NAVANDi Telemmatik

Präambel

Die Ortungsplattform telematik.navandi.de wird betrieben von NAVANDI.de, Inhaber Andreas Kern, Dollweg 44, 52393 Hürtgenwald (im folgenden nur NAVANDI). NAVANDI ist als Betreiber der Ortungsplattform Lizenzgeber und in dieser Funktion gleichzeitig Ansprechpartner für Fragen, Anmerkungen oder Hinweise zur Bedienbarkeit und Nutzung der Plattform.

Diese Nutzungsbedingungen regeln die vertraglichen Abreden zwischen dem Nutzer der Ortungsplattform und NAVANDI. Nutzer im Sinne dieser Bestimmungen ist jede natürlich oder juristische Person, die die Ortungsplattform anwendet oder besucht, um die darin angebotenen Service-Leistungen zu nutzen. 

Allgemeines

(1) Die nachfolgenden Nutzungsbedingungen regeln die Richtlinien, unter denen die Benutzung der Ortungsplattform erfolgt. Die Nutzungsbedingungen finden auch dann Anwendung, wenn die Ortungsplattform von außerhalb der Bundesrepublik Deutschland benutzt wird. Abweichende Regelungen und insbesondere Bedingungen des Nutzers, die mit diesen Nutzungsbedingungen in Widerspruch stehen, bedürfen zu ihrer Wirksamkeit der ausdrücklichen Zustimmung von NAVANDI.

(2) NAVANDI behält sich das Recht vor, nach eigenem Ermessen jederzeit und ohne Vorankündigung das Angebot von Funktionen, Diensten und Services der Ortungsplattform zu verändern, zu entfernen und/oder den Zugang hierzu ganz oder teilweise vorübergehend oder dauerhaft zu deaktivieren, sofern dies nicht vertragswesentliche Funktionen der Ortungsplattform betrifft. Durch den Ausfall von Systemen, Wartungsarbeiten oder Unterbrechungen in der Datenübertragung können neben der Verzögerung von Datenübertragungen durch ungünstige Umstände auch Verluste von Daten der Nutzer auftreten. Dem Nutzer erwachsen aus hieraus resultierenden Änderungen, dem Wegfall oder der Nichtverfügbarkeit von Funktionen der Ortungsplattform oder seiner eigenen Daten keinerlei Ansprüche, sofern nicht ausdrücklich in diesen Nutzungsbedingungen etwas anders vereinbart ist.

(3) NAVANDI behält sich das Recht vor, nach eigenem Ermessen Teile dieser Nutzungsbedingungen im Rahmen des für den Nutzer zumutbaren Umfangs zu ändern, zu ergänzen oder zu löschen. Die Änderung, Ergänzung oder Löschung darf sich hierbei nicht auf den wesentlichen Vertragsinhalt und nicht auf Rechte und/oder Pflichten von NAVANDI und/oder dem Nutzer beziehen. Im Falle einer Änderung der Nutzungsbedingungen wird der Nutzer in Textform über diese Änderungen informiert. Für etwaige Nutzungshandlungen vor der Änderung bleiben die ursprünglichen Nutzungsbedingungen maßgeblich. Die weitere Benutzung der Ortungsplattform nach einer Änderung bedeutet die Zustimmung des Nutzers zu einer solchen Abänderung, falls der Nutzer nicht innerhalb von zwei Wochen seit Bekanntgabe über die Änderung dieser in Textform widerspricht. Der Nutzer wird bei einer angekündigten Änderung über die Widerspruchsfrist, den Beginn dieser Frist und über die Rechtsfolgen eines unterbliebenen Widerspruchs informiert. Im Falle des Widerspruchs eines Nutzers gegen die Änderungen der Nutzungsbedingungen steht dem betroffenen Nutzer ein Sonderkündigungsrecht zu, das es ihm erlaubt, den Vertrag über die Nutzung der Ortungsplattform unter Einhaltung einer Frist von 14 Tagen vorzeitig zu beenden. Die zur Änderung anstehenden Nutzungsbedingungen treten für diesen Nutzer nicht in Kraft. 

Vertragspartner

Vertragspartner eines Nutzers in Bezug auf die Nutzung der Ortungsplattform und deren Inhalte, soweit diese nicht von Dritten zur Verfügung gestellt werden, ist ausschließlich NAVANDI.

Vertragsgegenstand

(1) Die Funktion der Ortungsplattform ermöglichen es dem Nutzer, den Standort und Bewegungsverlauf von mit entsprechenden kompatiblen Ortungsgeräten - worunter auch Smartphones verstanden werden - ausgestatteten Fahrzeugen, beweglichen Gütern, Personen oder Tieren einzusehen und zu überwachen. 

NAVANDI gewährleistet hierbei die Speicherung folgender Daten: 

  • Zeitpunkt (Datum und Uhrzeit) der durch das Ortungsgerät übermittelten Koordinate
  • Breitengrad der übertragenen Koordinate
  • Längengrad der übertragenen Koordinate
  • Geschwindigkeit der übertragenen Koordinate
  • Bewegungsrichtung der übertragenen Koordinate

Die Anzeige von Standort- und/oder Bewegungsdaten auf der Ortungsplattform setzt eine ordnungsgemäße Übertragung dieser Daten von dem Ortungsgerät voraus. Diese Übertragung ist wiederum abhängig von dem Ortungsgerät, dem Standort des Ortungsgerätes und der Mobilfunkverbindung. Auf die fehlerfreie Übertragung der oben genannten Daten hat NAVANDI keinen Einfluss. 

(2) Die von NAVANDI zur Verfügung gestellten Ortungsgeräte ermöglichen die Einstellung von Privatfahrten, während der eine Aufzeichnung unterbunden wird. Der Nutzer wird ausdrücklich darauf hingewiesen, dass das Erstellen von Fahrprofilen oder die Erhebung von Standortdaten bei privater Nutzung eines Fahrzeuges durch Ortungsgeräte rechtswidrig sein kann. Sofern der Nutzer nicht ein von NAVANDI zur Verfügung gestellten Ortungsgeräte verwendet, stellt der Nutzer sicher, dass mit der Ortung keine personenbezogene Daten ohne vorherige ausdrückliche und freiwillige Einwilligung des jeweils Betroffenen erhoben und verarbeitet werden. 

