Data Act Datenbereitstellungsvertrag
Vertrag über die Weitergabe von Daten auf Antrag des Nutzers an einen Datenempfänger
(„Datenbereitstellungsvertrag“)
zwischen
Vimcar GmbH
Warschauer Straße 57, 10243 Berlin
(im Folgenden: „Dateninhaber“)
und
und Ihnen
(im Folgenden: Datenempfänger“)
- nachfolgend gemeinsam „Vertragsparteien“ genannt -
Präambel
Der vorliegende Datenbereitstellungsvertrag findet zwischen den o.g. Parteien Anwendung, wenn der Dateninhaber auf Verlangen eines Nutzers dem Datenempfänger Daten bereitstellen muss. Er dient der Umsetzung der Anforderungen aus der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (im Folgenden: Data Act).
1. Vertragsgegenstand und Erklärungen
1.1 Der Vertrag wird in Bezug auf den verbundenen Dienst „Vimcar Fahrtenbuch“ geschlossen. Es gelten die Allgemeinen Geschäftsbedingungen (abrufbar unter https://www.vimcar.de/legal/agb).
1.2 Dieser Vertrag beruht auf der gemeinsamen Annahme der Parteien, dass der Dateninhaber gemäß Artikel 5 Data Act verpflichtet ist, dem Datenempfänger Daten zur Verfügung zu stellen und die Datenbereitstellung von oder im Namen von
_____________________________________________________ (im Folgenden: „Nutzer“)
[Name und Kontaktangaben des Nutzers]
entsprechend dem Datennutzungsvertrag zwischen dem Dateninhaber und dem Nutzer beantragt wurde und der Nutzer ein Nutzer im Sinne von Art. 2 Abs. 12 Data Act ist.
1.3 Der Datenempfänger erklärt, dass er mit dem anfragenden Nutzer einen Vertrag über die Verwendung der Daten geschlossen hat. Gemäß diesem Vertrag werden die Daten ausschließlich für die Zwecke gemäß dem Vertrag zwischen Datenempfänger und anforderndem Nutzer verwendet. Der Datenempfänger erklärt, dass die Daten für die Erfüllung dieser Zwecke unbedingt erforderlich sind, soweit nicht ausgeschlossen werden kann, dass die offengelegten Daten Geschäftsgeheimnisse des Dateninhabers enthalten.
1.4 Der Datenempfänger erklärt, dass er kein Unternehmen ist, das als "Gatekeeper" gemäß Artikel 3 der Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) bezeichnet wird.
1.5 Stellt eine Vertragspartei fest, dass der o.g. genannten Erklärungen nicht oder nicht mehr zutrifft oder in absehbarer Zeit nicht mehr zutreffen wird, so muss sie die andere Vertragspartei unverzüglich davon in Kenntnis setzen. Sobald eine Partei Kenntnis erlangt, muss jede Vertragspartei geeignete Maßnahmen ergreifen und die falsche oder unrichtige grundlegende Erklärung so weit wie möglich berichtigen. Je nach den Umständen kann dies die Benachrichtigung des anfragenden Nutzers oder eines betroffenen geschützten Dritten oder die vorübergehende Aussetzung der Bereitstellung der Daten durch den Dateninhaber oder der Verwendung der Daten durch den Datenempfänger umfassen, wenn die Bereitstellung der Daten oder die Verwendung der Daten unrechtmäßig ist oder geworden ist. Wenn die Situation nicht geheilt werden kann, muss der Vertrag durch eine schriftliche Kündigung unter Angabe der Kündigungsgründe durch eine der beiden Parteien beendet werden. Die Kündigung hat sofortige Wirkung. Betrifft die Unrichtigkeit nur einen Teil der unter diesen Vertrag fallenden Daten, so wird die Kündigung nur für den betreffenden Teil wirksam.
2. Datenschutzrechtliche Regelungen
2.1 Dieser Datenbereitstellungsvertrag betrifft sowohl personenbezogene als auch nicht-personenbezogene ohne Weiteres verfügbare Daten im Sinne des Data Act, die in Anhang 1 dargestellt werden.
2.2 Soweit die Daten als personenbezogene Daten einzustufen sind, erklärt jede Partei, dass sie die Verordnung (EU) 2016/679 und gegebenenfalls die Richtlinie 2002/58/EG einhält.
