1. Hintergrund und Absicht
Die Kapitalgesellschaft, Personengesellschaft, Vereinigung oder natürliche Person, die diesen Richtlinien zustimmt (der „Kunde“) sowie Quartix Technologies plc, Quartix Limited, Quartix SAS, Quartix Inc oder ein anderer Rechtsträger, der direkt oder indirekt von Quartix Technologies plc kontrolliert wird, (jeweils als „Quartix“ bezeichnet) haben einen Vertrag abgeschlossen (der „Vertrag“), auf dessen Grundlage Quartix Services für den Kunden erbringt.
Im Rahmen dieses Vertrags gibt der Kunde Daten an Quartix weiter. Mit diesen Bedingungen für die Datenverarbeitung („DV-Bedingungen“) soll sichergestellt werden, dass ordnungsgemäße Regelungen für die Weitergabe von Daten zwischen dem Kunden und Quartix vorhanden sind. Diese DV-Bedingungen sind Teil des Vertrags, und im Falle von Widersprüchen zwischen dem Vertrag und diesen DV-Bedingungen hat der Vertrag Vorrang.
2. Begriffsbestimmungen und Auslegung
Im Rahmen dieser DV-Bedingungen bedeuten die Begriffe:
„datenschutzrechtliche Bestimmungen“: alle anwendbaren Gesetze, Rechtsnormen, sekundären Rechtsvorschriften, Regeln, Verordnungen und Leitlinien einer Aufsichtsbehörde (oder deren Äquivalent im Vereinigten Königreich), die sich auf den Schutz der Privatsphäre, der Vertraulichkeit, der Sicherheit, Direktmarketing oder den Schutz von personenbezogenen Daten oder Unternehmensdaten beziehen (einschließlich der Richtlinien 95/46/EG, 2002/58/EG und 97/66/EG, des Data Protection Act 2018, der Privacy and Electronic Communications (EC Directive) Regulations 2003 (512003/2426), des Regulation of Investigatory Powers Act 2000, des Investigatory Powers Act 2016, der Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000 (SI 2000/2699) und der DSGVO).
„Daten“: alle Daten, die durch die datenschutzrechtlichen Bestimmungen erfasst sind, was unter anderem personenbezogene Daten und sensible Daten laut Definition durch die DSGVO umfasst.
„DSGVO“: die Datenschutz-Grundverordnung bzw. je nach Anwendbarkeit die britische Datenschutz-Grundverordnung (nach Definition des britischen Data Protection Act 2018).
„Services“: die vom Anbieter im Rahmen des Vertrags erbrachten Dienstleistungen.
„Verantwortlicher“ wird in der Bedeutung des Begriffs in den datenschutzrechtlichen Bestimmungen verwendet.
„Betroffene Person“ wird in der Bedeutung des Begriffs in den datenschutzrechtlichen Bestimmungen verwendet.
„Personenbezogene Daten“ wird in der Bedeutung des Begriffs in den datenschutzrechtlichen Bestimmungen verwendet.
„Auftragsverarbeiter“ wird in der Bedeutung des Begriffs in den datenschutzrechtlichen Bestimmungen verwendet.
„Unterauftragsverarbeiter“ wird in der Bedeutung des Begriffs in den datenschutzrechtlichen Bestimmungen verwendet.
„Aufsichtsbehörde“ wird in der Bedeutung des Begriffs in den datenschutzrechtlichen Bestimmungen verwendet.
3. Datenverarbeitung
Der Kunde erklärt hiermit, sichert zu und gewährleistet gegenüber Quartix, dass er über rechtmäßige Gründe für die Verarbeitung verfügt, dass er die betroffenen Personen über den Zweck der Verarbeitung informiert hat und weiterhin informieren wird und jederzeit seine Verpflichtungen aus den datenschutzrechtlichen Bestimmungen erfüllen wird.
