Das Wesentliche der Vereinbarung über die gemeinsam verantwortliche Verarbeitung von personenbezogenen Daten
zwischen
Oktan Mineraloel-Vertrieb GmbH, vertreten durch die Geschäftsführer Thomas Wersig und
Daniel Kasper, Alsterarkaden 27, 20354 Hamburg,
– nachfolgend „Controller A“ –
und
Oktan Tankstellen GmbH, vertreten durch die Geschäftsführer Boris Bastkowski und Thomas Wersig, Alsterarkaden 27, 20354 Hamburg,
– nachfolgend „Controller B“ –
und
Weko-Petrol GmbH, vertreten durch den Geschäftsführer Thomas Wersig und Daniel Kasper, Alsterarkaden 27,
20354 Hamburg,
– nachfolgend „Controller C“ –
und
HaTeGe Mineralöl- und Warenhandelsges. mbH, vertreten durch den Geschäftsführer
Thomas Wersig, Alsterarkaden 27, 20354 Hamburg,
– nachfolgend „Controller D“ – zusammen mit Joint Controller A, B, C und D „die Parteien“–
Die Parteien haben einen Vertrag über gemeinsame Nutzung personenbezogener Daten als gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO geschlossen.
1. Art, Umfang und Zwecke der gemeinsamen Verarbeitung werden im Folgenden dargestellt:
| Funktion | Umfang und Art | Zweck und Mittel | Betroffene | Datenkategorien | Verantwortlichkeit |
|---|---|---|---|---|---|
| Bewerber-management | Controller A betreibt das Bewerbermanagement für Controller B, Controller C und Controller E: erstellt in jeweiliger Absprache die Stellenausschreibungen, verwaltet die Bewerbungen und Bewerberdaten für Controller B, Controller C und Controller E, trifft gemeinsam mit Controller B, Controller C und Controller E Entscheidungen über Vorstellungsgespräche, Einstellungen und Absagen. Für Controller D wird nicht eingestellt, somit findet hier kein Bewerbermanagement statt. | Entscheidung über Einstellung von neuen Mitarbeitern für Controller A, Controller B, Controller C und Controller E | Bewerber | Bewerberdaten: Name, Adresse, Kontaktdaten, Geburtsdaten, Familienstand, Bewerbungsfoto, Lebenslauf, Zeugnisse, Zertifikate etc. | Controller A legt die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller B, Controller C und Controller E fest. |
| Rechnungs-Eingang/ Zahlung |
Die Buchhaltung von Controller A erhält, erfasst und bucht die eingehenden Rechnungen der Controller A, der Controller C, Controller D, der Controller B und Controller E; die jeweiligen Gesellschaften geben die Rechnung frei, die die MA der Buchhaltung von Controller A und Controller B verarbeiten | Zahlung von offenen Rechnungen | Lieferanten, Dienstleister, Mitarbeiter | Name, Adresse, Bankverbindung | Controller A legt in diesem Zusammenhang die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller C, Controller D, Controller B und Controller E fest |
| Rechnungs-erstellung Controller A, Controller C, Controller E und Controller D |
Die Buchhaltung von Controller A erstellt die Verkaufsrechnungen für Controller A, Controller C, Controller D und Controller E. | Erfüllung von fälligen Zahlungs-forderungen | Kunden | Name, Adresse, Ansprechpartner, Rechnungsnummer, Kundennummer | Controller A legt in diesem Zusammenhang die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller C, Controller D und Controller E fest |
| Rechnungs-erstellung Controller B |
Controller B erstellt die Verkaufsrechnungen für die Stationskunden selber. Es hat nur Controller B Zugriff; (= keine joint controllership) | Erfüllung von fälligen Zahlungs-forderungen | Stationskunden/ Kunden |
Name, Adresse, Ansprechpartner, Rechnungsnummer, Kundennummer | Controller B legt die Zwecke und Mittel der Datenverarbeitung fest. |
| Zahlungseingang | Controller A und Controller B prüfen den Zahlungseingang für Controller A, Controller B, Controller D, Controller E und Controller C | Prüfung von Zahlungs-eingängen | Kunden | Firmennamen, Rechnungsnummer, Kundennummer | Controller A legt in diesem Zusammenhang die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller C, Controller D, Controller B und Controller E fest |
