DS-GVO

Datenverarbeitungsvertrag

1. EINLEITUNG

Wenn der Kunde (nachfolgend der „Kunde“) die Dienstleistungen von SENSOLUS NV – VAT 0543.551.277 (nachfolgend „Sensolus“) in Anspruch nimmt, wird Sensolus:

  • Zugang zu persönlichen Daten des Kunden haben und
  • muss personenbezogene Daten verarbeiten, für die der Kunde als Verantwortlicher im Sinne der Datenschutzgesetzgebung verantwortlich ist (allein oder zusammen mit seinen verbundenen Unternehmen).

Diese Datenverarbeitungsbedingungen (nachfolgend die „Bedingungen“) gelten für die Verarbeitung personenbezogener Daten durch Sensolus für den Kunden und bestimmen:

  • die Verpflichtungen der Parteien hinsichtlich der Einhaltung der Datenschutzgesetze und
  • wie Sensolus die personenbezogenen Daten verwalten, sichern und verarbeiten wird.

Diese Bedingungen sind mit den Leistungen von Sensolus untrennbar verbunden und ersetzen alle bisher geltenden Datenverarbeitungsbedingungen, sobald eine Vereinbarung mit Sensolus zustande kommt oder der Kunde diese Bedingungen akzeptiert.

2. BEGRIFFSBESTIMMUNGEN

In diesen Bedingungen haben die folgenden Begriffe die in diesem Artikel beschriebene Bedeutung (wenn sie mit einem Großbuchstaben geschrieben werden).

Verbundene Unternehmen:   Jedes mit dem Kunden verbundene und/oder assoziierte Unternehmen gemäß Artikel 1:20 und 1:21 des belgischen Gesetzes über Gesellschaften und Vereinigungen. Wenn der Kunde gemeinsam mit einem oder mehreren seiner Verbundenen Unternehmen als Controller zu betrachten ist, schließt jeder Verweis auf den Kunden in diesen Bedingungen auch die entsprechenden Verbundenen Unternehmen ein

Datenschutzbestimmungen.

(i)
Das belgische Datenschutzgesetz vom 30. Juli 2018 zum Schutz von Personen bei der Verarbeitung personenbezogener Daten

(ii) Die Datenschutz-Grundverordnung 2016/679 vom 27. April 2016 („DSGVO“) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG; und/oder

(iii) Sonstige geltende Vorschriften für die Verarbeitung personenbezogener Daten durch Sensolus

Dienstleistungen: Alle industriellen Dienstleistungen im IoT-Bereich, die SENSOLUS dem Kunden anbietet

Unterauftragsverarbeiter: Jeder von Sensolus beauftragte Verarbeiter.

Alle anderen in diesen Bedingungen verwendeten Definitionen (wie z. B., aber nicht beschränkt auf, personenbezogene Daten, Verarbeitung und Verletzung des Schutzes personenbezogener Daten) haben die Bedeutung, wie sie in der DS-GVO beschrieben ist.

3. GEGENSTAND

3.1 Die Parteien erkennen an und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten der Kunde als „Verantwortlicher“ und Sensolus als „Auftragsverarbeiter“ im Sinne der Datenschutzgesetzgebung zu betrachten ist. Sensolus wird die personenbezogenen Daten jederzeit ordnungsgemäß und sorgfältig und in Übereinstimmung mit den Datenschutzgesetzen verarbeiten.

3.2 Sensolus verarbeitet die personenbezogenen Daten nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden, wie in Anhang I beschrieben, es sei denn, die Verarbeitung ist durch ein Gesetz der Union oder eines Mitgliedstaates, dem Sensolus unterliegt, vorgeschrieben. In diesem Fall informiert Sensolus den Kunden vor der Verarbeitung über die gesetzliche Verpflichtung, es sei denn, das geltende Recht verbietet die Weitergabe solcher Informationen aus wichtigen Gründen des öffentlichen Interesses.

3.3 Der Kunde besitzt und behält die volle Kontrolle über (i) die Verwendung personenbezogener Daten, (ii) die Art der verarbeiteten personenbezogenen Daten, (iii) den Zweck der Verarbeitung und (iv) die Tatsache, ob diese Verarbeitung verhältnismäßig (nicht einschränkend) ist.

3.4 Sensolus wird alle personenbezogenen Daten streng vertraulich behandeln und daher ohne vorherige schriftliche Zustimmung des Kunden (unbeschadet Artikel 5) keine personenbezogenen Daten an Dritte weitergeben, es sei denn, eine solche Weitergabe ist gesetzlich, gerichtlich oder durch behördliche Entscheidung vorgeschrieben.

4.SICHERHEIT DER VERARBEITUNG

4.1 Sensolus setzt unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen ein zum Schutz (i) personenbezogener Daten – einschließlich des Schutzes vor unvorsichtiger, missbräuchlicher, unbefugter oder rechtswidriger Nutzung und/oder Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung – (ii) der Vertraulichkeit und Integrität personenbezogener Daten, wie in Anhang IIIdargelegt.

