Allgemeine Geschäftsbedingungen geoCapture GmbH
-
Download AGB geoCapture GmbH
-
Download AGB geoCapture GmbH alt
-
Download AGB geoCapture GmbH für die Dienstleistung "Fahrzeugortung ohne Ortungsbox"
1. Vertragsgegenstand
1.1. Die nachstehenden Bedingungen regeln die vertraglichen Beziehungen zwischen der geoCapture GmbH, Rheiner Str. 3, D-48496 Hopsten, und dem Kunden im Hinblick auf die Bereitstellung und Nutzung des Dienstes „geoCapture“ und weiterer Leistungsbestandteile wie definiert in Ziffer 2. dieser AGB. Für die Bereitstellung und Nutzung des Dienstes „geoCapture Fahrzeugortung ohne Ortungsbox“ (Datenabruf über Fahrzeughersteller) gelten die ALLGEMEINEN GESCHÄFTSBEDINGUNGEN DER GEOCAPTURE GMBH für die Dienstleistung „geoCapture Fahrzeugortung ohne Ortungsbox“ (Datenabruf über Fahrzeughersteller).
1.2. Das vorliegende, diesen AGB zugrunde liegende Angebot der geoCapture GmbH richtet sich ausschließlich an Unternehmer im Sinne von § 14 BGB, d.h. natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die bei Vertragsabschluss mit der geoCapture GmbH in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln (nachfolgend Kunde(n) genannt).
1.3. Der Vertrag zwischen dem Kunden und der geoCapture GmbH kommt wie folgt zustande: Auf Anforderung des Kunden übersendet die geoCapture GmbH dem Kunden online ein Angebotsformular. Der Kunde trägt hierin die gewünschten Leistungen der Nutzung des geoCapture-Dienstes (vgl. Ziffer 2.1.) ein und übermittelt das Formular an die geoCapture GmbH (Angebot). Der Nutzungsvertrag kommt zustande, wenn die geoCapture GmbH dieses Angebot annimmt. Dies erfolgt durch Zusendung der Auftragsbestätigung an den Kunden; die Annahme kann auch durch die Freischaltung des Dienstes für den Kunden erfolgen.
1.4. Soweit zu den gewünschten Leistungen des Kunden auch der Kauf eines geoCapture-GPS-Trackers oder weiterer Hardware zur Ortung von Objekten (Ziffer 2.4.) zählt, gelten ergänzend die Bestimmungen der Ziffer 4.
1.5. Allgemeine Geschäftsbedingungen oder sonstige Bedingungen des Kunden gelten nicht, es sei denn, sie werden ausdrücklich zwischen den Parteien vereinbart und anschließend in Text- oder Schriftform von beiden Parteien bestätigt.
2. Begriffsbestimmungen
2.1. geoCapture ist eine Dienstleistung, die es, inklusive aller ihrer Bestandteile und Komponenten, ermöglicht, über das Internet mit Computern oder mobilen Endgeräten Positions- und Bewegungsdaten von Objekten zu erfassen und zu visualisieren, die mit geoCapture-GPS-Trackern oder anderen kompatiblen GPS-Trackern, Beacons oder sonstigen unterstützten Geräten oder Modulen zur Bestimmung von Positions- und Bewegungsdaten ausgestattet sind. Zusätzlich erlaubt geoCapture die Erfassung von Arbeits- und Einsatzzeiten der den Objekten zugeordneten Personen, die sich mit einem persönlichen Authentifizierungs-Token (RFID-Transponder) im System anmelden sowie die Nutzung weiterer Funktionen. Diese sowie damit zusammenhängende oder weitere Funktionen wählt der Kunde bei der Beauftragung aus, und die ausgewählten Funktionen werden in der jeweiligen Auftragsbestätigung dokumentiert. Die jeweilige personengebundene ID-Nummer des Transponders wird mit dem GPS-Tracker verknüpft und zusammen mit den Bewegungsdaten verarbeitet. Die erfassten Daten können zu verschiedenen Auswertungszwecken verarbeitet und über Systemschnittstellen exportiert werden.
2.2. Objekte sind Fahrzeuge und andere bewegliche Sachen, die mit dem geoCapture-GPS-Tracker oder einem anderen kompatiblen GPS-Tracker, Beacons oder sonstigen unterstützten Geräten oder Modulen zur Bestimmung von Positions-, Bewegungs- und sonstiger Daten ausgestattet sind und über eine Anwendungsschnittstelle (sog. Application Programming Interface – API) verfügen, welche die Erfassung von Positionsdaten und weiteren Objektdaten sowie deren Übermittlung über das GSM-Mobilfunknetz und/oder das Internet an das geoCapture-Portal erlaubt.
2.3. Nutzer sind für die Nutzung von geoCapture berechtigte Einzelpersonen, denen durch den Kunden individuelle und vertraulich zu behandelnde Zugangsdaten (bestehend aus Nutzername und Passwort) für den Zugang zu geoCapture zugewiesen werden sowie Nutzungsberechtigungen, die den Umfang der Nutzung von geoCapture bestimmen.
2.4. GPS-Tracker sind technische Geräte, mit denen automatisch nach einem eingestellten Ablauf oder per manueller Abfrage Positionsdaten über das GSM-Mobilfunknetz an das geoCapture-Portal gesendet werden. Neben der Verwendung der durch den Kunden bei der geoCapture GmbH gemäß Ziffer 4. käuflich erworbenen GPS-Tracker (geoCapture-GPS-Tracker) ermöglicht geoCapture auch die mobile Datenerfassung über (kundeneigene) GPS-Tracker anderer Hersteller oder über Smartphones und andere mobile Endgeräte, die im Folgenden ebenfalls zusammenfassend als GPS-Tracker bezeichnet werden, sofern sie durch den Kunden für diesen Zweck genutzt werden. GPS-Tracker sind auch Gateways, mit denen Beacons und ggf. weitere Hardware ausgelesen und mit einer Position verknüpft werden können.
2.5. Die geoCapture-SIM-Karte (englisch: Subscriber Identity Module) ist eine Chipkarte, die in ein mobiles Endgerät wie den GPS-Tracker eingesteckt wird und zur Identifikation im Mobilfunknetz dient. Das mobile Endgerät wird mit Hilfe der SIM-Karte einem GSM-Mobilfunknetz zugeordnet und authentifiziert, sodass eine mobile Datenverbindung zur Verfügung steht.
2.6. Das geoCapture-Portal ist eine internetbasierte und plattformunabhängige Software as a Service-Anwendung, über welche der Kunde nach Vertragsschluss einzelne Objekte für die Nutzung der Dienstleistung geoCapture registrieren und verwalten kann, welche die Kommunikation mit GPS-Trackern gewährleistet, sowie übermittelte Daten sammelt, speichert und zur Anzeige für den Kunden über eine webbasierte Bedienoberfläche aufbereitet. Über diese Bedienoberfläche kann der Kunde ferner die Kommunikation mit den GPS-Trackern und ggf. nachgelagerten Geräten oder Komponenten steuern, die Systemadministration vornehmen, Zugangsdaten für weitere Nutzer anlegen und deren zugeordnete Zugriffsberechtigungen verwalten. Zudem sind über diese Bedienoberfläche weitere Funktionen entsprechend der Beauftragung verfügbar. Das geoCapture-Portal kann vom administrativen Ansprechpartner des Kunden (vgl. Ziffer 3.4) sowie von allen weiteren Nutzern nach Anmeldung mit ihren jeweiligen Zugangsdaten genutzt werden, wobei der Umfang der verfügbaren Funktionen und des Datenzugriffs für einzelne Nutzer durch die Berechtigungen bestimmt werden, die durch den Kunden vergeben wurden (vgl. Ziffer 3.5). Das geoCapture Portal wird als die Hauptbedienoberfläche und wichtigstes Werkzeug für den Kunden für die Administration und Nutzung der bereitgestellten Funktionen und Dienstleistungen bestimmt.
2.7. Die geoCapture App ist eine proprietäre Software zur Installation auf mobilen Endgeräten wie Smartphones oder Tablets und stellt für den mobilen Einsatz von geoCapture eine Bedienoberfläche als Schnittstelle zum geoCapture-Portal zur Verfügung, die einen eingeschränkten Zugriff auf Funktionen des geoCapture-Portals erlaubt. Aufgrund technischer Beschränkungen mobiler Endgeräte werden durch die geoCapture App nicht alle Funktionen vollumfänglich unterstützt, die für den Kunden im geoCapture-Portal verfügbar sind. Demgegenüber gibt es spezifische Funktionen, die nur in der mobilen App verfügbar sind. geoCapture weist den Kunden darauf hin, dass die geoCapture App das geoCapture-Portal nicht ersetzt und dass die Nutzung des geoCapture-Portals für eine vollumfängliche Nutzung aller Funktionen und Dienstleistungen notwendig ist. Die geoCapture App kann durch den Kunden unabhängig von für das geoCapture-Portal berechtigten Nutzern konfiguriert werden. Für die Nutzung der geoCapture App werden durch den Kunden separate und für jeden Nutzer individuelle Zugangsdaten erstellt. Der Umfang der für einzelne Nutzer zur Verfügung stehenden Funktionen und der Umfang des Datenzugriffs werden durch die Berechtigungen bestimmt, die durch den Kunden einzelnen Nutzern für die geoCapture App vergeben wurden (vgl. Ziffer 3.5), oder der Kunde weist einer geoCapture App, die auf einem durch den Kunden autorisierten Endgerät installiert ist, gerätespezifische Zugangsdaten und Berechtigungen fest zu.
2.8. Positionsdaten werden von den GPS-Trackern per Satellitenortung, ggf. in Abhängigkeit vom genutzten GPS-Tracker und in Abhängigkeit der in den Objekten verbauten Module, in Kombination mit trigonometrischen Verfahren, gewonnen. Die Genauigkeit dieser Daten ist vom GPSSystem (Global Positioning System) selbst und von den Umgebungs- und Einsatzbedingungen des verwendeten GPS-Trackers und den in den Objekten verbauten Modulen abhängig. Die Kommunikation zwischen GPS-Tracker und geoCapture-Portal erfolgt über ein GSM-Mobilfunknetz.
2.10. Objektdaten umfassen insbesondere Daten zur Position der Objekte (Positionsdaten) und können darüber hinaus weitere Daten sein, die über das Objekt und dessen Zustand (z. B. Kilometerleistung, Zündstatus, Kraftstoff- und Verbrauchsdaten, Ladedaten, Reifendaten, Fahr- und Geschwindigkeitsdaten, Fahrverhaltensdaten, Tür- und Fensterstatus, Alarm- und Diebstahlsicherungsdaten, Parkereignisdaten, etc.) erfasst und an das geoCapture-Portal übermittelt werden. Objektdaten können auch personenbezogene Daten der Betroffenen (z. B. Fahrer oder Benutzer von Objekten) beinhalten oder einen (mittelbaren) Personenbezug aufweisen.
2.11. DSGVO bezeichnet die Europäische Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG).
2.12. Verantwortlicher hat die Bedeutung gemäß Art. 4 Ziffer 7 DSGVO und bezeichnet den Kunden oder einen Dritten, auf dessen Weisung Objektdaten und/oder personenbezogene Daten durch die geoCapture GmbH verarbeitet werden.
2.13. Auftragsverarbeiter hat die Bedeutung gemäß Art. 4 Ziffer 8 DSGVO.
2.14. Unterauftragsverarbeiter bezeichnet einen Auftragsverarbeiter, der im Unterauftrag im Sinne von Art. 28 Abs. 4 Satz 1 DSGVO tätig wird.
2.15. Betroffene Person oder Betroffener bezeichnet eine Person, deren Daten im Sinne der DSGVO verarbeitet werden.
2.16. AVV bezeichnet die Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO, die entsprechend dieser AGB ergänzend zwischen dem Kunden und der geoCapture GmbH für die Verarbeitung von Objektdaten und/oder sonstigen personenbezogenen Daten abgeschlossen wird (vgl. Ziffer 8.11.).
3. Systemzugang
3.1. Für den Zugang zur internetbasierten Bedienoberfläche des geoCapture-Portals nutzt der Kunde einen beliebigen Internet-Zugang und eine geeignete Browser-Software. Empfohlene und unterstützte Browser sind Google Chrome, Mozilla Firefox, Microsoft Edge, Safari oder Opera in einer jeweils aktuellen Version.
3.2. Voraussetzung für die Nutzung der geoCapture App ist eine aktive Internetverbindung des mobilen Endgeräts mittels eines beliebigen InternetZugangs. Für den Zugang und die Nutzung der geoCapture-App auf mobilen Endgeräten gelten die folgenden Mindestanforderungen: AndroidApp – Version Android 6 oder höher; iPhone-App – Version iOS 13 oder höher. Auf älteren mobilen Endgeräten kann die geoCapture-Web-App über die URL https://app.geocapture.net/login genutzt werden, sofern auf den Geräten eine Browser-Software entsprechend der Kompatibilitätsanforderungen nach Ziffer 3.1. dieser AGB installiert ist, der die genutzten Technologien unterstützt. Der Kunde wird darauf hingewiesen, dass die geoCapture-Web-App bestimmte Funktionen gegebenenfalls nicht unterstützt, die durch die geoCapture App und ggf. auch unter Nutzung von Funktionen des mobilen Endgeräts, auf dem die geoCapture App installiert ist, bereitgestellt werden.
