1. Diese Grundsätze für die Verarbeitung personenbezogener Daten gelten für:
„LINK” Spółka z ograniczoną odpowiedzialnością mit Sitz in Wiązowna, ul. Nadrzeczna 17, 05-462 Wiązowna, ins Handelsregister beim Amtsgericht der Hauptstadt Warschau, XIV Wirtschaftsabteilung unter KRS-Nummer: 0000140604, Steuernummer: 5210086737, Firmenidentifikationsnummer (REGON): 008055532 eingetragen (nachfolgend LINK genannt),
In Anbetracht der Tatsache, dass:
1) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ab dem 25. Mai 2018 in Kraft trat.
2) LINK aufgrund seiner Transport- und Speditionstätigkeit an der Verarbeitung der personenbezogenen Daten als Verantwortlicher bei der Übertragung personenbezogener Daten an Frachtführer und Auftraggeber sowie Auftragsverarbeiter im Namen des Verantwortlichen beteiligt ist, der gegebenenfalls ein anderer Frachtführer oder Auftraggeber sein kann.
3) LINK die Regeln für die jeweilige Verarbeitung personenbezogener Daten festlegt, die bei Abschluss und Abwicklung des Frachtvertrages im Namen des Verantwortlichen durch den Auftragsverarbeiter gemäß DSGVO und anderen geltenden gesetzlichen Bestimmungen anzuwenden sind,
2. Begriffsbestimmunge
| 2.1. „Personenbezogene Daten” | bezeichnen Angaben einer identifizierten bzw. identifizierbaren natürlichen Person. |
| 2.2. „Verarbeitung” | bezeichnet einen Vorgang oder Vorgänge, die in Bezug auf personenbezogene Daten oder personenbezogene Datensätze automatisiert bzw. nicht automatisiert ausgeführt werden, z.B. das Erheben, Erfassen, Verwalten, Ordnen, die Speicherung, Anpassung oder Veränderung, das Auslesen, Abfragen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, der Anpassung oder die Verknüpfung sowie das Löschen oder Vernichten der Daten und andere Formen der Verarbeitung im Sinne der DSGVO. |
| 2.3. „Kunde LINK” | bezeichnet ein Rechtssubjekt, das durch LINK mit der Ausführung oder Organisation der Güterbeförderung beauftragt wird. |
| 2.4. „Auftragnehmer LINK” | bezeichnet ein Rechtssubjekt, das durch LINK mit der Güterbeförderung beauftragt wird, wobei diese Güterbeförderung vorher dem Unternehmen LINK durch Kunden LINK in Auftrag gegeben wurde. |
| 2.5. „Verantwortlicher” | bezeichnet eine natürliche oder juristische Person, die eigenständig oder gemeinsam mit anderen Personen Ziele und Verfahren der Verarbeitung personenbezogener Daten festlegt; in Rahmen dieser Grundsätze gilt als „Verantwortlicher“: 2.5.1. LINK – insofern personenbezogene Daten der Mitarbeiter und Mitarbeiterinnen, inkl. Fahrer, betroffen sind, die einen Vornamen, Namen, Stelle, Geschäftstelefonnummer, Personalausweisnummer, E-Mail und andere Kontaktdaten darstellen, deren Verarbeitung an den Kunden LINK oder Auftragnehmer LINK übertragen wird. Das betrifft auch personenbezogenen Daten des Kunden LINK, die einen Namen, Vornamen, Adressen, Kontaktnummer, Steuernummer darstellen, deren Verarbeitung durch LINK an Auftragnehmer übertragen wird; 2.5.2. Kunde LINK – insofern personenbezogene Daten der Mitarbeiter und Mitarbeiterinnen, inkl. Fahrer, betroffen sind, die einen Vornamen, Namen, Stelle, Geschäftstelefonnummer, Personalausweisnummer, E-Mail und andere Kontaktdaten darstellen, deren Verarbeitung durch LINK an den Kunden LINK oder Auftragnehmer LINK übertragen wird. Das betrifft auch personenbezogenen Daten wie Namen, Vornamen, Adressen, Kontaktnummer, Steuernummer von Auftraggeber, Sender, Empfänger und anderen Transportbeteiligten, deren Verarbeitung durch LINK an andere Stelle weiter übertragen wird; 2.5.3. Auftragnehmer LINK – insofern personenbezogene Daten seiner Mitarbeiter und Mitarbeiterinnen, inkl. Fahrer, betroffen sind, die einen Namen, Vornamen, Stelle, Geschäftsnummer, E-Mail, Personalausweisnummer und andere Kontaktdaten darstellen, deren Verarbeitung durch LINK weiter übertragen wird. |
