Auftragsverarbeitungsvertrag (AVV) – Spritbiene Business

(1) Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

(2) Verantwortlicher ist die natürliche oder juristische Person, die ein kostenpflichtiges Konto in der Spritbiene Business-Webanwendung betreibt (im Folgenden „Owner“ oder „Kunde“) und in dieser Eigenschaft Daten ihrer Mitarbeitenden, Fahrerinnen und Fahrer in die Anwendung einpflegt oder durch berechtigte Personen einpflegen lässt.

(3) Auftragsverarbeiter ist:

(4) Spritbiene wird derzeit als natürliche Person betrieben. Eine Eintragung im Firmenbuch sowie eine Umsatzsteuer-Identifikationsnummer bestehen zum Stand dieses Vertrags nicht.

(5) Doppelrolle: Spritbiene ist Auftragsverarbeiter ausschließlich für solche personenbezogenen Daten, die der Owner über Mitarbeitende, Fahrerinnen oder Fahrer in die Anwendung einpflegt. Für Konto-, Vertrags- und Rechnungsdaten des Owners selbst sowie für sicherheitsrelevante Protokolle ist Spritbiene eigenständig Verantwortlicher; für diese Verarbeitungen gilt die Datenschutzerklärung. Dieser AVV regelt nicht die Verarbeitungen, in denen Spritbiene Verantwortlicher ist.

(6) Dieser AVV wird in elektronischem Format gemäß Art. 28 Abs. 9 DSGVO geschlossen, indem der Owner ihn im Registrierungs- bzw. Onboarding-Vorgang durch ausdrückliche Bestätigung der einbezogenen Dokumente (Checkbox) annimmt. Die Annahme wird mit Zeitstempel protokolliert. Ohne diese Bestätigung ist der Owner nicht berechtigt, personenbezogene Daten von Mitarbeitenden, Fahrerinnen oder Fahrern in die Anwendung einzubringen oder einbringen zu lassen. Eine separate handschriftliche Unterzeichnung ist nicht erforderlich; der Owner kann jederzeit eine gegengezeichnete Fassung anfordern.

(1) Gegenstand des Auftrags ist die Bereitstellung der Spritbiene Business-Webanwendung als Software-as-a-Service zur Verwaltung von Firmenfahrzeugen, Fahrer-Zuordnungen, Tank- und sonstigen Belegen sowie zur Führung eines digitalen Fahrtenbuchs.

(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag über das B2B-Konto). Mit Beendigung des Hauptvertrags endet auch dieser AVV; die Pflichten zur Rückgabe und Löschung gem. § 17 sowie nachvertragliche Pflichten (z. B. gesetzliche Aufbewahrung) bleiben unberührt.

(1) Spritbiene verarbeitet die in § 4 genannten personenbezogenen Daten ausschließlich zu folgenden Zwecken im Auftrag des Owners:

• Verwaltung von Fahrzeugen einer Organisation einschließlich Kennzeichen und Beschreibungen
• Erzeugung und Verwaltung von persönlichen Zugangscodes für Fahrerinnen und Fahrer
• Speicherung und Anzeige hochgeladener Belege (Tank-, Maut-, Park-, Hotelbelege u. Ä.)
• Führung eines digitalen Fahrtenbuchs einschließlich Wegpunkten, sofern diese durch eine Endnutzer-App übermittelt werden
• Bereitstellung von Auswertungen, Exporten und Berichten für den Owner
• Bereitstellung der Funktionen zur Löschung und zum Export auf Verlangen einzelner Betroffener

(2) Eine Verarbeitung zu eigenen Zwecken (insbesondere Marketing, Profiling, Verkauf an Dritte, Training von KI-Modellen) findet nicht statt.

(3) Die Verarbeitung erfolgt automatisiert in der Cloud-Infrastruktur der in Anlage 1 genannten Sub-Auftragsverarbeiter.

Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

• Stamm- und Kontaktdaten zugeordneter Personen (Name oder Bezeichnung)
• Pseudonyme Kennungen (z. B. Benutzer-IDs, Fahrer-Codes)
• Fahrzeugbezogene Daten (Kennzeichen, Beschreibung, Zuordnung)
• Tank- und Belegdaten (Datum, Menge, Preis, Tankstelle, ggf. Kategorie)
• Inhalte hochgeladener Belege und Dokumente (Bild oder PDF, Dateiname, Größe, Typ, Hochlade-Zeitpunkt)
• Fahrtenbuch-Einträge (Start, Ziel, Zweck, Kilometerstand, Zeitstempel)
• Bewegungsdaten und Wegpunkte, sofern durch eine Endnutzer-App übermittelt
• Nutzungsmetadaten (z. B. Erstellungs- und Änderungszeitpunkte, Zuordnung zu Organisation und Fahrzeug)

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO werden nach derzeitigem Funktionsumfang nichtbestimmungsgemäß verarbeitet. Spritbiene weist den Owner jedoch darauf hin, dass über frei wählbare Belege (z. B. Apotheken-, Hotel- oder Tankstellenbelege) und über Fahrt- bzw. Wegpunktdaten unbeabsichtigt besondere Kategorien personenbezogener Daten oder sensible Bewegungsprofile einfließen können. Der Owner ist verpflichtet, von der Eingabe solcher Daten in die Anwendung abzusehen, trägt das hierfür maßgebliche Risiko und stellt Spritbiene insoweit nach Maßgabe von § 11 von Ansprüchen Dritter frei.

Von der Verarbeitung sind insbesondere folgende Personenkategorien betroffen:

• Angestellte Mitarbeitende des Owners (Arbeitnehmer-Fahrer)
• Selbständige Fahrerinnen und Fahrer mit eigenem Vertragsverhältnis zum Owner
• Familienmitglieder im Rahmen klein- und familienbetrieblicher Konstellationen
• Sonstige Personen, denen der Owner Zugriff auf Funktionen seines Kontos einräumt (z. B. weitere Administratoren, Büro-Personal)

Spritbiene verpflichtet sich gegenüber dem Owner insbesondere zu Folgendem (Art. 28 Abs. 3 lit. a–h DSGVO):

• Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Owners, einschließlich in Bezug auf Übermittlungen in Drittländer, sofern Spritbiene nicht durch Unionsrecht oder mitgliedstaatliches Recht zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt Spritbiene dem Owner diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
• Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit oder Unterstellung unter eine geeignete gesetzliche Verschwiegenheitspflicht.
• Ergreifen aller nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen; die derzeit umgesetzten Maßnahmen sind in Anlage 2 beschrieben.
• Einhaltung der Bedingungen für die Heranziehung weiterer Auftragsverarbeiter gemäß § 8.
• Unterstützung des Owners durch geeignete technische und organisatorische Maßnahmen bei dessen Pflicht zur Beantwortung von Anträgen betroffener Personen (Art. 12 ff. DSGVO); Näheres regelt § 13.
• Unterstützung des Owners bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der Spritbiene zur Verfügung stehenden Informationen.
• Nach Beendigung der Verarbeitung: Löschung oder Rückgabe der personenbezogenen Daten nach Wahl des Owners im Rahmen von § 17, sofern keine Verpflichtung zur weiteren Speicherung besteht.
• Bereitstellung aller zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlichen Informationen sowie Ermöglichung und Beitrag zu Überprüfungen nach Maßgabe von § 14.

Ist Spritbiene der Auffassung, dass eine Weisung des Owners gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, informiert Spritbiene den Owner unverzüglich.

(1) Die Verarbeitung erfolgt ausschließlich im Rahmen der zwischen den Parteien getroffenen Vereinbarungen sowie nach dokumentierten Weisungen des Owners. Der Owner ist berechtigt, jederzeit weitere Weisungen in Textform (z. B. per E-Mail an dsgvo@spritbiene.at) zu erteilen.

(2) Als dokumentierte Weisungen gelten insbesondere dieser Vertrag, die Konfigurationen und Aktionen, die der Owner über die Funktionen der Webanwendung vornimmt (z. B. Anlage und Löschung von Datensätzen, Export, Konto-Löschung), sowie ergänzende Weisungen in Textform.

(3) Mündlich erteilte Weisungen sind unverzüglich in Textform zu bestätigen. Spritbiene kann die Befolgung von Weisungen verweigern, die offensichtlich rechtswidrig sind.

(1) Der Owner erteilt Spritbiene die allgemeine Genehmigung im Sinne von Art. 28 Abs. 2 Satz 1 DSGVO zur Heranziehung der in Anlage 1 namentlich benannten Sub-Auftragsverarbeiter.

(2) Spritbiene informiert den Owner über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mindestens 30 Tage vor der geplanten Wirksamkeit. Die Information erfolgt in Textform an die im Konto hinterlegte Kontakt-E-Mail-Adresse oder durch Hinweis im Dashboard.

