Unresolved legal placeholders

This document still contains unconfigured legal details. These values require operational and legal review before production go-live.

Show 3 unresolved placeholders
  • [UNTERNEHMENSNAME]
  • [RECHTSFORM]
  • [ANSCHRIFT]

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

1. Parteien

Auftraggeber:
Der jeweilige Kunde von FalcGo

Auftragnehmer:
[UNTERNEHMENSNAME]
[RECHTSFORM]
[ANSCHRIFT]

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung, Wartung, Sicherung und Unterstützung der SaaS-Plattform FalcGo einschließlich Web-App, mobiler App, APIs, MQTT-Kommunikation, Datenbank, Hosting, Support, Fehleranalyse und Zahlungs-/Vertragsverwaltung.

Die Dauer der Verarbeitung richtet sich nach der Dauer des Vertragsverhältnisses sowie den vereinbarten Lösch-, Export- und Aufbewahrungsregelungen.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt insbesondere durch:

  • Speichern
  • Erfassen
  • Strukturieren
  • Anzeigen
  • Übermitteln
  • Bereitstellen
  • Löschen
  • Sichern
  • Wiederherstellen
  • Protokollieren
  • technische Analyse

Zwecke sind insbesondere:

  • Auftrags- und Lieferverwaltung
  • Fahrerkoordination
  • Zustellnachweise
  • Live-Tracking
  • Partnerweitergabe
  • Nutzer- und Rechteverwaltung
  • Support
  • Sicherheit
  • Fehleranalyse
  • Backup und Wiederherstellung

4. Kategorien betroffener Personen

Es können insbesondere Daten folgender Personen verarbeitet werden:

  • Nutzer des Kunden
  • Owner
  • Agents
  • Fahrer
  • Mitarbeiter des Kunden
  • Auftraggeber des Kunden
  • Empfänger von Lieferungen
  • Kunden des Kunden
  • Ansprechpartner bei Partner- und Subunternehmen
  • Supportkontakte

5. Kategorien personenbezogener Daten

Verarbeitet werden können insbesondere:

  • Stammdaten
  • Kontaktdaten
  • Login- und Nutzerdaten
  • Rollen und Berechtigungen
  • Fahrer- und Fahrzeugdaten
  • Auftrags- und Lieferdaten
  • Empfängerinformationen
  • Standort- und GPS-Daten
  • Zustellnachweise, Fotos und Unterschriften
  • Kommunikationsdaten
  • technische Logdaten
  • Geräteinformationen
  • Supportdaten

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Pflicht zur Verarbeitung besteht.

Die Weisungen ergeben sich aus dem Hauptvertrag, diesen AGB, diesem AVV, den Systemeinstellungen und den vom Auftraggeber durch Nutzung der Plattform vorgenommenen Handlungen.

7. Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich für:

  1. die Rechtmäßigkeit der Verarbeitung;
  2. die Auswahl der eingegebenen Daten;
  3. die Information betroffener Personen;
  4. die Rechtsgrundlage für Fahrertracking und Beschäftigtendaten;
  5. die Rechtmäßigkeit der Partnerweitergabe;
  6. die Prüfung, ob FalcGo für den jeweiligen Verarbeitungszweck geeignet ist;
  7. die Erfüllung eigener Auskunfts-, Lösch- und Dokumentationspflichten.

8. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  1. personenbezogene Daten nur im Rahmen des Vertrags und dokumentierter Weisungen zu verarbeiten;
  2. Vertraulichkeit sicherzustellen;
  3. geeignete technische und organisatorische Maßnahmen zu treffen;
  4. den Auftraggeber bei Betroffenenrechten angemessen zu unterstützen;
  5. Datenschutzverletzungen unverzüglich nach Bekanntwerden mitzuteilen;
  6. Unterauftragnehmer nur nach Maßgabe dieses Vertrags einzusetzen;
  7. nach Vertragsende Daten zurückzugeben, zu löschen oder zu anonymisieren, soweit keine gesetzlichen Pflichten entgegenstehen.

9. Unterauftragnehmer

Der Auftragnehmer darf Unterauftragnehmer einsetzen. Aktuelle oder geplante Unterauftragnehmer sind insbesondere:

Dienstleister

Zweck

Standort / Hinweis

Hetzner

Hosting / Server

Deutschland / EU

Cloudflare

DNS, Security, Performance, CDN

EU/USA möglich

Stripe

Zahlungsabwicklung

international möglich

Google Maps

Karten, Geocoding, Routing

international möglich

Google Analytics

Analyse, soweit aktiviert

international möglich

Google Ads

Marketing, soweit aktiviert

international möglich

Firebase Cloud Messaging

Push-Benachrichtigungen

international möglich

Cookiebot

Consent Management

EU/ggf. international

SpaceMail / Spaceship

E-Mail-Kommunikation

zu prüfen

Sentry

Fehleranalyse, zukünftig

je nach Setup

Keycloak self-hosted

Authentifizierung

eigener Server

Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen bei Unterauftragnehmern. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

10. Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft insbesondere folgende Maßnahmen:

  • Zugriffskontrollen
  • Rollen- und Rechteverwaltung
  • Authentifizierung
  • Transportverschlüsselung
  • Server- und Datenbanksicherheit
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Backup- und Wiederherstellungskonzepte
  • Mandantentrennung
  • Beschränkung administrativer Zugriffe
  • Vertraulichkeitsverpflichtung beteiligter Personen
  • Sicherheitsupdates und Monitoring
  • Maßnahmen zur Verfügbarkeit und Belastbarkeit der Systeme

11. Unterstützung bei Betroffenenrechten

Soweit betroffene Personen Rechte geltend machen, unterstützt der Auftragnehmer den Auftraggeber im Rahmen der technischen Möglichkeiten. Anfragen, die unmittelbar beim Auftragnehmer eingehen und Daten betreffen, die im Auftrag verarbeitet werden, werden grundsätzlich an den Auftraggeber weitergeleitet.

12. Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betrifft. Die Mitteilung enthält, soweit verfügbar, Art und Umfang der Verletzung, betroffene Datenkategorien, mögliche Folgen und ergriffene oder vorgeschlagene Maßnahmen.

13. Löschung und Rückgabe

Nach Vertragsende erhält der Auftraggeber einmalig die Möglichkeit, Daten zu exportieren. Danach werden operative Daten grundsätzlich spätestens 6 Monate nach Vertragsende gelöscht oder anonymisiert, soweit keine gesetzlichen Pflichten, offenen Forderungen, Streitigkeiten, Sicherheitsvorfälle oder sonstigen berechtigten Gründe entgegenstehen.

Backups werden im Rahmen der regulären Backup-Rotation gelöscht.

14. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags im gesetzlich vorgesehenen Umfang zu kontrollieren. Kontrollen sind rechtzeitig anzukündigen und müssen auf ein angemessenes Maß beschränkt bleiben. Der Auftragnehmer kann Nachweise, Zertifikate, Sicherheitsdokumentationen oder Selbstauskünfte bereitstellen.