2.3 Insbesondere wenn der anfragende Nutzer nicht die betroffene Person ist, darf der Dateninhaber die Daten, die personenbezogene Daten sind, dem Datenempfänger nur in dem Umfang zur Verfügung stellen, der nach der Verordnung (EU) 2016/679 und gegebenenfalls der Richtlinie 2002/58/EG zulässig ist.
3. Bereitstellung der Daten
3.1 Die von diesem Vertrag erfassten Daten bestehen aus den in der Anfrage des Nutzers auf der Grundlage von Artikel 5 Data Act identifizierten, ohne weiteres verfügbaren Produktdaten oder Daten zu verbundenen Diensten im Sinne des Data Act sowie den relevanten Metadaten, die zur Interpretation und Nutzung dieser Daten erforderlich sind. Die Daten sind in Anlage 1, die Bestandteil dieses Vertrags ist, im Einzelnen aufgeführt.
3.2 Der Dateninhaber muss dem Datenempfänger die Daten mindestens in der Qualität zur Verfügung stellen, in der sie ihm zur Verfügung stehen, und zwar in jedem Fall in einem umfassenden, strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format sowie mit den einschlägigen Metadaten, die zur Interpretation und Nutzung dieser Daten erforderlich sind. Der Datenempfänger erhält die Daten einfach und sicher durch Übermittlung.
3.3 Der Dateninhaber verpflichtet sich, keine Informationen über den Zugang des Datenempfängers zu den angeforderten Daten aufzubewahren, die über das hinausgehen, was notwendig ist für die ordnungsgemäße Ausführung des Zugriffsantrags des anfragenden Nutzers und dieses Vertrags, die Sicherheit und Wartung der Dateninfrastruktur und die Einhaltung der gesetzlichen Aufbewahrungspflichten des Dateninhabers für diese Informationen.
3.4 Sind Feedback-Schleifen notwendig, weil der Datenempfänger feststellt, dass die bereitgestellten Daten, deren Datenqualität oder die Zugangsregelungen nicht vertragsgemäß sind, und den Dateninhaber mit einer detaillierten Beschreibung über den Vorfall benachrichtigt hat, müssen der Dateninhaber und der Nutzer nach Treu und Glauben zusammenarbeiten, um die Ursache des Vorfalls zu ermitteln. Wurde der Vorfall durch einen Verstoß des Dateninhabers gegen seine Verpflichtungen verursacht, muss er den Verstoß innerhalb einer angemessenen Frist beheben.
4. Geschäftsgeheimnisse
4.1 Die folgenden Klauseln gelten ausschließlich für Daten oder Metadaten, die in den vom Dateninhaber an den Datenempfänger weiterzugebenden Daten enthalten sind und die als Geschäftsgeheimnisse (gemäß der Definition in Artikel 2 (1) der Geschäftsgeheimnisrichtlinie (EU) 2016/943) geschützt sind und sich im Besitz des Dateninhabers oder eines anderen Geschäftsgeheimnisträgers (gemäß der Definition in Artikel 2 (2) der genannten Richtlinie) befinden (im Folgenden: Geschäftsgeheimnisse). Die als Geschäftsgeheimnisse geschützten Informationen sind in Anlage 2 aufgeführt, die fortlaufend aktuell gehalten wird.
4.2 Der Datenempfänger muss die in Anlage 2 aufgeführten Schutzmaßnahmen ergreifen. Der Datenempfänger verpflichtet sich, die Maßnahmen nicht zu verändern oder zu entfernen, sofern die Parteien nichts anderes vereinbaren. Der Dateninhaber kann vom Dateninhaber Nachweise wie z.B. Auditberichte dafür verlangen, dass die Maßnahmen umgesetzt und aufrechterhalten werden.
4.3 Der Dateninhaber kann auch einseitig geeignete technische und organisatorische Schutzmaßnahmen ergreifen, wenn diese den Zugang zu den Daten und deren Nutzung durch den Datenempfänger im Rahmen dieses Vertrags nicht beeinträchtigen.