(3) Der Owner kann gegen die Änderung innerhalb von 30 Tagen ab Zugang der Information aus wichtigem datenschutzrechtlichen Grund Einspruch erheben. Wird ein berechtigter Einspruch erhoben und kann Spritbiene keine angemessene Alternative bereitstellen, steht dem Owner ein außerordentliches Kündigungsrecht bezüglich des Hauptvertrags zu.

(4) Spritbiene verpflichtet jeden Sub-Auftragsverarbeiter vertraglich zu Datenschutzpflichten, die den Pflichten aus diesem AVV im Wesentlichen entsprechen, insbesondere zu hinreichenden technischen und organisatorischen Maßnahmen.

(5) Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet Spritbiene gegenüber dem Owner für dessen Einhaltung im Umfang von Art. 28 Abs. 4 Satz 2 DSGVO, vorbehaltlich der Haftungsregelung in § 15.

(6) Nicht als Sub-Auftragsverarbeiter im Sinne dieser Bestimmung gelten Nebenleistungen wie etwa Telekommunikations-, Wartungs- oder Reinigungsleistungen, die nicht in Verbindung mit personenbezogenen Daten erbracht werden.

(1) Die Verarbeitung personenbezogener Daten findet grundsätzlich innerhalb der Europäischen Union bzw. eines Staates mit Angemessenheitsbeschluss statt. Datenbank- und Authentifizierungsdienste werden in der Region eu-central-2 (Zürich, Schweiz) betrieben; Beleg-Uploads in einem Speicherbereich mit EU-Jurisdiktion.

(2) Mehrere der eingesetzten Sub-Auftragsverarbeiter haben ihre Konzernmutter in den Vereinigten Staaten von Amerika. Soweit es im Rahmen ihres Betriebs zu Datenübermittlungen in die USA kommen kann, stützt sich die Übermittlung auf folgende Garantien gemäß Anlage 1: das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) bzw. die Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

(3) Hinweis zum US-CLOUD-Act: Auch bei Speicherung in der EU können US-amerikanische Konzerngesellschaften theoretisch US-Behördenanordnungen unterliegen. Spritbiene reduziert dieses Restrisiko durch die Auswahl von Anbietern mit EU-Rechenzentren, durch Transportverschlüsselung, Datenminimierung und vertragliche Verpflichtungen der Sub-Auftragsverarbeiter.

(1) Spritbiene trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

(2) Spritbiene ist berechtigt, die Maßnahmen an die technische und organisatorische Entwicklung anzupassen, solange das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Anpassungen werden dokumentiert und auf Anfrage zur Verfügung gestellt.

Der Owner ist als Verantwortlicher allein für die Rechtmäßigkeit der Verarbeitung verantwortlich (Art. 5 Abs. 2, Art. 24 DSGVO) und verpflichtet sich insbesondere zu Folgendem:

• Sicherstellung einer geeigneten Rechtsgrundlage für jede Verarbeitung der eingegebenen personenbezogenen Daten gemäß Art. 6 bzw. Art. 9 DSGVO; bei Beschäftigten zusätzlich Beachtung von Art. 88 DSGVO i.V.m. § 96 Abs. 1 Z 3 und § 96a ArbVG (Mitbestimmung bzw. Betriebsvereinbarung bei Kontrollmaßnahmen).
• Vorabinformation der betroffenen Personen (Mitarbeitende, Fahrerinnen, Fahrer, sonstige Berechtigte) gemäß Art. 13 bzw. 14 DSGVO über die Verarbeitung in der Anwendung, einschließlich der Nennung von Spritbiene als Auftragsverarbeiter und der Sub-Auftragsverarbeiter gemäß Anlage 1.
• Korrekte Erteilung von Weisungen sowie Prüfung der Anwendungs-Konfiguration (z. B. Berechtigungen, Rollenzuordnungen, Zugriffsumfang).
• Führung eines eigenen Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO, soweit der Owner hierzu verpflichtet ist.
• Verzicht auf die Eingabe besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) sowie auf die Eingabe von Daten Dritter, für die keine Rechtsgrundlage besteht.
• Geheimhaltung und sichere Aufbewahrung der eigenen Zugangsdaten und der Zugangscodes der zugeordneten Personen.
• Unverzügliche Information von Spritbiene bei Kenntnis von Fehlern oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

Der Owner haftet im Innenverhältnis für Verstöße gegen die vorgenannten Pflichten sowie für rechtswidrige Eingaben in die Anwendung und stellt Spritbiene insoweit von Ansprüchen Dritter frei.

