdaten zu konkreten Personen
- Kunden-/Nutzerhistorie: Dokumentation bisheriger Werkstattaufträge, Rückgaben, Wartungshistorie; Historie bezogen auf Nutzer und genutztes Fahrzeug
Kategorien betroffener Personen
- Fahrer und Fahrzeugnutzer
- Leasingnehmer bzw. Vertragsnutzer
- Mitarbeitende des Kundenunternehmens (z. B. Fuhrparkverantwortliche, Ansprechpartner)
3. Technisch-organisatorische Maßnahmen
Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorischen Maßnahmen gem. Art. 32 DS-GVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung (Anlage 1). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Vertrags.
Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen, wobei das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden darf. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber unverzüglich in Kenntnis zu setzen.
4. Rechte von betroffenen Personen
Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die im Auftrag verarbeiteten Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieses Vertrags, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den relevanten Datenschutzbestimmungen vertraut gemacht wurden. Zugang zu personenbezogenen Daten besteht nur entsprechend der Weisung des Auftraggebers, es sei denn, es besteht eine gesetzliche Verarbeitungspflicht.
- Zusammenarbeit mit der Aufsichtsbehörde auf deren Anfrage bei der Erfüllung ihrer Aufgaben.
- Unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen – auch bei Ermittlungen im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens.
- Unterstützung des Auftraggebers nach besten Kräften, soweit dieser einer Kontrolle der Aufsichtsbehörde, einem Verfahren, einem Haftungsanspruch oder einem Informationsersuchen im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist.
- Regelmäßige Kontrolle der internen Prozesse sowie der technischen und organisatorischen Maßnahmen, um eine datenschutzkonforme Verarbeitung zu gewährleisten.
- Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse.
- Unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten, sodass der Auftraggeber seinen gesetzlichen Pflichten (insb. Art. 33, 34 DS-GVO) nachkommen kann, inkl. Dokumentation des Vorgangs.
- Unterstützung des Auftraggebers im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen sowie – soweit erforderlich – bei einer Datenschutz-Folgenabschätzung und etwaiger Konsultation der Aufsichtsbehörde.
Dieser Vertrag entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DS-GVO.
6. Unterauftragsverhältnisse
Als Unterauftragsverhältnisse gelten Dienstleistungen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen (z.B. Telekommunikations-, Post-/Transport-, Reinigungs- oder Bewachungsdienstleistungen). Wartungs- und Prüfleistungen stellen ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung nach diesem Vertrag stehen. Auch bei ausgelagerten Nebenleistungen trifft der Auftragnehmer angemessene und gesetzeskonforme vertragliche Vereinbarungen und Kontrollmaßnahmen.
Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Der Auftraggeber stimmt der Beauftragung der in Anhang 2 bezeichneten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zu. Ein Wechsel der Unterauftragnehmer ist zulässig, soweit der Auftragnehmer dies mindestens 14 Tage vorab in Textform anzeigt, der Auftraggeber nicht bis zur Übergabe der Daten widerspricht und eine vertragliche Vereinbarung nach Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.
Die Weitergabe personenbezogener Daten an den Unterauftragnehmer ist erst mit Vorliegen aller Voraussetzungen gestattet. Die Einhaltung der technisch-organisatorischen Maßnahmen beim Unterauftragnehmer wird vorab und sodann regelmäßig durch den Auftragnehmer kontrolliert; die Kontrollergebnisse werden dem Auftraggeber auf Anfrage zur Verfügung gestellt. Erbringt der Unterauftragnehmer die Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit sicher. Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet.
Partner-Werkstätten: Der Auftragnehmer kann zur Durchführung der Leistungen ein Netzwerk unabhängiger Partner-Werkstätten einsetzen. Partner-Werkstätten sind keine Unterauftragnehmer im Sinne von Art. 28 DSGVO, sondern handeln als eigenständige Verantwortliche. Der Auftraggeber weist den Auftragnehmer hiermit an, die im Einzelfall erforderlichen personenbezogenen Daten an die jeweils beauftragte Partner-Werkstatt zu übermitteln. Eine Auflistung der Partner-Werkstätten in Anhang 2 erfolgt nicht; Änderungen im Werkstattnetz begründen keine Mitteilungs-, Zustimmungs- oder Widerspruchsrechte nach dieser AVV und erfordern keine Aktualisierung der AVV.
7. Internationale Datentransfers
Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Auftraggebers und der Einhaltung der Vorgaben nach Kapitel V der DS-GVO.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DS-GVO verantwortlich.
8. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er kann sich durch – in der Regel rechtzeitig anzumeldende – Stichprobenkontrollen während der üblichen Geschäftszeiten von der Einhaltung dieser Vereinbarung überzeugen.
Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten nach Art. 28 DS-GVO überzeugen kann, erteilt auf Anforderung die erforderlichen Auskünfte und weist insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nach. Der Nachweis kann u. a. erfolgen durch die Einhaltung genehmigter Verhaltensregeln (Art. 40 DS-GVO), eine Zertifizierung (Art. 42 DS-GVO), aktuelle Testate/Berichte unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn, er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen werden durch diesen Vertrag festgelegt.