4.4 Der Dateninhaber muss die Daten, einschließlich der identifizierten Geschäftsgeheimnisse, in Übereinstimmung mit diesem Vertrag an den Datenempfänger weitergeben und darf die Weitergabe identifizierter Geschäftsgeheimnisse nicht verweigern, zurückhalten oder beenden, es sei denn:
a) die Maßnahmen reichen nicht aus, um ein bestimmtes identifiziertes Geschäftsgeheimnis angemessen zu schützen. Der Dateninhaber kann dann durch eine Mitteilung an den Datenempfänger mit einer detaillierten Beschreibung der Unzulänglichkeit der Maßnahmen:
(i) seine Maßnahmen für identifizierte Geschäftsgeheimnisse in Bezug auf das betreffende identifizierte Geschäftsgeheimnis einseitig erhöhen, vorausgesetzt, diese Erhöhung ist mit seinen Verpflichtungen aus diesem Vertrag vereinbar und wirkt sich nicht nachteilig auf den Datenempfänger aus, oder
(ii) verlangen, dass zusätzliche, notwendige technische oder organisatorische Maßnahmen vereinbart werden. Kommt nach einer angemessenen Frist keine Einigung über solche Maßnahmen zustande und wird die Notwendigkeit solcher Maßnahmen ordnungsgemäß begründet, kann der Dateninhaber die Weitergabe des spezifischen identifizierten Geschäftsgeheimnisses aussetzen, indem er den Datenempfänger und die gemäß Art. 37 Data Act benannte zuständige Behörde benachrichtigt und dem Datenempfänger eine Kopie davon übermittelt.
b) der Dateninhaber kann unter außergewöhnlichen Umständen nachweisen, dass ihm durch die Offenlegung eines bestimmten identifizierten Geschäftsgeheimnisses gegenüber dem Datenempfänger mit hoher Wahrscheinlichkeit ein ernsthafter wirtschaftlicher Schaden entstehen wird. Der Dateninhaber kann die Weitergabe des betreffenden identifizierten Geschäftsgeheimnisses einstellen oder den Vertrag in Bezug auf die spezifischen identifizierten Geschäftsgeheimnisse kündigen, soweit er die gemäß Art. 37 Data Act benannte zuständige Behörde benachrichtigt und dem Datenempfänger eine Kopie davon übermittelt.
c) der Datenempfänger versäumt es, seine Maßnahmen zum Schutz identifizierter Geschäftsgeheimnisse umzusetzen und aufrechtzuerhalten, und dieses Versäumnis wird vom Dateninhaber ordnungsgemäß begründet, z. B. in einem Sicherheitsauditbericht eines unabhängigen Dritten. Der Dateninhaber ist dann berechtigt, die Weitergabe der spezifischen identifizierten Geschäftsgeheimnisse zurückzuhalten oder auszusetzen, bis der Datenempfänger das Problem gelöst hat oder den Vertrag in Bezug auf die spezifischen identifizierten Geschäftsgeheimnisse kündigen, soweit er die gemäß Art. 37 Data Act benannte zuständige Behörde benachrichtigt und dem Datenempfänger eine Kopie davon übermittelt.
4.5 Ist es dem Datenempfänger gestattet, als Geschäftsgeheimnis geschützte Daten einem Dritten zugänglich zu machen, muss er den Dateninhaber darüber informieren, dass identifizierte Geschäftsgeheimnisse einem Dritten zugänglich gemacht wurden oder werden, die betreffenden Daten spezifizieren und dem Dateninhaber die Identität und die Kontaktdaten des Dritten mitteilen.
5. Verwendung der Daten und Weitergabe an Dritte
5.1 Der Datenempfänger verpflichtet sich, die ihm im Rahmen des Vertrags zur Verfügung gestellten Daten nur für die mit dem anfragenden Nutzer vereinbarten Zwecke und unter den mit ihm vereinbarten Bedingungen zu verarbeiten. Der Datenempfänger ist verpflichtet, die Daten zu löschen, wenn sie für den vereinbarten Zweck nicht mehr erforderlich sind, es sei denn, mit dem anfragenden Nutzer wurde in Bezug auf Daten, die nicht personenbezogen sind, etwas anderes vereinbart.
5.2 Der Datenempfänger darf die Daten nicht an Dritte weitergeben, es sei denn, dies ist vertraglich mit dem anfragenden Nutzer vereinbart, mit den mit dem Dateninhaber vereinbarten Schutzmaßnahmen vereinbar und mit dem geltenden EU-Recht oder nationalen Recht vereinbar.