3.3. Der Internet-Zugang bzw. die erforderliche Browser-Software sowie die Computer und (mobilen) Endgeräte zur Nutzung von geoCapture sind nicht Bestandteil dieses Vertrages, soweit nichts anderes vereinbart wurde. Die Anschaffung bzw. das Vorhalten derselben liegen im Verantwortungsbereich des Kunden.
3.4. Zu Vertragsbeginn wird der geoCapture GmbH vom Kunden ein administrativer Ansprechpartner persönlich benannt. Dieser erhält für den Zugang des Kunden zum geoCapture-Portal vertrauliche Zugangsdaten (Nutzername und Passwort) mit Administrationsrechten. Diese Zugangsdaten werden nur dem Ansprechpartner bekannt gegeben. Insbesondere das bekannt gegebene Passwort ist vom administrativen Ansprechpartner unmittelbar nach Erstzugang aus Sicherheitsgründen zu ändern.
3.5. Der Kunde hat die Möglichkeit, weiteren Personen (Nutzern) durch Erstellung weiterer Zugangsdaten die Nutzung des geoCapture-Portals und der geoCapture App zu ermöglichen und diesen die dazu notwendigen individuellen Berechtigungen, einschließlich Administrationsberechtigungen, zur persönlichen Nutzung zu erteilen. Die Zugangsdaten dürfen nicht an Dritte weitergegeben werden und sind streng vertraulich zu behandeln. Die Nutzung der Zugangsdaten durch mehrere Personen ist nicht gestattet; davon ausgenommen sind allgemeine Zugangsdaten, die fest mit einem Endgerät und nicht mit einer Person verknüpft sind. Die Erteilung weiterer Berechtigungen erfolgt in alleiniger Verantwortung des Kunden.
3.6. Alle vom Kunden nutzungsberechtigten Personen stellen durch sorgfältigen Umgang mit ihren persönlichen Zugangsdaten bzw. Authentifizierungs-Token (wie RFID-Transpondern) sicher, dass unberechtigte Dritte keinerlei Kenntnis dieser Zugangsdaten bzw. keinen Besitz an diesen Authentifizierungs-Token erlangen können.
3.7. Die Zugangsdaten berechtigen den Kunden bzw. die von ihm berechtigten Nutzer zum Zugang und zur Nutzung von geoCapture, insbesondere, abhängig von den verliehenen Berechtigungen, zur Abfrage und Anzeige empfangener Objektdaten, zur Nutzung einzelner Funktionen, zur persönlichen Konfiguration des geoCapture-Portals und der geoCapture App, zum Versand von Textnachrichten und Konfigurationsdaten sowie zur Einrichtung und Verwaltung weiterer Nutzer. Der Kunde muss durch geeignete Maßnahmen sicherstellen, dass innerhalb seines Verfügungsbereichs ausschließlich befugten Personen Zugang zum geoCapture-Portal und zur geoCapture App sowie darin verarbeiteten Objektdaten und personenbezogenen Daten gewährt wird.
3.8. Wird durch unsachgemäßen Umgang des Kunden seinen Nutzern mit den übermittelten Zugangsdaten oder Authentifizierungs-Token unberechtigten Dritten der Zugang zu geoCapture oder Zugang bzw. Zugriff auf Objekte oder Objektdaten ermöglicht und werden hierdurch Kosten verursacht, haftet der Kunde für sämtliche der geoCapture GmbH entstehenden Kosten sowie etwaige unter Nutzung des Zugangs bzw. Zugriffs begangene Rechtsverstöße gegenüber der geoCapture GmbH, dem Kunden sowie Dritten.
3.9. Stellt der Kunde nicht autorisierten, missbräuchlichen Zugang zu geoCapture unter Verwendung von Zugangsdaten seiner Nutzer oder eine missbräuchliche Verwendung von Authentifizierungs-Token fest, wird er die geoCapture GmbH hierüber unverzüglich informieren. Die geoCapture GmbH wird nach Eingang der Mitteilung des Kunden schnellstmöglich den Zugang zum geoCapture-Portal mit den bisherigen Zugangsdaten unterbinden bzw. die Verwendung der Authentifizierungs-Token sperren und dem administrativen Ansprechpartner neue Zugangsdaten oder Authentifizierungs-Token bereitstellen. Die geoCapture GmbH ist berechtigt, den hierfür entstehenden Aufwand dem Kunden in Rechnung zu stellen.
4. Erwerb der geoCapture-GPS-Tracker und weiterer Hardware
Soweit der Vertrag des Kunden mit der geoCapture GmbH auch den Kauf von geoCapture-GPS-Tracker, Beacons, Zeiterfassungsmodule, RFIDTransponder, Zeiterfassungs-Wandterminals, Tablet-PCs und anderer Hardware gemäß des Angebotsformulars enthält, gilt ergänzend das Folgende:
4.1. Der Warenversand erfolgt per DHL oder durch andere Versanddienstleister frei Haus an den Kunden. Die Lieferung erfolgt üblicherweise innerhalb von 5 Werktagen nach Auftragsannahme, in Ausnahmefällen innerhalb von 10 Werktagen.
4.2. Bis zur vollständigen Bezahlung bleibt die gelieferte Hardware Eigentum der geoCapture GmbH.
4.3. Die geoCapture GmbH haftet für Sachmängel der gekauften Hardware nach den hierfür geltenden gesetzlichen Vorschriften, insbesondere §§ 434 ff. BGB. Die Gewährleistungsfrist beträgt 12 Monate und beginnt mit dem Zeitpunkt der Lieferung an den Kunden.
4.4. Handelt der Kunde als Kaufmann i.S.d. § 1 HGB, trifft ihn die kaufmännische Untersuchungs- und Rügepflicht gemäß § 377 HGB. Unterlässt der Kunde die dort geregelten Anzeigepflichten, gilt die gelieferte Hardware als mangelfrei genehmigt.
4.5. Zeigt sich ein Mangel innerhalb der Gewährleistungsfrist, so repariert und ersetzt die geoCapture GmbH lediglich die defekte Hardware; bei der Reparatur der Hardware durch den Kunden selbst oder durch Dritte erfolgt keine Übernahme von Reparaturkosten. Defekte Hardware muss der geoCapture GmbH durch den Kunden unverzüglich angezeigt und zu Lasten der geoCapture GmbH zurückgesandt werden. Es erfolgt keine automatische Erkennung von Gerätedefekten durch die geoCapture GmbH.
4.6. Die geoCapture GmbH übernimmt keine Haftung für Schäden, die durch ungeeignete, unsachgemäße oder fehlerhafte Lagerung, Verwendung, Montage, Inbetriebnahme, Behandlung oder Einbau der Hardware durch den Kunden oder durch vom Kunden beauftragte Dritte entstehen, sofern die Schäden nicht von der geoCapture GmbH zu vertreten sind. Ferner wird keine Haftung übernommen bei natürlicher Abnutzung oder Schäden, die nach dem Gefahrübergang infolge fehlerhafter oder nachlässiger Behandlung, übermäßiger Beanspruchung, ungeeigneter Betriebsmittel oder besonderer äußerer Einflüsse entstehen, die nach dem Vertrag nicht vorausgesetzt sind. Werden vom Kunden oder durch vom Kunden beauftragte Dritte unsachgemäße Änderungen oder Reparaturen vorgenommen, so entsteht für diese und die daraus entstehenden Folgen ebenfalls keine Haftung durch die geoCapture GmbH, es sei denn der Kunde kann nachweisen, dass der gerügte Mangel nicht durch diese Änderungen oder Reparaturen verursacht worden ist.
4.7. Im Übrigen gelten auch für den Kauf von Hardware die Haftungsbeschränkungen der Ziffer 6.7.
5. Hardware, Datenkommunikation, Objektverwaltung und Zugang zu Objektdaten
5.1. Der Kunde ist für den Einbau und die Installation der zu verwendenden GPS-Tracker und weiterer Hardware am oder im Objekt selbst verantwortlich. Innerhalb der auf der Webseite der geoCapture GmbH unter https://www.geocapture.de/ genannten Service-Zeiten und Rufnummern leistet die geoCapture GmbH hierzu technischen Support über eine telefonische Hotline, die den Kunden bei Fragen zum Einbau der GPSTracker und weiterer Hardware und zu deren Inbetriebnahme unterstützt.
5.2. Die Dienstleistungen des geoCapture-Portals können ab Vertragsschluss in Abhängigkeit der Erfüllung der Bestimmungen für den Systemzugang gemäß Ziffer 3 ohne weitere Hardware genutzt werden, allerdings ist die Nutzung sämtlicher Objekt-bezogener Funktionen erst dann möglich, wenn das jeweilige Objekt mit GPS-Trackern und ggf. weiterer Hardware ausgestattet und innerhalb des geoCapture-Portals angemeldet und aktiviert wurde.
5.3. Sofern die geoCapture GmbH dem Kunden innerhalb des geoCapture-Portals einen Zugang zu Management-Funktionen für GPS-Tracker bereitstellt, kann der Kunde seine GPS-Tracker sowie den Zugriff auf die darin gespeicherten Daten verwalten und auf GPS-Tracker sowie die darin gespeicherten Daten direkt zugreifen. Dazu gehören unter anderem die wesentlichen Management-Funktionen zur Aktivierung von GPS-Trackern, zur Objektdaten-Bereitstellung, der regelmäßigen Überprüfung des Objektbestands und der Deaktivierung von GPS-Trackern.
5.4. Eine Deaktivierung von GPS-Trackern ist jederzeit möglich und erfolgt gegebenenfalls mit Wirkung zum nächstmöglichen abrechnungsrelevanten Zeitpunkt, gemäß der vertraglichen Kündigungsfrist. Hinsichtlich der Abrechnungsintervalle und Kündigungsfristen bei Deaktivierung von GPS-Trackern gelten die im Vertrag zwischen den Parteien ausgewiesenen Zeiträume. Die Berechnung weiterer Gebühren (insbesondere besonderer Nutzungsgebühren oder Gebühren für die manuelle Überprüfung) oder weiterer der geoCapture GmbH entstandener Kosten bleiben vorbehalten. Deaktivierte GPS-Tracker bleiben – vorbehaltlich einer Änderung des Eigentums des Objekts oder einer anderslautenden Weisung des Kunden oder einer Löschung des GPS-Trackers oder des Objekts innerhalb des geoCapture-Portals durch den Kunden – innerhalb des geoCapture-Portals gespeichert und können jederzeit wieder aktiviert werden, sofern die Voraussetzungen hierfür vorliegen; für die (Re-)Aktivierung gelten die im Vertrag zwischen den Parteien ausgewiesenen Gebühren.
5.5. Der GPS-Tracker wird während der gesamten Laufzeit des Vertrages mit der geoCapture-SIM-Karte ausgestattet, welche die Kommunikation im GSM-Mobilfunknetz ermöglicht. Die geoCapture-SIM-Karte wird dem Kunden von der geoCapture GmbH bereitgestellt und verbleibt im Eigentum der geoCapture GmbH. Die Entnahme der geoCapture-SIM-Karte bzw. deren Verwendung für anwendungsfremde Zwecke ist dem Kunden während und nach der Vertragslaufzeit untersagt. Die Verwendung eigener SIM-Karten des Kunden oder Dritter ist nur mit schriftlicher oder textlicher Zustimmung der geoCapture GmbH zulässig.
5.6. Stellt der Kunde Missbrauch oder den Verlust der geoCapture-SIM-Karte fest, ist er verpflichtet, den Missbrauch oder Verlust unverzüglich gegenüber der geoCapture GmbH anzuzeigen, damit die geoCapture GmbH weiteren Missbrauch bzw. eine unberechtigte Nutzung mit geeigneten Mitteln unterbinden kann. Der Kunde haftet für alle unter Missbrauch der geoCapture-SIM-Karte verursachten Kosten und Rechtsverstöße gegenüber der geoCapture GmbH, dem Kunden sowie Dritten. Die geoCapture GmbH ist berechtigt, den damit verbundenen Aufwand dem Kunden in Rechnung zu stellen. Alle bis zum Zeitpunkt der Anzeige entstandenen Kommunikationskosten gehen zu Lasten des Kunden, alle nach Meldungseingang entstehenden Kommunikationskosten trägt die geoCapture GmbH.
6. Gewährleistungs- und Haftungsausschlüsse
6.1. Die geoCapture GmbH erbringt gegenüber dem Kunden während der Vertragslaufzeit die mit ihm vereinbarten Leistungen des geoCapture Dienstes (vgl. Ziffer 2.1.).
