Begriffsbestimmungen Datenverarbeitung

1. Hintergrund und Zweck

Das Unternehmen, Individuum oder die Organisation, das/die diesen Bestimmungen zugestimmt hat, (das „Unternehmen“), und Quartix Holding plc, Quartix Limited, Quartix Inc oder jede andere Rechtsperson, welche unmittelbar oder mittelbar von Quartix Holdings plc (entsprechend „Quartix“) kontrolliert wird, haben vereinbart (die „Vereinbarung“), dass Quartix entweder Dienstleistungen für das Unternehmen bereitstellen wird oder Dienstleistungen von dem Unternehmen erhält. Als Teil der Vereinbarung wird das Unternehmen Quartix Daten übermitteln. Zweck dieser Bestimmungen zur Datenverarbeitung (die „Bestimmungen“) ist, sicherzustellen, dass bezüglich der Datenübermittelung an Quartix geeignete Vorkehrungen von dem Unternehmen getroffen werden.

Datenübermittlung von Quartix an das Unternehmen wird separat geregelt und ist nicht Teil dieser Bestimmungen. Diese Bestimmungen sind Teil der Vereinbarung und im Falle einer Diskrepanz zwischen der Vereinbarung und diesen Bestimmungen hat diese Vereinbarung Vorrang.

2. Definitionen und Auslegung

Im Sinne dieser Bestimmungen:

‚Datenschutzgesetz‘ bezeichnet alle anwendbaren Statuten, Gesetze, abgeleitete Rechtsvorschriften, Regeln, Verordnungen und Hinweise von einer Aufsichtsbehörde (oder das Äquivalent in Großbritannien) in Bezug auf Datenschutz, Geheimhaltung, Sicherheit, unmittelbare Werbung oder Schutz personenbezogener Daten oder Unternehmensdaten, (einschließlich nationaler Gesetze die solche Gesetze umsetzen (einschließlich Richtlinien 95/46/EG, 2002/58/EG and 97 /66/EG)), einschließlich des Datenschutzgesetz 2018 [Data Protection Act 2018], der Datenschutzrichtlinie für elektronische Kommunikation (EG Richtlinie), Verordnung 2003 (512003/2426) [Privacy and Electronic Communications (EC Directive) Regulations 2003 (512003/2426], Gesetz über Ermittlungsbefugisse 2000 [[Regulation of Investigatory Powers Act 2000], Gesetz über Ermittlungsbefugisse 2016 [Regulation of Investigatory Powers Act 2016], die Telekommunikationen (rechtmäßige Praxis) (Überwachung des Telekommunikationsverkehrs) Verordnung 2000 (SI 2000/2699) [Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000 (SI 2000/2699)] und die allgemeine Datenschutz-Grundverordnung [General Data Protection Regulation].

‚Daten‘ bezeichnet alle Daten, welche von den Datenschutzgesetzen erfasst werden, welche gemäß DS-GVO personenbezogene Daten umfassen jedoch nicht auf personenbezogene Daten und vertrauliche Daten beschränkt sind.

‚DS-GVO‘ bezeichnet die Datenschutz-Grundverordnung

‚Dienstleistungen‘ sind die Dienstleistungen die als Teil der Vereinbarung zur Verfügung gestellt werden.

‚Verantwortliche‘ hat die Bedeutung, die ihm gemäß Datenschutzgesetz gegeben wurde.

‚betroffene Person‘ hat die Bedeutung, die ihm gemäß Datenschutzgesetz gegeben wurde.

‚personenbezogene Daten‘ hat die Bedeutung, die ihm gemäß Datenschutzgesetz gegeben wurde.

‚Auftragsverarbeiter‘ hat die Bedeutung, die ihm gemäß Datenschutzgesetz gegeben wurde.

‚Unterauftragsverarbeiter‘ hat die Bedeutung, die ihm gemäß Datenschutzgesetz gegeben wurde.

‚Aufsichtsbehörde‘ hat die Bedeutung, die ihm gemäß Datenschutzgesetz gegeben wurde.