(3) Art und Umfang der von der Ortungsplattform gespeicherten Daten hängen von dem durch den Nutzer verwendeten Ortungsgerät ab. Die Art und der Umfang der jeweils übertragenen Daten eines Ortungsgerätes, das nicht von NAVANDI zur Verfügung gestellt wird, sind vom Nutzer beim jeweiligen Verkäufer oder Hersteller des Ortungsgerätes eigenständig in Erfahrung zu bringen. Auf den Umfang der von solchen Geräten übertragenen Daten hat NAVANDI keinen Einfluss. 

Für den Betrieb eines Ortungsgerätes, welches nicht über NAVANDI erworben wurde, kann ferner Zubehör in Form von SIM Karten („Mobilfunkkarten“), Akkumulatoren, Netzteil, Gehäuse, Kabel oder sonstiges erforderlich sein. Dieses Zubehör wird nicht von NAVANDI bereitgestellt. Der Nutzer ist für die Beschaffung der Hardware mitsamt des erforderlichen Zubehörs in diesem Fall selbst verantwortlich.

(4) Die Darstellung der übertragenen Daten erfolgt auf der Ortungsplattform mittels digitaler Landkarte. Während der Datenspeicherdauer hat der Nutzer die Möglichkeit, sich die vom Ortungsgerät übertragenen Koordinaten über die Ortungsplattform in seinem persönlichen Kundenkonto anzuzeigen zu lassen. Die Koordinaten werden als Wegpunkte dargestellt. 

Die in der Ortungsplattform genannten Adressen (PLZ, Ort, Straße, Hausnummer, Stadtteil) können bedingt durch Ungenauigkeiten im GPS Bereich (z. B. Signalrefflektionen, atmosphärische Störungen, Strahlung, Geländemerkmale [Gebäude, Berge, Bewaldung]) von tatsächlichen Gegebenheiten abweichen. Der Datenbezug von Adressen erfolgt über den externen Anbieter LocationIQ. Die Verfügbarkeit von Adressen zu Geokoordinaten kann hierbei generell nicht gewährleistet werden. NAVANDI übernimmt darüber hinaus keine Gewähr für die steuerrechtliche Anerkennung des Fahrtenbuches durch das Finanzamt und / oder sonstige Behörden.

(5) Der Nutzer kann innerhalb des vorgegebenen Rahmens von bis zu maximal 90 Tagen selbst festlegen, wie lange die Ortungsplattform die übertragenen Wegpunkte speichert. Der Nutzer kann zudem im Rahmen der vorgegebenen Skala das Empfangsintervall bestimmen, in welchem Daten des Ortungsgerätes empfangen werden. Sofern nicht anders vereinbart, beträgt das Empfangsintervall 30 Sekunden, womit die visuell dargestellten Daten nicht schneller als 30 Sekunden aktualisiert werden. Der Nutzer wird darauf hingewiesen, dass das Empfangsintervall auch von den Leistungen des Ortungsgerätes und der jeweiligen genutzten Mobilfunkverbindung abhängig ist. Sollte der Nutzer Ortungsgeräte nutzen, welche nicht von NAVANDI zur Verfügung gestellt werden, kann ein Empfangsintervall von 30 Sekunden nicht gewährleistet werden. 

(6) Das Orten des Ortungsgerätes erfolgt ausschließlich über die Ortungsplattform. Telefonische Auskünfte oder Auskünfte via E-Mail, Post, Fax oder anderen Kommunikationswegen werden nicht erteilt. Das Recht zur Auskunft nach der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) sowie sonstigen nationalen oder europäischen gesetzlichen Grundlagen bleibt hiervon unberührt.

(7) NAVANDI bietet unter anderem auch weitere Funktionen wie z.B. das Fernauslesen von Tachographendaten aus Nutzfahrzeugen an. Die Bedingungen und Voraussetzungen zur Nutzung dieses Services bedürfen einer gesonderten Vereinbarung zwischen NAVANDI und dem Nutzer. 

(8) Darüber hinaus gehende, dem Nutzer innerhalb seines Kundenkontos angebotene Funktionen sind stets freiwillige Leistungen von NAVANDI, auf deren Zurverfügungstellen kein Rechtsanspruch besteht. 

Registrierung

(1) Zur Nutzung der Ortungsplattform ist eine einmalige Registrierung als Nutzer erforderlich. Der Nutzer kann in seinem Kundenkonto weitere Nutzer anlegen und diesen Nutzern Zugang zu seinem Konto gewähren. Nach entsprechender Anmeldung können die dem Nutzer zugeordneten Ortungsgeräte und deren Daten eingesehen und verwaltet werden. 

(2) Die Ortungsplattform ist webbasiert. Der Nutzer hat selbst für die Anwendung einer dem neusten Stand entsprechenden Browsersoftware zu sorgen. Die Kosten für den Bezug und Unterhalt des Webbrowsers sowie die Kosten für den Zugriff auf die Ortungsplattform (Datenvolumina oder Internetverbindungen) sind nicht Gegenstand des Nutzungsvertrages und werden nicht von NAVANDI übernommen. 

(3) Die Registrierung erfolgt unter Verwendung des dem Nutzer von NAVANDI zugeteilten Benutzernamens und des Anfangspasswortes. Das Anfangspasswort muss vom Nutzer beim ersten Zugriff auf die Ortungsplattform geändert werden. 