| 2.6. „Auftragsverarbeiter” | bezeichnet eine natürliche oder juristische Person, öffentliche Behörde oder eine andere Stelle, die die Daten im Namen des Verantwortlichen verarbeitet; in Rahmen dieser Grundsätze gilt als „Auftragsverarbeiter“: 2.6.1. LINK – insofern die personenbezogenen Daten der Mitarbeiter und Mitarbeiterinnen des Kunden LINK oder Subunternehmers LINK und personenbezogenen Daten des Auftraggebers, Senders, Empfängers und anderer Transportbeteiligten betroffen sind, deren Verarbeitung an LINK durch Kunden LINK übertragen wurde; 2.6.2. Kunde LINK – insofern personenbezogenen Daten der Mitarbeiter und Mitarbeiterinnen LINK, inkl. Fahrer, betroffen sind; 2.6.3. Auftragnehmer LINK – insofern personenbezogenen Daten der Mitarbeiter und Mitarbeiterinnen LINK betroffen sind. |
| 2.7. „Unterverarbeiter” | bezeichnet eine natürliche oder juristische Person, öffentliche Behörde, Einrichtung oder eine andere Stelle, die die Daten im Namen des Verantwortlichen verarbeitet; in Rahmen dieser Grundsätze gilt als „Unterverarbeiter“: 2.7.1. LINK – insofern personenbezogene Daten der Mitarbeiter und Mitarbeiterinnen (inkl. Fahrer) betroffen sind, die durch Auftragnehmer LINK mit dem Warentransport beauftragt wurden (aufgrund des Frachtvertrages). Das betrifft auch personenbezogenen Daten des Auftraggebers, Senders, Empfängers und anderer Transportbeteiligten, wenn der Kunde LINK der Auftragsverarbeiter ist und die Datenverarbeiterung an LINK weiterleitet; 2.7.2. Kunde LINK – insofern personenbezogenen Daten der Mitarbeiter und Mitarbeiterinnen des Auftragnehmers LINK (inkl. Fahrer) und evtl. weiterer Auftragnehmer betroffen sind; 2.7.3. Auftragnehmer LINK – insofern personenbezogenen Daten des Kunden LINK, Auftraggebers, Senders, Empfängers und anderer Transportteilnehmer betroffen sind. |
| 2.8. „DSGVO” | bezeichnet die Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). |
| 2.9. „Grundsätze” | bezeichnet diese Datenschutzbedingungen von LINK Sp. z o.o. mit Sitz in Wiązowna. |
| 2.10. „Frachtvertrag” | bezeichnet den Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter, aufgrund dessen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. |
3. Gegenstand des Vertrages
3.1. Mit dem Abschluss des Frachtvertrages überträgt der Verantwortliche als Berechtigter zur Verarbeitung personenbezogener Daten nach Ziffer 2.5. die Verarbeitung personenbezogener Daten auf den Auftragsverarbeiter gemäß Art. 28 DSGVO unter Einhaltung der Vertragsbestimmungen und der schriftlichen Anweisungen des Verantwortlichen.
3.2. Der Auftragsverarbeiter ist verpflichtet, die auf ihn übertragenen personenbezogenen Daten unter Einhaltung dieser Grundsätze, Frachtvertrages, Bestimmungen der DSGVO und anderer geltenden gesetzlichen Vorschriften zu verarbeiten.
3.3. Sollte eine der Bestimmungen dieser Grundsätze, der Verträge oder unter Ziffer 3.1 angegebenen Anweisungen gegen die Regelungen der DSGVO oder andere geltende gesetzliche Vorschriften verstoßen, hat der Auftragsverarbeiter den Verantwortlichen darüber zu informieren. In diesem Fall nehmen die Parteien unverzüglich eine rechtliche Analyse vor und verhandeln die Bestimmungen bzw. Anweisungen nach, die mit der DSGVO oder anderen geltenden gesetzlichen Bestimmungen nicht übereinstimmen.
3.4. Um Zweifel zu vermeiden, dem Auftragsverarbeiter steht keine zusätzliche Vergütung bzw. Anspruch auf Vergütungserhöhung für den Einsatz dieser Regeln neben der Vergütung nach dem Vertrag zu
3.5. Bei der ordnungsgemäßen Erfüllung seiner Pflichten des Auftragsverarbeiters aus dem Frachtvertrag und nach diesen Grundsätzen kann es erforderlich sein, die Verarbeitung personenbezogener Daten anderweitig in dem Umfang, der den Anwendungsbereich dieser Grundsätze nicht überschreitet, zu übertragen. Die Zustimmung für Weitervergabe der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gilt nicht für Übertragung in Drittländer im Sinne der DSGVO. In einem solchen Fall ist die schriftliche oder elektronische Genehmigung von dem Verantwortlichen erforderlich.