. Quartix wird die Vertraulichkeit der Daten wahren und erklärt sich einverstanden, die Daten ausschließlich gemäß den datenschutzrechtlichen Bestimmungen und den folgenden Bestimmungen zu verarbeiten (soweit sie laut den datenschutzrechtlichen Bestimmungen erforderlich sind):
a) Quartix wird die Daten verarbeiten:
(i) wie in der Datenschutzerklärung von Quartix https://www.quartix.com/de-de/datenschutzerklaerung-zur-gps-ortung/ erläutert, aus der hervorgeht, welche Daten erhoben werden dürfen und zu welchen Zwecken sie verwendet werden dürfen,
(ii) ausschließlich in einer Weise, die für die Erbringung der Services erforderlich ist und gemäß den Anweisungen des Kunden gemäß Vertrag oder sonstiger schriftlicher Vereinbarung zwischen den Parteien,
(iii) ausschließlich im Europäischen Wirtschaftsraum und dem Vereinigten Königreich, es sei denn, die Übertragung wurde vom Kunden autorisiert oder erfolgt in ein Land, das laut Feststellung durch die Europäische Kommission oder im Falle einer Übertragung aus dem Vereinigten Königreich eine zuständige Aufsichtsbehörde zum gegebenen Zeitpunkt über ein angemessenes Datenschutzniveau gemäß den datenschutzrechtlichen Bestimmungen verfügt, oder für die Übertragung sind geeignete Garantien vorhanden, wie in der DSGVO erläutert,
(iv) sofern zutreffend gemäß den Standardvertragsklauseln (Auftragsverarbeiter), die von der Europäischen Kommission in Kommissionsbeschluss K(2010)593 gebilligt wurden.
b) Quartix stellt sicher, dass alle Mitarbeiter und sonstigen Vertreter von Quartix mit Zugriff auf die Daten:
(i) mit diesen Bedingungen vertraut sind,
(ii) zu datenschutzrechtlichen Bestimmungen und zugehörigen bewährten Verfahren geschult wurden und
(iii) Vertraulichkeitspflichten unterliegen.
c) Quartix und der Kunde haben vereinbart, geeignete technische und organisatorische Maßnahmen durchzuführen, um ein für das Risiko angemessenes Sicherheitsniveau zu gewährleisten.
d) Der Kunde gewährt Quartix das Recht, Drittparteien (darunter Beauftragte und Subunternehmer) in die Verarbeitung der Daten einzubeziehen. Quartix stellt sicher, dass Vereinbarungen mit diesen Drittparteien bestehen, die ein gleichwertiges Datenschutzniveau, wie in den vorliegenden DV-Bedingungen erläutert, bieten. Quartix bleibt gegenüber dem Kunden für die Einhaltung der Datenschutzverpflichtungen für diese Daten durch die Drittparteien haftbar.
e) Aufgrund der Art der Verarbeitung ergreift Quartix technische und organisatorische Maßnahmen, die notwendig sind, um den Kunden nach Möglichkeit bei der Erfüllung seiner Pflicht zur Beantwortung der Anfragen betroffener Personen in Ausübung ihrer Rechte laut DSGVO Kapitel III zu unterstützen: des Rechts auf Löschung, Berichtigung, Auskunft, Beschränkung, Übertragbarkeit, Widerspruch, des Rechts, keiner automatischen Entscheidungsfindung unterworfen zu werden, etc.
f) Quartix unterstützt den Kunden nach Möglichkeit bei der Erfüllung seiner Pflichten gemäß Artikel 32 bis 36 DSGVO – Sicherheit, Benachrichtigung über Datenschutzverletzungen, Benachrichtigung der betroffenen Personen bei Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und wenn nötig Rücksprache mit dem Information Commissioner‘s Office (ICO) (oder einer anderen zuständigen Aufsichtsbehörde).
g) Quartix führt schriftliche Aufzeichnungen über sämtliche Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Kunden durchgeführt werden und alle Informationen enthalten, die gemäß den datenschutzrechtlichen Bestimmungen erforderlich sind, und stellt diese Aufzeichnungen jeder zuständigen Aufsichtsbehörde der Europäischen Union, ihrer Mitgliedsstaaten (und/oder deren Entsprechung im Vereinigten Königreich) zur Verfügung, sofern sie von dieser Aufsichtsbehörde angefordert werden.
h) Soweit gemäß den datenschutzrechtlichen Bestimmungen erforderlich, löscht Quartix die Daten, wenn der Kunde zu einem beliebigen Zeitpunkt billigerweise hierzu aufgefordert, in jedem Fall aber nach Abschluss der Verarbeitung gemäß den datenschutzrechtlichen Bestimmungen (nach Ablauf etwaiger Speicherfristen). Bei Kunden, die Fahrzeugflottenortung betreiben, hat der Kunde die Möglichkeit, die Speicherfrist der Daten nach Anmeldung in der Flottenortungs-Anwendung festzulegen. Sofern Quartix Daten löschen soll, muss die Löschung die Vernichtung aller bestehenden Kopien beinhalten (soweit nach den datenschutzrechtlichen Bestimmungen erforderlich).