(4) Voraussetzung für die Registrierung sind:

  • der Nutzer besitzt oder nutzt ein Ortungsgerät von NAVANDI, für dessen Nutzung diese Ortungsplattform bestimmt ist;
  • der Nutzer besitzt oder nutzt ein Ortungsgerät eines Drittanbieters, das die Kompatibilitätsvoraussetzungen der Ortungsplattform erfüllt und mit einer Mobilfunkkarte ausgestattet ist, die eine Verbindung zur Ortungsplattform aufbauen kann; 
  • der Nutzer ist eine juristische Person oder eine natürliche Person, dessen Mindestalter durch die jeweiligen Altersgrenzen gemäß geltenden Vorschriften des jeweiligen Wohnlandes bestimmt wird. 

(5) NAVANDI speichert die vom jeweiligen Nutzer bei Abschluss des Nutzungsvertrages und bei Registrierung übermittelten Nutzerdaten und verpflichtet sich, diese vertraulich im Sinne der Europäischen Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu behandeln. Näheres regelt die Datenschutzerklärung. 

(6) NAVANDI ist zudem berechtigt, die IP-Adresse des Internetzugangs, von dem aus eine Registrierung erfolgt, zu speichern, um Missbrauch von persönlichen Daten vorzubeugen oder zu verfolgen.

(7) Der Nutzer ist verpflichtet, seinen Benutzernamen und das Passwort hierzu streng geheim zu halten und diese vor dem Zugriff Dritter entsprechend der im Verkehr üblichen Sorgfalt zu schützen. Der Nutzer ist für etwaige Schäden, die ihm durch eine Verletzung dieser Geheimhaltungspflicht entstehen, selbst verantwortlich. Hat der Nutzer den Verdacht, dass sein Zugang zur Ortungsplattform von Dritten gehackt oder unautorisiert genutzt wird, hat er dies NAVANDI unverzüglich mitzuteilen. 

Vergütung

(1) Der Nutzer entrichtet die Nutzungsgebühren für den Zugriff auf die Ortungsplattform jeweils monatlich zuzüglich der maßgeblichen gesetzlichen Mehrwertsteuer. NAVANDI ist berechtigt, die Nutzungsgebühren für einen Zeitraum von bis zu einem Jahr im Voraus zu verlangen. 

(2) Individuelle Konfigurationen sowie die Einrichtung der Hardware ist entsprechend der jeweils gültigen Preisliste von NAVANDI, die auf Anforderung zur Verfügung gestellt wird, gesondert zu vergüten.

(3) Rechnungen von NAVANDI sind innerhalb von 10 Tagen nach Rechnungsdatum ohne Abzug fällig, sofern nichts Abweichendes vereinbart wurde. Mit Abschluss des Nutzungsvertrages erteilt der Nutzer NAVANDI ein SEPA-Lastschriftmandat. Die wiederkehrenden Nutzungsgebühren werden bei Fälligkeit von dem Konto des Nutzers eingezogen. Der Nutzer kann der Abbuchung der Nutzungsgebühren innerhalb der ihm von seiner Bank vorgegebenen Frist widersprechen. 

(4) NAVANDI kann durch schriftliche Ankündigung unter Einhaltung einer Frist von sechs Wochen zum Ende einer jeden Vertragsperiode, jedenfalls aber zum Ende eines jeden Vertragsjahres, die angefallenen Nutzungsgebühren anpassen. Eine Erhöhung der Nutzungsgebühren ist frühestens nach Ablauf des ersten Vertragsjahres möglich. Soweit eine Erhöhung der Nutzungsgebühren mehr als 3 % eines im vorangegangenen Vertragsjahres gültigen Satzes beträgt, kann der Nutzer den Vertrag ohne Rücksicht auf die Kündigungsfristen in Textform unter Einhaltung einer Frist von vier Wochen zum angekündigten Erhöhungszeitraum kündigen. 

(5) NAVANDI ist berechtigt die Erbringung der geschuldeten Leistungen zu verweigern, so lange der Nutzer seine Zahlungspflichten nicht oder nicht vollständig erfüllt.

Nutzungsrechte

(1) Mit dem Abschluss des Nutzungsvertrages über die Nutzung der Ortungsplattform erhält der Nutzer das nicht ausschließliche (einfache) Recht, die Ortungsplattform sowie die darüber angebotenen Dienste, verfügbaren Informationen und Inhalte nach Maßgabe dieser Nutzungsbedingungen zu nutzen. Das Nutzungsrecht ist nicht auf Dritte übertragbar, und es ist dem Nutzer nicht gestattet, Dritten entgeltlich oder unentgeltlich Nutzungsrechte an der Ortungsplattform und/oder den darüber angebotenen Diensten und/oder verfügbaren Informationen und/oder Inhalten einzuräumen. Hiervon ausgenommen ist die Einrichtung weitere Nutzer unter dem Nutzerkonto des Hauptnutzers. 

(2) Eine über die Regelungen dieser Nutzungsbedingungen hinausgehende Nutzung der Ortungsplattform ist nicht gestattet. NAVANDI behält sich vor, Nutzer bei Verstoß gegen diese Nutzungsbedingungen von der Nutzung der Ortungsplattform auszuschließen. 

(3) NAVANDI bedient sich zur Aufzeichnung von Koordinationsdaten auf der Ortungsplattform unter anderem einer Open Source Lösung. Der Umfang der Nutzungsrechte an dieser Software richtet sich nach den Bestimmungen der General Public License (GPL) 3.0, welche hier abgerufen werden kann: https://www.gnu.org/licenses/gpl-3.0-standalone.html. Durch die Nutzung der Ortungsplattform erklärt sich der Nutzer mit den Bedingungen dieser Lizenz ausdrücklich einverstanden.

Vertragslaufzeit/Kündigung

(1) Das Vertragsverhältnis zwischen NAVANDI und dem Nutzer beginnt mit Abschluss des Nutzungsvertrages und wird – sofern nichts anderes vereinbart ist – auf die Dauer von 12 Monaten ab Vertragsschluss geschlossen. Das Vertragsverhältnis verlängert sich nach Ablauf jeder Vertragszeit um je weitere 12 Monate, sofern es nicht von einer Partei unter Einhaltung einer Frist von drei Monaten zum Ablauf der jeweiligen Vertragslaufzeit in Textform gekündigt wird. 