3.6. Die Weitervergabe der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter muss dem Verantwortlichen gemeldet werden und ist nur mit seiner schriftlichen Genehmigung zulässig. Dabei ist durch den Auftragsverarbeiter eine Erklärung vorzulegen, in der es gewährleistet wird, dass die Weitervergabe der Verarbeitung personenbezogener Daten den Anforderungen aus den Grundsätzen (einschließlich der Mindestanforderungen, die im Anhang zu den Grundsätzen für Verarbeitung personenbezogener Daten aufgeführt sind), Frachtvertrag, DSGVO und anderen geltenden gesetzlichen Vorschriften entspricht, wobei diese Zusicherung auch im Vertrag zur Weitervergabe personenbezogener Daten enthalten sein muss. Berechtigungen zur Verarbeitung personenbezogener Daten, die an den anderen Auftragsverarbeiter übertragen werden, dürfen nicht über die Rechte hinausgehen, die in den Grundsätzen und Frachtvertrag geregelt wurden. Es ist nicht zulässig, personenbezogene Daten, die durch den Verantwortlichen dem Auftragsverarbeiter übermittelt wurden, den Personen zugänglich zu machen, mit denen kein Vertrag zur Auftragsdatenverarbeitung oder ein anderes Rechtsinstrument abgeschlossen wurde, aufgrund dessen eine datenschutzrechtliche Pflicht auferlegt wird. Ausgenommen davon sind die Datenverarbeiter, die über eine Genehmigung des Verantwortlichen oder Auftragsverarbeiters verfügen.
3.7. Bedarf der Frachtvertrag ausdrücklich der Genehmigung von dem Verantwortlichen, den Auftragnehmer zur Verarbeitung personenbezogener Daten zu berechtigen, gilt diese Genehmigung als ein Erlaubnis für die Weitervergabe der personenbezogenen Daten und keine Genehmigung als kein Erlaubnis für die Weitervergabe der personenbezogenen Daten.
3.8. Die Genehmigung aus der vorstehenden Ziffer 3.5 schließt nicht die Möglichkeit aus, dass ein Einspruch gegen Weitervergabe der personenbezogenen Daten innerhalb von 24 (vierundzwanzig) Stunden durch den Verantwortlichen eingelegt werden kann. Keine Reaktion seitens des Verantwortlichen binnen der in dem vorhergehenden Satz genannten Frist ist als kein Einspruch zu verstehen, es sei denn, im Frachtvertrag wurde ausdrücklich festgelegt, dass für die Weitervergabe der Verarbeitung personenbezogener Daten eine Genehmigung von dem Verantwortlichen erforderlich sei, damit die Vertragserfüllung über einen Auftragnehmer abgewickelt werden kann.
4. Dauer der Speicherung
4.1. Der Auftragsverarbeiter ist zur Verarbeitung der übertragenen personenbezogenen Daten für die Zeitdauer berechtigt, die zur Vertragserfüllung und Verjährung der Ansprüche aus dem Frachtvertrag erforderlich ist.
4.2. Der Auftragsverarbeiter verpflichtet sich in Abhängigkeit von der Entscheidung des Verantwortlichen, binnen von 14 (vierzehn) Tagen nach Ablauf der Verarbeitungsdauer Folgendes zu tun:
4.2.1. alle übermittelten personenbezogenen Daten zu anonymisieren oder deren Kopien zu löschen; oder
4.2.2. alle übermittelten personenbezogenen Daten an den Verantwortlichen zurückzugeben oder deren Kopien zu löschen, es sei denn, personenbezogenen Daten müssen nach einschlägigen Rechtsvorschriften durch den Auftragsverarbeiter aufbewahrt werden.
5. Pflichte der Parteien
5.1. Zu den personenbezogenen Daten können nur die Mitarbeiter des Auftragsverarbeiters Zugang haben, die über entsprechende Berechtigungen verfügen und vorher eine Erklärung vorgelegt haben, die Daten geheim zu halten und sicher aufzubewahren.
5.2. Der Auftragsverarbeiter ist verpflichtet, durch Einführung der angemessenen technischen sowie organisatorischen Maßnahmen die sichere Verarbeitung personenbezogener Daten zu gewährleisten, die der Art der übermittelten Daten und dem Risiko einer Rechtverletzung entsprechen. Der Auftragsverarbeiter erklärt, dass ihm die Regeln für die Verarbeitung und Schutz personenbezogener Daten aus der DSGO und aus anderen geltenden gesetzlichen Bestimmungen bekannt sind. Zudem erklärt der Auftragsverarbeiter, über Fachwissen, Glaubwürdigkeit, Infrastruktur und notwendige technische sowie organisatorische Mittel zu verfügen, die die Übereinstimmung der Datenverarbeitung mit den Bestimmungen der DSGVO sicherstellen. Dabei erklärt er, die Sicherheitsmaßnahmen anzuwenden, die den Anforderungen der DSGVO entsprechen und die ermöglichen, Grundsätze für Verarbeitung personenbezogener Daten umzusetzen. Der Auftragsverarbeiter hat auf Verlangen des Verantwortlichen den Beweis vorzulegen, ob die Angaben nach der genannten Erklärung eingehalten sind.
5.3. Die technischen und organisatorischen Mindestmaßnahmen, die durch den Auftragsverarbeiter zum Schutz personenbezogener Daten anzuwenden sind, wurden in dem Anhang zu diesen Grundsätzen aufgeführt. Sollen diese Maßnahmen geändert bzw. aktualisiert werden, darf der Umfang des Schutzes der personenbezogenen Daten nicht geringer sein, als dies im Anhang festgelegt wurde.