5.3 Der Datenempfänger darf die erhaltenen Daten auf keinen Fall einem Unternehmen zur Verfügung stellen, das gemäß Artikel 3 der Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) als Gatekeeper benannt ist.
5.4 Es ist dem Datenempfänger untersagt:
a) dem Dateninhaber zum Zwecke der Datenbeschaffung falsche Angaben zu machen, betrügerische oder zwanghafte Mittel einzusetzen oder Lücken in der technischen Infrastruktur des Dateninhabers zum Schutz der Daten zu missbrauchen; oder
(b) die vereinbarten technischen oder organisatorischen Schutzmaßnahmen nicht aufrechtzuerhalten; oder
(c) ohne die Zustimmung des Dateninhabers die vom Dateninhaber getroffenen Schutzmaßnahmen zu ändern oder zu entfernen; oder
(d) die erhaltenen Daten für unzulässige Zwecke zu verwenden; oder
(e) die Daten zu verwenden, um ein Produkt zu entwickeln, das mit dem Produkt konkurriert;
(f) die Daten zu nutzen, um Erkenntnisse über die wirtschaftliche Situation, das Vermögen und die Produktionsmethoden des Dateninhabers oder dessen Nutzung der Daten zu gewinnen;
(g) die Daten in einer Weise zu verwenden, die sich negativ auf die Sicherheit des Produkts oder eines damit verbundenen Dienstes auswirkt;
(h) abweichend von Artikel 22 Absatz 2 Buchstaben a) und c) der DSGVO Daten für die Erstellung von Profilen natürlicher Personen zu verwenden, es sei denn, dies ist erforderlich, um den vom anfragenden Nutzer angeforderten Dienst zu erbringen.
(i) die Daten unrechtmäßig an Dritte weiterzugeben.
5.5 Der Datenempfänger muss den Aufforderungen des Dateninhabers, des Inhabers des betreffenden Geschäftsgeheimnisses (wenn dieser nicht mit dem Dateninhaber identisch ist) oder des anfragenden Nutzers unverzüglich nachkommen, um
(a) den anfragenden Nutzer über die unbefugte Nutzung oder Weitergabe der Daten und die zur Beendigung dieser Nutzung getroffenen Maßnahmen zu informieren;
(b) die vom Dateninhaber im Rahmen dieses Vertrags zur Verfügung gestellten oder auf unzulässige oder missbräuchliche Weise erlangten Daten sowie alle Kopien davon zu löschen;
(c) den Dateninhaber, den anfragenden Nutzer oder geschützte Dritte für den Schaden zu entschädigen, der ihnen durch die unbefugte Nutzung oder Weitergabe entstanden ist; und
(d) die Herstellung, das Anbieten, das Inverkehrbringen oder die Verwendung von Waren, abgeleiteten Daten oder Dienstleistungen, die auf der Grundlage der durch diese Daten erlangten Kenntnisse hergestellt wurden, oder die Einfuhr, Ausfuhr oder Lagerung von rechtsverletzenden Waren zu diesen Zwecken einzustellen;
(e) alle rechtsverletzenden Waren zu vernichten, wenn die ernste Gefahr besteht, dass die unrechtmäßige Verwendung der Daten dem Inhaber der Daten, dem Inhaber des Geschäftsgeheimnisses oder dem Nutzer erheblichen Schaden zufügt - oder wenn diese Maßnahme angesichts der Interessen des Inhabers der Daten, des Inhabers des Geschäftsgeheimnisses oder des Nutzers nicht unverhältnismäßig wäre.
6. Entschädigung für die Gewährung von Datenzugang
6.1 Der Dateninhaber erhält vom Datenempfänger für die Bereitstellung von Daten eine Gegenleistung. Die Gegenleistung hängt von Umfang, Format und Art der Daten ab und orientiert sich an den Leitlinien der Europäischen Kommission.
