Auftragsverarbeitungsvertrag
Vertragsparteien
Hauptstraße 5
19246 Zarrentin am Schaalsee
E-Mail: datenschutz@lokado.de
den Registrierungsdaten
im Lokado-Account
Art. 1 – Gegenstand und Dauer
Der Auftragsverarbeiter erbringt für den Verantwortlichen GPS-Tracking-Dienstleistungen im Rahmen des Lokado-Abonnements. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen dieser Leistungserbringung.
Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.
Art. 2 – Art und Zweck der Verarbeitung
| Art der Daten | Zweck der Verarbeitung |
|---|---|
| GPS-Positionsdaten | Live-Tracking, Fahrthistorie, Alarm-Erkennung |
| Name, E-Mail, Telefon | Kontoverwaltung, Alarm-Benachrichtigungen |
| Fahrzeug-/Gerätedaten | Tracker-Verwaltung, Operator-Koordination |
| Zahlungsdaten | Abrechnung (verarbeitet durch Stripe als Sub-Auftragsverarbeiter) |
Kategorien betroffener Personen
- Nutzer des Lokado-Accounts (natürliche Personen)
- Personen, deren Fahrzeuge oder Gegenstände getrackt werden (mit Kenntnis und Einwilligung)
Art. 3 – Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- Zur Vertraulichkeit verpflichtete Personen mit der Verarbeitung zu betrauen
- Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen
- Die in Art. 5 genannten Sub-Auftragsverarbeiter nur mit Genehmigung einzusetzen
- Den Verantwortlichen bei der Erfüllung seiner Pflichten (Art. 32–36 DSGVO) zu unterstützen
- Alle Daten nach Ende des Vertrags zu löschen oder zurückzugeben
- Alle erforderlichen Informationen für Nachweise bereitzustellen
Art. 4 – Technische und organisatorische Maßnahmen (TOM)
| Bereich | Maßnahme |
|---|---|
| Zugangskontrolle | Sichere Passwörter (bcrypt cost 12), Session-Management, 2FA optional |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept, IDOR-Schutz, minimaler Datenzugriff |
| Weitergabekontrolle | SSL/TLS-Verschlüsselung aller Verbindungen, keine Weitergabe ohne Rechtsgrundlage |
| Eingabekontrolle | Audit-Logs für administrative Aktionen |
| Verfügbarkeitskontrolle | Regelmäßige Backups, Monitoring, Redundanz |
| Trennungskontrolle | Mandantentrennung durch user_id in allen Tabellen |
| Verschlüsselung | AES-256-GCM für sensible Datenbankfelder, HTTPS erzwungen |
| Serverstandort | Europa/EU – Frankreich (Server4You) |
Art. 5 – Sub-Auftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Sub-Auftragsverarbeiter ein:
| Unternehmen | Leistung | Land | Grundlage |
|---|---|---|---|
| Server4You (Isionline GmbH) | Server-Hosting, Datenspeicherung | Frankreich (EU) | Art. 28 DSGVO |
| Stripe Inc. | Zahlungsabwicklung | USA | SCC (Art. 46 DSGVO) |
| seven.io GmbH | SMS-Versand | Deutschland | Art. 28 DSGVO |
Bei Änderungen des Sub-Auftragsverarbeiter-Einsatzes wird der Verantwortliche mit einer Frist von 30 Tagen informiert und hat ein Widerspruchsrecht.
Art. 6 – Pflichten des Verantwortlichen
Der Verantwortliche ist verpflichtet:
- Sicherzustellen, dass die Nutzung von Lokado eine Rechtsgrundlage hat
- Betroffene Personen über die GPS-Überwachung zu informieren (Transparenzpflicht)
- Keine heimliche Überwachung von Personen ohne deren Kenntnis vorzunehmen
- Zugangsdaten vertraulich zu behandeln
- Den Auftragsverarbeiter unverzüglich zu informieren wenn Fehler oder Unregelmäßigkeiten festgestellt werden
Art. 7 – Datenpannen & Meldepflichten
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.
Die Meldung erfolgt per E-Mail an die im Konto hinterlegte E-Mail-Adresse sowie an datenschutz@lokado.de.
Art. 8 – Löschung nach Vertragsende
Nach Ende des Vertrags werden alle personenbezogenen Daten des Verantwortlichen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht:
- Fahrthistorie und GPS-Daten: innerhalb von 30 Tagen nach Vertragsende
- Konto- und Kontaktdaten: nach Ablauf der Aufbewahrungspflicht (max. 10 Jahre für Rechnungsdaten)
- Auf Anfrage stellt der Auftragsverarbeiter eine Löschbestätigung aus