3. Datenverarbeitung

Das Unternehmen erklärt, garantiert und verpflichtet sich Quartix gegenüber, dass es rechtliche Gründe für die Verarbeitung personenbezogener Daten hat, über die betroffene Personen informiert und weiterhin über den Zweck der personenbezogenen Datenverarbeitung informieren wird, und alle Verpflichtungen der Datenschutzrichtlinie erfüllen wird. Das Unternehmen behält die Kontrolle über die Daten in den Fällen, die sich noch nicht unter der Kontrolle von Quartix befanden und behält die Verantwortlichkeiten und Pflichten des für den Verantwortlichen gemäß Datenschutzgesetzen. Quartix wird die Daten weiterhin vertraulich behandeln und erklärt sich bereit die Daten nur in Übereinstimmung mit dieser Datenschutzrichtlinie und den folgenden Bestimmungen zu verwenden.

(a) Quartix verarbeitet die Daten

(i) nur in dem Ausmaß, der in der Datendatenschutzerklärung von Quartix (https://www.quartix.com/de-de/hinweis-fuer-kunden-zu-gps-ortung-und-datenschutz/) ausgeführt ist,

(ii) nur in einer Art und Weise, wie es zur Erbringung der Dienstleistungen des Unternehmens erforderlich ist,

(iii) nur im Europäischen Wirtschaftsraum oder Großbritannien, es sei denn, die Übermittlung wurde von dem Unternehmen genehmigt oder ist für ein Land bestimmt, das laut regelmäßiger Entscheidung der Europäischen Kommission, oder im Fall der  Übermittlung aus Großbritannien, der Europäischen Kommission oder der zuständigen Aufsichtsbehörde einen angemessenen Schutz in Übereinstimmung mit Datenschutzgesetzgebung gewährleistet, oder dass für die Übermittlung geeignete Schutzmechanismen vorgesehen sind, wie sie in der DS-GVO niedergelegt sind;

(iv) wo anwendbar, in Übereinstimmung mit den Standardvertragsklauseln (Auftragsverarbeiter) genehmigt von der Europäischen Kommission in der Kommissionsentscheidung C(2010)593.

(b) Quartix soll sicherstellen, dass allen Angestellten oder anderen Vertreter der Zulieferer, die auf die Daten zugreifen

(i) diese Bestimmungen bekannt sind und

(ii) in Bezug auf die Datenschutzgesetzgebung und der im Zusammenhang stehenden bewährten Praktiken geschult worden sind und

(iii) an die Geheimhaltungspflichten gebunden sind.

(c) Quartix und das Unternehmen haben vereinbart die geeigneten technischen und organisatorischen Maßnahmen durchzuführen, die erforderlich sind ein angesichts des bestehenden Risikos angemessenes Sicherheitsniveau zu gewährleisten.

(d) Das Unternehmen gibt Quartix das Recht Dritte (einschließlich Vertreter und Subunternehmer) in die Datenverarbeitung einzubinden. Quartix haftet in Bezug auf die Daten gegenüber dem Unternehmen für die Datenschutzverpflichtungen Dritter.

(e) Unter Berücksichtigung von Art und Zweck der jeweiligen Verarbeitung, muss Quartix soweit es möglich ist die geeigneten technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, das Unternehmen in der Erfüllung seiner Verpflichtungen, Anfragen von betroffenen Personen, die ihre Rechte im Sinne von Kapitel III der DS-GVO – Recht auf Löschung, Berichtigung, Zugang, Sperrung, Übertragung, Widerspruch und das Recht nicht einer automatischen Entscheidung unterworfen zu sein, ausüben, zu unterstützen;

(f) Quartix soll das Unternehmen unterstützen, so dass das Unternehmen seinen Verpflichtungen gemäß der Artikel 32 – 36 DS-GVO – Sicherheit, Meldung von Verletzungen des Schutzes von personenbezogenen daten, Datenschutz-Folgeabschätzungen und, wo notwendig, Konsultation des ICO [Information Commissioner’s Office] (oder der entsprechenden Aufsichtsbehörde) nachkommen kann;