(2) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt hiervon unberührt. NAVANDI steht insbesondere dann ein solches Recht zur außerordentlichen Kündigung zu, wenn der Nutzer

  • mit der Entrichtung der Nutzungsgebühr für eine Zeitraum von mehr als zwei Monaten in Verzug gerät und/oder
  • über das Vermögen des Nutzers das Insolvenzverfahren beantragt, ein solches eröffnet oder mangels Masse abgewiesen worden ist oder der Nutzer aus anderen Gründen der Zwangsverwaltung unterliegt und/oder zahlungsunfähig wird und/oder
  • gegen diese Nutzungsbedingungen verstößt und einen solche Verstoß auch nach entsprechender Abmahnung nicht einstellt bzw. sogar wiederholt und/oder
  • den ihm gewährten Zugang zu der Ortungsplattform und die hieraus abgeleiteten Daten oder Informationen zu rechtswidrigen, insbesondere datenschutz- oder persönlichkeitsrechtsverletzenden Handlungen nutzt oder zu nutzen beabsichtigt.

(4) Im Fall der Beendigung des Vertragsverhältnisses werden die bis dahin aufgezeichneten und noch vorrätig gehaltenen Bewegungs-, Koordinations- und Nutzerdaten gelöscht mit Ausnahme von solchen Informationen, die für die Abwicklung des Vertragsverhältnisses benötigt werden oder nach den gesetzlichen Bestimmungen aufbewahrt werden müssen.

Datenschutz und Datensicherheit

(1) Die Verarbeitung personenbezogener Daten auf der Ortungsplattform (Bewegungsdaten und Standortdaten sowie Eintragungen zu den einzelnen Nutzern, Fahrzeugen, Gruppen oder Kategorien) erfolgt im Auftrag und nach den Weisungen des Nutzers. Der Nutzer ist somit der für die Datenverarbeitung Verantwortliche, NAVANDI wird lediglich als Auftragsverarbeiter tätig. Der Inhalt und Umfang der Weisungsbefugnis sowie sonstige datenschutzrechtliche Bestimmungen sind in dem Auftragsverarbeitungsvertrag definiert, welcher als Anlage 1 Gegenstand dieses Vertrages wird. 

(2) Der Nutzer ist für das Sichern der von seinem Ortungsgerät übertragenen Daten selbst verantwortlich. NAVANDI führt keine Sicherung der von Ortungsgeräten übertragenen Daten durch. Der Nutzer kann eine Sicherung der von seinem Ortungsgerät übertragenen Daten über den Menüpunkt „Berichte“ in seinem Kundenkonto als CSV Datei durchführen, welche mit dem unentgeltlich beziehbaren Datenverarbeitungssoftwarepaket Open Office (http://www.openoffice.org) geöffnet werden kann.

(3) NAVANDI erhebt und verarbeitet personenbezogene Daten des Nutzers im Übrigen ausschließlich zur Abwicklung des Vertragsverhältnisses. Die hierbei maßgebliche Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DS-GVO. Sämtliche personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus nur dann erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften vorgesehen wurde. 

(4) Jede von der Erhebung oder Speicherung personenbezogener Daten durch NAVANDI betroffene Person hat das Recht auf kostenfreie Auskunft über die bezüglich ihrer Person gespeicherten Daten, deren Herkunft und Empfänger, das Recht auf Berichtigung, Sperrung oder Löschung sowie Einschränkung der Verarbeitung von Daten, das Recht auf Datenübertragbarkeit, das Recht auf Widerspruch, das Recht auf Widerruf erteilter Einwilligungen sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde. 

(5) Die Übertragung der Daten von der Ortungsplattform an den Nutzer erfolgt mittels moderner Verschlüsselungstechniken. Es ist nicht gestattet, die Sicherungstechnik der Ortungsplattform oder Elemente der Sicherungstechnik zu verletzen, zu umgehen, zurück zu entwickeln oder in sonstiger Weise unerlaubte Änderungen daran vorzunehmen, dies zu versuchen oder anderen dabei zu helfen. 

(6) Mit der Zustimmung zu diesen Nutzungsbedingungen erklärt der Nutzer, dass er die Bestimmungen über den Datenschutz auch im Interesse der Betroffenen beachten wird und insbesondere Bewegungs- und Standortdaten von Fahrern, Mitarbeitern oder anderen Personen, welche die mit Ortungssystemen ausgestattete Fahrzeuge oder Güter bewegen sowie sonstige personenbezogene Daten von Dritten nur insoweit erheben, speichern und verarbeiten wird, als dies vom Gesetz oder der jeweiligen ausdrücklichen und freiwilligen Einwilligung des Betroffenen gedeckt ist. 

Eigentumsrechte an der Ortungsplattform

(1) Alle Inhalte, die in der Ortungsplattform und über die angeschlossenen Services verfügbar und zugänglich sind, sind einschließlich aller Designs, Texte, Grafiken, Videos, Anwendungen, Software, Datenbank und Dateien sowie die Funktionsweise und Anordnung der Seiteninhalte urheberrechtlich geschützt. Inhalte der Ortungsplattform und Services dürfen ohne ausdrückliche Genehmigung von NAVANDI oder des jeweiligen Rechteinhabers weder ganz noch teilweise außerhalb der Ortungsplattform genutzt, kopiert, vervielfältigt, verteilt, verändert, geframt, reproduziert, angezeigt, übertragen, herunter geladen, verkauft, gepostet oder in sonstiger Weise Dritten zugänglich gemacht werden. Unbenommen hiervon bleiben die im Rahmen der Verwendung von Open Source Software unter der General Public License (GPL) 3.0 stehenden Inhalte, deren Nutzungsbedingungen hier eingesehen werden können: https://www.gnu.org/licenses/gpl-3.0-standalone.html

(2) Jedem Nutzer der Ortungsplattform wird von NAVANDI eine eingeschränkte, nicht übertragbare Lizenz gewährt, um die Ortungsplattform mit seinen Diensten und Services in der rechtlich zulässigen Weise gemäß den Nutzungsbedingungen zu nutzen, die Inhalte zu verwenden, zu speichern, auszudrucken oder herunter zu laden. Auch durch das Angebot zum Herunterladen von Daten werden keine weiteren Rechte übertragen. 