(1) Spritbiene meldet dem Owner jede ihr bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die Daten betrifft, die Spritbiene im Auftrag des Owners verarbeitet, unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden der Verletzung.

(2) Die Meldung enthält soweit verfügbar insbesondere:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
• die Kategorien und ungefähre Zahl der betroffenen Personen
• die Kategorien und ungefähre Zahl der betroffenen Datensätze
• eine Beschreibung der wahrscheinlichen Folgen
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Eingrenzung
• die Kontaktdaten für Nachfragen

(3) Spritbiene unterstützt den Owner bei seiner Pflicht zur Meldung an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) sowie gegebenenfalls bei der Benachrichtigung der betroffenen Personen (Art. 34 DSGVO) im Rahmen des technisch Zumutbaren.

(4) Eigene Meldepflichten des Owners gegenüber seiner Aufsichtsbehörde bleiben unberührt.

(1) Wendet sich eine betroffene Person mit einem Anliegen nach Art. 15 bis 22 DSGVO direkt an Spritbiene und betrifft das Anliegen Daten, die im Auftrag des Owners verarbeitet werden, leitet Spritbiene das Anliegen unverzüglich, spätestens innerhalb von 5 Werktagen, an den Owner weiter und beantwortet die Anfrage nicht eigenständig.

(2) Spritbiene unterstützt den Owner bei der Beantwortung von Anträgen Betroffener im Rahmen des technisch Zumutbaren, insbesondere durch Bereitstellung folgender Funktionen in der Anwendung:

• maschinenlesbarer Daten-Export der einer Person zugeordneten Einträge (Art. 15, 20 DSGVO)
• Löschung der einer Person zugeordneten Einträge (Art. 17 DSGVO), vorbehaltlich gesetzlicher Aufbewahrungspflichten
• Berichtigung über die Bearbeitungsfunktionen der Anwendung (Art. 16 DSGVO)

(3) Für angemessenen Aufwand, der über die Bereitstellung der vorgenannten Funktionen hinausgeht (z. B. manuelle Recherchen, projektbezogene Sonderauswertungen), kann Spritbiene eine angemessene Vergütung verlangen, soweit der Aufwand auf einer Verletzung von Pflichten des Owners beruht.

(1) Spritbiene weist die Einhaltung der vereinbarten Pflichten gegenüber dem Owner durch geeignete Mittel nach. Der Owner hat das Recht, einmal jährlich auf schriftliche Anfrage und mit einer Vorlauffrist von 30 Tagen die folgenden Dokumentationen zu erhalten oder einzusehen:

• aktuelle Beschreibung der technischen und organisatorischen Maßnahmen (Anlage 2)
• aktuelle Liste der Sub-Auftragsverarbeiter (Anlage 1)
• Zertifikate, Siegel oder Prüfberichte unabhängiger Stellen, soweit vorhanden
• Datenpannen-Aufzeichnungen mit Bezug auf das Konto des Owners

(2) Die Überprüfung erfolgt vorrangig durch Vorlage geeigneter Nachweise (insbesondere TOM-Beschreibung, Sub-Auftragsverarbeiter-Liste, Zertifikate oder Prüfberichte). Reichen diese zur Ausräumung begründeter Zweifel nicht aus, ist der Owner gemäß Art. 28 Abs. 3 lit. h DSGVO berechtigt, eine Überprüfung einschließlich einer Inspektion vor Ort vorzunehmen oder durch einen zur Verschwiegenheit verpflichteten, nicht mit Spritbiene im Wettbewerb stehenden Prüfer vornehmen zu lassen. Die Inspektion ist mit angemessener Vorlauffrist (mindestens 14 Tage), während üblicher Geschäftszeiten und so durchzuführen, dass der Geschäftsbetrieb möglichst wenig beeinträchtigt wird. Die Kosten der Überprüfung trägt der Owner, es sei denn, die Überprüfung deckt einen erheblichen Pflichtverstoß von Spritbiene auf.

(3) Spritbiene kann Informationen nur insoweit verweigern, als sie Geschäfts- oder Betriebsgeheimnisse betreffen, deren Offenlegung Spritbiene unzumutbar wäre. Die Erfüllung der gesetzlichen Nachweispflichten gegenüber Aufsichtsbehörden bleibt davon unberührt.

(1) Im Außenverhältnis gegenüber betroffenen Personen gilt Art. 82 DSGVO. Die Haftung der Parteien gegenüber Dritten und Aufsichtsbehörden bleibt von den nachfolgenden Regelungen unberührt.