(g) Quartix soll alle Aufzeichnungen, in Bezug auf alle ausgeführten Datenverarbeitungstätigkeiten im Auftrag des Unternehmens schriftlich festhalten, die alle erforderlichen Daten gemäß Datenschutzgesetz enthalten, und die Aufzeichnungen der zuständigen Aufsichtsbehörde der Europäischen Union oder eines Mitgliedstaats (und / oder einer entsprechenden Behörde in Großbritannien) auf Nachfrage bei der entsprechenden Aufsichtsbehörde zugänglich machen;

(h) Soweit es die Datenschutzgesetze erfordern, soll Quartix soll in dem die Daten löschen, sobald diese nicht mehr benötigt werden, oder zu jedem anderen Zeitpunkt, wenn Quartix von dem Unternehmen gerechtfertigt dazu aufgefordert wurde. Wenn das Unternehmen ein Flottenfahrzeug-Tracking-Kunde ist, soll es die Möglichkeit haben die Aufbewahrungsdauer für Daten bei der Anmeldung in der Flotten-Tracking-Anwendung festzulegen. In den Fällen, wenn Quartix Daten löschen soll, umfasst die Löschung auch die Zerstörung aller existierenden Kopien (in dem gemäß dem Datenschutzgesetz erforderlichen Ausmaß).

(i) Soweit es die Datenschutzgesetze erfordern, wird Quartix, wenn es von dem Unternehmen in vertretbarer Weise dazu aufgefordert wird, dem Unternehmen alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung der in diesen Bestimmungen festgelegten Verpflichtungen nachzuweisen und alle angemessenen Anfragen des Unternehmens nach Prüfungen ermöglichen, vorausgesetzt, dass das Unternehmen Quartix für alle Kosten entschädigt, die im Zusammenhang mit der Unterstützung und Ausführung der Voraussetzungen der Prüfung (einschließlich der Arbeitnehmerkosten) entstanden sind, Zugriff auf bestimmte Unterlagen kann durch Quartix eingeschränkt werden, insbesondere solche Unterlagen, die von Quartix als geschäftlich vertraulich angesehen werden (solche Entscheidungen werden von Quartix nach eigenem Ermessen getroffen), es werden keine Penetrationstests, Schwachstellen-Tests oder andere Sicherheitstests durchgeführt, es dürfen keine Unterlagen oder Kopien von Unterlagen von Quartix Standorten entfernt werden. Quartix erhält eine Vorankündigung von 30 Tagen vor der Prüfung und eine Geheimhaltungsvereinbarung wird von allen Parteien, die eine Durchführung einer Prüfung wünschen unterzeichnet (einschließlich der Parteien, die im Namen des Unternehmens handeln);

(j) Quartix soll geeignete Vorkehrungen bezüglich der sicheren Übermittelung von Daten von dem Unternehmen an Quartix, sowie der sicheren Aufbewahrung der Daten durch Quartix, treffen;

(k) Quartix soll die Datenintegrität, ohne Änderung, wahren und sicherstellen, dass die Daten unabhängig von anderen Informationen erstellt werden;

(l) Soweit es die Datenschutzgesetze erfordern, soll Quartix Daten unverzüglich zurückgeben, ändern, übermitteln, kopieren oder löschen, wenn dies in vertretbarer Weise von dem Unternehmen angefordert wird.

4. Informationspflichten usw.

Soweit es die Datenschutzgesetze erfordern, soll Quartix das Unternehmen unverzüglich benachrichtigen, wenn es von einem tatsächlichen, vermuteten oder drohenden Verlust, einem Datenleck oder einer unbefugten Verarbeitung oder Offenlegung von Daten Kenntnis erhält;

wenn Quartix eine schriftliche Mitteilung von einer Aufsichtsbehörde, welche unmittelbar oder mittelbar mit der Verarbeitung der personenbezogenen Daten des Unternehmens im Zusammenhang steht, und Quartix soll mit dieser Aufsichtsbehörde zusammenarbeiten;

wenn personenbezogene Daten des Unternehmens und / oder in der Kontrolle von Quartix verloren gegangen, beschädigt wurden oder aus einem anderen Grund unbrauchbar geworden sind;

wenn Quartix Grund zu der Annahme hat, dass eine Handlung oder Anweisung des Unternehmens gegen Datenschutzgesetze verstößt.