(3) Dem Nutzer ist es untersagt, die Ortungsplattform oder deren Inhalte ganz oder teilweise zu vervielfältigen, zu verbreiten, zu veröffentlichen, insbesondere im Internet öffentlich zugänglich zu machen, zu bearbeiten, umzugestalten und/oder zu verändern, den Quellcode oder die Struktur ihrer Inhalte zu ermitteln, und/oder unter Verwendung ihrer Inhalte abgeleitete Werke herzustellen. Dem Nutzer ist ebenso wenig ein Recht eingeräumt, die in der Ortungsplattform enthaltenen geschützten Marken zu nutzen. 

(4) Es ist jedem Nutzer untersagt, mittels technischer Handlungen (wie z.B. dem Ausführen von Scripts, Hacking-Versuche, Verbreiten von Viren, Würmern, Trojanern, Brute-Force-Attacken, etc.) die Funktionsfähigkeit der Ortungsplattform zu beeinträchtigen oder dies zu versuchen. Dem Nutzer ist es ferner verboten, durch das Senden übermäßiger Datenmengen eine Überlastung der Ortungsplattform herbeizuführen, Ortungsgeräte oder andere Anlagen mit dem Ziel zu manipulieren, unbefugt Daten zu erheben oder zu speichern sowie unter Zuhilfenahme fremder Zugänge auf die Ortungsplattform zuzugreifen oder den Versuch einer der vorstehenden Handlungen zu unternehmen. Es dürfen keine Daten anderer Nutzer gesammelt, gespeichert oder sonst wie verarbeitet werden, sofern der Betroffene nicht sein ausdrückliches Einverständnis hierzu erklärt hat.

(5) Jegliche unerlaubte Nutzung ist untersagt und führt zum Erlöschen dieser Nutzungslizenz. Bei Verstößen gegen die Nutzungsbedingungen kann die Lizenz zur Nutzung der Ortungsplattform von NAVANDI auch ohne Angabe von Gründen entzogen werden. Darüber hinaus gehende Ansprüche behält sich NAVANDI ausdrücklich vor. 

(6) Werden von Dritten gegenüber NAVANDI Ansprüche wegen tatsächlicher oder behaupteter Rechtsverletzungen aufgrund von rechtswidriger Maßnahmen eines Nutzers gleich welcher Art geltend gemacht, ist NAVANDI berechtigt, den Nutzer unverzüglich zu sperren. NAVANDI wird den Nutzer hierüber entsprechend informieren. Im Falle einer Zugangssperre ist der Nutzer nicht mehr in der Lage, sich auf der Ortungsplattform anzumelden. Darüber hinaus werden Daten des von diesem Nutzer verwendeten Ortungsgerätes von der Ortungsplattform während der Nutzersperre nicht aufgezeichnet, ebenso erfolgt keine Mitteilung von Alarmen oder Positionen an den betreffenden Nutzer.

(7) Im Falle des schuldhaften Verstoßes gegen eine der vorgenannten Ge- und Verbote verpflichtet sich der Nutzer, NAVANDI von sämtlichen hierauf beruhenden Ansprüchen und Schäden vollumfänglich freizustellen. Vorstehendes gilt auch im Falle eines vermeidbaren Missbrauchs der Zugangsdaten eines Nutzers durch einen Dritten. 

Gewährleistung

(1) NAVANDI gewährleistet im Rahmen der vorhersehbaren Anforderungen eine dem jeweils üblichen technischen Standard entsprechende bestmögliche Wiedergabe der Inhalte auf der Ortungsplattform. 

(2) Allen Nutzern ist bekannt, dass die Daten und Dienste der Ortungsplattform nicht jederzeit verfügbar sein können. Insbesondere steht NAVANDI nicht ein für Fälle, in denen die Dienste der Ortungsplattform nicht verfügbar sind,

  • durch die Verwendung einer nicht geeigneten Darstellungssoftware- und/oder -hardware oder 
  • durch Störung der Kommunikationsnetze anderer Betreiber oder 
  • durch Rechnerausfall bei einem Internet-Access-Provider, bei einem Online-Dienst oder dem Mobilfunkanbieter
  • durch unvollständige und/oder nicht aktualisierte Angebote auf so genannten Proxy-Servern (Zwischenspeichern) kommerzieller und nicht-kommerzieller Provider und Online-Dienste.

(3) Der Nutzer hat keinen Anspruch darauf, dass die ihm zugewiesene Server IP Adresse sowie der zugewiesene Serverport über die gesamte Vertragslaufzeit aufrecht erhalten wird. Im Falle einer Änderung der Server IP Adresse oder des Server Ports durch NAVANDI erfolgt seitens NAVANDI eine Ankündigung der Abschaltung einer Server IP Adresse oder eines Server Ports mindestens 4 Wochen vor Beendigung unter Mitteilung der neuen Daten.

(4) NAVANDI übernimmt keine Gewähr für die Erfüllung eines bestimmten Zwecks oder Einsatzes der Ortungsplattform, insbesondere der Verwertbarkeit der hierin angezeigten Daten zu gewerblichen, amtlichen oder rechtlichen Zwecken oder im Zusammenhang mit solchen Verfahren oder Handlungen. Die Einholung der Anerkennung von Daten aus der Ortungsplattform zu Zwecken der Verwertung in steuerlichen und/oder rechtlichen Angelegenheiten obliegt allein dem Nutzer. 