6.2. Die geoCapture GmbH haftet nicht für die regionale, zeitliche und qualitative Verfügbarkeit des GSM-Mobilfunknetzes und/oder des Internets (z. B. Ausfall des Mobilfunknetzes oder des Internets bzw. deren Nichtverfügbarkeit, einer Begrenzung auf bestimmte Länder, wenn sich ein Objekt außerhalb des Empfangsbereichs des jeweiligen Mobilfunknetzbetreibers befindet, oder wenn die Übertragung beeinträchtigt wird, etwa durch atmosphärische oder topografische Bedingungen oder durch physische Hindernisse, durch Netzüberlastung oder Eingriffe Dritter) und damit zusammenhängende fehlerhafte oder unterbliebene Datenübertragung. Störungen können das Ergebnis höherer Gewalt sein, darunter Streiks, Aussperrungen und behördliche Anordnungen sowie aufgrund technischer und sonstiger Maßnahmen entstehen (z. B. Reparaturen, Wartung, Software-Updates, Verbesserungen), die an den Systemen des Providers des GSM-Mobilfunketzes oder der vor- und nachgeschalteten Dienstleister und Netzbetreiber, die für eine ordnungsgemäße oder verbesserte Telematik- und Kommunikations-Leistung erforderlich sind, vorgenommen werden. Dies gilt auch für kurzfristige Kapazitätsengpässe aus Belastungsspitzen der Leistungen, der Mobilfunk- und Festnetze sowie des Internets. Insbesondere haftet die geoCapture GmbH nicht dafür, dass Daten innerhalb einer festgelegten Zeit an das Mobilfunknetz übergeben werden sowie an das Netz übergebene Daten an das geoCapture-Portal übermittelt werden können.
6.3. Die geoCapture GmbH haftet nicht für die regionale, zeitliche und qualitative Verfügbarkeit der Signalversorgung durch das GPS-Satellitensystem. Ferner wird keine Haftung für die Genauigkeit der übermittelten Signale und der hierdurch errechneten Positionsdaten übernommen.
6.4. Die geoCapture GmbH haftet nicht dafür, dass das GSM-Mobilfunknetz sowie die GPS-Satellitenortung in der Zukunft die unter Ziffer 2. genannten Funktionen unterstützen. Sollten diese Dienste oder deren teilweise Funktionalität nicht nutzbar sein, so stellt dies einen Fall höherer Gewalt dar, auf den die geoCapture GmbH keinen Einfluss hat und der die geoCapture GmbH von ihrer Leistungspflicht befreit.
6.5. Die geoCapture GmbH haftet außerhalb der Kompatibilitätsanforderungen nach Ziffern 3.1. und 3.2. nicht für die visuelle Komptabilität und korrekte Darstellungsweise der durch das geoCapture-Portal und die geoCapture App übermittelten Daten mit der vom Kunden eingesetzten Software oder einem bestimmten Endgerät. Insbesondere werden dem Kunden kein bestimmtes Format, kein bestimmter Inhalt und keine bestimmte Geschwindigkeit der Anzeige der abgefragten Daten bei der Nutzung des geoCapture-Portals oder der geoCapture App durch den Kunden zugesichert. Ferner haftet die geoCapture GmbH nicht für eine vollumfängliche Nutzbarkeit bei Nutzung der geoCapture-Web-App gemäß Ziffer 3.2.
6.6. Beim Einsatz von GPS-Trackern oder sonstiger Hardware anderer Hersteller oder Smartphones oder anderer mobiler Endgeräte übernimmt die geoCapture GmbH keine Gewährleistung für die Funktionstüchtigkeit und Kompatibilität dieser Geräte sowie für die vollständige Anzeige von Objektdaten und für deren Anzeige in Echtzeit.
6.7. Die Haftung der geoCapture GmbH gleich aus welchem Haftungsgrund (z.B. aus Nichterfüllung, Unmöglichkeit, Verzug, positiver Vertragsverletzung und Verletzung von Pflichten bei Vertragsverhandlungen, unerlaubter Handlung usw.), ist ausgeschlossen. Dieser Haftungsausschluss gilt jedoch nicht für den Fall der Haftung nach dem Produkthaftungsgesetz und für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, soweit diese auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung der geoCapture GmbH oder eines ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen. Der Haftungsausschluss gilt auch nicht für sonstige Schäden, die auf vorsätzlicher oder grob fahrlässiger Pflichtverletzung der geoCapture GmbH oder eines ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen, allerdings mit der Maßgabe, dass die Haftung – außer bei vorsätzlicher Verursachung – der Höhe nach auf die vorhersehbaren und typischerweise entstehenden Schäden begrenzt ist. Ebenfalls gilt der Haftungsausschluss nicht für sonstige Schäden, die auf leicht oder mittlerer fahrlässiger Pflichtverletzung einer wesentlichen Vertragspflicht der geoCapture GmbH oder eines ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen, mit der Maßgabe, dass die Haftung der Höhe nach auf die vorhersehbaren und typischerweise entstehenden Schäden begrenzt ist. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf. Eine Haftung für mittelbare oder Folgeschäden (z.B. entgangener Gewinn, ausgebliebene Einsparungen) ist ausgeschlossen. Die vorgenannten Haftungsregelungen gelten auch für die persönliche Haftung gesetzlicher Vertreter und Mitarbeiter sowie sonstiger Erfüllungsgehilfen.
6.8. Ein Datentransfer gilt als getätigt, wenn der Datensatz durch eine geoCapture-Komponente an das GSM-Mobilfunknetz übergeben wurde. Der Inhalt des Datensatzes ist hierbei unerheblich. Verwendet der Kunde eigene SIM-Karten für die Datenübertragung, haftet die geoCapture GmbH nicht für Kosten bei Überschreitung von zuvor berechneten Datenvolumina. Die geoCapture GmbH haftet nicht für Abrechnungsfehler des jeweiligen Anbieters bei kundeneigenen SIM-Karten.
6.9. Nutzt der Kunde das System zur Erstellung eines elektronischen Fahrtenbuches, so ist der Kunde für die ordnungsgemäße Führung des Fahrtenbuches im Sinne des Steuerrechts verantwortlich. Für die Anerkennung des Fahrtenbuchs durch das Finanzamt bei nicht ordnungsgemäßer Führung des Fahrtenbuches erfolgt keine Haftung durch die geoCapture GmbH. Gleiches gilt für etwaige (Folge-)Schäden, die dem Kunden durch eine ausbleibende Anerkennung des Fahrtenbuches durch das Finanzamt entstehen.
6.10. Der Kunde versteht und akzeptiert, dass der Download von Tachographendaten aufgrund potenzieller technischer Unregelmäßigkeiten oder Fehlfunktionen des im Fahrzeug verbauten Tachographen (einschließlich Manipulation) nicht immer fehlerfrei sein kann und beispielswiese Richtigkeit, Vollständigkeit oder Aktualität beeinträchtigt sein können. Die geoCapture GmbH übernimmt keine Haftung für Schäden, Verluste oder Folgeschäden, die direkt oder indirekt aus der unvollständigen, ungenauen oder fehlerhaften Erfassung oder Übertragung von Tachographendaten resultieren, sofern diese auf technische Probleme, Fehlfunktionen oder Ausfall des Tachographen oder andere ähnliche Ursachen außerhalb des Einflussbereichs der geoCapture GmbH zurückzuführen sind. Ebenso haftet die geoCapture GmbH nicht für Schäden, die durch die Verwendung der Tachographendaten entstehen. Der Kunde ist allein verantwortlich für die ordnungsgemäße Verwendung gemäß den geltenden Gesetzen und Vorschriften. Der Haftungsausschluss gilt nicht für sonstige Schäden, die auf vorsätzlicher oder grob fahrlässiger Pflichtverletzung der geoCapture GmbH oder eines ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen, allerdings mit der Maßgabe, dass die Haftung – außer bei vorsätzlicher Verursachung – der Höhe nach auf die vorhersehbaren und typischerweise entstehenden Schäden begrenzt ist.
6.11. Die Nutzung der elektronischen Wegfahrsperre erfolgt auf eigenes Risiko des Kunden. Der Kunde ist allein verantwortlich für die ordnungsgemäße Installation, Wartung und Nutzung gemäß den Anweisungen und Empfehlungen des Fahrzeugerstellers. Der Kunde erkennt zudem an, dass eine Fehlfunktion des Fahrzeugs nicht ausgeschlossen werden kann, aufgrund derer die elektronische Wegfahrsperre möglicherweise nicht ordnungsgemäß funktioniert. Zudem kann es zu einer Nichtverfügbarkeit von geoCapture kommen, die außerhalb des Einflussbereichs der geoCapture GmbH liegt (vgl. Ziffer 6.2.). Die geoCapture GmbH übernimmt deswegen keine Haftung für diesbezügliche Schäden, es sei denn, sie beruhen auf Vorsatz oder grober Fahrlässigkeit seitens der der geoCapture GmbH oder eines ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen, allerdings mit der Maßgabe, dass die Haftung – außer bei vorsätzlicher Verursachung – der Höhe nach auf die vorhersehbaren und typischerweise entstehenden Schäden begrenzt ist.
6.12. Die Bereitstellung und Übermittlung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) erfolgt durch die Gesetzlichen Krankenkassen oder deren beauftragte Dienstleister. Der Kunde versteht und akzeptiert, dass die geoCapture GmbH keine Kontrolle über den ordnungsgemäßen Betrieb der Systeme oder Prozesse hat, die von den Gesetzlichen Krankenkassen oder deren Dienstleistern für die Bereitstellung der eAU verwendet werden. Die geoCapture GmbH übernimmt keine Haftung für Fehler, Verzögerungen, Unterbrechungen oder Ausfälle bei der Bereitstellung oder Übermittlung, die außerhalb ihres Einflussbereichs liegen. Die geoCapture GmbH haftet außerdem nicht für Fehler, Schäden oder Verluste, die direkt oder indirekt aus Fehlern oder Verzögerungen bei der Bereitstellung oder Übermittlung der eAU resultieren, es sei denn, sie beruhen auf Vorsatz oder grober Fahrlässigkeit seitens der der geoCapture GmbH oder eines ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen, allerdings mit der Maßgabe, dass die Haftung – außer bei vorsätzlicher Verursachung – der Höhe nach auf die vorhersehbaren und typischerweise entstehenden Schäden begrenzt ist.
6.13. Die geoCapture GmbH haftet nicht für rechtliche Mängel oder Fehler bei der Erteilung der gegebenenfalls nach den datenschutzrechtlichen Vorschriften zur Verarbeitung personenbezogener Daten der betroffenen Personen oder nach den Vorschriften des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) oder der DSGVO zur Speicherung von oder zum Zugriff auf Objektdaten erforderlichen Einwilligung des Endnutzers (vgl. § 3 Nr. 13 TKG, Art. 7 DSGVO) der betroffenen Personen. Der Kunde hat sicherzustellen, dass die notwendigen Einwilligungen erteilt werden.
7. Vertrags- und Zahlungsbedingungen
7.1. Die geoCapture GmbH berechnet dem Kunden die für die Nutzung des geoCapture-Dienstes vertraglich vereinbarten Entgelte jeweils nach Ablauf eines Kalendermonats.
7.2. Für den Fall, dass der Kunde gemäß Ziffer 4. geoCapture GPS-Tracker oder weitere Hardware erwirbt, wird der Kaufpreis hierfür bei Versand berechnet.
7.3. Die geoCapture GmbH räumt dem Kunden ein freiwilliges Widerrufsrecht von 14 Tagen ab Erhalt der Ware ein. Die Erklärung des Widerrufs ist schriftlich oder in Textform an die geoCapture GmbH zu richten:
geoCapture GmbH
Rheiner Str. 3
48496 Hopsten
Telefax: +49 5458 936668-28
E-Mail: info@geocapture.de
Zur Wahrung der Widerrufsfrist muss die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist bei der geoCapture GmbH eingegangen sein. Im Fall des Widerrufs hat der Kunde die gelieferte Hardware auf eigene Kosten an die geoCapture GmbH zu übersenden. Dem Kunden wird der Kaufpreis erstattet, sobald die Ware in ordnungsgemäßem Zustand bei der geoCapture GmbH eingegangen ist. Weitere Gebühren für die während der Widerrufsfrist in Anspruch genommenen geoCapture-Dienstleistungen werden dem Kunden im Falle des fristgemäßen Widerrufs nicht berechnet oder rückerstattet.
7.4. Ein Tarifwechsel ist jederzeit zum Monatsende möglich. Die Aufwendungen werden dem Kunden entsprechend der vertraglichen Vereinbarung von geoCapture in Rechnung gestellt.
7.5. Einwendungen gegen die von der geoCapture GmbH gestellten Abrechnungen müssen unverzüglich, spätestens jedoch innerhalb von 30 Tagen nach Rechnungsdatum schriftlich oder textlich bei der geoCapture GmbH erhoben werden. Das Unterlassen rechtzeitiger Einwendungen gilt als Genehmigung.