| Mahnwesen | Controller A und Controller B erstellen Mahnungen für säumige Kunden der Controller A, Controller B, Controller C, Controller E und Controller D | Mahnung von offenen Rechnungsbeträgen | Kunden | Firmennamen, Rechnungsnummer, Kundennummer | Controller A legt in diesem Zusammenhang die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller C, Controller D, Controller B und Controller E fest |
| Controlling | Controller A überwachen kundenbezogene Kennzahlen (KPI's) von Controller A, Controller B, Controller C, Controller D und Controller E Jede Gesellschaft überwacht zusätzlich separat die eigenen Kennzahlen |
Beurteilung der Unternehmens-rentabilität | Kunden, Mitarbeiter | Name, Adresse, Mitarbeiter, Kundennummer | Controller A legt in diesem Zusammenhang die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller C, Controller D, Controller B und Controller E fest |
| Stammdaten in A1 Vertrieb (Kunden/ Lieferanten/ Geschäftspartner) |
A1 ist Eigentum von Controller A; Entscheidung darüber, welcher Kunde angelegt werden soll, trifft die jeweilige Gesellschaft (Controller A, Controller C, Controller D). Die Stammdatenpflege erfolgt von der Buchhaltung von Controller A und Controller B; die Gesellschaften haben Zugriff auf ihre eigenen Daten; Controller A hat zusätzlich Zugriff auf die Daten von Controller D. Einzelne MA von Controller A haben zusätzlich Zugriff auf Controller C. Controller B hat vereinzelt Leserechte | Stammdatenpflege | Kunden, Lieferanten, Geschäftspartner, Mitarbeiter | Name, Adresse, E-Mail, Bankverbindung, Ansprechpartner | A1 ist Eigentum von Controller A, die Entscheidung welche Kunden in die Stammdaten übernommen werden, treffen die jeweiligen Gesellschaften (Controller A, Controller C, Controller D) |
| Stammdaten in A1 Stationskunden Controller B | Eigentum von Controller B und nur Controller B hat die Verantwortung. Controller A hat vereinzelt Leserechte | Stammdatenpflege | Stationskunden | Name, Adresse, Kundennummer, E-Mail, Kfz-Kennzeichen, | Eigentum von Controller B, die Entscheidung welche Kunden in die Stammdaten übernommen werden, trifft ausschließlich Controller B |
| Diamant Software | Software, in dem die Buchhaltung alle Buchungen verarbeitet. Controller A hat die gleichen Zugriffsrechte wie Controller B und Controller C; jede Gesellschaft entscheidet selber über die Buchführung. Buchungen von Tanke-günstig wird zukünftig über die MA von Controller A und Controller B verarbeitet. | Buchführung | Mitarbeiter, Kunden, Geschäftspartner, Lieferanten | Controller A legt die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller B, Controller D, Controller C und Controller E fest. | |
| Waren-kreditversicherung | Die Vertriebler von Controller A und Controller C fragen getrennt voneinander für ihre Kunden das Kreditlimit bei ihrem jeweiligen Warenkreditversicherer ab und die MA der Buchhaltung Controller A speichern das Ergebnis im A1 der jeweiligen Gesellschaft ab. Die Vertriebler haben nur Zugriff auf ihre jeweiligen Firmendaten und Kreditlimitdaten. Die Buchhaltung von Controller A hat Zugriff zu beiden A1 Systemen. Die Entscheidung des jeweiligen Kundenlimits liegt bei der jeweiligen Gesellschaft, Controller A (Buchhaltung) pflegt die Daten. | Absicherung von Forderungsausfällen | Kunden, Mitarbeiter | Name, Adresse, Kreditlimit | Entscheidung des jeweiligen Limits liegt bei der jeweiligen Gesellschaft; das System A1 ist Eigentum von Controller A |
| Bonitätsprüfung | Controller B macht die Bonitätsprüfung ausschließlich für Stationskunden von Controller B über Creditreform und Boniversum (keine geteilte Verantwortung) | Bonitätsprüfung Stationskunden | Stationskunden | Kreditlimit, Handelsregistereintrag, Geschäftsführer, Ansprechpartner | Entscheidung über die Aufnahme als Stationskunde ausschließlich bei Controller B |