Haftung

(1) NAVANDI ist bemüht, das Angebot und die Services stets aktuell und inhaltlich richtig sowie vollständig anzubieten. Dennoch ist das Auftreten von Fehlern nicht völlig auszuschließen. NAVANDI übernimmt mit Bereitstellung der Ortungsplattform keine Garantien irgendwelcher Art, insbesondere nicht hinsichtlich der Aktualität, Richtigkeit oder Zuverlässigkeit der bereitgestellten Geodaten, Informationen oder Karten, ihrer Sicherheit oder ihrer ununterbrochenen Verfügbarkeit.

(2) NAVANDI übernimmt keine Haftung für die Vollständigkeit, Richtigkeit und Aktualität der übertragenen Daten sowie deren Integrität, Konformität und Konsistenz. NAVANDI übernimmt ferner keine Haftung für die inhaltliche Richtigkeit sowie für die Vollständigkeit oder Rechtsgültigkeit der vom Nutzer selbst eingestellten Informationen oder von Konfigurationen im Rahmen der Datenübertragung. Die Verantwortung für Inhalte vom Nutzer obliegt ebenso wie die Anbindung der Ortungsplattform an das Ortungsgerät ausschließlich dem betreffenden Nutzer. 

(3) NAVANDI haftet ferner nicht für eine ununterbrochene Erreichbarkeit der Ortungsplattform. Ausfälle des Servers aufgrund von technischen oder sonstigen Problemen, die nicht im Einflussbereich von NAVANDI liegen (höhere Gewalt, Verschulden Dritter etc.) begründen keinen Anspruch des Nutzers gegen NAVANDI. 

(4) NAVANDI haftet im Übrigen uneingeschränkt nach den gesetzlichen Bestimmungen für Schäden an Leben, Körper und Gesundheit, die auf einer fahrlässigen oder vorsätzlichen Pflichtverletzung beruhen sowie für Schäden, die von der Haftung nach dem Produkthaftungsgesetz umfasst werden. Für Schäden, die nicht von Satz 1 erfasst werden und die auf vorsätzlichen oder grob fahrlässigen Vertragsverletzungen sowie Arglist beruhen, haftet NAVANDI nach den gesetzlichen Bestimmungen. 

(5) NAVANDI haftet auch für Schäden, die durch einfache Fahrlässigkeit verursacht werden, soweit die hierdurch entstehenden Schäden auf der Verletzung von Rechten, die dem Nutzer nach Inhalt und Zweck des Vertrages gerade zu gewähren sind und/oder auf der Verletzung von Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglichen und auf deren Einhaltung der Vertragspartner regelmäßig vertraut und vertrauen darf (Kardinalpflichten), beruhen. Die Haftung für solche Schäden ist der Summe nach auf den vorhersehbaren und typischerweise bei solchen Vertragswerken entstehenden Schadensumfang, höchstens jedoch auf die Summe der jährlich zu zahlenden Nutzungsgebühr für den Zugang zur Ortungsplattform begrenzt. 

(6) Eine weitergehende Haftung ist ohne Rücksicht auf die Rechtsnatur des geltend gemachten Anspruchs ausgeschlossen. 

(7) NAVANDI haftet ferner nicht für Schäden, die dem Nutzer oder einem Dritten aufgrund des Verlustes oder der Wiederherstellung von Daten sämtlicher Art aus und im Zusammenhang mit der Ortungsplattform entstehen, es sei denn, es liegt ein Haftungstatbestand nach den Absätzen (4) oder (5) dieser Ziffer vor und der Schaden ist trotz einer regelmäßigen, mindestens wöchentlichen, Datensicherung durch den Nutzer nicht abzuwenden gewesen. 

Datenübertragung 

(1) Dem Nutzer steht es frei, eine eigene Daten SIM Karte zu verwenden, wenn er die Ortungsplattform mit einer App für Android oder Apple iOs auf einem kompatiblen Endgerät nutzen möchte. NAVANDI übernimmt in einem solchen Fall keine Gewähr dafür, dass alle gelisteten Funktionen abgerufen werden können. 

(2) Die Kosten für Datenübertragung vom Endgerät zu den NAVANDI  Datenverarbeitungsanlagen sowie von den NAVANDI Datenverarbeitungsanlagen zum Endgerät („Datentransfer“) trägt der Nutzer. Der Nutzer hat ggf. in Rücksprache mit dem jeweiligen Mobilfunkanbieter selbstständig die Kompatibilität mit der NAVANDI Server IP Adresse sowie des Server Ports zu prüfen. Der Nutzer wird ausdrücklich darauf hingewiesen, dass die Kosten der Datenübertragung bei einem Standort des Ortungsgerätes außerhalb der Europäischen Union deutlich erhöht ausfallen können. 

(3) Erwirbt der Nutzer ein Ortungsgeräte mit Datentarif von NAVANDI, so wird das Ortungsgerät mit einer SIM-Karte zur Datennutzung ausgeliefert und wird von NAVANDI konfiguriert. Die SIM-Karte darf ausschließlich für die Übertragung von Standortdaten zwischen Ortungsgerät und der Ortungsplattform verwendet werden. Die SIM-Karte bleibt stets im Eigentum von NAVANDI und ist nach Ablauf des Nutzungsvertrages an NAVANDI zurück zu geben. Die Verwendung der SIM-Karte für andere Zwecke als der Übertragung der Daten von dem Ortungsgerät zur Ortungsplattform ist untersagt und begründet einen Verstoß gegen diese Nutzungsbedingungen 

(4) Verwendet der Nutzer zur Übertragung von Daten zwischen Ortungsgerät und der Ortungsplattform eine SIM-Karte eines Drittanbieters, erfolgt dies auf eigene Verantwortung des Nutzers. Der Nutzer stellt NAVANDI von jeglichen Ansprüchen Dritter, die auf der Nutzung einer solchen SIM-Karte eines Drittanbieters beruhen, vollumfänglich frei.