7.6. Die Aufbewahrungszeit der innerhalb des geoCapture-Portals gespeicherten Daten ist durch den Kunden nach den gesetzlichen Bestimmungen des Datenschutzrechts sowie sonstiger gesetzlicher, satzungsmäßiger oder vertraglicher Pflichten, denen der Kunde unterliegt, eigenverantwortlich zu bestimmen und der geoCapture GmbH vorzugeben. Erfolgt keine anderweitige Anweisung durch den Kunden behält sich die geoCapture GmbH das Recht vor, sämtliche zwischengespeicherten Daten aus der Datenkommunikation im GSM-Funknetz nach Ablauf einer Frist von 90 Tagen nach Rechnungsstellung vollständig zu löschen.
7.7. Die geoCapture GmbH behält sich das Recht vor, sonstige Daten, die im Zusammenhang mit der Nutzung der Dienste oder der Inanspruchnahme der Leistungen der geoCapture GmbH entstehen, wie Vertragsdaten, Zugangsdaten, hinterlegte Dokumente, Konfigurationen und ähnliche Informationen, entsprechend der allgemeinen Verjährungsfrist gemäß § 195 BGB (drei Jahre) oder bei relevanten Datenkategorien gemäß den jeweils anzuwendenden Fristen vorzuhalten (zum Beispiel gilt für Rechnungsdaten eine Aufbewahrungsfrist von bis zu zehn Jahren, vgl. § 147 AO, § 257 HGB), soweit dies gesetzlich erforderlich oder zur Erfüllung rechtlicher, satzungsmäßiger oder vertraglicher Verpflichtungen notwendig ist. Diese Daten werden ausschließlich zu den festgelegten Zwecken verarbeitet und entsprechend den geltenden Datenschutzgesetzen behandelt und nach Ablauf der Aufbewahrungsfristen gelöscht oder anonymisiert, sofern im Einzelfall keine rechtlichen oder vertraglichen Verpflichtungen zur weiteren Aufbewahrung bestehen.
7.8. Die geoCapture GmbH behält sich vor, den Zugang des Kunden zu geoCapture zur sperren, wenn der Kunde mit seinem Nutzungsentgelt komplett oder teilweise länger als 30 Tage in Zahlungsverzug ist oder die Lastschrift für fällige Entgelte aus vom Kunden zu vertretenden Gründen nicht eingelöst oder zurückbelastet wird. Die Sperrung des Zugangs entbindet nicht von der Verpflichtung zur Zahlung der bis zum Zeitpunkt der Sperrung angefallenen Gebühren sowie der vollen Grundgebühr für den Monat, in dem die Sperrung erfolgt. Die Kosten für Sperrung und Entsperrung werden dem Kunden entsprechend der vertraglichen Vereinbarung von geoCapture in Rechnung gestellt.
7.9. Nutzungsentgelte gelten als gezahlt, wenn die geoCapture GmbH über den kompletten Betrag uneingeschränkt verfügen kann. Die Zahlung mit Abzug von nicht vereinbarten Skonti gilt nur als Teilzahlung.
8. Datenschutz, Bonitätsprüfung, Werbung
8.1. Die Verarbeitung von personenbezogenen Daten im Rahmen dieses Vertrages erfolgt ausschließlich unter Einhaltung der einschlägigen Datenschutzvorschriften, insbesondere der Art. 5, 6 und 9 der EU-Datenschutz-Grundverordnung (DSGVO) und der dazu ergangenen nationalen Rechtsvorschriften im Bundesdatenschutzgesetz sowie weiterer einschlägiger Bestimmungen zum Datenschutz.
8.2. Die Nutzung von geoCapture zur Ortung von Einzelpersonen ist strikt untersagt, denn sie stellt einen schweren Eingriff in die Persönlichkeitsrechte der Betroffenen und aus diesem Grund eine missbräuchliche Nutzung dar. Dies gilt insbesondere, wenn die Ortung ohne das Wissen der jeweiligen Betroffenen erfolgt. Die Parteien stellen deswegen klar, dass geoCapture nur zur Ortung von Objekten genutzt werden darf. Kommt es in deren Zuge zu einer Verarbeitung personenbezogener Daten von Einzelpersonen, so ist diese nur unter den im Folgenden dargelegten Bedingungen zulässig.
8.3. Die Parteien stellen klar, dass im Rahmen der Nutzung von geoCapture und weiterer Leistungsbestandteile gemäß Ziffer 2. dieser AGB ausschließlich der Kunde der für die Verarbeitung von personenbezogenen Daten Verantwortliche ist. Soweit der Kunde nicht selbst Verantwortlicher i.S.d. Art. 4 Ziffer 7 DSGVO ist, sondern im Auftrag eines Dritten handelt, sichert der Kunde zu, im Rahmen des Vertragsabschlusses und der Vertragsdurchführung gegenüber der geoCapture GmbH zur ordnungsgemäßen Vertretung des Verantwortlichen befugt und berechtigt zu sein. Der Kunde sichert in diesem Fall zu, die notwendigen datenschutzrechtlichen Vereinbarungen mit dem Verantwortlichen getroffen zu haben. Sämtliche Vertragserklärungen und Weisungen seitens des Kunden gegenüber der geoCapture GmbH gelten mit unmittelbarer Rechtswirkung für und gegen den Verantwortlichen und werden diesem zugerechnet sowie durch den Kunden im Namen des Verantwortlichen abgegeben.
8.4. Im Rahmen der Nutzung des geoCapture-Dienstes durch den Kunden wird die geoCapture GmbH als Auftragsverarbeiterin gemäß Art. 4 Ziffer 8 DSGVO tätig. Die geoCapture GmbH wird personenbezogene Daten aus dem Verantwortungsbereich des Kunden oder des Verantwortlichen nur entsprechend der diesbezüglichen Weisungen des Kunden verarbeiten.
8.5. Der Verantwortliche hat die Pflicht sicherzustellen, dass die datenschutzrechtlichen Voraussetzungen zur Verarbeitung der personenbezogenen Daten vorliegen und dass alle relevanten vertraglichen und gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten in seinem Einflussberiech erfüllt werden. Dazu muss der Kunde dafür Sorge tragen, dass nur Daten solcher Objekte verarbeitet werden, die seiner Kontrolle unterliegen sowie seiner unmittelbaren datenschutzrechtlichen Verantwortlichkeit, oder ihm diese übertragen wurde. Insbesondere muss eine Rechtsgrundlage die Verarbeitung personenbezogener Daten erlauben, und die von einer Verarbeitung ihrer personenbezogenen Daten Betroffenen müssen entsprechend der datenschutzrechtlichen Anforderungen informiert werden. Der Verantwortliche ist dazu verpflichtet, bei den Betroffenen gegebenenfalls erforderliche Zustimmungserklärungen und Einwilligungen einzuholen.
8.6. Der Kunde erklärt gegenüber der geoCapture GmbH, dass ihm in diesem Zusammenhang alle für die Nutzung des Dienstes geoCapture erforderlichen Einwilligungen seiner Mitarbeiter bzw. aller durch die Ausstattung mit GPS-Trackern oder sonstiger Hardware zur Positionsbestimmung an bestimmten Objekten und die Aufschaltung auf geoCapture betroffenen Personen zur Weitergabe der personenbezogenen Daten, insbesondere der Positionsdaten, vorliegen und erklärt ferner ausdrücklich, dass er die geoCapture GmbH zur Erbringung der vereinbarten Dienstleistungen unter Verarbeitung und Speicherung dieser Daten autorisiert.
8.7. Soweit die Verarbeitung von Objektdaten die Speicherung von Informationen in GPS-Trackern oder sonstiger Hardware des Kunden oder den Zugriff auf Informationen, die in den GPS-Trackern oder sonstiger Hardware des Kunden gespeichert sind, erfordert und nach den Vorschriften des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) nur zulässig ist, wenn der Endnutzer (vgl. § 3 Nr. 13 TKG) auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat, obliegt es dem Kunden, sicherzustellen, dass die Einwilligung seitens des Endnutzers erteilt wird. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen (vgl. Artt. 7, 13 DSGVO).
8.8. Der Kunde muss durch geeignete Maßnahmen sicherstellen, dass innerhalb seines Verfügungsbereichs ausschließlich befugten Personen Zugang zum geoCapture-Portal sowie darin verarbeiteten Objektdaten und personenbezogenen Daten gewährt wird. Die Übermittlung von Objektdaten und personenbezogenen Daten an einen Empfänger in einem Drittland außerhalb von EU und EWR ist ausschließlich unter Einhaltung der in Art. 44 ff. DSGVO festgelegten Bedingungen zulässig.
8.9. Die geoCapture GmbH stellt in ihrem Verantwortungsbereich sicher, dass sämtliche kundenbezogenen Daten und Objektdaten vor dem unberechtigten Zugriff oder Einblick durch Dritte geschützt werden. Sämtliche Mitarbeiter und Auftragsverarbeiter der geoCapture GmbH sind vertraglich verpflichtet, die personenbezogenen Daten des Kunden ausschließlich im Rahmen und zu den vereinbarten Vertragszwecken zu nutzen und keinerlei personenbezogene Daten an Dritte zu weiterzugeben oder diesen zu offenbaren, sofern sie dazu nicht durch den Kunden angewiesen werden.
8.10. Der Kunde versteht und akzeptiert, dass nach einer Veräußerung von Objekten oder einem Besitzerwechsel keine Rechtsgrundlage mehr für die Verarbeitung von Daten dieser Objekte durch die geoCapture GmbH besteht und daher eine Deaktivierung der GPS-Tracker erforderlich ist, um die Einhaltung der Datenschutzbestimmungen sicherzustellen. Im Falle einer Veräußerung von Objekten oder eines Besitzerwechsels ist der Kunde dafür verantwortlich, dass verbaute GPS-Tracker in den betreffenden Objekten deaktiviert oder entfernt werden, um die Verarbeitung von Daten dieser Objekte durch die geoCapture GmbH unverzüglich zu beenden. Dazu wird der Kunde die geoCapture GmbH unverzüglich über einen Besitzerwechsel oder jegliche Veräußerung von Objekten informieren, die mit der Nutzung der Dienste von geoCapture verbunden sind, damit diese die Verarbeitung von Daten der den betroffenen Objekte deaktivieren kann, oder alternativ wird der Kunde die betroffenen Objekte im geoCapture-Portal mittels der bereitgestellten Management-Funktionen selbst unverzüglich deaktivieren oder die objektspezifischen GPS-Tracker entfernen.
8.11. Hinsichtlich weiterer Einzelheiten zum Datenschutz im Rahmen der Nutzung der Produkte und Dienstleistungen der geoCapture GmbH durch den Kunden schließen die Parteien die von der geoCapture GmbH vor Beginn der Leistungserbringung bereitgestellte Vereinbarung zur Auftragsverarbeitung (AVV) entsprechend der Regelungen des Art. 28 DSGVO ab. Für Kunden, die bereits vor dem 22. Juli 2024 eine separate AVV abgeschlossen haben, bleibt diese gültig (falls zutreffend). Für alle anderen Kunden wird das Addendum zur Verarbeitung personenbezogener Daten zu diesem Vertrag mit Vertragsschluss vereinbart und als integraler Bestandteil des Vertrags aufgenommen. Im Falle eines Konflikts hat die AVV bzw. das Addendum zur Verarbeitung personenbezogener Daten Vorrang vor diesen AGB.
8.12. Sofern der Kunde einen Kauf über Waren und Dienstleistungen getätigt hat, ist die geoCapture GmbH berechtigt, dem Kunden Informationen über ähnliche Waren und Dienstleistungen aus ihrem Waren- und Dienstleistungsangebot an die im Rahmen des Vertragsschlusses mitgeteilte E-Mail-Adresse zu übersenden (vgl. § 7 Abs. 3 UWG). Dieser Verwendung seiner E-Mailadresse kann der Kunde jederzeit per EMail, Fax oder Brief unter den u. a. Kontaktdaten der geoCapture GmbH widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
8.13. Die geoCapture GmbH prüft regelmäßig bei Vertragsabschlüssen und in bestimmten Fällen, in denen ein berechtigtes Interesse vorliegt, auch bei Bestandskunden die Bonität des Kunden. Dazu arbeiten wir mit der Creditreform Münster Riegel & Riegel KG, Scharnhorststr. 46, D-48151 Münster („Creditreform“) zusammen, von der wir die dazu benötigten Daten und Auskünfte erhalten. Zu diesem Zweck übermitteln wir den Namen, die Kundennummer und die Kontaktdaten an die Creditreform. Rechtsgrundlage für die Übermittlung dieser Daten an die Creditreform und deren Verarbeitung ist Art. 6 Abs. lit. 1 f) DSGVO, wonach eine entsprechende Datenverarbeitung aufgrund der berechtigten Interessen der geoCapture GmbH, eines anderen Vertragspartners der Creditreform oder der Allgemeinheit einen Zahlungsausfall zu verhindern, zulässig ist. Fälle, in denen berechtigte Interessen im Sinne des Art. 6 Abs. lit. 1 f) DSGVO vorliegen, können insbesondere die folgenden sein: Kreditentscheidung, Warenlieferung auf Rechnung, Geschäftsanbahnung, Beteiligungsverhältnisse, Forderung, Abschluss eines Versicherungsvertrags, Vollstreckungsauskunft.