i) Soweit nach den datenschutzrechtlichen Bestimmungen erforderlich, stellt Quartix dem Kunden, sofern von diesem billigerweise beantragt, die notwendigen Informationen zur Verfügung, um die Einhaltung der in diesen DV-Bedingungen festgelegten Verpflichtungen nachzuweisen, und steht für angemessene Prüfanfragen des Kunden offen, unter der Voraussetzung, dass der Kunde Quartix sämtliche Kosten erstattet, die zur Unterstützung der Prüfanforderungen entstehen (einschließlich der Kosten für Mitarbeiter-Arbeitszeit), dass der Zugang zu bestimmten Aufzeichnungen von Quartix beschränkt werden kann, sofern diese Aufzeichnungen von Quartix als geschäftlich sensibel eingestuft werden (wobei diese Einschätzung im alleinigen Ermessen von Quartix zu treffen ist), dass keine Penetrationstests, Schwachstellenscans oder sonstigen Sicherheitstests durchgeführt werden, keine Datensätze oder Kopien von Datensätzen von den Websites von Quartix entfernt werden, Quartix 30 Tage im Voraus über die Prüfung informiert wird und Vertraulichkeitsvereinbarungen von sämtlichen Parteien unterzeichnet werden, die die Prüfung durchführen wollen (auch von Parteien, die im Auftrag des Kunden handeln).
j) Quartix trifft geeignete Vorkehrungen für die sichere Übertragung der Daten vom Kunden an Quartix und für die sichere Verwahrung der Daten durch Quartix.
k) Quartix wahrt die änderungsfreie Integrität der Daten und stellt sicher, dass die Daten von anderen erstellten Informationen trennbar sind. l) Soweit nach den datenschutzrechtlichen Bestimmungen erforderlich, wird Quartix auf angemessenes Verlangen des Kunden Daten unverzüglich zurückgeben, korrigieren, übertragen, kopieren oder löschen.
4. Mitteilungspflichten etc.
Soweit nach den datenschutzrechtlichen Bestimmungen erforderlich, benachrichtigt Quartix den Kunden: unverzüglich, wenn ihm tatsächliche, mutmaßliche oder drohende Verluste, Lecks oder unberechtigte Verarbeitungen oder Offenlegungen von Daten zur Kenntnis gelangen; unverzüglich nach Erhalt einer Mitteilung einer Aufsichtsbehörde, die sich direkt oder indirekt auf die Bearbeitung der personenbezogenen Daten des Kunden beziehen, und kooperiert mit der betreffenden Aufsichtsbehörde; unverzüglich, wenn personenbezogene Daten des Kunden im Besitz und/oder unter der Kontrolle von Quartix verloren gehen, beschädigt oder aus beliebigem Grund unbrauchbar gemacht werden; unverzüglich, wenn Quartix Grund zu der Annahme hat, dass eine Maßnahme oder Anweisung des Kunden gegen die datenschutzrechtlichen Bestimmungen verstößt.
5. Kündigung
Bei Ablauf oder Kündigung dieser DV-Bedingungen stellt Quartix die Nutzung der Daten unverzüglich ein, sorgt dafür, dass ihre Beauftragten und Unterauftragnehmer die Nutzung der Daten einstellen, und organisiert deren sichere Rückgabe oder Vernichtung (nach Wahl des Kunden) zum entsprechenden Zeitpunkt (es sei denn, das Recht der Europäischen Union, eines Mitgliedsstaats und/oder des Vereinigten Königreichs erfordern die Speicherung der personenbezogenen Daten).
6. Rechte an personenbezogenen Daten
Quartix stellt die im Rahmen der Services erhobenen Daten in aggregierter und anonymisierter Form zusammen (die „aggregierten Daten“), und der Kunde erteilt Quartix die Genehmigung hierfür. Quartix erwirbt die vollständigen Rechte an den aggregierten Daten, die in sein Eigentum übergehen, und ist in dem Moment, in dem diese Daten in anonymisierter Form zusammengestellt werden, nicht mehr Auftragsverarbeiter, der im Auftrag des Kunden handelt. Quartix ist zudem nicht verpflichtet, die aggregierten Daten oder Teile davon vertraulich zu behandeln, zu löschen, zurückzugeben oder zu korrigieren.