Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Paragraph 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") ist Anlage zum Hauptvertrag über die Erstellung einer privatgutachterlichen Auswertung zur Ermittlung des Stammkundenumsatzanteils für die in Paragraph 3 Abs. 1 bezeichnete Station (nachfolgend "Hauptvertrag"). Er regelt, unter welchen Bedingungen der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

(2) Dieser AVV tritt mit Abschluss des Hauptvertrages in Kraft und gilt bis zur vollständigen Löschung aller Daten gemäß Paragraph 6 oder bis zur Beendigung des Hauptvertrages, je nachdem, was später eintritt.

(3) Im Verhältnis zwischen Hauptvertrag und diesem AVV gilt bei Widersprüche dieser AVV für datenschutzrechtliche Fragen vorrangig.

Paragraph 2 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Gegenstand, der Umfang, die Art und der Zweck der Verarbeitung sind in Paragraph 3 festgelegt. Der Hauptvertrag sowie die Leistungsbeschreibung gelten als dokumentierte Weisungen.

(2) Der Auftraggeber kann jederzeit schriftlich weitere Weisungen erteilen oder bestehende Weisungen ändern. Der Auftragnehmer hat die Änderung schriftlich zu bestätigen.

(3) Hält der Auftragnehmer eine Weisung für datenschutzrechtlich unzulässig, teilt er dies dem Auftraggeber unverzüglich schriftlich mit. Der Auftragnehmer ist berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung bestätigt oder zurückzieht.

(4) Der Auftragnehmer verarbeitet die Daten nicht für eigene Zwecke, es sei denn, dies ist gesetzlich vorgeschrieben. In diesem Fall informiert er den Auftraggeber vor der Verarbeitung, sofern das Gesetz eine solche Information nicht verbietet.

Paragraph 3 Art und Zweck der Datenverarbeitung

(1) Der Auftragnehmer verarbeitet die vom Auftraggeber übermittelten personenbezogenen Daten zum folgenden Zweck:

Ermittlung des Stammkundenumsatzanteils für die Tankstelle [Bezeichnung, Adresse] im Erhebungszeitraum vom [Datum] bis [Datum] nach dem fünfstufigen Verfahren der Rechtsprechung des Bundesgerichtshofs zum Handelsvertreterausgleich nach Paragraph 89b HGB analog, ergänzt um ein eigenständiges Verfahren für das Waschgeschäft auf Basis der Methoden-Freiheit des Tatrichters (BGH VIII ZR 249/08, BGH VIII ZR 130/01). Das Ergebnis wird als Gutachten-PDF mit Anlagen dem Auftraggeber übergeben.

(2) Eine Verarbeitung zu anderen Zwecken ist ohne vorherige schriftliche Einwilligung des Auftraggebers unzulässig.

(3) Klarstellung zum Einsatz von KI-Werkzeugen. Die Verarbeitung der Auftragsdaten erfolgt durch eine deterministische, lokal in Deutschland betriebene Engine des Auftragnehmers. Es findet kein Einsatz externer KI-Dienste auf den Auftragsdaten statt. Insbesondere werden Auftragsdaten weder an Cloud-KI-Anbieter übertragen noch zur Schulung eines KI-Modells verwendet. KI-Werkzeuge werden vom Auftragnehmer ausschließlich in der Engine-Entwicklung, der Marktbeobachtung der einschlägigen Rechtsprechung und der mandantenspezifischen Vorab-Konfiguration der Engine eingesetzt; diese Werkzeuge erhalten zu keinem Zeitpunkt Zugriff auf die Auftragsdaten des Auftraggebers.

Paragraph 4 Art der Daten und Kategorien der Betroffenen

(1) Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:

• Karten-Identifikatoren (pseudonymisierte Karten-Kennungen, bestehend aus Kartentyp-Kürzel, teilmaskierten Ziffernfolgen, Folge- und Vertragsnummern), wie sie das Kassensystem der Station erzeugt.
• Kaufzeitpunkte (Datum, Uhrzeit).
• Umsatzbeträge und Artikelpositionen (Kraftstoffmenge, Shop-Umsatz, Waschumsatz).
• Zahlungsart (Karte, Bar).
• Soweit enthalten: Treuekartennummern oder vergleichbare Identifikatoren.

(2) Betroffene Personen sind Endkunden der Tankstelle des Auftraggebers, deren Zahlungsvorgänge im Kassensystem protokolliert sind.