5. UNTERAUFTRAGSVERARBEITER

5.1 Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass Sensolus im Zusammenhang mit den Diensten Unterauftragsverarbeiter von Dritten einsetzen kann. Sensolus stellt sicher, dass die Unterauftragsverarbeiter mindestens an die gleichen Verpflichtungen gebunden sind, an die Sensolus gemäß diesen Bedingungen gebunden ist.

5.2 Sensolus hat in Anhang II eine Liste mit den aktuellen Unterauftragsverarbeitern hinzugefügt, auf die Sensolus sich für die Erbringung der Dienstleistungen beruft.

5.3 Sensolus aktualisiert die Liste immer dann, wenn sich ein Unterauftragsverarbeiter ändert (z. B. ein neuer Unterauftragsverarbeiter wurde hinzugefügt, ein Unterauftragsverarbeiter wurde ausgetauscht usw.) und benachrichtigt den Kunden, wenn (wesentliche) Änderungen vorgenommen werden. Will der Kunde von seinem Widerspruchsrecht Gebrauch machen, so hat er dies Sensolus spätestens innerhalb von dreißig (30) Tagen nach der Mitteilung schriftlich und begründet mitzuteilen.

5.4 Sensolus stellt sicher, dass seine Mitarbeiter, Vertreter und/oder zugelassenen Unterauftragsverarbeiter die Vertraulichkeit der personenbezogenen Daten respektieren und an ähnliche Datenschutz- und Vertraulichkeitsverpflichtungen gebunden sind wie Sensolus gemäß diesen Bedingungen.

6. ÜBERTRAGUNG PERSONENBEZOGENER DATEN AUSSERHALB DES EWR

6.1 Jede Übertragung personenbezogener Daten außerhalb des EWR durch Sensolus an einen Unterauftragsverarbeiter, dessen Sitz oder Wohnsitz sich in einem Land befindet, das nicht unter den von der Europäischen Kommission erlassenen Angemessenheitsbeschluss fällt, unterliegt einer oder mehreren der aufgelisteten, von der EU genehmigten Sicherheitsvorkehrungen.

  • Der Abschluss einer Datenübertragungsvereinbarung mit diesem Empfänger, die die Standardvertragsklauseln enthält, wie sie von der Europäischen Kommission referenziert werden,
  • Verbindliche Unternehmensregeln und/oder
  • Gültige Zertifizierungsmechanismen.

7. MITTEILUNG

7.1 Sensolus wird sich nach besten Kräften bemühen, den Kunden innerhalb einer angemessenen Frist zu informieren, wenn Sensolus:

  • ein Auskunftsersuchen, eine Vorladung oder ein Ersuchen um Inspektion oder Prüfung von einer zuständigen öffentlichen Behörde in Bezug auf die Verarbeitung personenbezogener Daten erhält
  • die Absicht hat, personenbezogene Daten an eine zuständige öffentliche Behörde weiterzugeben, oder
  • feststellt oder den begründeten Verdacht hat, dass in Bezug auf die personenbezogenen Daten eine Datenschutzverletzung vorliegt.

7.2 Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Sensolus:

  • den Kunden unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen und den Kunden – soweit möglich – bei der Erfüllung seiner Meldepflicht nach dem Datenschutzgesetz unterstützen
  • – sobald dies vernünftigerweise möglich ist –, geeignete Abhilfemaßnahmen ergreifen, um die Verletzung der personenbezogenen Daten zu beenden und zukünftige Verletzungen der personenbezogenen Daten zu verhindern und/oder einzuschränken.

8. RECHTE DER BETROFFENEN PERSONEN

8.1 Wenn sich eine betroffene Person auf ihre Datenschutzrechte gemäß der Datenschutzgesetzgebung beruft und der Kunde selbst nicht in der Lage ist, das Ersuchen auszuführen, wird Sensolus den Kunden dabei unterstützen (soweit dies wirtschaftlich vertretbar ist).

8.2 Sensolus wird den Kunden unverzüglich benachrichtigen, wenn Sensolus eine Anfrage direkt von einer betroffenen Person erhält, die sich gemäß der Datenschutzgesetzgebung auf ihre Datenschutzrechte beruft. Sensolus wird ohne vorherige schriftliche Zustimmung des Kunden nicht auf solche Anfragen von Betroffenen reagieren, außer um zu bestätigen, dass die Anfrage an den Kunden gesendet wurde.

9. HAFTUNG

9.1 Sensolus und der Kunde haften jeweils einzeln gegenüber autorisierten Aufsichtsbehörden und/oder betroffenen Personen für Ansprüche und/oder Bußgelder, die sich aus der eigenen Verletzung oder Nichteinhaltung (i) der Bestimmungen dieser Bedingungen und (ii) der Datenschutzgesetze oder anderer anwendbarer Vorschriften in Bezug auf personenbezogene Daten ergeben. Sensolus und der Kunde halten die jeweils andere Partei insoweit schadlos.