Gegen die Übermittlung dieser Daten an die Creditreform steht dem Kunden ein Widerspruchsrecht zu, welches gegenüber der geoCapture GmbH per E-Mail, Fax oder unter den u. a. Kontaktdaten der geoCapture GmbH geltend gemacht werden kann. Bei Ausübung des Widerspruchsrechts kann die geoCapture GmbH das Vertragsverhältnis mit dem Kunden gegebenenfalls jedoch nicht eingehen oder nicht fortsetzen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der o. g. berechtigten Interessen bis zu einem etwaigen Widerruf erfolgten Übermittlung und Verarbeitung der Daten nicht berührt.
Der Kunde kann Auskunft bei der Creditreform über die ihn betreffenden gespeicherten Daten erhalten. Weitere Informationen zur Datenverarbeitung bei der Creditreform sind verfügbar unter https://www.creditreform.de/muenster/datenschutz.
8.14. Verantwortlich für die Verarbeitung der personenbezogenen Daten des Kunden zur Begründung, Durchführung und Beendigung des Vertrags über die Bereitstellung und Nutzung der geoCapture-Dienstleistungen ist im Übrigen die geoCapture GmbH. Insofern ist die geoCapture berechtigt, personenbezogene Daten des Kunden über Inanspruchnahme des geoCapture-Dienstes zu erheben, verarbeiten und auszuwerten, soweit dies erforderlich ist, um dem Kunden die Inanspruchnahme der Produkte und Dienstleistungen zu ermöglichen oder um deren Nutzung abzurechnen. Die geoCapture GmbH ist im Rahmen ihrer Dokumentationspflichten berechtigt, die durch den Kunden bereitgestellten Daten und Dokumente zum Nachweis der vertragsgemäßen Datenverarbeitung im dafür angemessenen Umfang zu speichern. Diese Dokumentation kann auch personenbezogene Daten des Kunden enthalten. Rechtsgrundlagen für diese Datenverarbeitung sind der Vertrag, sowie Art. 6 Abs. 1 lit. b DSGVO (welcher die Verarbeitung von personenbezogenen Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen mit dem Betroffenen erlaubt) sowie die des Art. 6 Abs. 1 lit. c DSGVO (welcher die Verarbeitung von personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erlaubt) oder die des Art. 6 Abs. 1 lit. f DSGVO (welcher die Verarbeitung von personenbezogenen Daten aufgrund des überwiegenden berechtigten Interesses des Verantwortlichen erlaubt). Alle personenbezogenen Daten werden nach Ablauf der anwendbaren vertraglichen oder gesetzlichen Aufbewahrungsfristen datenschutzkonform gelöscht. Weitere Informationen zum Datenschutz bei der geoCapture GmbH sowie zu den Rechten der betroffenen Personen und die Kontaktdaten des betrieblichen Datenschutzbeauftragten sind online verfügbar unter https://www.geocapture.de/datenschutz.
9. Pflichten des Kunden
9.1. Der Kunde muss zum Zugriff auf das geoCapture-Portal und die geoCapture App eine geeignete IT-Ausrüstung bereithalten (vgl. Ziffern 3.1 und 3.2 dieser AGB). Der Kunde ist dafür verantwortlich, angemessene Sicherheitsmaßnahmen für seine IT-Ausrüstung nach dem Stand der Technik zu ergreifen und für die Sicherheit der genutzten Internetverbindung zu sorgen.
9.2. Der Kunde ist für die Instandhaltung der Objekte, der GPS-Tracker und weiterer Hardware verantwortlich. Die geoCapture GmbH ist nicht haftbar für eine fehlerhafte Erfassung von Objektdaten, die durch Schäden am Objekt, am GPS-Tracker, der im GPS-Tracker eingebauten SIM-Karte oder durch Fehler oder Schäden weiterer Hardware entstanden sind (z. B. infolge eines Unfalls).
9.3. Der Kunde ist (spätestens nach Aufforderung durch die geoCapture GmbH) verpflichtet, vor der erstmaligen Leistungserbringung alle erforderlichen Daten für jedes einzelne Objekt fristgerecht mitzuteilen bzw. über das geoCapture-Portal zu übermitteln, die für die Leistungserbringung erforderlich sind.
9.4. Der Kunde ist verpflichtet, alle einschlägigen datenschutzrechtlichen Vorschriften sowie die Vereinbarungen gem. Ziffer 8 dieses Vertrags stets zu beachten und wird gegenüber der geoCapture GmbH die Rechtmäßigkeit der Datenverarbeitung in Bezug auf einzelne Objekte auf Anfrage schriftlich bestätigen.
9.5. Insbesondere ist der Kunde verpflichtet, die geoCapture GmbH unverzüglich in Textform (per E-Mail an info@geocapture.de) darüber zu informieren, wenn er davon Kenntnis erlangt oder Grund zur Annahme hat, dass Objektdaten oder sonstige personenbezogene Daten unrechtmäßig verarbeitet werden, die datenschutzrechtlichen Voraussetzungen bezüglich einzelner Objekte nicht mehr vorliegen oder falls ein Objekt zeitweise oder dauerhaft nicht mehr unter seiner Kontrolle steht, etwa wenn ein Objekt aus der Nutzung durch den Kunden ausscheidet oder wenn sich die Eigentumsverhältnisse eines Objekts (etwa durch Verkauf, Übertragung in andere Konzerngesellschaft, etc.) verändern. Alternativ zur Mitteilung an die geoCapture GmbH kann der Kunde entsprechende Objekte auch selbst über die Management-Funktionen des geoCapture-Portals deaktivieren. Beides kommt einer Aufhebung der Vereinbarung für das jeweilige Objekt gleich. Die Pflicht zur Vergütung gegenüber der geoCapture GmbH im Rahmen der Kündigungsfrist oder zum Ersatz von entstandenen Kosten bleibt davon unberührt.
9.6. Der Kunde ist in den Fällen der Ziffer 9.5. verpflichtet, jeweilige Objekte rechtzeitig vor Änderung oder unverzüglich nach Kenntnis der Änderung der tatsächlichen oder rechtlichen Voraussetzungen für die Aktivierung durch Benachrichtigung gegenüber der geoCapture GmbH abzumelden oder selbst innerhalb des geoCapture-Portals zu deaktivieren oder zu löschen. Zudem können betroffenen Personen, der geoCapture GmbH oder Dritten Schadensersatzansprüche gegenüber dem Kunden und/oder Bußgelder sowie Strafbarkeiten nach den allgemeinen Gesetzen entstehen. Die geoCapture GmbH behält sich gegenüber dem Kunden die Geltendmachung sämtlicher Kosten vor, die durch die verspätete Mitteilung oder Deaktivierung von Objekten entstehen; hierzu zählen auch behördliche Bußgelder, die von Behörden oder Gerichten gegen diese verhangen werden und/oder Schadensersatzzahlungen an die betroffenen Personen oder Dritte und/oder die in Zusammenhang mit diesen stehenden Rechtsverteidigungskosten.
9.7. Stellt der Kunde Missbrauch oder den Verlust einzelner Objekte oder den Verlust der Kontrolle über einzelne Objekte fest, ist er verpflichtet, den Missbrauch oder (Kontroll-)Verlust unverzüglich gegenüber der geoCapture GmbH anzuzeigen, damit die geoCapture GmbH weiteren Missbrauch bzw. eine unberechtigte Nutzung mit geeigneten Mitteln unterbinden kann. Der Kunde haftet für alle unter Missbrauch der Objekte verursachten Kosten und Rechtsverstöße gegenüber der geoCapture GmbH sowie Dritten. Die geoCapture GmbH ist berechtigt, den damit verbundenen Aufwand dem Kunden in Rechnung zu stellen. Alle bis zum Zeitpunkt der Anzeige entstandenen Kosten und Gebühren gehen zu Lasten des Kunden, alle danach entstehenden Kommunikationskosten trägt die geoCapture GmbH.
9.8. Die geoCapture GmbH ist berechtigt, einzelne oder sämtliche Objekte des Kunden zu deaktivieren oder die Leistungserbringung ganz oder teilweise auszusetzen, wenn berechtigte Zweifel an der Richtigkeit der Angaben des Kunden bestehen, insbesondere zu einzelnen Objekten oder der Rechtsgrundlage der Verarbeitung von personenbezogenen Daten, oder wenn Hinweise für einen Verlust der Kontrolle über dessen Objekte oder einen Missbrauch dieser bestehen oder wenn der Kunde seinen Pflichten nach den Ziffern 9.5. und 9.6. nicht (rechtzeitig) nachkommt.
9.9. Die geoCapture GmbH speichert als technischer Dienstleister Inhalte und Daten für den Kunden, die dieser bei der Nutzung der Software eingibt und speichert und zum Abruf bereitstellt. Der Kunde ist für den Inhalt der von ihm oder von seinen Nutzern in die Software eingestellten Daten verantwortlich. Die geoCapture GmbH nimmt insoweit keine Überprüfungen dieser Daten vor. Der Kunde verpflichtet sich, keine Inhalte einzustellen, die gegen geltendes Recht verstoßen, insbesondere keine rechtswidrigen, diffamierenden, beleidigenden, bedrohlichen oder pornografischen Inhalte. Der Kunde stellt die geoCapture GmbH von derlei Ansprüchen Dritter frei, die auf einer Verarbeitung genannter Daten und Inhalte durch den Kunden beruhen.
9.10. Der Kunde erklärt, das geoCapture-Portal und die geoCapture App nur gemäß den Bestimmungen dieses Vertrages zu nutzen, und insbesondere nicht für Handlungen, die deren Sicherheit oder Integrität gefährden könnten.
9.11. Der Kunde stellt sicher, dass unbefugte Dritte keinen Zugang zum geoCapture-Portal und zur geoCapture App erhalten. Der Kunde sorgt dafür, dass sämtliche Zugangsdaten vertraulich behandelt und vor dem Zugriff unbefugter Dritter geschützt werden. Bei Verdacht auf unbefugte Nutzung (einschließlich Weitergabe von Zugangsdaten) ist der Kunde verpflichtet, die geoCapture GmbH unverzüglich zu informieren und die Zugangsdaten gegebenenfalls zu ändern.
9.12. Der Kunde wird etwaige Mängel oder Störungen unverzüglich der geoCapture GmbH melden, um eine schnellstmögliche Behebung zu ermöglichen, und wird sie bei der Behebung von Fehlern oder Störungen nach besten Kräften zu unterstützen, indem er alle erforderlichen Informationen bereitstellt.
9.13. Die geoCapture GmbH sichert die Daten des Kunden regelmäßig, mindestens kalendertäglich, auf einem externen Backup-Server, um Verlust oder Beschädigung der Daten zu verhindern oder deren Auswirkungen in wirtschaftlich angemessener Weise nach dem Stand der Technik zu begrenzen. Davon unabhängig ist der Kunde ist dazu verpflichtet, Kopien seiner wesentlichen Daten entsprechend der gesetzlichen, satzungsmäßigen, vertraglichen oder sonstigen Anforderungen, denen er unterliegt, in regelmäßig üblichen Abständen zu sichern, soweit er zur dauerhaften Vorhaltung dieser Daten verpflichtet ist. Dazu kann er diese Daten, soweit technisch möglich, jederzeit exportieren. Der Kunde ist ebenso zur Sicherung von Daten verpflichtet, die er der geoCapture GmbH im Zuge der Vertragsabwicklung überlassen hat.
9.14. Der Kunde ist verpflichtet, mindestens einen qualifizierten Ansprechpartner sowie ggf. weitere Stellvertreter zu benennen, die berechtigt sind, alle notwendigen Entscheidungen, die zur vertragsgemäßen Leistungserbringung erforderlich sind, zu treffen oder unverzüglich herbeizuführen, und stellt der geoCapture GmbH deren Kontaktdaten bereit. Der Kunde wird jeden Wechsel des Ansprechpartners (ggf. einschließlich der Stellvertreter) sowie Änderungen der Kontaktdaten der geoCapture GmbH unverzüglich mitteilen, damit eine reibungslose Kommunikation gewährleistet ist.
9.15. Der Kunde ist verpflichtet, die geoCapture GmbH über sämtliche Rechtsverletzungen oder Ansprüche Dritter im Zusammenhang mit der Nutzung der Software unverzüglich zu informieren.