(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften, und ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
9. Löschung und Rückgabe von personenbezogenen Daten
Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche Unterlagen, Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Der Auftragsverarbeiter ist berechtigt, die verarbeiteten personenbezogenen Daten vor deren Löschung zu anonymisieren und die hieraus gewonnenen anonymen Daten zu eigenen Zwecken (insbesondere zur statistischen Auswertung sowie zur Verbesserung seiner Produkte und Dienstleistungen) zu verwenden. Ein Personenbezug ist nach der Anonymisierung ausgeschlossen.
Anlage 1: Technische und organisatorische Maßnahmen (TOM) i.S.d. Art. 32 DSGVO
Vertraulichkeit (Art. 32 Abs. 1 DSGVO)
Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (z. B. automatische Zutrittskontrollsysteme, Chipkarten und Transponder, Pförtnerdienste und Alarmanlagen; Schutz von Servern in verschließbaren Serverschränken; ergänzende organisatorische Maßnahmen).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Chipkarten / Transpondersysteme | Schlüsselregelung / Liste |
| Manuelles Schließsystem | Empfang / Rezeption / Pförtner |
| Einbruchshemmende Fenster und Türen | Besucher in Begleitung durch Mitarbeiter |
| Sicherheitsschlösser | Sorgfalt bei Auswahl Reinigungsdienste |
| Absicherung der Gebäudeschächte |
Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können (z. B. Benutzerkennung mit Passwort, Bildschirmschoner mit Passwort, Chipkarten zur Anmeldung sowie ergänzende organisatorische Maßnahmen).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Login mit Benutzername + Passwort | Verwalten von Benutzerberechtigungen durch qualifizierte Fachkräfte |
| Login mit Zwei-Faktor-Authentifizierung | Erstellen von Benutzerprofilen |
| Anti-Virus-Software Clients | Zentrale Passwortvergabe |
| Firewall | Richtlinie „Sicheres Passwort |
| Intrusion Detection Systeme | Richtlinie „Löschen / Vernichten |
| Automatische Accountsperrung | Richtlinie „Clean desk |
| Codierte Speicherung von Passwörtern | Allg. Richtlinie Datenschutz und / oder Sicherheit |
| Verschlüsselung Smartphones | Richtlinie „Verschlüsselung |
| Gehäuseverriegelung | Protokolle werden auf einem dezidierten Protokollserver gespeichert |
| Automatische Desktopsperre | Sicherheitsrichtlinien, Schulungen und statische Code-Analysen zur Beschränkung des Zugangs zum Source-Code |
| Verschlüsselung von Notebooks / Tablet | Sicherheitsrichtlinien, Schulungen und statische Code-Analysen zu Security by Design |
| Eingehende Mails werden mit Anti-Malwareschutz überprüft | Es werden keine personenbezogenen Daten oder Zugangsdaten in der Source-Code-Verwaltung abgelegt |
Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (geeignete Berechtigungskonzepte, Kontrollmechanismen und Verantwortlichkeiten).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten | Einsatz Berechtigungskonzepte |
| Externer Aktenvernichter (DIN 32757) | Minimale Anzahl an Administratoren |
| Verwendung des TLS2.1-Protokolls | Regelmäßige Überprüfung der Rollen |
| Verwaltung Benutzerrechte durch Administratoren | |
| Stärkere Richtlinien für Admin-Accounts | |
| Rollenvergabe nach Position | |
| Regelmäßige Überprüfung der Rollen |
Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (z. B. durch logische und physikalische Trennung der Daten).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Trennung von Produktiv- und Testumgebung | Steuerung über Berechtigungskonzept |
| Physikalische Trennung (Systeme / Datenbanken / Datenträger) | Festlegung von Datenbankrechten |
| Trennung von Webservern durch eigene Server in Firewall-Struktur | Datensätze sind mit Zweckattributen versehen |
| Benutzung separater Cloud-Konten |
Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. verschlüsselt) |
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft werden kann, an welche Stellen eine Übermittlung vorgesehen ist (z. B. Verschlüsselungstechniken, VPN, datenschutzgerechte Vernichtung von Datenträgern).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Email-Verschlüsselung | Richtlinie für Datentransfers innerhalb der Organisation und mit anderen Parteien |
| Einsatz von VPN | Keine Versendung von Passwörtern über unsichere Transportwege |
| Protokollierung der Zugriffe und Abrufe | |
| Sichere Transportbehälter | |
| Bereitstellung über verschlüsselte Verbindungen wie sftp, https | |
| Nutzung von Signaturverfahren | |
| Die Integrität von personenbezogenen Daten durch digitale Signaturen wird bei hohem Risiko sichergestellt |
Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Protokollierung auf verschiedenen Ebenen).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Technische Protokollierung der Eingabe, Änderung und Löschung von Daten | Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) |
| Manuelle oder automatisierte Kontrolle der Protokolle | Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
| IOCs (Indicators of Compromise, meist URL und IP-Hashes) werden protokolliert, blockiert und regelmäßig aktualisiert | Klare Zuständigkeiten für Löschungen |
| Es wird eine automatische Ausführung von heruntergeladenen Programmen verhindert. |