9.2 Stehen der Kunde und Sensolus in einem unmittelbaren Vertragsverhältnis, ist die Haftung von Sensolus für eine Verletzung dieser Bedingungen wie in den jeweiligen Vereinbarungsunterlagen beschrieben beschränkt. Stehen der Kunde und Sensolus nicht in einem direkten Vertragsverhältnis (d. h. der Kunde bedient sich eines zertifizierten Partners von Sensolus), so haftet Sensolus ausschließlich gegenüber dem Kunden, wenn dieser die personenbezogenen Daten entgegen seiner dokumentierten Weisungen (vgl. Anhang I) verarbeitet hat.

10. RÜCKGABE UND LÖSCHUNG PERSONENBEZOGENER DATEN

5.1 Sensolus bewahrt die personenbezogenen Daten nur so lange auf, wie es für die Erbringung der Leistungen erforderlich ist.

5.2 Wenn der Kunde Sensolus mitteilt, dass er die Dienste nicht mehr in Anspruch nehmen wird, wird der Kunde von Sensolus über die Möglichkeit informiert, die personenbezogenen Daten über die verfügbaren Export-Tools und innerhalb einer bestimmten Frist (wie in dieser Mitteilung erwähnt) zu exportieren. Nach Ablauf der vorgenannten Frist für den Export wird Sensolus die personenbezogenen Daten (inkl. Kopien) endgültig löschen oder anonymisieren, es sei denn, das Recht der Europäischen Union oder das Recht des Mitgliedstaats schreibt eine Aufbewahrung der personenbezogenen Daten vor.

11. KONTROLLE

11.1 Sensolus verpflichtet sich, dem Kunden alle erforderlichen Informationen zur Verfügung zu stellen, damit dieser überprüfen kann, ob Sensolus die Bestimmungen dieser Bedingungen einhält. In diesem Zusammenhang wird Sensolus dem Kunden die Durchführung von (angemessenen) Audits/Inspektionen ermöglichen und daran mitwirken.

12. LAUFZEIT

12.1 Diese Bedingungen gelten so lange, wie Sensolus die Dienste bereitstellt.

13. ANWENDBARES RECHT UND GERICHTSBARKEIT

13.1 Alle Probleme, Fragen und Streitigkeiten in Bezug auf die Gültigkeit, Auslegung, Durchsetzung, Erfüllung und/oder Kündigung dieser Bedingungen unterliegen dem belgischen Recht und sind nach diesem auszulegen.

13.2 Für alle Streitigkeiten bezüglich der Gültigkeit, Auslegung, Durchsetzung, Erfüllung und/oder Beendigung dieser Bedingungen, die nicht gütlich beigelegt werden können, sind ausschließlich die Gerichte oder die Datenschutzbehörde am Sitz von Sensolus zuständig.

ANHANG I

I. Überblick über die personenbezogenen Daten, deren Verarbeitung die Parteien beabsichtigen

  • Standortinformationen und/oder GPS-Koordinaten (einschließlich Zeitstempel)

II. Die Kategorien der betroffenen Personen, deren personenbezogene Daten verarbeitet werden sollen (höchstwahrscheinlich/häufig):

  • Mitarbeiter
  • Geschäftspartner
  • Dienstleister

III. Die Verwendung (= Art(en) der Verarbeitung) der personenbezogenen Daten sowie die Zwecke und Mittel der Verarbeitung:

Verwendung -personenbezogener Daten:

  • Erfassung, Organisation, Strukturierung, Speicherung, Abfrage, Abgleich oder Kombination und Löschung oder Vernichtung

Mittel der Verarbeitung:

  • Software von Sensolus
  • Kommunikationsnetzwerk

Zweck der Verarbeitung:

  • Asset-Tracking
  • Analyse und Optimierung der Asset-Nutzung
  • Unterstützung und Fehlerbehebung
  • Wartung
  • Hosting

IV. Die Laufzeit(en), während derer die (verschiedenen Arten von) personenbezogenen Daten gespeichert werden sollen:

Sensolus bewahrt die personenbezogenen Daten so lange auf, wie Sensolus die Leistungen erbringt, es sei denn, der Kunde weicht hiervon ab, indem er die personenbezogenen Daten löscht oder deren Löschung verlangt.

In jedem Fall wird Sensolus nach Beendigung der Leistungserbringung und nach Ablauf der Frist für den Export der personenbezogenen Daten (vgl. Artikel 10), die personenbezogenen Daten dauerhaft löschen oder anonymisieren.

ANHANG II: Unterauftragsverarbeiter von Sensolus

Name

Art der Verarbeitung

Land

Amazon Web Services EMEA (SARL)

Host der Cloud

Luxemburg

TMA Solutions Co. (Ltd.)

Cloud Engineering

Vietnam (vorherige SCC wurden abgeschlossen)

Microsoft Ireland Operations (Ltd.)

Allgemeine Abwicklung

Irland

Atlassian PTY (Ltd.)

Entwicklungswerkzeuge

Australien (vorherige SCC wurden abgeschlossen)