5.4. Der Auftragsverarbeiter ist verpflichtet, mit dem Verantwortlichen zu kooperieren, wenn es sich um Beantwortung der Fragen von betroffenen Personen im Sinne von Kapitel 3 DSGVO handelt (Anspruch auf Information, transparente Kommunikation, Zugang zu personenbezogenen Daten, Berichtigung, Löschung, Einschränkung der Verarbeitung, Übertragbarkeit personenbezogener Daten, Einspruch gegen Verarbeitung personenbezogener Daten). Darüber hinaus ist der Auftragsverarbeiter dazu verpflichtet, den Verantwortlichen über jede solche Forderung einer betroffenen Person, die ihre Rechte aus der DSGVO ausübt, unverzüglich zu verständigen und ihm diesbezüglich alle erforderlichen Informationen zur Verfügung zu stellen.
5.5. In Hinblick auf die Besonderheiten, die mit der Verarbeitung personenbezogener Daten und den damit zusammenhängenden Informationen verbunden sind, die dem Auftragsverarbeiter zugänglich sind, ist der Auftragsverarbeiter dazu verpflichtet, den Verantwortlichen bei Erfüllung seiner Pflichten, Datenschutz und Vorgehensweise beim Datenschutzverstoß zu unterstützen. Dabei soll der Aufgtragsverarbeiter den Verantwortlichen auch bei Meldung solcher Vorfälle an zuständige Aufsichtsbehörden und betroffene Person unterstützen. Darüber hinaus soll er, falls es notwendig ist, dem Verantwortlichen bei der Datenschutz-Folgenabschätzung und bei Verhandlungen mit der zuständigen Aufsichtsbehörde gemäß Art. 32-36 DSGVO auch Unterstützung leisten.
5.6. Beim Verstoß gegen Datenschutz muss der Verantwortliche spätestens innerhalb von 24 Stunden nach der Feststellung des Verstoßes darüber informiert werden. Der Aufgtragsverarbeiter soll ihm eine möglichst aufschlussreiche Auskunft über die Art des Verstoßes, mögliche Folgen und ergriffenen bzw. geplanten Gegenmaßnahmen erteilen
6. Anweisungen des Verantwortlichen
6.1. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich nach den dokumentierten Anweisungen des Verantwortlichen. Diese Grundsätze und der Frachtvertrag bilden eine vollständig und endgültig geltende Dokumentation für Anweisungen, die die Verarbeitung personenbezogener Daten betreffen und durch den Auftragsverarbeiter zu befolgen sind.
6.2. Der Verantwortliche kann per E-Mail alle zusätzlichen Anweisungen erteilen, wobei sie nicht über den Umfang des auszuführenden Frachtvertrages und die dazu erforderlichen Tätigkeiten hinausgehen dürfen. Dem Auftragsverarbeiter steht kein Anspruch auf zusätzliche Vergütung bzw. Erhöhung der Vergütung aus dem Frachtvertrag aufgrund Erfüllung zusätzlicher Anweisungen zu.
6.3. Der Auftragsverarbeiter darf die Ausführung von Anweisungen aus der Ziffer 6.2 verweigern, wenn diese der DSGVO zuwiderlaufen. In einem solchen Fall ist der Auftragfsverarbeiter verpflichtet, spätestens binnen von 24 Stunden die Begründung für die Verweigerung vorzulegen.
7. Recht auf Überprüfung
7.1. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen alle Auskünfte zu erteilen, die die Erfüllung aller Pflichten nach diesen Grundsätzen für Verarbeitung personenbezogener Daten Frachtvertrag, DSGVO und anderen geltenden gesetzlichen Bestimmungen nachweisen können.
7.2. Der Verantwortliche ist berechtigt, die Verarbeitung der übermittelten personenbezogenen Daten durch den Auftragsverarbeiter in Hinsicht auf die Übereinstimmung mit der DSGVO, anderen geltenden gesetzlichen Bestimmungen, Grundsätzen und Frachtvertrag zu überprüfen. Zudem ist auch die Verfahrensweise bei Übermittlung der Dokumentation zum Schutz personenbezogener Daten zu überprüfen. Dabei kann er auch Stellen besichtigen, in denen die personenbezogenen Daten durch den Auftragsverarbeiter bzw. andere Datenverarbeiter verarbeitet werden. Der Auftragsverarbeiter darf verweigern, schriftliche Auskünfte vorzulegen, Zugriff auf Stellen der Verarbeitung personenbezogener Daten zu erteilen, nur im Umfang, bei dem durch die Überprüfung auch andere personenbezogenen Daten offenbart werden könnten, die durch den Auftragsverarbeiter nicht im Zusammenhang mit diesen Grundsätzen oder Frachtvertrag verarbeitet werden.