5. Kündigung

Mit dem Ablauf oder der Kündigung dieser Bestimmungen, soll Quartix die Nutzung sofort einstellen, und sicherstellen, dass seine Vertreter oder Subunternehmer die Nutzung der Daten einstellen, und soll für die sichere Rückgabe oder deren Zerstörung sorgen (nach Wahl des Unternehmens), es sei denn zu diesem Zeitpunkt (es sei denn die Europäische Union, der Mitgliedstaat und / oder die Gesetzgebung Großbritanniens erfordert die Aufbewahrung der personenbezogenen Daten).

6. Rechte an personenbezogenen Daten

Quartix kompiliert gesammelte Daten in einer aggregierten und anonymisierten Form als Teil der Dienstleistungen (die ‚aggregierten Daten‘) und das Unternehmen erteilt Quartix die Erlaubnis dazu.

Quartix erwirbt die Rechte auf die und das Eigentum an den aggregierten Daten zum Zeitpunkt, an dem die Daten kompiliert werden, und ist nicht verpflichtet diese vertraulich zu behandeln, zu löschen, zurückzugeben oder Änderungen an den aggregierten Daten oder einem Teil davon vorzunehmen.

Das Unternehmen erteilt Quartix die Erlaubnis, seine Mitarbeiter, Direktoren, leitende Angestellte oder anderen Vertreter kontinuierlich zum Zweck der Erbringung der Dienstleistungen und für Werbezwecke zu kontaktieren, vorausgesetzt das Unternehmen kann diese Erlaubnis jederzeit unter Einhaltung einer Frist von 30 Tagen widerrufen.

7. Allgemeines

(a) Vorbehaltlich Klausel 7b, selbst nach Beendigung der Vereinbarung sollen diese Bestimmungen in Kraft bleiben, Quartix kann sie jedoch jederzeit nach Beendigung der Vereinbarung kündigen.

(b) Diese Bestimmungen können von Zeit zu Zeit von Quartix geändert werden (in zumutbarem Umfang), sofern das Unternehmen darüber informiert wird und das Unternehmen das Recht und die Möglichkeit hat, solchen Änderungen zu widersprechen.  Für den Fall, dass das Unternehmen solchen Änderungen widerspricht, soll Quartix die Möglichkeit haben diese Bestimmungen unter Einhaltung einer Frist von 30 Tagen zu kündigen.

(c) Die Parteien erklären sich unwiderruflich damit einverstanden, dass die englischen und walisischen Gerichte die ausschließliche Zuständigkeit zur Beilegung von Streitigkeiten oder Ansprüchen (einschließlich nicht vertragsbedingter Streitigkeiten oder Ansprüche) haben, welche sich aus oder im Zusammenhang mit diesen Bestimmungen oder ihrem Inhalt oder ihrer Formulierung ergeben.

(d) Die Überschriften und Unterrubriken in diesen Bestimmungen dienen lediglich der Benutzerfreundlichkeit und als Referenz und sind kein Bestandteil, dieser Bestimmungen und beeinflussen die Auslegung dieser Bestimmungen nicht.

(e) Sollte eine der Bestimmungen undurchsetzbar oder unverhältnismäßig sein, ist es im Rahmen solcher Rechtswidrigkeit, Ungültigkeit, Nichtigkeit, Anfechtbarkeit, Nichtdurchsetzbarkeit oder Unangemessenheit als nicht gültig anzusehen. Die verbleibenden Bestimmungen und der Rest der Bestimmungen behalten ihre uneingeschränkte Gültigkeit.