6.2 Ist der Datenempfänger ein KMU oder eine gemeinnützige Forschungseinrichtung und hat der betreffende Datenempfänger keine Partnerunternehmen oder verbundenen Unternehmen, die nicht als KMU gelten, darf eine Gegenleistung die angefallenen Kosten für die Bereitstellung der Daten, einschließlich insbesondere der notwendigen Kosten für die Formatierung der Daten, die Verbreitung auf elektronischem Wege und die Speicherung nicht übersteigen. Es obliegt dem Datenempfänger, den Dateninhaber über seine Einstufung als KMU und den Nachweis darüber zu informieren. Der Datenempfänger unterrichtet den Dateninhaber unverzüglich über alle Änderungen, die seine Einstufung als KMU in Frage stellen. Für den Fall, dass der Datenempfänger nicht mehr als KMU eingestuft werden kann, verpflichten sich die Parteien, Verhandlungen über die Höhe einer angemessenen Entschädigung aufzunehmen.
6.3 Die Höhe der Gegenleistung wird dem Datenempfänger vor der Bereitstellung der Daten unter Berücksichtigung der Anforderungen aus Art. 9 Data Act mitgeteilt. Die Parteien bestätigen, dass sie die vereinbarte Entschädigung für nicht diskriminierend und angemessen halten.
7. Laufzeit
7.1 Dieser Vertrag wird auf unbestimmte Zeit geschlossen.
7.2 Der Dateninhaber muss mit der Bereitstellung der Daten an den Datenempfänger grundsätzlich unverzüglich nach Inkrafttreten des Vertrags beginnen, soweit die Parteien nichts Anderweitiges vereinbaren.
7.3 Der Vertrag endet
(a) mit der dauerhaften Einstellung des verbundenen Dienstes, oder wenn der verbundene Dienst anderweitig außer Betrieb gesetzt wird oder seine Fähigkeit zur Datenerzeugung unwiderruflich verliert; oder
(b) wenn beide Parteien dies vereinbaren, mit oder ohne Ersetzung dieses Vertrags durch einen neuen Vertrag.
7.4 Der Datenempfänger kann den Vertrag jederzeit während der Vertragslaufzeit mit einer Frist von (Frist einfügen) gegenüber dem Dateninhaber kündigen. Der Datenempfänger muss den anfragenden Nutzer über die Beendigung des Vertrags informieren.
7.5 Der Ablauf der Vertragslaufzeit oder die Beendigung dieses Vertrags entbindet beide Parteien von ihrer Verpflichtung, künftige Leistungen zu erbringen und zu erhalten, berührt jedoch nicht die bis zum Zeitpunkt des Ablaufs oder der Beendigung entstandenen Rechte und Verbindlichkeiten. Insbesondere die Beschränkungen der zulässigen Nutzung und Weitergabe der Daten durch den Datenempfänger, zu Geschäftsgeheimnissen und zur Vertraulichkeit gelten auch nach Beendigung des Vertrags weiter.
8. Vertraulichkeit
8.1 Die folgenden Informationen sind als vertraulich zu betrachten:
(a) Informationen, die sich auf Geschäftsgeheimnisse, die Finanzlage oder andere Aspekte der Geschäftstätigkeit der anderen Partei beziehen, es sei denn, die andere Partei hat diese Informationen öffentlich gemacht;
(b) Informationen, die die Grundlage für die Berechnung der angemessenen Entschädigung darstellen;
(c) Informationen, die sich auf den anfragenden Nutzer und jeden anderen geschützten Dritten beziehen, es sei denn, der geschützte Dritte hat diese Informationen veröffentlicht;
(d) Informationen, die sich auf die Erfüllung dieses Vertrags und etwaige Streitigkeiten oder sonstige Unregelmäßigkeiten im Zusammenhang mit der Vertragserfüllung beziehen;
(e) die Bestimmungen und Bedingungen dieses Vertrags.
8.2 Beide Parteien verpflichten sich, alle angemessenen Maßnahmen zu ergreifen, um die vertraulichen Informationen sicher aufzubewahren und vertraulich zu behandeln und diese Informationen nicht an Dritte weiterzugeben oder zugänglich zu machen, es sei denn, eine der Parteien:
(a) ein gesetzliches Recht hat oder gesetzlich verpflichtet ist, die betreffenden Informationen offenzulegen oder zur Verfügung zu stellen, z.B. um der Verpflichtung nachzukommen, Informationen zu liefern, die belegen, dass keine Diskriminierung gemäß Art. 8 (3) Data Act stattgefunden hat; oder
(b) die betreffenden Informationen offenlegen oder zur Verfügung stellen muss, um ihre Verpflichtungen aus diesem Vertrag zu erfüllen, und die andere Partei (oder die Partei, die die vertraulichen Informationen zur Verfügung stellt oder von deren Offenlegung betroffen ist) vernünftigerweise davon ausgehen kann, dass sie dies akzeptiert; oder
(c) die vorherige schriftliche Zustimmung der anderen Partei oder der Partei, die die vertraulichen Informationen zur Verfügung stellt oder von deren Offenlegung betroffen ist, eingeholt hat.
