Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Paragraph 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") ist Anlage zum Hauptvertrag ueber die Erstellung einer privatgutachterlichen Auswertung zur Ermittlung des Stammkundenumsatzanteils fuer die in Paragraph 3 Abs. 1 bezeichnete Station (nachfolgend "Hauptvertrag"). Er regelt, unter welchen Bedingungen der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

(2) Dieser AVV tritt mit Abschluss des Hauptvertrages in Kraft und gilt bis zur vollstaendigen Loeschung aller Daten gemaess Paragraph 6 oder bis zur Beendigung des Hauptvertrages, je nachdem, was spaeter eintritt.

(3) Im Verhaeltnis zwischen Hauptvertrag und diesem AVV gilt bei Widersprueche dieser AVV fuer datenschutzrechtliche Fragen vorrangig.

Paragraph 2 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschliesslich auf dokumentierte Weisung des Auftraggebers. Der Gegenstand, der Umfang, die Art und der Zweck der Verarbeitung sind in Paragraph 3 festgelegt. Der Hauptvertrag sowie die Leistungsbeschreibung gelten als dokumentierte Weisungen.

(2) Der Auftraggeber kann jederzeit schriftlich weitere Weisungen erteilen oder bestehende Weisungen aendern. Der Auftragnehmer hat die Aenderung schriftlich zu bestaetigen.

(3) Haelt der Auftragnehmer eine Weisung fuer datenschutzrechtlich unzulaessig, teilt er dies dem Auftraggeber unverzueglich schriftlich mit. Der Auftragnehmer ist berechtigt, die Ausfuehrung der Weisung auszusetzen, bis der Auftraggeber die Weisung bestaetigt oder zurueckzieht.

(4) Der Auftragnehmer verarbeitet die Daten nicht fuer eigene Zwecke, es sei denn, dies ist gesetzlich vorgeschrieben. In diesem Fall informiert er den Auftraggeber vor der Verarbeitung, sofern das Gesetz eine solche Information nicht verbietet.

Paragraph 3 Art und Zweck der Datenverarbeitung

(1) Der Auftragnehmer verarbeitet die vom Auftraggeber uebermittelten personenbezogenen Daten zum folgenden Zweck:

Ermittlung des Stammkundenumsatzanteils fuer die Tankstelle [Bezeichnung, Adresse] im Erhebungszeitraum vom [Datum] bis [Datum] nach dem fuenfstufigen Verfahren der Rechtsprechung des Bundesgerichtshofs zum Handelsvertreterausgleich nach Paragraph 89b HGB analog, ergaenzt um ein eigenstaendiges Verfahren fuer das Waschgeschaeft gemaess BGH VIII ZR 130/01. Das Ergebnis wird als Gutachten-PDF mit Anlagen dem Auftraggeber uebergeben.

(2) Eine Verarbeitung zu anderen Zwecken ist ohne vorherige schriftliche Einwilligung des Auftraggebers unzulaessig.

Paragraph 4 Art der Daten und Kategorien der Betroffenen

(1) Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:

• Karten-Identifikatoren (pseudonymisierte Karten-Kennungen, bestehend aus Kartentyp-Kuerzel, teilmaskierten Ziffernfolgen, Folge- und Vertragsnummern), wie sie das Kassensystem der Station erzeugt.
• Kaufzeitpunkte (Datum, Uhrzeit).
• Umsatzbetraege und Artikelpositionen (Kraftstoffmenge, Shop-Umsatz, Waschumsatz).
• Zahlungsart (Karte, Bar).
• Soweit enthalten: Treuekartennummern oder vergleichbare Identifikatoren.

(2) Betroffene Personen sind Endkunden der Tankstelle des Auftraggebers, deren Zahlungsvorgaenge im Kassensystem protokolliert sind.

(3) Der Auftraggeber versichert gegenueber dem Auftragnehmer, dass die uebermittelten Dateien keine der folgenden Daten enthalten, die nicht fuer die Auswertung erforderlich sind:

1. Klarnamenzuordnungen (Name, Anschrift, Kontaktdaten der Endkunden),
2. vollstaendige Zahlungskartennummern oder PAN (Primary Account Numbers),
3. biometrische oder gesundheitsbezogene Daten,
4. Mitarbeiterdaten mit Personenbezug ausserhalb der fuer den Kassenbetrieb technisch erforderlichen Bedienernummern,
5. eine Datenbank oder Kundenkartei, die pseudonyme Karten-IDs mit Klarnamen verknuepft.