7.3. Der Auftragsverarbeiter soll mindestens 7 Tage vor die geplante Überprüfung über Datum und Umfang informiert werden. Dabei ist die Liste der Personen vorzulegen, die durch den Verantwortlichen dazu berechtigt sind. Sollte der durch den Verantwortlichen dargestellte Überprüfungsumfang bzw. Überprüfungsmaßnahmen zum Verstoß gegen Datenschutz durch den Auftragsverarbeiter führen, so bleibt ihm vorbehalten, die Durchführung der Überprüfung zu verweigern, wobei er dazu verpflichtet ist, den Verantwortlichen darüber unverzüglich in elektronischer oder schriftlicher Form zu informieren.
7.4. Dem Verantwortlichen bleibt vorbehalten, dem Auftragsverarbeiter die Empfehlungen zu Verarbeitungsmaßnahmen personenbezogener Daten und technischen bzw. organisatorischen Mitteln zum Schutz zu erteilen. Im Rahmen der Empfehlungen ist der Auftragsverarbeiter verpflichtet zu überprüfen, ob die Einführung der empfohlenen Maßnahmen in interne Regelungen möglich ist.
7.5. Der Auftragsverarbeiter verpflichtet sich, über alle Beschwerden, Unterlagen, Kontrollen der Aufsichtsbehörden, Gerichts- und Verwaltungsverfahren im Zusammenhang mit den übermittelten personenbezogenen Daten unverzüglich zu informieren und mit dem Verantwortlichen in diesem Bereich zu kooperieren, insbesondere durch Bereitstellung von einschlägiger Dokumentation.
7.6. Der Auftragsverarbeiter verpflichtet sich, alle Mängel zu beseitigen, die während der Überprüfung festgestellt werden.
8. Vertraulichkeitsbestimmungen
8.1. Der Auftragsverarbeiter verpflichtet sich zur Geheimhaltung aller Informationen, Angaben, Materialien, Unterlagen und personenbezogener Daten, die er vom Verantwortlichen sowie von anderen Quellen absichtlich oder zufällig in mündlicher, schriftlicher oder elektronischer Form erhält. Darüber hinaus verpflichtet er sich, diese vor der Offenbarung bzw. unerwünschter Verwendung zu schützen.
8.2. Die Parteien werden zum Schutz vertraulicher Informationen unabhängig von der Form deren Übermittlung und Verarbeitung unter Vorbehalt der Bestimmungen dieser Grundsätze, des Frachtvertrages, der DSGVO und anderer geltenden gesetzlichen Bestimmungen (weiter: „Vertrauliche Informationen”) verpflichtet. Dies betrifft die Informationen wie:
8.2.1. personenbezogene Daten, insbesondere sensible Daten;
8.2.2. Geschäftsgeheimnis (im Sinne des polnischen Gesetzes gegen den unlauteren Wettbewerb vom 16. April 1993);
8.2.3. schutzbedürftige Informationen über den Verantwortlichen, seine Kunden, Geschäftspartner, Lieferanten, Dienstleistungen, Preispolitik, Umsätze, Gehälter, die dem Auftragsverarbeiter beim Abschluss oder in Rahmen des Frachtvertrages übermittelt wurden und ihm bekannt waren bzw. auf die er Zugriff hatte oder im Besitz dieser Daten wegen der nicht allgemein bekannten Verhandlungen sein wird, ungeachtet dessen, ob diese Informationen schriftlich oder in irgendeiner Form bzw. auf dem Datenträger festgehalten werden.
8.3. Die Parteien versichern insbesondere Folgendes:
8.3.1. für alle durch die Vertragspartei übermittelten, zugänglich gemachten bzw. offenbarten vertraulichen Daten wird Schutz und Geheimhaltung sichergestellt, die aufgrund der geltenden gesetzlichen Bestimmungen, dieser Grundsätze und des Frachtvertrages erforderlich sind;
8.3.2. vertrauliche Informationen werden nur für den Zweck verwendet, für den sie erhoben, zugänglich gemacht oder offenbart wurden, es sei denn, eine anderweitige Verwendung aufgrund der Bestimmungen der DSGVO oder anderer geltenden gesetzlichen Bestimmungen notwendig wird;
8.3.3. die vorliegenden vertraulichen Informationen werden nicht an Dritter übermittelt bzw. zugänglich gemacht – weder direkt noch indirekt – ohne schriftliche Genehmigung der anderen Vertragspartei, es sei denn, es besteht eine Pflicht bzw. Notwendigkeit, diese Informationen wegen DSGVO oder anderer geltenden gesetzlichen Bestimmungen offenzulegen oder weiterzugeben.
8.3.4. vertrauliche Informationen werden auf eigene Kosten mit allergrößter Sorgfalt sowie unter Sicherstellung aller benötigten Infrastruktur, die eine unerlaubte Offenbarung verhindern, geschützt.