9. Schlussbestimmungen
9.1 Dieser Vertrag unterliegt deutschem Recht.
9.2 Jede Änderung dieses Vertrags ist nur gültig, wenn sie schriftlich vereinbart wurde.
9.3 Sollte sich eine Bestimmung dieses Vertrags aus irgendeinem Grund als nichtig, ungültig, anfechtbar oder nicht durchsetzbar erweisen und ist diese Bestimmung von den übrigen Vertragsbestimmungen trennbar, so bleiben die übrigen Bestimmungen davon unberührt und sind weiterhin gültig und durchsetzbar.
9.4 Dieser Vertrag wird von den Parteien vor dem Hintergrund der Rechte und Pflichten der Parteien gemäß des Data Acts geschlossen. Jede Bestimmung in diesem Vertrag ist so auszulegen, dass sie mit dem Data Act und anderen EU-Rechtsvorschriften oder nationalen Rechtsvorschriften, die in Übereinstimmung mit dem EU-Recht erlassen wurden, sowie mit allen anwendbaren nationalen Rechtsvorschriften, die mit dem EU-Recht vereinbar sind und von denen nicht einvernehmlich abgewichen werden kann, im Einklang steht.
9.5 Die Vertragsparteien verpflichten sich, sich nach besten Kräften um eine gütliche Beilegung von Streitigkeiten zu bemühen und, bevor sie ein Gericht anrufen.
Anlage 1 (Einzelheiten zu den Daten, die Gegenstand des Vertrages sind und zu den Zugangsregelungen)
1. Spezifizierung der Datenpunkte
Arten von Produktdaten:
- Fahrzeug- und Gerätekennungen (z. B. Fahrgestellnummer, Kennzeichen, Geräte- oder Hardware-Seriennummern)
- Technische Fahrzeuginformationen (z. B. Kilometerstand, Zustands- und Betriebsdaten
- Standort- und Bewegungsdaten (z. B. aktuelle Position, Start- und Zielkoordinaten, Routenverlauf, Fahrdistanz)
- Zeit- und Datumsinformationen zu Fahrten (z. B. Start- und Endzeitpunkte von Fahrten)
2. Dauer der Aufbewahrung
Die Aufbewahrungsdauer richtet sich nach den jeweiligen Verarbeitungszwecken und gesetzlichen Vorgaben:
- Für Vertrags- und Nutzungsdaten grundsätzlich für die Dauer des Vertragsverhältnisses,
- für abrechnungs- und steuerrelevante Daten bis zu 10 Jahre gemäß § 147 AO.
Nach Ablauf dieser Fristen oder bei Vertragsbeendigung werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungsgründe entgegenstehen.
3. Struktur und Format der Daten
Die Daten werden in einer Cloud-Datenbank in maschinenlesbaren Standardformaten (.json) gespeichert und verschlüsselt vorgehalten.
4. Zugangspolitik
Das elektronische Fahrtenbuch sowie die damit verbundenen Dienste werden ausschließlich dem vertraglich vereinbarten Nutzer zur Verfügung gestellt.
Eine Weitergabe der Zugriffsrechte oder Nutzung durch Dritte ist nur unter den vertraglich vorgesehenen Bedingungen und unter Einhaltung der gesetzlichen Vorgaben zulässig.
Aufgrund der Sensibilität und Menge der verarbeiteten personenbezogenen Daten (z. B. Standort- und Bewegungsdaten, Fahrtenlisten, Finanz- und Vertragsdaten) ist eine Nutzung durch nachfolgende Nutzer oder gemeinsam mit Dritten ohne ausdrückliche vertragliche Grundlage ausgeschlossen.
Sofern eine Übertragung oder gemeinsame Nutzung ausnahmsweise vorgesehen wird, gelten die vertraglichen Regelungen, insbesondere:
- Der ursprüngliche Nutzer ist verpflichtet, personenbezogene Daten, die nicht an den Nachfolger übergehen dürfen, vor einer Weitergabe zu löschen.