(3) Der Auftraggeber versichert gegenüber dem Auftragnehmer, dass die übermittelten Dateien keine der folgenden Daten enthalten, die nicht für die Auswertung erforderlich sind:

1. Klarnamenzuordnungen (Name, Anschrift, Kontaktdaten der Endkunden),
2. vollständige Zahlungskartennummern oder PAN (Primary Account Numbers),
3. biometrische oder gesundheitsbezogene Daten,
4. Mitarbeiterdaten mit Personenbezug außerhalb der für den Kassenbetrieb technisch erforderlichen Bedienernummern,
5. eine Datenbank oder Kundenkartei, die pseudonyme Karten-IDs mit Klarnamen verknüpft.

Sollte der Auftraggeber erkennen oder den Verdacht haben, dass solche Daten enthalten sind, hat er den Auftragnehmer vor oder unverzüglich nach dem Upload zu informieren. Der Auftragnehmer kann in diesem Fall die Verarbeitung aussetzen und zusätzliche Weisungen anfordern.

Paragraph 5 Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer trifft die in Anlage TOMs beschriebenen technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gemäß Art. 32 DSGVO. Die TOMs sind verbindlicher Bestandteil dieses AVV.

(2) Der Auftragnehmer ist berechtigt, die TOMs anzupassen, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen, die das Schutzniveau betreffen, teilt der Auftragnehmer dem Auftraggeber im Voraus schriftlich mit. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen; in diesem Fall ist eine einvernehmliche Lösung zu suchen.

Paragraph 6 Berichtigung, Löschung, Sperrung

(1) Der Auftragnehmer löscht die Kassenjournaldaten (Rohdaten) spätestens sechs Monate nach Abschluss des Auftrags sicher. Als Abschluss des Auftrags gilt die Übergabe des finalen Gutachtens an den Auftraggeber.

(2) Entscheidet der Auftraggeber, den Auftrag vor Fertigstellung des Gutachtens zu beenden, löscht der Auftragnehmer alle bis dahin erhaltenen Daten innerhalb von 30 Tagen nach Auftragsbeendigung.

(3) Sofern der Auftraggeber die Einwilligung zum Datenbehalt nach Checkbox 6 erteilt hat, verlängert sich die Speicherdauer der Rohdaten auf bis zu 24 Monate. Der Auftraggeber kann die Einwilligung jederzeit widerrufen; nach Widerruf werden die Daten innerhalb von 30 Tagen gelöscht.

(4) Steuerlich relevante Rechnungsdaten und das fertige Gutachten (PDF) werden zehn Jahre aufbewahrt und danach gelöscht. Vertragsunterlagen werden drei Jahre nach Vertragsende aufbewahrt.

(5) Auf Verlangen des Auftraggebers bestätigt der Auftragnehmer schriftlich die vollzogene Löschung.

Paragraph 7 Unterauftragsverhältnisse

(1) Der Auftragnehmer darf Unterauftragsverarbeiter einsetzen, soweit sie in der nachfolgenden Liste (Abs. 2) vorab genehmigt sind (Pauschal-Genehmigung).

(2) Vorab genehmigte Unterauftragsverarbeiter:

(3) Der Auftragnehmer schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem AVV inhaltlich entspricht (Art. 28 Abs. 4 DSGVO). Der Auftragnehmer haftet gegenüber dem Auftraggeber für Verstöße des Unterauftragsverarbeiters wie für eigene Verstöße.

(4) Jede Änderung der Liste (Abs. 2) teilt der Auftragnehmer dem Auftraggeber mindestens 14 Tage im Voraus schriftlich mit. Der Auftraggeber kann die Änderung innerhalb dieser Frist schriftlich ablehnen; in diesem Fall sind die Parteien zur einvernehmlichen Lösung verpflichtet.

(5) Cloudflare verarbeitet keine Kassenjournaldaten; es werden lediglich DNS-Abfragen und Netzwerk-Metadaten verarbeitet. Soweit Cloudflare Daten außerhalb der EU verarbeitet, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln. Der Auftraggeber nimmt dies zur Kenntnis.

Paragraph 8 Kontroll- und Weisungsrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, sich durch Anfragen, Unterlagenvorlage oder Vor-Ort-Kontrollen von der Einhaltung dieses AVV zu überzeugen. Der Auftragnehmer unterstützt entsprechende Prüfungen im angemessenen Umfang.

(2) Vor-Ort-Kontrollen sind mindestens sieben Werktage im Voraus anzukündigen. Sie finden zu den üblichen Geschäftszeiten statt. Vertrauliche Informationen anderer Kunden sind vor der Kontrolle zu schützen.