8.4. Parteien verpflichten sich, sämtliche von der anderen Partei übermittelten vertraulichen Informationen, auch teilweise nicht zu kopieren oder auf andere Weise zu vervielfältigen, es sei denn, dies für den Zweck erforderlich ist, für den die Daten genau übermittelt wurden. Alle Kopien bzw. Vervielfältigungen von vertraulichen Informationen, die auf Datenträgern einschließlich elektronischer Datenträger gespeichert werden, bleiben das Eigentum der Partei, die diese vertraulichen Informationen übermittelt hat, wobei die Daten von den Datenträgern auf Verlangen bereitgestellt, vernichtet oder dauerhaft gelöscht werden müssen.
8.5. Der Auftragsverarbeiter verpflichtet sich, von den an der Datenverarbeitung beteiligten Personen (die für die Vertragserfüllung zuständigen Unternehmen) schriftlich eine Verpflichtung zur Geheimhaltung vertraulicher Informationen zu erlangen, es sei denn, diese Personen unterliegen gesetzlicher Verpflichtung zur Geheimhaltung.
8.6. Die Parteien sind von der Geheimhaltung freigestellt, wenn die Pflicht zur Offenlegung vertraulicher Informationen auf geltende gesetzliche Bestimmungen oder rechtskräftige Entscheidung bzw. Beschluss des Gerichts oder eine zuständige Behörde zurückzuführen ist. Bei Vorhandensein einer solchen Verpflichtung muss die betroffene Partei Folgendes berücksichtigen:
8.6.1. es werden nur zum Teil von vertraulichen Informationen offenbart, die aufgrund der gesetzlichen Anforderungen offenbart werden müssen;
8.6.2. es werden alle möglichen Maßnahmen vorgenommen, um sicherzustellen, dass offenbarte Informationen vertraulich behandelt und nur für den Zweck verwendet werden, für den sie offenbart wurden.
8.7. Die Verpflichtung des Auftragsverarbeiters zur Geheimhaltung personenbezogener Daten, die aufgrund des Frachtvertrages übermittelt wurde, ist zeitlich unbegrenzt und gilt unabhängig davon, ob der Frachtvertrag erlischt oder aufgelöst wird.
9. Schlussbestimmungen
9.1. Diese Grundsätze bilden ein anderes Rechtsinstrument, aufgrund dessen der Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO zur Verarbeitung personenbezogener Daten verpflichtet ist. Der Inhalt der Grundsätze ist auf der Webseite von LINK zu lesen. Die Grundsätze für Verarbeitung personenbezogener Daten treten am 25. Mai 2018 in Kraft.
9.2. Diese Grundsätze ersetzen alle anderen Vereinbarungen, die zwischen den Parteien zur Verarbeitung personenbezogener Daten abgeschlossen wurden und sind vorrangig vor den Bestimmungen aus dem Frachtvertrag. Die Anwendung dieser Grundsätze kann nur versagt werden, wenn die Parteien schriftlich einen gesonderten Vertrag zur Weitervergabe der Verarbeitung personenbezogener Daten abschließen.
9.3. LINK ist berechtigt, die Änderungen in diesen Grundsätzen durch die Veröffentlichung der neuen Inhalt auf seiner Webseite vorzunehmen. Der neue Inhalt dieser Grundsätze gilt in Bezug auf die Weitervergabe personenbezogener Daten für jeden Frachtvertrag, der nach den Änderungen in den Datenschutzbedingungen abgeschlossen wird.
9.4. Alle Mitteilungen und Erklärungen für LINK, die auf der Grundlage oder im Zusammenhang mit diesen Grundsätzen verfasst werden, sind in elektronischer Form an die folgende E-Mail zu senden: daneosobowe@linktransport.eu.
9.5. Für die Streitigkeiten aus diesen Grundsätzen oder für die mit diesen Grundsätzen zusammenhängenden Streitigkeiten ist der zuständige Gerichtsstand am Sitz der Firma LINK.
ANHANG
ZU DEN GRUNDSÄTZEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
AUFLISTUNG VON ORGANISATORISCHEN UND TECHNISCHEN MINDESTMASSNAHMEN DES AUFTRAGSVERARBEITERS
1. In diesem Anhang wird ein Mindestmaß an organisatorischen und technischen Maßnahmen festgelegt, die durch den Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten sichergestellt werden müssen.
2. Der Auftragsverarbeiter ist verpflichtet, die Bestimmungen aus der Dokumentation und daraus ergebende Prozesse umzusetzen, die für den Schutz personenbezogener Daten gemäß der DSGVO notwendig sind, insbesondere:
2.1. eigene Dokumentation zum Schutz personenbezogener Daten unter Berücksichtigung der Ausrichtung, Umfang, Kontext und Ziele der Verarbeitung personenbezogener Daten sowie des Risikos der Recht- oder Freiheitsverletzung natürlicher Personen;
2.2. Liste der Verarbeitungen und Liste der Kategorien von Verarbeitungen, insoweit die Bestimmungen der DSGVO dies erfordern;
2.3. Erstellung des Verfahrens, nach dem den betroffenen Personen das Recht auf den Zugang zu Daten sichergestellt wird;
2.4. Festlegung der Vorgehensweise beim Datenschutzverstoß;
2.5. Festlegung der Vorgehensweise für Einschränkung der Verarbeitung personenbezogener Daten und Löschung überflüssiger Daten im Zusammenhang mit dem „Recht auf Vergessenwerden“ bei Fällen, die in der DSGVO aufgeführt wurden.