Datensicherung und -löschung

(1) Im Falle der Beendigung des Nutzungsvertrages gleich welchen Grundes werden alle vom Nutzer in der Ortungsplattform getätigten Einstellungen gelöscht. Alle von dem Ortungsgerät dieses Nutzers übertragenen Daten werden ebenfalls unwiederbringlich gelöscht. 

(2) Der Nutzer ist daher angehalten, während der Dauer des Nutzungsvertrages regelmäßig, spätestens jedoch im Falle einer Kündigung rechtzeitig vor Beendigung des Nutzungsvertrages selbstständig eine Datensicherung vorzunehmen. 

(3) Nach Beendigung des Nutzungsvertrages ist eine Wiederherstellung der früheren Daten nicht möglich. NAVANDI nimmt selbst keine Datenspeicherung vor und ist hierzu auch nicht verpflichtet. Ausgenommen hiervon bleiben die im Rahmen der gesetzlichen Verpflichtungen einzuhaltenden Speicherfristen von im Rahmen der Abwicklung des Vertragsverhältnisses erhobenen Daten.

Schlussbestimmungen

(1) Für alle Streitigkeiten, die sich im Zusammenhang mit der Nutzung der Ortungsplattform ergeben, gilt das Recht der Bundesrepublik Deutschland. 

(2) Sollte eine Bestimmung dieser Nutzungsbedingungen unwirksam sein oder werden, so lässt dies die Wirksamkeit der übrigen Bestimmungen unberührt. Entsprechendes gilt für eventuelle Regelungslücken.

(3) NAVANDI ist berechtigt, die Erbringung aller Services jederzeit ganz oder teilweise auf Dritte zu übertragen.

Anlage 1

Auftragsverarbeitungsvertrag

Auftraggeber (Verantwortlicher):

_________________________________________________________________

Auftragnehmer (Auftragsverarbeiter):

NAVANDI, Inhaber Andreas Kern, Dollweg 44, 52393 Hürtgenwald

Präambel

Diese Vereinbarung konkretisiert die Verpflichtungen zum Datenschutz im Rahmen der Erhebung und Verarbeitung von personenbezogenen Daten auf der Ortungsplattform telematik.navandi.de. Sie findet Anwendung auf alle im Zusammenhang mit dem Betrieb und der Anwendung der Ortungsplattform erhobenen und verarbeiteten personenbezogenen Daten von Fahrzeugführern oder Personen, die Güter mit Ortungsgeräten bewegen.

1. Gegenstand und Dauer der Vereinbarung

Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

Empfang und Speicherung von durch Ortungsgeräte übertragener Daten, Darstellung der Bewegungsabläufe von Ortungsgeräten, Verwaltung von unterschiedlichen Nutzerkonten und Ortungsgeräten, Ermöglichen des Zugriffs auf Ortungsdaten im Wege einer webbasierten Einheit nach Passwortabfrage.

Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Dauer des Auftrags

Die Dauer des Vertrages über die Auftragsverarbeitungstätigkeit ist gleichlaufend mit der Dauer des Nutzungsvertrages. Hinsichtlich der Kündigung gelten die Bestimmungen des Nutzungsvertrages entsprechend.

Unabhängig davon kann der Auftraggeber diesen Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

Die Verarbeitung der Daten erfolgt im Wege der Übertragung von Ortungsgeräten und der Speicherung in einem nutzerabhängigen Profil. Auf die gespeicherten Daten kann ausschließlich der Inhaber des Nutzerkontos zugreifen, mit dem das jeweilige Ortungsgerät verbunden ist.

Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO):

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:

1) Personenbezogene Daten von Hauptbenutzer:

  • Name, E-Mail Adresse, Passwort (verschlüsselt in der Datenbank)
  • Telefonnummer
  • Individuelle Einstellungen zur Nutzung der Ortungsplattform

2) Personenbezogene Daten von Benutzer (ein Benutzer wird von einem Hauptbenutzer angelegt):

Name, E-Mail Adresse, Passwort (verschlüsselt in der Datenbank)

3) Daten, die von Ortungsgeräten übertragen werden:

  • Geräte-ID 
  • Absendezeitpunkt der Koordinate durch das Ortungsgerät
  • Eintreffzeitpunkt  der Koordinate an unserem Server
  • Längengrad
  • Breitengrad
  • Höhe über NN
  • Schaltzustände der analogen und/oder digitalen Eingänge
  • Geschwindigkeit des Ortungsgerätes
  • Bewegungsrichtung des Ortungsgerätes
  • Bewegungserkennung des Ortungsgerätes
  • Werte des Beschleunigungssensor
  • Mobilfunkzellendaten (Cell-ID, LAC, MNC, MCC)
  • Aktiver GSM Operator
  • SIM Karten ICCID
  • Datenübertragungs Modus (Heim, Roaming, unbekannt)
  • Signalqualität des GPS Signals
  • Seriennummer des Gerätes (IMEI)
  • Geofence Zonen
  • Geschwindigkeit bei überschrittener Obergrenze
  • Geofence Zone der Geschwindigkeitsüberschreitung
  • Fahrzeug Leerlauferkennung
  • Green Driving Daten (starke Beschleunigung, starkes Bremsen, starke Kurvenfahrt)
  • Errechnete Wegstrecke Einzelfahrt
  • Errechnete Wegstrecke Gesamt
  • Abschlepperkennung
  • Unfallerkennung
  • iButton ID
  • Schaltzustände iButton (optionaler Identifikationschip für Wegfahrsperre)
  • Ereigniszustand von im Gerät selbstfestgelegten Szenarien
  • digitale Daten aus dem CAN-Bus System sofern das Ortungssystem diese Daten auslesen kann
  • digitale Daten aus dem FMS System sofern das Ortungssystem diese Daten auslesen kann
  • digitale Daten aus dem Tachographen sofern das Ortungssystem diese Daten auslesen kann

Hinweis: Art und Umfang der übertragenen Daten können je nach verwendetem Ortungsgerät variieren.