10. Vertragslaufzeit, Kündigung
10.1. Das Vertragsverhältnis kann, sofern nicht anders schriftlich vereinbart, zum Monatsende gekündigt werden. Die Kündigung muss in schriftlicher Form erfolgen. Kündigungen in Textform (z.B. per E-Mail) werden nicht akzeptiert.
10.2. Die Parteien sind berechtigt, das Vertragsverhältnis aus besonderem Grund vorzeitig ohne Einhaltung einer Kündigungsfrist zu beenden. Wichtige Gründe, welche die geoCapture GmbH zur fristlosen Kündigung berechtigen, sind insbesondere die Beantragung und Eröffnung eines Insolvenzverfahrens des Kunden, die missbräuchliche Nutzung des geoCapture-Dienstes sowie der Zahlungsverzug von mehr als 60 Tagen trotz Mahnung, oder der wiederholte oder schwerwiegende Verstoß des Kunden oder des Verantwortlichen gegen seine vertraglichen oder gesetzlichen Pflichten, z.B. zum Datenschutz.
10.3. Die dem Kunden für die Datenübertragung durch die geoCapture GmbH überlassen geoCapture-SIM-Karten müssen nach Vertragsende an die geoCapture GmbH zurückgegeben werden. Erfolgt die Rückgabe nicht innerhalb von 14 Tagen nach Vertragsende, werden die SIM-Karten durch die geoCapture GmbH gesperrt und die damit verbundenen sowie für die Nutzung über das Vertragsende hinaus entstandenen Kosten dem Kunden in Rechnung gestellt.
10.4. Im Falle der vorzeitigen Kündigung werden die noch ausstehenden, vereinbarten Nutzungsentgelte in einer Summe berechnet und sofort fällig gestellt.
11. Sonstiges, Schlussbestimmungen
11.1. Für sämtliche Rechtsbeziehungen zwischen der geoCapture GmbH und dem Kunden gilt das Recht der Bundesrepublik Deutschland, unabhängig davon, wo der Kunde die bereitgestellten Daten abruft bzw. wo sich die geoCapture GPS-Tracker oder sonstige Hardware des Kunden, für die Daten abgerufen werden, befinden. Das UN-Kaufrecht wird ausgeschlossen. Als Gerichtsstand bzw. Erfüllungsort wird, soweit gesetzlich möglich, Ibbenbüren vereinbart.
11.2. Änderungen und Ergänzungen dieser Vertragsbedingungen und sonstige Vereinbarungen bedürfen zu ihrer Geltung der Schrift- oder Textform.
11.3. Die geoCapture GmbH ist berechtigt, diese AGB einseitig zu ändern, soweit dies zur Beseitigung nachträglich entstehender Äquivalenzstörungen oder zur Anpassung an veränderte gesetzliche oder technische Rahmenbedingungen notwendig ist und der Kunde hierdurch nicht wider Treu und Glauben benachteiligt wird. Dies gilt insbesondere, wenn die geoCapture GmbH aufgrund einer Änderung der Rechtslage verpflichtet ist, diese AGB zu ändern, sie damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt, oder sie zusätzliche, gänzlich neue Dienstleistungen, Dienste oder Dienstelemente einführt, die einer Leistungsbeschreibung in den AGB bedürfen. Unabhängig von den vorgenannten Voraussetzungen ist eine einseitige Änderung dieser AGB jederzeit möglich, wenn hierdurch das bisherige Vertragsverhältnis aus der Sicht des Kunden nicht nachteilig verändert wird, wenn die Änderung lediglich vorteilhaft für den Kunden ist, wenn Regelungen für die Nutzung neu eingeführter zusätzlicher Services oder Funktionen ergänzt werden, oder wenn die Änderung rein technisch oder prozessual bedingt ist und keine wesentlichen Auswirkungen für den Kunden hat. Über eine Änderung wird die geoCapture GmbH den Kunden unter Mitteilung des Inhalts der geänderten Regelungen in Textform informieren. Die Änderung wird Vertragsbestandteil, wenn der Kunde nicht binnen sechs Wochen nach Zugang der Änderungsmitteilung der Einbeziehung in das Vertragsverhältnis der geoCapture GmbH gegenüber in Schrift- oder Textform widerspricht. Das beidseitige Kündigungsrecht gemäß Ziffer 10.1. dieser AGB bleibt hiervon unberührt.
11.4. Sollten einzelne der oben genannten Bestimmungen unwirksam oder nichtig sein, wird die Gültigkeit der anderen Bestimmungen bzw. des abgeschlossenen Vertrages hiervon nicht berührt. Die unwirksame Bestimmung wird durch diejenige wirksame Bestimmung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
geoCapture GmbH
Rheiner Str. 3
D-48496 Hopsten
Tel. +49 5458 936668-0
Fax +49 5458 936668-28
www.geocapture.de
info@geocapture.de
Addendum zur Verarbeitung personenbezogener Daten
1. Einleitung, Gegenstand und Dauer des Auftrags
1.1. Dieses Addendum regelt die Verarbeitung von personenbezogenen Daten im Auftrag des Kunden durch die geoCapture GmbH („Auftragsverarbeiter“). Dieses Addendum ist so konzipiert, dass es den Bestimmungen der geltenden EU Datenschutz-Grundverordnung („DSGVO“) gerecht wird. Sofern in diesem Addendum nicht anders definiert, gelten die Definitionen der AGB bzw. der DSGVO. Der Kunde stimmt den Bedingungen dieses Addendums im eigenen Namen und im Namen aller verbundenen Unternehmen zu, die an der Verarbeitung personenbezogener Daten im Rahmen dieses Addendums beteiligt sein können.
1.2. Gegenstand des Auftrags ist die Durchführung folgender Verarbeitungstätigkeiten durch den Auftragsverarbeiter, deren Art und Umfang durch ein Angebot, einen Hauptvertrag oder weitere schriftliche Vereinbarungen spezifiziert werden können:
- GPS-Ortung
- Mobile Zeiterfassung
- Projektzeiterfassung zu Belegzwecken sowie zur Fakturierung
- Fahrtenbuch
- Einsatz- und Tourenplanung
- Kleingeräteverwaltung
- Container- und Anhängerortung
- Download von Tachographen-Daten
- Ermittlung und Überwachung von Lenkzeiten sowie Ermittlung von Arbeitszeiten
- Berechnung und Management von Überstunden - Berechnung von Leistungsentgelten
- Abruf und Verarbeitung von elektronischen Arbeitsunfähigkeitsbescheinigungen
- Fahrererkennung und Führerscheinkontrolle
- Zugangskontrolle
- Wegfahrsperre
- Fernabschaltung/Diebstahlschutz
- SMS-Nachrichten
- Angaben zu Reifendruck
- Fuhrparkmanagement
- Einleitung von Sicherungs- und Rettungsmaßnahmen
- Repressive Aufklärung von Straftate
- Datenimport und Datenanreicherung
- Datenexport
- Abgleich von Datenbeständen
- Verwaltung von fahrzeug- und vorgangsbezogenen Dateien/Dokumenten
- Anlage und Verwaltung von Benutzern (Usern)
- Verwaltung von fahrer/-benutzerbezogenen Dateien/Dokumenten
- Bereitstellung von Funktionen zur Anlage von Individualfunktionen und Formularen zur Datenerfassung durch und unter Verantwortlichkeit des Kunden
1.3. Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Kunden im Sinne von Art. 4 Nr. 2 DSGVO auf Grundlage dieses Addendums gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Jedwede teilweise oder vollständige Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
1.4. Die Laufzeit dieses Addendums ist nicht befristet. Solange sich personenbezogene Daten des Kunden im Verfügungsbereich des Auftragsverarbeiters befinden, gelten nach einer Kündigung unter Ausschluss einer darüber hinausgehenden Leistungspflicht diejenigen Bestimmungen fort, die zur Wahrung der Anforderungen an eine rechtmäßige Verarbeitung notwendig sind.
1.5. Der Kunde kann das Addendum jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Addendums vorliegt, der Auftragsverarbeiter eine Weisung des Kunden nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Kunden vertragswidrig verweigert. Eine Kündigung dieses Addendums kommt der Kündigung des Hauptvertrags gleich (vgl. Ziffer 10.2. der AGB).
2. Konkretisierung des Auftragsinhalts
2.1. Inhalt des Auftrages ist die Verarbeitung personenbezogener Daten mittels der Cloud-basierten Software-Plattform geoCapture zur Durchführung der vorgenannten Aufgaben entsprechend den Weisungen des Kunden. Dem Auftragsverarbeiter ist es nicht gestattet, die ihm durch den Kunden bereitgestellten personenbezogenen Daten für eigene, über den Vertragsinhalt hinausgehende Zwecke zu nutzen (Art. 4 Nr. 7 DSGVO).
2.2. Gegenstand der Verarbeitung sind abhängig vom Umfang des Auftrags folgende Kategorien personenbezogener Daten:
Stammdaten der Mitarbeiter:
- Name
- Personal-Nummer
- Geburtsdatum
- Telefonnummer
- E-Mail-Adresse
- Adressdaten
- RFID-Schlüssel (Authentifizierungstoken)
- Fahrerkarte/Führerschein
- Versichertennummer
- Sonstige Mitarbeiterdaten und Dokumente
Daten zum Arbeitsverhältnis:
- Abteilung
- Kostenstelle
- Standort
- Benutzer
- Eintrittsdatum/Austrittsdatum
- Urlaubszeiten
- Vorgaben zur individuellen Berechnung der Arbeitszeit unter Berücksichtigung von Urlaubstagen, Zeitmodell, Überstunden, Minusstunden, etc.
- Angaben zu Abwesenheiten und Krankheit und Abwesenheits- und Krankheitsgründen
- Mindest- und Maximalstunden sowie Standard-Bezahlzeit
- Überstunden/Minusstunden
- Zeitmodell
- Vorgesetzter
- Stellvertreter
- Prüfung für Freizeit-, Stempel- und Zulagenanträge
- Tracker
- PIN
- Kommunikationsdaten
Fahrzeugdaten:
- GPS-Standortdaten und Fahrtverläufe
- Tourenverlauf
- Arbeitszeiten
- Lenk- und Standzeiten
- Schichtzeiten
- Telemetriedaten des Fahrzeugs
Metadaten:
- IP-Adressen
- Zeitstempel mit Datum und Uhrzeit
- Änderungsprotokollierung
- Uploads
- Zugriffe
- Technische Kommunikationsdaten
- Vom Dienst generierte Daten
- Sonstige Telemetrie- und Diagnosedaten
- Unterstützungsdaten und Support-Daten
Authentifizierungsdaten:
- Benutzername
- Kennwort
- PIN-Code
- Audit-Trail
- Token
- Mobilfunknummer
Daten zur Geräteidentifikation:
- IMEI-Nummer
- SIM-Kartennummer
- MAC-Adresse
2.3. Der Kreis der Betroffenen, deren personenbezogene Daten im Rahmen dieses Auftrags verarbeitet werden, umfasst Personen, die üblicherweise in einem Vertragsverhältnis mit dem Kunden stehen oder standen:
- Angestellte
- Leiharbeiter
- Frühere Mitarbeiter
- Auszubildende
- Praktikanten
- Freie Mitarbeiter
- Mitarbeiter von Dienstleistern oder sonstigen Auftragsverarbeitern
- Kunden
3. Rechte und Pflichten des Kunden
3.1. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Kunde verantwortlich.
3.2. Änderungen des Verarbeitungsgegenstandes oder wesentliche Verfahrensänderungen sind zwischen Kunde und Auftragsverarbeiter abzustimmen und in Textform zu dokumentieren. Der Kunde erteilt alle Aufträge, Teilaufträge und Weisungen in Text- oder Schriftform. Mündliche Weisungen sind durch den Auftragsverarbeiter unverzüglich in Textform zu bestätigen.
3.3. Der Kunde ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Addendum festgelegten Pflichten zu überzeugen. Der Kunde informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
3.4. Der Kunde ist verpflichtet, alle Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters auch über das Vertragsende hinaus vertraulich zu behandeln.
4. Weisungsberechtigte des Kunden, Weisungsempfänger des Auftragsverarbeiters
4.1. Die weisungsberechtigte(n) Person(en) des Kunden sind werden durch diesen bei Vertragsschluss mitgeteilt (vgl. Ziffer 3.4 der AGB).
4.2. Weisungsempfänger des Auftragsverarbeiters ist Friedhelm Brügge, Geschäftsführer. Für Weisungen sind folgende Kommunikationskanäle zu nutzen:
Postalisch: Rheiner Str. 3, D-48496 Hopsten
Telefonisch: +49 5458 936668-0
Telefax: +49 5458 936668-28
Per E-Mail: info@geocapture.de
4.3. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner die Nachfolger bzw. die Vertreter in Textform mitzuteilen.