3. Auflistung der organisatorischen Maßnahmen:
3.1. Räume, in denen personenbezogene Daten verarbeitet werden, die dem Auftragsverarbeiter durch den Verantwortlichen übermittelt wurden, sollen ausschließlich dem Auftragsverarbeiter zur Verfügung stehen.
3.2. Verarbeitung personenbezogener Daten soll im Raum mit abschließbarer Tür erfolgen, damit unbefugte Personen keinen Zutritt dazu haben.
3.3. Der Auftragsverarbeiter übt die Aufsicht über die Schlüssel für die Räume aus, in denen Verarbeitung personenbezogener Daten stattfindet, die dem Auftragsverarbeiter durch den Verantwortlichen übermittelt wurden und hat sicherzustellen, dass unbefugte Personen keinen Zugriff auf diese Schlüssel haben.
3.4. Alle Papierunterlagen mit personenbezogenen Daten, die dem Auftragsverarbeiter durch den Verantwortlichen übermittelt wurden, werden in den abschließbaren Schränken aufbewahrt, wobei die berechtigten Personen über Zugriff auf diese Schränke verfügen sollen.
3.5. Nur die Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, können den Zugriff auf die personenbezogenen Daten haben, die dem Auftragsverwalter durch den Verantwortlichen übermittelt wurden.
3.6. Insofern möglich, soll die Stelle, in der betroffene personenbezogene Daten verarbeitet werden, durch Alarmsystem, Videoüberwachungsanlage, Beaufschtigung oder Security gesichert werden.
3.7. Verarbeitung personenbezogener Daten, die dem Auftragsverarbeiter übermittelt wurden, soll im Prinzip ausschließlich in der dafür bestimmten Verarbeitungsstelle stattfinden. Wenn die Datenverarbeitung außerhalb der Verarbeitungsstelle stattfinden muss, hat der Auftragsverarbeiter für die Vertraulichkeit der verarbeiteten Daten zu sorgen, insbesondere durch die Zugriffseinschränkung auf die Daten, die vor unbefugten Personen schützt.
4. Auflistung der technischen Maßnahmen:
4.1. Jeder Datenträger wird unabhängig davon geschützt, ob es ein Original oder Kopie, Notiz, handschriftlicher Aufzeichnung oder Ausdruck eines elektronischen Dokumentes ist.
4.2. Die Papierform gilt ausschließlich für die Verarbeitung von originalen Dokumenten, die personenbezogenen Daten enthalten. Es ist verboten, die Dokumente zu kopieren oder auszudrucken, wenn zur Auftragserfüllung keine Papierform notwendig ist.
4.3. Wurde ein Dokument, Notiz oder Aufzeichnung mit personenbezogenen Daten für Arbeitszwecke kopiert, hat der Auftragsverarbeiter den betroffenen Datenträger vor unbefugten Personen zu schützen, indem der Datenträger insbesondere im abschließbaren Schrank zu halten ist. Zudem ist der Datenträger unverzüglich dauerhaft zu vernichten, sodass er niemals abgelesen bzw. wiederhergestellt werden kann, wenn es nicht mehr erforderlich ist, das Dokument, die Notiz oder Aufzeichnung aufzubewahren.
4.4. Der Papierdatenträger wird ausschließlich mittels des Aktenvernichters oder auf eine andere Weise vernichtet, sodass die Daten nicht mehr abgelesen oder wiederhergestellt werden können.
4.5. Es ist verboten, die Kopien bzw. Scans von Dokumenten mit betroffenen personenbezogenen Daten auf Festplatten lokaler Rechner oder auf physischen bzw. virtuellen Servern zu speichern, ausgenommen von elektronischer Speicherung, die ausschließlich zum Zweck der Grundsätze, des Frachtvertrages, der Präsentation oder der Weitergabe an den berechtigten Empfänger eingesetzt werden darf.
4.6. Soll eine elektronische Kopie des Dokuments mit personenbezogenen Daten zwecks Umsetzung dieser Grundsätze zum Datenschutz oder des Frachtvertrages erstellt werden, ist sie nach der Umsetzung des begründeten Zieles unverzüglich zu löschen.
