Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

zur Beauftragung der „24h-Serviceline“

(nachfolgend als „Hauptvertrag“ bezeichnet)

zwischen

dem Auftraggeber der 24h-Serviceline

- Verantwortlicher, nachstehend „Auftraggeber“ genannt -

und der

ADAC Service GmbH

Hansastr. 19

80686 München

- Auftragsverarbeiter, nachstehend „Auftragnehmer“ genannt -

- einzeln und/oder gemeinsam nachstehend als „Vertragspartner“ genannt-

Dieser Auftragsverarbeitungsvertrag wird nach Art 28 Abs 9 DSGVO in einem elektronischen For-mat abgeschlossen und bedarf daher keiner Unterschrift. Dies gilt ungeachtet einer etwaigen Schriftformklausel im Auftrag.
Annex 1 Ergänzung zum Auftragsverarbeitungsvertrag zwischen Auftraggeber der 24h-Serviceline und ADAC Service GmbH
Gegenstand und Zweck des Auftrags Art der zu verarbeiteten Daten Kreis der Betroffenen Auftragsdauer: Weisungsberechtigte des Auftraggebers und Weisungs-empfänger des Auftragneh-mers
Übermittlung von Kundenanliegen und eines Rückrufwunsches an den Auftraggeber Personen- und Kommunikationsdaten Kunden und Interessenten Unbegrenzt. Beendigung durch Kündi-gung GF des Auftraggebers und GF des Auftragneh-mers.
Annex 2

Checkliste technisch organisatorische Maßnahmen (TOM)

Datenschutz bzw. Datensicherheit nach DS-GVO & BDSG

Die beigefügte TOM-Checkliste wurde vom Auftragnehmer, der personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, ausgefüllt und dient der Dokumentation der bestehenden Umsetzung der gesetzlichen Vorgaben gem. Artikel 32 DS-GVO und § 64 Bundesdatenschutzgesetz (BDSG) auf Seiten des Auftragnehmers.

1. Vertraulichkeit (Art. 32 Abs. 1 b) DSGVO)

  • Zutrittskontrolle
  • Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z. B.:
  • Magnet- oder Chipkarten
  • Zutritt Serverräume permanent verschlossen, Sonderberechtigung notwendig
  • Schlüsselausgabe protokolliert
  • Schlüsselausgabe protokolliert
  • Videoüberwachungsanlage
  • Elektronische Zugangskontrolle
  • Keine unbefugte Nutzung von Datenverarbeitungs- und Datenspeicherungssystemen, z. B.:
  • Magnet- oder Chipkarten
  • Zutritt Serverräume permanent verschlossen, Sonderberechtigung notwendig
  • Schlüsselausgabe protokolliert
  • Schlüsselausgabe protokolliert
  • Videoüberwachungsanlage
  • Interne Zugangskontrolle (Nutzerrechte: Zugriff auf und Änderung von Daten)
  • Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten im System, z. B.:
  • Berechtigungs-/Rollenkonzept
  • Bedarfsorientierte Zugriffsrechte
  • Trennungskontrolle
  • Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z. B.:
  • Mandantentrennung
  • Getrennte Bereiche / Differenzierte IT Systeme
  • Pseudonymisierung (Art. 32 Abs. 1 a) und Art. 25 Abs. 1 DSGVO)
  • Verarbeitung personenbezogener Daten auf eine Art und Weise, mit der ohne Zusatzinformationen keine Rückschlüsse auf eine betroffene Person möglich sind. Zusatzinformationen sind separat zu speichern und unterliegen entsprechenden technischen und organisatorischen Maßnahmen.

    ⇒ Für den Zweck dieses Vertrages nicht erforderlich

2. Integrität (Art. 32 Abs. 1 b) DSGVO)

  • Datenübertragungskontrolle
  • Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten bei der elektronischen Übertragung oder Versendung, z. B.:
  • Verschlüsselung
  • VPN (Virtual Private Network)
  • Automatisierte Empfängerzuordnung
  • ⇒ Elektronische Unterschrift

  • Eingabekontrolle
  • Prüfung, ob und von wem personenbezogene Daten in ein Datenverarbeitungssystem eingegeben, geändert oder gelöscht werden, z. B.:
  • Keine Datenspeicherung/-änderung beim Auftragnehmer
  • Daten werden vom Auftragnehmer aufgenommen und direkt an Auftraggeber weitergeleitet
  • ⇒ Dokumentenmanagement

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 b) DSGVO)

  • Verfügbarkeitskontrolle
  • Vermeidung von zufälliger oder beabsichtigter Zerstörung oder Verlust, z. B.:
  • Backup-Strategie (online/offline; extern)
  • Brandschutzmaßnahmen
  • Unterbrechungsfreie Stromversorgung (USV)
  • Virenschutz)
  • Firewall
  • Berichtswesen und Notfallplanung
  • Rasche Wiederherstellung (Art. 32 Abs. 1 c) DSGVO)
  • Mehrstufige Backup Strategie

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 d) DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutzmanagement
  • Störfallmanagement
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
  • Auftrags- bzw. Vertragskontrolle
  • Datenverarbeitung gemäß Art. 28 DSGVO nur auf entsprechende Anweisung des Auftraggebers, z. B.
  • Klare und unmissverständliche Regelung der Vertragsverhältnisse
  • Formalisiertes Auftragsmanagement
  • Strenge Kontrollen bei der Auswahl von Dienstleistern
  • Pflicht zur vorherigen Bewertung
  • Kontrollüberprüfungen

5. Übertragungskontrolle

Speicherung der Daten in der EU

Annex 3

Business Line GmbH

Büddenstedter Weg 1

38350 Helmstedt

Callcenter-Tätigkeiten