5. Pflichten des Auftragsverarbeiters
5.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedsstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
5.2. Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keinen anderen Zweck. Kopien oder Duplikate werden ohne Wissen des Kunden nicht erstellt; davon ausgenommen sind Kopien, die nur zum Zweck der Datensicherung gem. Art. 32 Abs. 1 lit. c DSGVO erstellt werden.
5.3. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Kunde, bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten gem. Art. 30 DSGVO, bei erforderlicher Datenschutz-Folgeabschätzung des Kunden gem. Art. 35 DSGVO und bei einer notwendigen Konsultation der zuständigen Aufsichtsbehörde nach Art. 36 DSGVO hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Kunden angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO).
5.4. Der Auftragsverarbeiter wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung dieser Weisung solange auszusetzen, bis dieselbe durch den Kunden nach Überprüfung bestätigt oder geändert wird.
5.5. Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis auf Weisung des Kunden zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn berechtigte Interessen des Auftragsverarbeiters oder der betroffenen Personen dem nicht entgegenstehen.
5.6. Der Auftragsverarbeiter darf Auskunft über personenbezogene Daten gem. Art. 15 DSGVO nur nach ausdrücklicher Weisung durch den Kunden erteilen. Soweit eine betroffene Person mit einem Auskunftsersuchen direkt an den Auftragsverarbeiter herantritt, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Kunden weiterleiten.
5.7. Der Kunde ist nach vorheriger Terminvereinbarung berechtigt, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen in angemessenem und erforderlichem Umfang selbst oder durch von ihm beauftragte Dritte im Sinne des Art. 28 Abs. 3 Satz 2 lit. h DSGVO zu kontrollieren. Der Auftragsverarbeiter wird alle zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen – ermöglichen. Der Auftragsverarbeiter wird bei diesen Kontrollen unterstützend mitwirken.
5.8. Der Auftragsverarbeiter verpflichtet sich, die Vertraulichkeit der verarbeiteten personenbezogenen Daten zu wahren. Er verpflichtet sich außerdem, Geheimnisschutzregeln wie Bankgeheimnis, Sozialgeheimnis und Fernmeldegeheimnis zu beachten, soweit diese relevant sind. Die Pflicht zur Vertraulichkeit besteht auch nach Beendigung des Vertrages fort. Der Auftragsverarbeiter sichert zu, dass er seine Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und mit unbeschränkter Gültigkeit in geeigneter Weise entsprechend der vorgenannten Geheimschutzregeln zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).
5.9. Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Beim Auftragsverarbeiter ist ein Beauftragter für den Datenschutz bestellt, dessen Kontaktdaten auf der Website der geoCapture GmbH unter https://www.geocapture.de/datenschutz zu finden sind. Ein Wechsel des Datenschutzbeauftragten ist dem Kunden unverzüglich mitzuteilen.
6. Mitteilungspflichten bei Verletzung des Schutzes personenbezogener Daten
6.1. Der Auftragsverarbeiter teilt dem Kunden unverzüglich jegliche Verstöße gegen datenschutzrechtliche oder vertragliche Bestimmungen einschließlich des Verdachts auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit, sobald sie ihm zur Kenntnis gelangen. Dies gilt besonders im Hinblick auf Melde- und Benachrichtigungspflichten nach Art. 33 und Art. 34 DSGVO, bei deren Erfüllung der Auftragsverarbeiter den Kunden angemessen unterstützen wird.
7. Unterauftragsverhältnisse
7.1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt, wie Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung, Benutzerservice oder die Entsorgung von Datenträgern. Der Auftragsverarbeiter ist jedoch verpflichtet, auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit zu ergreifen.
7.2. Der Auftragsverarbeiter darf weitere Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger Zustimmung des Kunden beauftragen. Der Kunde stimmt der Beauftragung der in ANLAGE 1 genannten Unterauftragnehmer unter der Bedingung des Vorliegens einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zu. Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit der Auftragsverarbeiter eine solche Auslagerung auf Unterauftragnehmer dem Kunden eine angemessene Zeit vorab in Textform anzeigt und der Kunde nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird, in der sämtliche vertragliche Regelungen zwischen Auftragsverarbeiter und Kunde auch dem Unterauftragnehmer auferlegt werden. Eine Beauftragung von Unterauftragnehmern in Drittstaaten darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DSGVO durch die gesetzlich vorgesehenen Maßnahmen sichergestellt sind. Der Auftragsverarbeiter wird dem Kunden Name, Anschrift, die vorgesehene Tätigkeit des Unterauftragnehmers sowie die Rechtsgrundlage für die Datenverarbeitung im Unterauftrag mitteilen. Die Weitergabe von personenbezogenen Daten des Kunden an den Unterauftragnehmer und dessen Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
8. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
8.1. Der Auftragsverarbeiter gewährleistet die Sicherheit der Verarbeitung gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO durch geeignete Maßnahmen, die ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme bieten. Diese technischen und organisatorischen Maßnahmen werden in ANLAGE 2 unter Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter spezifiziert. Bei der Auswahl dieser Maßnahmen wurden der Stand der Technik, die Angemessenheit, die Art, der Umfang und die Zwecke der Verarbeitung sowie Risikoursachen, Wahrscheinlichkeiten und Auswirkungen des Risikoeintritts für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO berücksichtigt. Der Kunde hat diese Maßnahmen sorgfältig zu prüfen. Soweit die getroffenen Maßnahmen seinen Anforderungen nicht genügen, benachrichtigt er den Auftragsverarbeiter unverzüglich.
8.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsverarbeiter gestattet, im Laufe des Auftragsverhältnisses Maßnahmen anzupassen oder alternative Maßnahmen umzusetzen. Diese dürfen das Sicherheitsniveau der zuvor festgelegten Maßnahmen nicht unterschreiten. Wesentliche Änderungen sind zu dokumentieren und dem Auftragsverarbeiter zur Kenntnis zu bringen.
9. Verpflichtungen des Auftragsverarbeiters nach Vertragsende
9.1. Nach Vertragsende hat der Auftragsverarbeiter nach Ablauf von sechs Monaten sämtliche in seinen Verfügungsbereich gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen oder dem Kunden nach dessen Wahl zurückzugeben (vgl. Art. 28 Abs. 3 Satz 2 lit. g DSGVO). Soll eine Rückgabe oder Löschung zu einem früheren Zeitpunkt erfolgen, ist dies dem Auftragsverarbeiter entsprechend mitzuteilen. Sofern einer vollständigen Löschung gesetzliche oder vertragliche Aufbewahrungspflichten entgegenstehen, sind die betroffenen Daten bis zu deren Entfall von einer Löschung ausgenommen. Die Löschung wird dem Kunden auf Anfrage bestätigt. Der Auftragsverarbeiter stellt sicher, dass seine Unterauftragnehmer die vorgenannten Pflichten in gleicher Weise erfüllen.
10. Haftung
10.1. Es wird auf Art. 82 DSGVO und die Allgemeinen Geschäftsbedingungen von geoCapture verwiesen.
11. Sonstiges
11.1. Für Nebenabreden ist grundsätzlich die Textform erforderlich. Sollten einzelne Bestimmungen unwirksam oder undurchführbar sein oder unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit im Übrigen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der Zielsetzung am nächsten kommen, die mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt wurde.
Anlagen zu diesem Addendum:
• ANLAGE 1: Unterauftragsverarbeiter gem. Art. 28 Abs. 2 DSGVO zum Zeitpunkt des Vertragsschlusses
• ANLAGE 2: Technische und organisatorische Maßnahmen der geoCapture GmbH gem. Art. 32 Abs. 1 DSGVO zum Zeitpunkt des Vertragsschlusses
ANLAGE 1: Unterauftragsverarbeiter gem. Art. 28 Abs. 2 DSGVO zum Zeitpunkt des Vertragsschlusses
Unterauftragsverarbeiter | Anschrift | Drittland | Zweck der Leistungserbringung | Rechtsgrundlage |
STRATO AG | Otto-Ostrowski Straße 7 10249 Berlin Deutschland | - | Bereitstellung von Backup- und Rückfallsystemen | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO |
CRONON GmbH | Otto-Ostrowski Straße 7 10249 Berlin Deutschland | - | Bereitstellung und Betrieb dedizierter Server für die Anwendung und Datenhaltung der Kundensysteme | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO |
Hetzner Online GmbH | Industriestr. 25 91710 Gunzenhausen Deutschland | - | Bereitstellung von geografisch getrennten Systemen zur redundanten Datensicherung von Backups | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO |
Google Ireland Limited | Gordon House, Barrow Street Dublin 4 Irland | (Vereinigte Staaten von Amerika) | Kartendarstellung von Ortungspunkten; Geokodierungsservices (Adresssuche); Reverse-Geokodierung (Adresseingabe und Kodierung in Geokoordinate); Routenführung bzw. Routenberechnung als Fall-Back | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO; EU-Standarddatenschutzklauseln: Modul 3 (Processor-toProcessor); EU-US Data Privacy Framework |
Microsoft Ireland Operations, Ltd. | One Microsoft Place South County Business Park Leopardstown Dublin 18, D18 P521 Ireland | (Vereinigte Staaten von Amerika) | Nutzung von Microsoft 365 für Kundenkommunikation und Support (Outlook, Teams) | Microsoft Products and Services Data Protection Addendum: Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO sowie Verweis auf EU-Standardvertragsklauseln für weitere Verarbeitungen |
MessageBird B.V. | Postbus 14674 1001 LD Amsterdam Niederlande | - | Versand von System-Benachrichtigungen auf Weisung des Kunden per SMS, WhatsApp oder E-Mail | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO, referenziert durch die AGB ("General Terms and Conditions"), die wiederum durch den Hautpvertrag referenziert werden |
WORTMANN AG | Bredenhop 20 32609 Hüllhorst Deutschland | - | Datensicherung der VMs, Bereitstellung von Notfallsystemen | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO |
Sälker IT Solutions GmbH & Co. KG | Südfelde 13 48480 Spelle Deutschland | - | Betreuendes Systemhaus mit regelmäßigen Help-Desk und Wartungsfenster | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO |
FromDual GmbH | Rebenweg 6 CH - 8610 Uster Schweiz | Schweiz | Administration und Performance-Optimierung von Datenbanken | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO |
Heiko Bick Aktenvernichtung GmbH & Co. KG | Hakenbusch 7 49078 Osnabrück Deutschland | - | Papier- und Datenträgervernichtung nach DIN 66399 | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO (i.V.m. Angemessenheitsbeschluss der Europäischen Kommission) |
Vitalij Rerich | Kettelerstr. 13 48496 Hopsten Deutschland | - | Softwareentwicklung, unterstützende Dienstleistungen im Support und zur Administration von Systemen | Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO |
ANLAGE 2: Technische und organisatorische Maßnahmen der geoCapture GmbH gem. Art. 32 Abs. 1 DSGVO zum Zeitpunkt des Vertragsschlusses
1. Zutrittskontrolle zu den Arbeitsbereichen
Die folgenden Maßnahmen der Zutrittskontrolle verhindern, dass Unbefugte sich IT-Systemen, Datenverarbeitungsanlagen sowie vertraulichen Akten und Datenträgern physisch nähern können:
Organisation der Zutrittskontrolle:
• Festgelegte Sicherheitsbereiche
• Zutrittsberechtigungskonzept
• Individuelle Zutrittsberechtigungsvergabe
• Regelmäßige Überprüfung und Revision von Zutrittsberechtigungen
• Dokumentation von Zutrittsberechtigungen
• Zutrittsdokumentation
• Zugriff auf Generalschlüssel nur für autorisierte Mitarbeiter • Rollenabhängige Zutrittsregelungen für die Mitarbeiter (Administratoren, Hilfskräfte, Reinigungspersonal, etc.)