4.7. Die Speicherung der betroffenen personenbezogenen Daten auf den mobilen elektronischen Datenträgern, wie z.B. USB-Sticks bzw. externe Speicher ist unter folgenden Voraussetzungen zulässig:
4.7.1. personenbezogene Daten dürfen nur kurzfristig auf dem mobilen Datenträger gespeichert werden. Dabei dürfen sie ausschließlich zu Präsentationszwecken oder zur Weitergabe an den berichtigten Empfänger verwendet werden. Bei fehlender technischer Alternative können sie zur Erstellung der Sicherungskopien von Unterlagen mit personenbezogenen Daten eingesetzt werden;
4.7.2. der Datenträger soll nur dem Auftragsverarbeiter zur Verfügung stehen und darf ausschließlich für Geschäftszwecke verwendet werden;
4.7.3. Datenträger, die für die Speicherung personenbezogener Daten verwendet werden, die dem Auftragsverarbeiter durch den Verantwortlichen übermittelt wurden, müssen kryptografisch gesichert sein bzw. Dateien mit den personenbezogenen Daten müssen passwortgeschützt sein;
4.7.4. Datenträger, die für Speicherung personenbezogener Daten verwendet werden, die dem Auftragsverarbeiter durch den Verantwortlichen übermittelt werden, müssen durch den Auftragsverarbeiter in einem Datenträgerverzeichnis dokumentiert werden;
4.7.5. Wird der Datenträger mit den betroffenen personenbezogenen Daten nicht mehr verwendet, muss er physisch zerstört werden oder durch Einsatz eines professionellen Geräts einer dauerhaften Datenlöschung unterzogen werden, die die Wiederherstellung der Daten, auch teilweise unmöglich machen;
4.7.6. Wurde der Datenträger zerstört bzw. die betroffenen personenbezogenen Daten dauerhaft gelöscht, ist dies durch den Auftragsverarbeiter zu protokollieren und im Datenträgerverzeichnis einzutragen.
4.8. Der Auftragsverarbeiter ist verpflichtet, das Kommunikationsnetz zu benutzen, das mit den betroffenen personenbezogenen Daten verbunden ist und die Sicherheit der Daten bietet.
4.9. Der Dienstcomputer muss vor unerwünschten Programmen geschützt werden, die einen unerlaubten Netzwerkzugriff erlangen wollen und durch physikalische oder logische Sicherung Schutz vor Gefahren bietet, die aus dem öffentlichen Netzwerk ausgehen, wodurch ein unerlaubter Zugriff auf die Daten verwehrt wird. Es handelt sich insbesondere um Firewall-Sicherungssystem, Authentifizierung mit dem Nutzernamen, Passwort und aktuelles Antivirenprogramm.
4.10. Benutzt der Auftragsverarbeiter das E-Mail-Konto, soll er die Anti-Spam-Werkzeuge verwenden und keine fremde bzw. suspekte E-Mails öffnen, da sie Schadprogramme wie Viren oder Malware enthalten können. Bei Einloggen in das E-Mail-Konto und andere IT-Systeme, in denen betroffenen personenbezogenen Daten verarbeitet werden, darf nur eigene, private/ geschäftliche Internetverbindung verwendet werden. Es ist verboten, sich über eine fremde oder öffentliche Internetverbindung wie WiFi bzw. HotSpot einzuloggen. Personenbezogene Daten können außerhalb der Verarbeitungsstelle nur dann elektronisch verarbeitet werden, wenn sie durch die Anwendung von Verschlüsselungsinstrumenten verschlüsselt werden.
4.11. Bei Passwörtern von Workstations, IT-Systemen und E-Mail-Konten, die durch den Auftragsverarbeiter zur Verarbeitung personenbezogener Daten verwendet werden, die ihm durch den Verantwortlichen übermittelt wurden, ist Folgendes zu beachten:
4.11.1. Passwort soll mindestens 8 Zeichen enthalten, inkl. Klein- und Großbuchstaben, Ziffer bzw. Sonderzeichen;
4.11.2. Passwort soll mindestens alle 6 Monate geändert werden;
4.11.3. Passwort darf keine vollständige Ausdrücke bzw. Zeichen- und Ziffernfolge, die eine Bezeichnung darstellen oder leicht zu erraten sind.
4.11.4. Passwort soll nur der Person bekannt sein, die über das Login verfügt, mit dem der Nutzer in Verbindung mit dem Passwort durch das System und den Systemadministrator authentifiziert werden kann
4.12. Passwort darf nicht den anderen Personen bekannt gegeben oder in leicht zugänglichen Stellen aufbewahrt werden. Das zu erstellende Passwort darf nicht einer anderen Person bekannt sein bzw. leicht zu erraten sein. Das Passwort darf auch nicht über andere Personen unter Verwendung anderer Maßnahmen erkannt werden.
4.13. Werden personenbezogene Daten, die dem Auftragsverarbeiter durch den Verantwortlichen übermittelt wurden, außerhalb der Verarbeitungsstelle unter Verwendung von Telekommunikationsverbindungen verarbeitet, soll ausschließlich eigene Internetverbindung (Modem oder Internetzugang über eigenes Handys) verwendet werden. Es ist verboten, öffentliche Internetverbindungen zu verwenden (z.B. Freies Wi-Fi im Café bzw. Einkaufszentrum usw.), um sich an die Informationsressourcen anzuschließen, in denen betroffene personenbezogene Daten verarbeitet werden.