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (z. B. USV, Klimaanlagen, Brandschutz, Datensicherungen, Virenschutz, RAID-Systeme). Hinweis: Der Betrieb der Serverinfrastruktur ist an Cloudanbieter ausgelagert, die die unten genannten technischen Maßnahmen umgesetzt haben.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Feuer- und Rauchmeldeanlagen | Backup & Recovery-Konzept (ausformuliert) |
| Sprinkleranlage Serverraum | Kontrolle des Sicherungsvorgangs |
| Serverraumüberwachung Temperatur und Feuchtigkeit | Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse |
| Serverraum klimatisiert | Backups werden auf geeigneten Backupmedien, nach der 3-2-1 Regel durchgeführt |
| USV | Keine sanitären Anschlüsse im oder oberhalb des Serverraums |
| Schutzsteckdosenleisten Serverraum | Existenz eines Notfallplans (z.B. BSI IT-Grundschutz 100-4) |
| Sowohl symmetrische als auch asymmetrische Verschlüsselung nach Stand der Technik mit AES-256 bzw. mit CBC/GCM Modus | Regelmäßige Wartung der Feuer- und Rauchmeldeanlagen durch Fachfirmen |
| Keine Fenster zum Serverraum | Effektive Schlüsselverwaltung |
| Sicherstellung, dass keine kryptographischen Verfahren mit bekannten Schwachstellen oder zu kurzer Schlüssellänge mehr verwendet werden | |
| Regelmäßige Durchführung von System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests unter Berücksichtigung ausreichender Testzyklen | |
| Fortlaufender Plan zur Überwachung, Bewertung und Anwendung von Updates oder Konfigurationsänderungen für die gesamte Lebenszeit einer Softwareanwendung |
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
Datenschutz-Management
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Software-Lösungen für Datenschutz-Management im Einsatz | Externer Datenschutzbeauftragter: Projekt 29 GmbH & Co. KG, anfragen@projekt29.de |
| Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet …) | Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet |
| Ohne vorherige technische Schutzmaßnahmen können keine Daten in Drittländer übertragen werden | Jährliche Sensibilisierung der Mitarbeiter durch Schulungen |
| Anderweitiges dokumentiertes Sicherheits-Konzept | Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt |
| Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt | Sichere Nutzung von Home-Office |
| Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach | |
| Regelmäßige Audits | |
| Meldeverpflichtungen nach Art. 33 und 34 wurden identifiziert | |
| Mitarbeiter sind geschult Cyberangriffe zu erkennen |
Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Einsatz von Firewall und regelmäßige Aktualisierung | Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde) |
| Einsatz von Spamfilter und regelmäßige Aktualisierung | Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen |
| Einsatz von Virenscanner und regelmäßige Aktualisierung | Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem |
| Intrusion Detection System (IDS) | Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen |
| Intrusion Prevention System (IPS) | Ablaufplan bei Schadcode Befall |
| Zentrale Erfassung von Schadcode Alarmmeldungen | Notfallplan zur Business Continuity |
| Durchführung von Security Reporting |
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Privacy by design / Privacy by default.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind | |
| Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen |
Auftragskontrolle (Outsourcing an Dritte)
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation | |
| Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit) | |
| Schriftliche Weisungen an den Auftragnehmer | |
| Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis | |
| Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht | |
| Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer | |
| Regelung zum Einsatz weiterer Subunternehmer | |
| Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags | |
| Bei längerer Zusammenarbeit: laufende Überprüfung des Auftragnehmers und seines Schutzniveaus |
Anlage 2: Übersicht der Unterauftragnehmer (Subunternehmer)
| Nr. | Unternehmen / Anschrift | HR-Nr. / USt-IdNr. | Standort Datenspeicherung | Tätigkeit / Prozesse | Datum |
|---|---|---|---|---|---|
| #1 | Schwacke GmbH, Westendstraße 28, 60325 Frankfurt | HRB 114451 · USt-IdNr DE114 147 620 | – | Abfrage der Servicepläne und Teileinformationen | 01.08.2023 |
| #2 | Zectos Software Private Limited, First Floor, 3460, Block 9 Sector 45D, Chandigarh 160047, India | GST 04AABCZ7107K1Z9 | Microsoft Corp. Frankfurt am Main | Schwesterfirma für Softwareentwicklung und IT-Support | 19.12.2021 |
| #3 | HaynesPro B.V. (Teil der InfoPro Digital Automotive Gruppe), Stationsstraat 79-F, 3811 MH Amersfoort, Niederlande | Eingetragen in Amersfoort 31047540 · NL805700821B01 | – | Abfrage der Servicepläne, Reparaturdaten und Öl-Spezifikationen | 01.12.2025 |
Die vollständige Tabelle (inkl. Spalten „Standort der Dienstleistungserbringung", „Datum der Verlagerung" und „Datum der Genehmigung / Freigeber") finden Sie in der PDF-Fassung.
Centhree Advanced Mobility GmbH · Große Elbstraße 145e, 22767 Hamburg · Stand: 28.04.2026