• Definierter Prozess zu Zutrittsberechtigungsvergabe und -entzug
• Empfang
• Besucher befinden sich stetig in Begleitung eines Mitarbeiters
Allgemeine Gebäudesicherheit:
• Manuelles Schließsystem
• Sicherheitsschlösser
• Automatisches Zuziehen und Verschließen von Türen
• Möglichkeit der Schließung aller Gebäudeeingänge, wie Fenster und Türen
• Separate Brandabschnitte
• Absicherung der Gebäudeschächte
Technische Sicherheitsmaßnahmen:
• Schutz und Beschränkung der Zutrittswege
• Zutrittskontrollsystem
• Zusätzliche Zugangsbeschränkung der Serverräume
• Transponder-, Code- oder schlüsselkartenbasierte Schließanlage
• Bewegungsmelder
• Einbruchmeldeanlage
• Video-Überwachung
• Klingelanlage mit Kamera
2. Zugangskontrolle zu Datenverarbeitungssystemen
Die folgenden Maßnahmen verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können oder Unbefugte Zugang zu Daten erhalten:
Hardware-Sicherheitsmaßnahmen:
• Änderung der Standardkennwörter aller System- und Infrastrukturkomponenten
• Protokollierung von benutzerrelevanten Aktivitäten (Anmeldung, Abmeldung, Zugangsverweigerungen, etc.) an zentralen Verzeichnisdiensten
• Nicht benötigte physikalische Schnittstellen (USB, DVD, etc.) sind deaktiviert
• Verknüpfung von einzelnen Funktionen oder Anwendungen mit dedizierter Hardware (Tracking-Datenimport)
Netzwerk-Sicherheitsmaßnahmen:
• Demilitarisierte Zonen
• Schutz der Infrastruktur durch Hardware-Firewalls
• Schutz der Infrastruktur durch Intrusion Detection-Systeme
• Segmentierung des Netzwerkes
• Portregeln/Sperrung von nicht erforderlichen Ports
• Externer Zugang nur über sichere Verbindungen (VPN, RDP oder vergleichbar)
• W-LAN Verschlüsselung
Softwarebasierte Sicherheitsmaßnahmen:
• Software-Firewall
• Antivirus-Software auf allen Systemen
• Sonstige Verschlüsselungsmechanismen (Archive/Backups)
• Automatische Sitzungsbeendigung bei Inaktivität
• Automatische Bildschirm- und Computer-Sperre bei Inaktivität
• Regelmäßige Software-Updates
• Verschlüsselte Speicherung von Passwörtern
Benutzerzugangsbeschränkungen:
• Berechtigungskonzept
• Benutzerauthentifizierung für Systemzugang- und/oder Anwendungszugriff erforderlich
• Multi-Faktor-Authentifizierung für den Benutzerzugang
• Einschränkung der zeitlichen Gültigkeit der Benutzerkonten
• Automatische Deaktivierung von Benutzern nach mehreren fehlgeschlagenen Logins
• Zwangs- oder Pflicht-Änderung der Benutzerkennwörter nach der erstmaligen Systemanmeldung
• Ablauf von Benutzerpasswörtern
• Erforderliche Mindestkomplexität für Kennwörter
• Passwort-Historie zur Verhinderung der Mehrfachnutzung desselben Passwortes
• Angemessene Gestaltung der Benutzeraccount-Wiederherstellung im Falle eines verlorenen oder vergessenen Authentifizierungsdatensatzes
• Verschlüsselte Speicherung von User-Passwörtern
• User-Login-Verlauf
Organisatorische Sicherheitsmaßnahmen:
• Vertraulichkeitserinnerungen
• Regelmäßige Überprüfung der Systemzugangsberechtigungen
• Deaktivierung von nicht benötigten Accounts
• Geregelte Vergabeverfahren für Systemzugriffsberechtigungen
• Wartung und Aktualisierung der Sicherheitssysteme nach aktuellem Stand der Technik und der Kenntnis über (neue) Schadsoftware
• Verschlossene Aktenschränke oder Archive
3. Zugriffskontrolle auf bestimmte Bereiche der Datenverarbeitungssysteme
Folgende Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems berechtigten Personen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:
Organisatorische Sicherheitsmaßnahmen:
• Rollenbasiertes Berechtigungskonzept mit minimal notwendigen Zugriffsrechten (Lesen / Schreiben / Ändern / Kopieren / Löschen)
• Multi-Faktor-Authentifizierung für den Daten- oder Anwendungszugriff
• Beschränkung der Administrationsrechte auf das erforderliche Maß
• Minimierung der Personen mit Administrationsberechtigung
• Dokumentation der Vergabe von Zugriffsrechten
• Clean Desk Policy
• Geregeltes Löschen bzw. Vernichten und Entsorgen von Datenträgern wie Festplatten, CDs, DVDs, USB-Sticks
• Vernichtung von physikalischen Medien nach DIN 66399 oder vergleichbaren Standards
Technische Sicherheitsmaßnahmen:
• Netzwerkzugangskontrolle
• Prüfung von eingehenden E-Mails auf Schadsoftware
• Kontrollierter Zugang zu E-Mails und Internet
• Trennung von Anwendungs- und Administrationszugängen
• Verschlüsselung von Datenübertragungsvorgängen
• Verbot/Unterbindung von nicht autorisierten Software-Installationen
• Regelmäßige Sicherheits-Updates
• Nutzung eines Aktenvernichters mit ausreichender Sicherheitsstufe (vgl. DIN 66399)
• Überwachung und Protokollierung allgemeiner Benutzeraktivität (Datenzugriff, Datenexport, Datenlöschung)
4. Weitergabekontrolle
Die folgenden Maßnahmen gewährleisten, dass bei der Übermittlung oder beim Transport von personenbezogenen Daten unberechtigte Zugriffe, insbesondere zum Lesen, Kopieren, Verändern oder Entfernen dieser Daten, vermieden werden:
Technische Sicherheitsmaßnahmen:
• Verschlüsselung von Daten während der Übertragung (endto-end-Verschlüsselung)
• Dokumentation bzw. Protokollierung von externen SupportProzessen
• Beschränkung des Kopierens von Daten
Organisatorische Maßnahmen:
• Datentransfer und -weitergabe in Übereinstimmung mit den Anweisungen des Auftraggebers
• Verbot der Nutzung von privaten Datenträgern
• Vollständige Löschung aller Datenkopien und Datensicherungen nach Abschluss des Auftrags
• Übersicht regelmäßiger Abruf- und Übermittlungsvorgänge
5. Eingabekontrolle
Die folgenden Maßnahmen dienen dazu, festzustellen, wer personenbezogene Daten in Systemen eingegeben, geändert oder entfernt hat, um die Überprüfbarkeit von Änderungen zu gewährleisten:
Technische Maßnahmen:
• Rollenabhängige Eingabebeschränkungen und Schutz gegen nicht autorisierte Veränderungen
• Änderungsprotokollierung auf Datensatz- und Nutzerebene (Lesen/Schreiben/Ändern/Kopieren/Löschen)
• Applikationsbasierte Überprüfung der Eingabeberechtigung
• Protokollierung der relevanten Prozesse (Speicherung, Verarbeitung, Modifizierung, Abrufen, Übertragung, Löschung, etc.)
• Protokollierung von administrativen Änderungen
Organisatorische Maßnahmen:
• Regelmäßige Analyse der Protokolldateien
• Regelmäßige Überprüfung der Datenbestände auf Konsistenz und Richtigkeit
• Definition von Rollen für unterschiedliche Aufgaben
• Aufteilung der Zuständigkeiten
6. Auftragskontrolle
Folgende Maßnahmen stellen sicher, dass personenbezogene Daten, die im Auftrag verarbeitet werden, ausschließlich entsprechend den Weisungen des Auftraggebers verarbeitet werden:
Organisatorische Maßnahmen:
• Verarbeitung personenbezogener Daten erfolgt ausschließlich entsprechend den Weisungen des Auftraggebers
• Definition von Rollen für unterschiedliche Aufgaben
• Aufteilung der Zuständigkeiten
• Regelmäßige Besprechungen mit den Datenschutzbeauftragten in Bezug auf Betriebsprozesse, welche die Verarbeitung von personenbezogenen Daten betreffen
• Sorgfältige Auswahl von Auftragnehmern
• Auftragsverarbeitungsverträge mit Auftragnehmern
• Auftragsverarbeitungsverträge der Auftragnehmer mit Unterauftragnehmern
• Verpflichtung der Auftragnehmer und Unterauftragnehmer auf das Datengeheimnis
• Datenvernichtung nach Vertragsend
• Stichprobenartige Kontrolle der Mitarbeiterrechner
• Stichprobenartige Kontrolle der Datenverarbeitung auf Konsistenz mit den Vorgaben des Auftraggebers
• Überprüfung/Auditierung von Auftragnehmern
• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
• Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
• Regelungen zum Einsatz weiterer Subunternehmer
Technische Maßnahmen:
• Automatisierte Kontrollmechanismen oder technische Beschränkungen, mit denen die Datenverarbeitung entsprechend den Weisungen des Auftraggebers sichergestellt wird
7. Verfügbarkeitskontrolle
Folgende Maßnahmen wirken gegen einen zufälligen Verlust oder eine zufällige Zerstörung von elektronischen Daten, Akten und Datenträgern:
Technische Maßnahmen:
• Unterbrechungsfreie Stromversorgung
• Feuerlöschanlage/Feuerlöscher
• Kühlsystem im Rechenzentrum/Serverraum
• Geografisch getrennte Rechenzentren
• Redundante Infrastruktur mit Backup-Systemen
• Redundante Datenspeicherung
• Desaster-Recovery-Mechanismen für die Datenwiederherstellung, Schutz gegen versehentliche Zerstörung und Verlust
• Backup-Rechenzentrum
• Tägliche inkrementelle Datensicherung
• Wöchentliche vollständige Datensicherung
• Wöchentliche Backups auf separat gespeicherten physischen Medien oder auf physikalisch getrennten Systemen
• Schutzsteckdosen im Serverraum
• RAID-System/Festplattenspiegelung
• Monitoring der Server-Auslastung
Organisatorische Maßnahmen:
• Regeln für die Aufbewahrung von Schlüsseln zur Entschlüsselung von Daten oder zur Verifizierung digitaler Signaturen
• Unterscheidung zwischen Archivierung und Backup
• Verschriftlichtes Backup-Konzept
• Vertretungsregelungen
• Regelmäßige Funktions- und Notfalltests werden durchgeführt
• Externe Audits und Sicherheitstests
• Periodische interne Überprüfung der Datensicherungsmaßnahmen
• Test der Datenwiederherstellung
• Klar definierte Verwaltungsaufgaben für Auftraggeber und Auftragnehmer
• Räumlich getrennte Archivierung
• Zentrale Datenhaltung
• Automatische Systemüberwachung und Benachrichtigung der Administratoren bei Irregularitäten
• Source Code Audits
• Kontinuierliche Synchronisation der Systemzeit unterschiedlicher Systeme
• Keine sanitären Anschlüsse im oder oberhalb des Serverraumes
8. Trennungskontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogenen Daten derart von anderen Daten und Systemen getrennt vorgehalten werden, sodass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
Technische Maßnahmen:
• Physikalische Datentrennung: Getrennte Computersysteme oder Medien
• Mandantenfähigkeit von Anwendungen
• Separate Instanzen für Entwicklungs- und Produktivsystemen (Sandboxes)
Organisatorische Maßnahmen:
• Logische Datentrennung mittels separater Datenbanken
• Strukturierte Dateiablage
• Spezifische Genehmigungsregelung für die Datenbank und den Anwendungszugriff
• Datenfelder in Anwendungen sind mit zweckbestimmenden Attributen versehen worden
9. Verschleierung von Daten und Entfernung von Bezügen
Folgende Maßnahmen gewährleisten, dass eine Zuordnung die Daten zu einer spezifischen betroffenen Person ohne Kenntnis oder Hinzuziehung zusätzlicher Informationen nicht mehr möglich ist:
• Verschlüsselung von einzelnen Dateien
10. Datenschutz-Management
Folgende Maßnahmen gewährleisten, dass die Einhaltung der datenschutzrechtlichen Anforderungen sowie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden:
Regulatorische Anforderungen:
• Benennung eines Datenschutzbeauftragten
• Schriftliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis
• Regelmäßige Schulungen der Mitarbeiter zu Datenschutz und Datensicherheit
• Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
• Nachweise über Datenschutz-Folgenabschätzungen
• Konzept zur regelmäßigen Datenlöschung
• Prozess zur Wahrnehmung von Betroffenenrechten (insbesondere Informations- und Auskunftspflichten)
• Dokumentierter Prozess zur Erkennung und Meldung von Datenschutzverstößen und Datensicherheitsvorfällen
Organisatorische Maßnahmen:
• Regelmäßige Abstimmung mit dem Datenschutzbeauftragten
• Datensicherheitsrichtlinie
• Privatnutzungsverbot
• Anlassbezogene Schulungen oder Informationen bei Verwendung neuer Software bzw. Information über geänderte Richtlinien
• Background-Checks von Bewerbern und Arbeitnehmern
• Disziplinarmaßnahmen im Falle einer Datenschutzverletzung
• Zumindest dreistufige Klassifizierung von Daten (öffentlich, intern, vertraulich)
• Datenschutz- oder sonstige Compliance-Audits
• Datensicherheitsaudits (intern/extern)
• Penetration Tests
• Schwachstellenanalysen
• Source Code Audits/Code Reviews
• Vertragsmanagement
• Dokumentation und Prüfung über Hard- und Softwareänderungen (Evaluation vor und nach der Änderung)
• Unterschiedliche Zuständigkeiten für Anfrage, Genehmigung und Implementierung von Hard- und Softwareänderungen
• Mobile Device Management
• Schriftliche Dokumentation der Endgeräteverwaltung
• Schriftlich festgelegter Prozess für Datenlöschung auf Systemkomponenten, die zum Hersteller zurückgesendet werden (Defekt, Leasing-Rückgabe, etc.)
geoCapture GmbH
Rheiner Str. 3
D-48496 Hopsten
Tel. +49 5458 936668-0
Fax +49 5458 936668-28
www.geocapture.de
info@geocapture.de