| Oktan b2b Portal | Controller A betreibt ein b2b Portal ( Web Server basiert mit bestimmten Zugriffsrechten) mit Preisinformation, Bestellmöglichkeiten, Chatfunktionen, Kontingentüberwachung. Zugriff haben interne Mitarbeiter von Controller A, Controller C,, Controller B (als Entwickler) Controller B für Chatsystem in 2010 geplant |
Verbesserung der internen Kommunikation sowie der Einkaufs-/ Verkaufsprozesse |
Mitarbeiter, Kunden | Preislisten (Benutzer/ Gruppendefiniert); Namen von Chatteilnehmern) |
Controller A legt die Zwecke und Mittel der Datenverarbeitung fest und entscheiden, wer von den anderen Unternehmen welche Zugriffs-/Leserechte hat |
| Mineralölhandel | Controller A, Controller D, Controller C und betreiben Mineralölhandel. Controller D arbeitet vertraglich unter Controller A, einige Controller A Mitarbeiter arbeiten auch für Controller C. |
Kerngeschäft Mineralölhandel | Kunden | Namen, Adressen, Ansprechpartner | Controller A legt die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller C und Controller D fest. |
| Datenschutz-koordination | Controller A, Controller B, Controller C, Controller D und Controller E nutzen gemeinsam eine Datenschutzkoordination; das Wissen wird für alle Gesellschaften genutzt und umgesetzt | Datenschutz-koordination | Mitarbeiter | Namen, Verantwortliche | Controller A legt die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller B, Controller D, Controller C und Controller E fest. |
| Kommunikation/ Marketing/ Events |
Ein Mitarbeiter von Controller B ist mit vereinzelter Unterstützung von MA Controller A und Controller B für die Gesellschaften Controller A, Controller B, Controller C und Controller E im Bereich Kommunikation, Marketing und Events zuständig. | Innen- und Außendarstellung der Unternehmens-gruppe; Einhaltung der CI-Richtlinien | Mitarbeiter, Kunden, Geschäftspartner, Dienstleister, Lieferanten, Tankstellen-Pächter | Kontaktdaten, vereinzelt Konfektionsgrößen | Controller A legt die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller B, Controller C und Controller E fest. |
| Website | Controller A erstellt für Controller A, Controller B, Controller C und Controller E die Websites und erhält dabei Unterstützung von einem Mitarbeiter der Controller B für Konzept- und Designarbeiten für diese 4 Gesellschaften. | Außendarstellung des Unternehmens und Sicherstellung der Funktionalität auf allen gängigen Medien | Mitarbeiter, Kunden, Stationskunden | Kontaktdaten, Kfz Kennzeichen, Kundenlogin | Controller A legt die Zwecke und Mittel der Datenverarbeitung gemeinsam mit Controller B und Controller C fest. |
| allgemeine Rechtsberatung und -vertretung | Controller A, Controller B, Controller C, Controller D und Controller E nutzen teilweise dieselben Kanzleien für die Rechtsberatung | Rechtsberatung für sämtliche Themen außer Arbeitsrecht | Mitarbeiter, Kunden, Dienstleister, Geschäftspartner, TS-Pächter | Name, Vorfall/ Vorgang |
Controller A legt die Zwecke und Mittel der Datenvereinbarung gemeinsam mit Controller B, Controller D, Controller C und Controller E fest |
2. Die Pflichten und Verantwortlichkeiten hinsichtlich der vorgenannten Datenverarbeitungen werden wie folgt wahrgenommen:
| Sicherstellung der Rechtmäßigkeit der Datenverarbeitung nach Art. 6, ggf. Einholung von Einwilligungen | Zentrale Datenschutzkoordination von Controller A wird für Einwilligungen herangezogen; darüber hinaus stellt jeder Controller für seine Mitarbeiter, Kunden und Interessenten selbst die Rechtmäßigkeit sicher, wird dabei aber von Controller A beraten. |
| Zurverfügungstellung des Wesentlichen der Vereinbarung nach Art. 26 II DSGVO | Controller A dokumentiert die gemeinsame Verantwortung und stellt das Wesentliche an einer zentralen Stelle zur Verfügung, die anderen Controller verweisen in ihren Informationspflichten darauf. |