Sollte der Auftraggeber erkennen oder den Verdacht haben, dass solche Daten enthalten sind, hat er den Auftragnehmer vor oder unverzueglich nach dem Upload zu informieren. Der Auftragnehmer kann in diesem Fall die Verarbeitung aussetzen und zusaetzliche Weisungen anfordern.

Paragraph 5 Technisch-organisatorische Massnahmen

(1) Der Auftragnehmer trifft die in Anlage TOMs beschriebenen technisch-organisatorischen Massnahmen zum Schutz der personenbezogenen Daten gemaess Art. 32 DSGVO. Die TOMs sind verbindlicher Bestandteil dieses AVV.

(2) Der Auftragnehmer ist berechtigt, die TOMs anzupassen, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Aenderungen, die das Schutzniveau betreffen, teilt der Auftragnehmer dem Auftraggeber im Voraus schriftlich mit. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen; in diesem Fall ist eine einvernehmliche Loesung zu suchen.

Paragraph 6 Berichtigung, Loeschung, Sperrung

(1) Der Auftragnehmer loescht die Kassenjournaldaten (Rohdaten) spaetestens sechs Monate nach Abschluss des Auftrags sicher. Als Abschluss des Auftrags gilt die Uebergabe des finalen Gutachtens an den Auftraggeber.

(2) Entscheidet der Auftraggeber, den Auftrag vor Fertigstellung des Gutachtens zu beenden, loescht der Auftragnehmer alle bis dahin erhaltenen Daten innerhalb von 30 Tagen nach Auftragsbeendigung.

(3) Sofern der Auftraggeber die Einwilligung zum Datenbehalt nach Checkbox 6 erteilt hat, verlaengert sich die Speicherdauer der Rohdaten auf bis zu 24 Monate. Der Auftraggeber kann die Einwilligung jederzeit widerrufen; nach Widerruf werden die Daten innerhalb von 30 Tagen geloescht.

(4) Steuerlich relevante Rechnungsdaten und das fertige Gutachten (PDF) werden zehn Jahre aufbewahrt und danach geloescht. Vertragsunterlagen werden drei Jahre nach Vertragsende aufbewahrt.

(5) Auf Verlangen des Auftraggebers bestaetigt der Auftragnehmer schriftlich die vollzogene Loeschung.

Paragraph 7 Unterauftragsverhaeltnisse

(1) Der Auftragnehmer darf Unterauftragsverarbeiter einsetzen, soweit sie in der nachfolgenden Liste (Abs. 2) vorab genehmigt sind (Pauschal-Genehmigung).

(2) Vorab genehmigte Unterauftragsverarbeiter:

(3) Der Auftragnehmer schliesst mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem AVV inhaltlich entspricht (Art. 28 Abs. 4 DSGVO). Der Auftragnehmer haftet gegenueber dem Auftraggeber fuer Verstoesse des Unterauftragsverarbeiters wie fuer eigene Verstoesse.

(4) Jede Aenderung der Liste (Abs. 2) teilt der Auftragnehmer dem Auftraggeber mindestens 14 Tage im Voraus schriftlich mit. Der Auftraggeber kann die Aenderung innerhalb dieser Frist schriftlich ablehnen; in diesem Fall sind die Parteien zur einvernehmlichen Loesung verpflichtet.

(5) Cloudflare verarbeitet keine Kassenjournaldaten; es werden lediglich DNS-Abfragen und Netzwerk-Metadaten verarbeitet. Soweit Cloudflare Daten ausserhalb der EU verarbeitet, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln. Der Auftraggeber nimmt dies zur Kenntnis.

Paragraph 8 Kontroll- und Weisungsrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, sich durch Anfragen, Unterlagenvorlage oder Vor-Ort-Kontrollen von der Einhaltung dieses AVV zu ueberzeugen. Der Auftragnehmer unterstuetzt entsprechende Pruefungen im angemessenen Umfang.

(2) Vor-Ort-Kontrollen sind mindestens sieben Werktage im Voraus anzukuendigen. Sie finden zu den ueblichen Geschaeftszeiten statt. Vertrauliche Informationen anderer Kunden sind vor der Kontrolle zu schuetzen.

(3) Der Auftragnehmer stellt alle Informationen zur Verfuegung, die der Auftraggeber zur Ueberpruefung der Einhaltung seiner Pflichten gemaess Art. 28 DSGVO benoetigt.