- Eine Drittnutzung oder gemeinsame Nutzung darf nur erfolgen, soweit sie rechtlich zulässig ist und durch die Vertragsparteien ausdrücklich vereinbart wurde.
Anlage 2 (Geschäftsgeheimnisse)
1. Inhaber identifizierter Geschäftsgeheimnisse
Inhaber der Geschäftsgeheimnisse ist die Vimcar GmbH, Warschauer Str. 57, 10243 Berlin, Deutschland
2. Identifizierte Geschäftsgeheimnisse
Die Parteien erkennen an, dass bestimmte Informationen im Zusammenhang mit der Bereitstellung des elektronischen Fahrtenbuchs Geschäftsgeheimnisse im Sinne der einschlägigen gesetzlichen Bestimmungen darstellen. Dazu gehören insbesondere die interne Datenstruktur sowie die Architektur und Organisation der zugrunde liegenden Datenbanken und Systeme, einschließlich der spezifischen Relationen, Identifikatoren und Verarbeitungslogiken, welche nicht allgemein bekannt oder ohne Weiteres zugänglich sind, die einen wirtschaftlichen Wert haben und die durch angemessene technische und organisatorische Maßnahmen geheim gehalten werden
3. Sicherheit
Vimcar schützt seine Geschäftsgeheimnisse sowie Kunden- und Systemdaten durch ein umfassendes Sicherheitskonzept. Dieses umfasst die Verschlüsselung von Daten bei Speicherung und Übertragung, den Einsatz von Multi-Faktor-Authentifizierung und rollenbasierten Zugriffskontrollen, die Absicherung der Infrastruktur durch Firewalls, DDoS-Schutz und kontinuierliches Monitoring, regelmäßige Penetrationstests sowie ein etabliertes Incident-Response- und Disaster-Recovery-Management. Alle Mitarbeiter unterliegen strikten Vertraulichkeitsverpflichtungen und Sicherheitsrichtlinien, ergänzt durch Schulungen und technische Maßnahmen zur Sicherung der Integrität, Verfügbarkeit und Vertraulichkeit der Daten.
Eine genaue Auflistung der ergriffenen technischen und organisatorischen Maßnahmen können der Vereinbarung zur Auftragsverarbeitung unter www.vimcar.com/legal/avv entnommen werden.
4. Übertragungs-/Zugriffsmedium
Die Übermittlung von Daten über die im Rahmen des Produkts angebotenen Funktionen hinaus findet ausschließlich über verschlüsselte Datenexporte statt.
5. Sichere Nutzung
Die identifizierten Geschäftsgeheimnisse dürfen nur im Rahmen der vorgesehenen, sicheren Nutzung des Vimcar Fahrtenbuchs verwendet werden. Dies umfasst insbesondere:
- Zugriff ausschließlich über die bereitgestellten, verschlüsselten Verbindungen (TLS) und offiziellen Portale oder Schnittstellen;
- Verwendung persönlicher, geschützter Benutzerkonten mit Mehrfaktor-Authentifizierung;
- Offenlegung von Daten nur gegenüber autorisierten Nutzer:innen und nicht gegenüber Dritten;
- Unterlassen jeglicher Manipulation, Vervielfältigung, unautorisierter Weitergabe oder missbräuchlicher Nutzung der zugänglichen Informationen.
6. Technische und organisatorische Maßnahmen
Eine genaue Auflistung der ergriffenen technischen und organisatorischen Maßnahmen können der Vereinbarung zur Auftragsverarbeitung unter www.vimcar.com/legal/avv entnommen werden.
7. Rechenschaftspflicht
Der Nutzer verpflichtet sich, die ihm zugänglich gemachten Daten und Geschäftsgeheimnisse ausschließlich im Rahmen der vertraglich vorgesehenen Zwecke zu verwenden und angemessen zu schützen. Hierzu zählen insbesondere Maßnahmen wie die Verwendung sicherer Zugangsdaten, die Einhaltung der zugewiesenen Rollen- und Berechtigungen, die vertrauliche Behandlung von Exporten sowie die Unterlassung unbefugter Weitergabe. Der Nutzer hat auf Anfrage nachzuweisen, dass diese grundlegenden Schutzmaßnahmen eingehalten wurden.