| Art. 13 Informationspflicht bei Erhebung personenbezogener Daten. | Jeder Controller erfüllt die Informationspflichten gegenüber seinen Bewerbern, Mitarbeitern, Kunden und Dienstleistern selbst. |
| Art. 14 Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden. | Jeder Controller erfüllt die Informationspflichten gegenüber seinen Bewerbern, Mitarbeitern, Kunden und Dienstleistern selbst. |
| Art. 15 Bearbeitung von Auskunftsverlangen. | Controller A bearbeitet Anfragen primär und soweit möglich, bei speziellen Daten erfolgt die Bearbeitung durch den Controller, zu dem die Vertragsbeziehung des Betroffenen besteht. |
| Art. 16 Bearbeitung von Berichtigungsanfragen. | Controller A bearbeitet Berichtigungsanfragen primär und soweit möglich, bei speziellen Daten erfolgt die Bearbeitung durch den Controller, zu dem die Vertragsbeziehung des Betroffenen besteht. |
| Art. 17 o. 18 Bearbeitungen von Löschbegehren oder Beschränkung der Verarbeitung und Art. 19 Mitteilung der Löschpflicht. | Controller A bearbeitet Berichtigungsanfragen primär und soweit möglich, bei speziellen Daten erfolgt die Bearbeitung durch den Controller, zu dem die Vertragsbeziehung des Betroffenen besteht. |
| Art. 20 Abwicklung von Herausgabeverlangen (Datenportabilität). | Controller A bearbeitet Anfragen primär und soweit möglich, bei speziellen Daten erfolgt die Bearbeitung durch den Controller, zu dem die Vertragsbeziehung des Betroffenen besteht. |
| Art. 21 Bearbeitung von Widersprüchen. | Controller A bearbeitet Widersprüche primär und soweit möglich, bei speziellen Daten erfolgt die Bearbeitung durch den Controller, zu dem die Vertragsbeziehung des Betroffenen besteht. |
| Art. 24 Abs. 1 i.V. m. Art. 32 Festlegung der techn.-org. Maßnahmen nach Risikoabschätzung und ggf. Datenschutzfolgeabschätzung (Art. 35) und Konsultation einer Aufsichtsbehörde/ Übermittlung der notwendigen Informationen (Art. 36 (3)). | Wird von Controller A übernommen |
| Art. 24 Abs. 1 Dokumentation der Auswahl der techn.-org. Maßnahmen (als Nachweis). | Wird von Controller A übernommen. |
| Art. 24 Abs. 1 Überprüfung und Aktualisierung der Maßnahmen. | Wird von Controller A übernommen. |
| Art. 28 Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und deren Überprüfung. | Wird vorwiegend von Controller A übernommen, im Einzelfall erfolgt die Einschaltung durch den Controller, der den Prozess primär betreut. |
| Art. 30 Führung des Verzeichnisses der Verarbeitungstätigkeiten. | Wird von Controller A übernommen. |
| Art. 32 Vereinbarungen über die Vornahme von technisch-organisatorischen Maßnahmen | Wird von Controller A übernommen. |
| Art. 33, 34 Prozess bei meldepflichtigen Datenpannen (gegenseitige Information, eventuell Bestimmung eines federführenden Verantwortlichen); | Wird von Controller A übernommen. |
| Art. 35, Art. 36 notwendige Zusammenarbeit und gegenseitige Unterstützung im Rahmen der Datenschutz-Folgenabschätzung | Wird von Controller A übernommen. |
| Art. 37 Benennung eines Datenschutzbeauftragten. | Jeder Controller selbst, soweit rechtlich erforderlich. |
3. Anlaufstelle für die betroffenen Personen, Art. 26 Abs. 1 S. 3 DSGVO
Primäre Anlaufstelle für die Betroffenen für Verarbeitungen, die unter die gemeinsame Verantwortung fallen, ist:
Kristin Dorndorf, Oktan Mineraloel-Vertrieb GmbH (Controller A).
Alternativ kann sich die betroffene Person direkt an den Datenschutzbeauftragten des Controllers A (= primäre Anlaufstelle) wenden unter der genannten Postadresse, mit dem Zusatz „An den Datenschutzbeauftragten" oder unter der E-Mail-Adresse: datenschutz(at)oktan.de.
Ungeachtet dessen kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen Controller geltend machen (Art. 26 Abs. 3 DSGVO).