Paragraph 9 Meldepflichten bei Datenpannen

(1) Der Auftragnehmer hat Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) unverzueglich, spaetestens aber innerhalb von 48 Stunden nach Kenntnis, dem Auftraggeber zu melden. Fuenfundvierzig Stunden sind der angestrebte Richtwert; 48 Stunden ist die vertraglich bindende Ausschlussfrist.

Zur Meldepflicht gehoeren insbesondere: unberechtigter Zugriff auf Kassenjournaldaten, Datenverlust, Verschluesselung durch Schadsoftware, versehentliches Weitergeben an Dritte, Verlust von Datenpartitionen oder Datentraegern mit Kundendaten.

(2) Die Meldung enthaelt mindestens:

1. Zeitpunkt und Art des Vorfalls,
2. betroffene Datenkategorien und ungefaehre Anzahl betroffener Personen soweit bekannt,
3. voraussichtliche Folgen,
4. bereits eingeleitete oder geplante Massnahmen.

(3) Der Auftraggeber ist allein verantwortlich dafuer, zu entscheiden, ob er den Vorfall der Datenschutzaufsichtsbehoerde nach Art. 33 DSGVO meldet (Frist: 72 Stunden) und ob betroffene Personen nach Art. 34 DSGVO zu informieren sind. Der Auftragnehmer unterstuetzt den Auftraggeber dabei mit allen verfuegbaren Informationen.

Paragraph 10 Mitwirkung bei Anfragen Betroffener

(1) Soweit der Auftraggeber Auskunfts-, Berichtigungs-, Loeschungs- oder sonstige Anfragen von Betroffenen erhaelt, die sich auf Daten beziehen, die beim Auftragnehmer verarbeitet werden, unterstuetzt der Auftragnehmer den Auftraggeber auf Anfrage und im angemessenen Umfang.

(2) Der Auftragnehmer leitet Anfragen von Betroffenen, die direkt an ihn gerichtet werden, unverzueglich an den Auftraggeber weiter. Er beantwortet solche Anfragen nicht selbst, es sei denn, der Auftraggeber erteilt eine entsprechende Weisung.

Paragraph 11 Verantwortlichkeiten nach Vertragsende

(1) Nach Vertragsende loescht der Auftragnehmer alle Kassenjournaldaten gemaess den in Paragraph 6 festgelegten Fristen.

(2) Auf ausdruecklichen schriftlichen Wunsch des Auftraggebers werden die Daten statt Loeschung in einem gaengigen Format an den Auftraggeber zurueckgegeben und danach sicher geloescht.

(3) Der Auftragnehmer bestaetigt die Loeschung oder Rueckgabe schriftlich.

(4) Steuerlich und handelsrechtlich aufbewahrungspflichtige Dokumente (Rechnungen, Vertragsunterlagen, fertiges Gutachten-PDF) bleiben von der Loeschpflicht ausgenommen und werden entsprechend den gesetzlichen Fristen aufbewahrt.

Paragraph 12 Haftung

(1) Der Auftraggeber und der Auftragnehmer haften gegenueber Betroffenen nach Art. 82 DSGVO. Im Innenverhaeltnis haftet jede Partei fuer die Pflichtverletzungen, die in ihrer Sphaere liegen. Der Auftragnehmer haftet insbesondere, wenn er gegen ausdrueckliche Weisungen des Auftraggebers gehandelt hat, die ihm rechtmaessig erteilt wurden.

(2) Die Haftung des Auftragnehmers fuer leichte Fahrlaessigkeit ist - mit Ausnahme der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), von Schaeden an Leben, Koerper oder Gesundheit sowie von Schaeden, die durch Vorsatz oder grobe Fahrlaessigkeit entstehen - ausgeschlossen. Die Hoehe des Schadenersatzes ist bei leichter Fahrlaessigkeit begrenzt auf die Hoehe des Entgelts gemaess Hauptvertrag.

Paragraph 13 Dauer und Kuendigung

(1) Dieser AVV ist unloesbar mit dem Hauptvertrag verbunden. Er endet automatisch mit der vollstaendigen Loeschung aller Daten gemaess Paragraph 6 und Paragraph 11.

(2) Kein selbstaendiges Kuendigungsrecht besteht fuer diesen AVV; die Kuendigungsregelungen des Hauptvertrages gelten entsprechend.

(3) Bei einer ausserordentlichen Kuendigung des Hauptvertrages aus wichtigem Grund endet dieser AVV mit dem Hauptvertrag; die Loeschpflicht aus Paragraph 6 gilt danach weiterhin.

Paragraph 14 Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Darmstadt, soweit der Auftraggeber Unternehmer im Sinne des Paragraph 14 BGB ist.