(3) Der Auftragnehmer stellt alle Informationen zur Verfügung, die der Auftraggeber zur Überprüfung der Einhaltung seiner Pflichten gemäß Art. 28 DSGVO benötigt.

Paragraph 9 Meldepflichten bei Datenpannen

(1) Der Auftragnehmer hat Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) unverzüglich, spätestens aber innerhalb von 48 Stunden nach Kenntnis, dem Auftraggeber zu melden. Fünfundvierzig Stunden sind der angestrebte Richtwert; 48 Stunden ist die vertraglich bindende Ausschlussfrist.

Zur Meldepflicht gehören insbesondere: unberechtigter Zugriff auf Kassenjournaldaten, Datenverlust, Verschlüsselung durch Schadsoftware, versehentliches Weitergeben an Dritte, Verlust von Datenpartitionen oder Datenträgern mit Kundendaten.

(2) Die Meldung enthält mindestens:

1. Zeitpunkt und Art des Vorfalls,
2. betroffene Datenkategorien und ungefähre Anzahl betroffener Personen soweit bekannt,
3. voraussichtliche Folgen,
4. bereits eingeleitete oder geplante Maßnahmen.

(3) Der Auftraggeber ist allein verantwortlich dafür, zu entscheiden, ob er den Vorfall der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO meldet (Frist: 72 Stunden) und ob betroffene Personen nach Art. 34 DSGVO zu informieren sind. Der Auftragnehmer unterstützt den Auftraggeber dabei mit allen verfügbaren Informationen.

Paragraph 10 Mitwirkung bei Anfragen Betroffener

(1) Soweit der Auftraggeber Auskunfts-, Berichtigungs-, Löschungs- oder sonstige Anfragen von Betroffenen erhält, die sich auf Daten beziehen, die beim Auftragnehmer verarbeitet werden, unterstützt der Auftragnehmer den Auftraggeber auf Anfrage und im angemessenen Umfang.

(2) Der Auftragnehmer leitet Anfragen von Betroffenen, die direkt an ihn gerichtet werden, unverzüglich an den Auftraggeber weiter. Er beantwortet solche Anfragen nicht selbst, es sei denn, der Auftraggeber erteilt eine entsprechende Weisung.

Paragraph 11 Verantwortlichkeiten nach Vertragsende

(1) Nach Vertragsende löscht der Auftragnehmer alle Kassenjournaldaten gemäß den in Paragraph 6 festgelegten Fristen.

(2) Auf ausdrücklichen schriftlichen Wunsch des Auftraggebers werden die Daten statt Löschung in einem gängigen Format an den Auftraggeber zurückgegeben und danach sicher gelöscht.

(3) Der Auftragnehmer bestätigt die Löschung oder Rückgabe schriftlich.

(4) Steuerlich und handelsrechtlich aufbewahrungspflichtige Dokumente (Rechnungen, Vertragsunterlagen, fertiges Gutachten-PDF) bleiben von der Löschpflicht ausgenommen und werden entsprechend den gesetzlichen Fristen aufbewahrt.

Paragraph 12 Haftung

(1) Der Auftraggeber und der Auftragnehmer haften gegenüber Betroffenen nach Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für die Pflichtverletzungen, die in ihrer Sphäre liegen. Der Auftragnehmer haftet insbesondere, wenn er gegen ausdrückliche Weisungen des Auftraggebers gehandelt hat, die ihm rechtmäßig erteilt wurden.

(2) Die Haftung des Auftragnehmers für leichte Fahrlässigkeit ist - mit Ausnahme der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), von Schäden an Leben, Körper oder Gesundheit sowie von Schäden, die durch Vorsatz oder grobe Fahrlässigkeit entstehen - ausgeschlossen. Die Höhe des Schadenersatzes ist bei leichter Fahrlässigkeit begrenzt auf die Höhe des Entgelts gemäß Hauptvertrag.

Paragraph 13 Dauer und Kündigung

(1) Dieser AVV ist unlösbar mit dem Hauptvertrag verbunden. Er endet automatisch mit der vollständigen Löschung aller Daten gemäß Paragraph 6 und Paragraph 11.

(2) Kein selbständiges Kündigungsrecht besteht für diesen AVV; die Kündigungsregelungen des Hauptvertrages gelten entsprechend.

(3) Bei einer außerordentlichen Kündigung des Hauptvertrages aus wichtigem Grund endet dieser AVV mit dem Hauptvertrag; die Löschpflicht aus Paragraph 6 gilt danach weiterhin.

Paragraph 14 Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Darmstadt, soweit der Auftraggeber Unternehmer im Sinne des Paragraph 14 BGB ist.