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

-Mitarbeiter des Auftraggebers

-Fahrer von überwachten Fahrzeugen

-Begleitpersonen von beweglichen Gütern

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers

Weisungsberechtigte Personen des Auftraggebers sind:

___________________________________________________________________

(Vorname, Name, Organisationseinheit, Telefon)

Weisungsempfänger beim Auftragnehmer ist:

Herr Andreas Kern, Dollweg 44, 52393 Hürtgenwald

 

Der für die Weisung zu nutzender Kommunikationskanal ist die E-Mail Adresse:

andreas.kern@navandi.de

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

5. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(2) Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.

(3) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die oben genannte Stelle des Auftraggebers weiterzuleiten.

(4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

(5) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind.

(6) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

(7) Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer etwaigen Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.

6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

(1) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer generell gestattet, Art. 28 Abs. 2 DS-GVO.

derzeit werden die Daten des Auftraggebers in den Rechenzentren der Strato AG in Deutschland gespeichert. Der Auftraggeber ist, sofern dies aus Gründen der Kostenersparnis oder anderen wirtschaftlichen Gründen erforderlich und sinnvoll wird, mit einer Übertragung der Daten an ein anderes Rechenzentrum einverstanden, sofern die dortigen technischen und organisatorischen Maßnahmen mindestens dem Standard der Strato AG entsprechend und die sonstigen Bestimmungen dieses Vertrages eingehalten werden, insbesondere der Server-Standort nicht außerhalb der Europäischen Union liegt.

Der Einsatz eines weiteren Subunternehmers setzt ferner voraus, dass der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des weiteren Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt.

(2) Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

(3) Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

(4) Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

(1) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

(2) Das im Anhang 1 beschriebene Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.

(3) Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

10. Haftung

Auf Art. 82 DS-GVO wird verwiesen.

11. Sonstiges

(1) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

(2) Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

(3) Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(4) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Ort, Datum                                                                           Ort, Datum

Auftraggeber                                                                       Auftragnehmer

 

Anlage 1 – Technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht sind.

• Festlegung von Sicherheitsbereichen

• Realisierung eines wirksamen Zutrittsschutzes

• Protokollierung des Zutritts

• Festlegung Zutrittsberechtigter Personen

• Verwaltung von personengebundenen Zutrittsberechtigungen

• Begleitung von Fremdpersonal

• Überwachung der Räume

1.2 Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.

• Festlegung des Schutzbedarfs

• Zugangsschutz

• Umsetzung sicherer Zugangsverfahren, starke Authentisierung

• Umsetzung einfacher Authentisierung per Username Passwort

• Protokollierung des Zugangs

• Monitoring bei kritischen IT-Systemen

• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen

• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen

• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)

• Festlegung befugter Personen

• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen

• Automatische Zugangssperre und Manuelle Zugangssperre

1.3 Zugriffskontrolle

Es kann nur auf die Daten zugegriffen werden, für die eine Zugriffsberechtigung besteht. Daten können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

• Erstellen eines Berechtigungskonzepts

• Umsetzung von Zugriffsbeschränkungen

• Vergabe minimaler Berechtigungen

• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen

• Vermeidung der Konzentration von Funktionen

1.4 Verwendungszweckkontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Datensparsamkeit im Umgang mit personenbezogenen Daten

• Getrennte Verarbeitung verschiedener Datensätze

• Regelmäßige Verwendungszweckkontrolle und Löschung

• Trennung von Test- und Entwicklungsumgebung

1.5 Datenschutzfreundliche Voreinstellungen

Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Daten träger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass über prüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen

• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland

• Protokollierung von Übermittlungen gemäß Protokollierungskonzept

• Sichere Datenübertragung zwischen Server und Client

• Sicherung der Übertragung im Backend

• Sichere Übertragung zu externen Systemen

• Risikominimierung durch Netzseparierung

• Implementation von Sicherheitsgateways an den Netzübergabepunkten

• Härtung der Backendsysteme

• Beschreibung der Schnittstellen

• Umsetzung einer Maschine-Maschine-Authentisierung

• Sichere Ablage von Daten, inkl. Backups

• Gesicherte Speicherung auf mobilen Datenträgern

• Einführung eines Prozesses zur Datenträgerverwaltungen

• Prozess zur Sammlung und Entsorgung

• Datenschutzgerechter Lösch- und Zerstörungsverfahren

• Führung von Löschprotokollen

2.2 Eingabekontrolle

Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Protokollierung der Eingaben

• Dokumentation der Eingabeberechtigungen

3. Verfügbarkeit, Belastbarkeit, Desaster Recovery

3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Brandschutz

• Redundanz der Primärtechnik

• Redundanz der Stromversorgung

• Redundanz der Kommunikationsverbindungen

• Monitoring

• Resourcenplanung und Bereitstellung

• Abwehr von systembelastendem Missbrauch

• Datensicherungskonzepte und Umsetzung

• Regelmäßige Prüfung der Notfalleinrichtungen

3.2 Desaster Recovery – Rasche Wiederherstellung nach Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)

• Notfallplan

• Datensicherungskonzepte und Umsetzung

4. Datenschutzorganisation

• Festlegung von Verantwortlichkeiten

• Umsetzung und Kontrolle geeigneter Prozesse

• Melde- und Freigabeprozess

• Umsetzung von Schulungsmaßnahmen

• Verpflichtung auf Vertraulichkeit

• Regelungen zur internen Aufgabenverteilung

• Beachtung von Funktionstrennung und –zuordnung

• Einführung einer geeigneten Vertreterregelung

5. Auftragskontrolle

Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

• Auswahl weiterer Auftragnehmer nach geeigneten Garantien

• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern

• Abschluss einer Vereinbarung zur Auftragsverarbeitung

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Informationssicherheitsmanagement nach ISO 27001

• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen

• Prozess Sicherheitsvorfall-Management

• Durchführung von technischen Überprüfungen