(2) Im Innenverhältnis trägt jede Partei den Schaden in dem Umfang, in dem sie nach Art. 82 Abs. 4 und 5 DSGVO an dem schadensauslösenden Ereignis beteiligt war. Die Parteien haften einander nur für Schäden, die sie schuldhaft verursacht haben.

(3) Die Haftung von Spritbiene gegenüber dem Owner aus oder im Zusammenhang mit diesem AVV ist bei leichter Fahrlässigkeit summenmäßig auf einen Betrag begrenzt, der den vom Owner an Spritbiene innerhalb der letzten zwölf (12) Monate vor dem schadensauslösenden Ereignis tatsächlich gezahlten Netto-Entgelten aus dem Hauptvertrag entspricht, mindestens jedoch 1.000,– EUR und höchstens 10.000,– EUR pro Schadensereignis. Diese Begrenzung gilt in Übereinstimmung mit § 17 Abs. 3 der AGB; sie gilt nicht in den Fällen des Abs. 4 und nicht, soweit zwingendes Datenschutzrecht eine weitergehende Haftung anordnet.

(4) Die vorstehende Haftungsbegrenzung gilt nicht für Schäden aus Vorsatz oder grober Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, für Ansprüche nach zwingenden gesetzlichen Vorschriften (insbesondere Produkthaftungsgesetz) sowie für Ansprüche betroffener Personen nach Art. 82 DSGVO im Außenverhältnis.

(5) Bei der Verhängung von Bußgeldern nach Art. 83 DSGVO werden die Parteien gemeinsam versuchen, eine Aufteilung entsprechend der jeweiligen Verantwortungsanteile herzustellen.

(1) Dieser AVV beginnt mit Erfüllung der in § 1 Abs. 6 genannten Voraussetzung und ist für die Dauer des Hauptvertrags geschlossen.

(2) Der Owner ist berechtigt, diesen AVV außerordentlich aus wichtigem Grund zu kündigen, insbesondere bei begründetem Einspruch gegen einen Sub-Auftragsverarbeiter gemäß § 8 oder bei einem schwerwiegenden Verstoß von Spritbiene gegen wesentliche Pflichten dieses AVV, der nicht innerhalb einer angemessenen Frist abgestellt wird.

(3) Die außerordentliche Kündigung dieses AVV erstreckt sich auch auf den Hauptvertrag, sofern der Owner die Bereitstellung der Leistungen ohne AVV-Grundlage nicht nutzen darf.

(1) Nach Beendigung des Hauptvertrags löscht Spritbiene die im Auftrag verarbeiteten personenbezogenen Daten als Standardvorgang. Eine Rückgabe in maschinenlesbarem Format (JSON) erfolgt nur, wenn der Owner dies spätestens 30 Tage vor Vertragsende oder innerhalb von 30 Tagen nach Vertragsende ausdrücklich verlangt.

(2) Die Löschung erfolgt spätestens binnen 30 Tagen nach Beendigung des Hauptvertrags bzw. – im Fall einer Rückgabe – binnen 30 Tagen nach Bereitstellung des Exports. Datensicherungs-Rotationen können bewirken, dass Restdaten für weitere bis zu 30 Tage in Backups vorhanden bleiben; eine Wiederverwendung findet nicht statt.

(3) Eine weitergehende Aufbewahrung erfolgt nur, soweit gesetzliche Aufbewahrungspflichten dies erfordern (insbesondere Rechnungs- und Buchhaltungsbelege für 7 Jahre gemäß § 132 BAO und § 212 UGB) oder soweit Daten zur Verteidigung gegen Ansprüche benötigt werden. Für diese Daten gelten eingeschränkte Verarbeitungszwecke (Aufbewahrung, Erfüllung gesetzlicher Pflichten).

(4) Die Löschung wird auf Anfrage in Textform bestätigt.

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel selbst.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden eine unwirksame Bestimmung durch eine wirksame Regelung ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Es gilt österreichisches Recht unter Ausschluss der Verweisungsnormen des Internationalen Privatrechts und unter Ausschluss des UN-Kaufrechts. Zwingende verbraucherschutzrechtliche Bestimmungen des Sitzstaates des Owners bleiben unberührt.

(4) Ausschließlicher Gerichtsstand für Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist, soweit gesetzlich zulässig, das sachlich zuständige Gericht in Klagenfurt am Wörthersee.

(5) Vertragssprache ist Deutsch. Maßgeblich ist die jeweils deutsche Fassung; etwaige Übersetzungen dienen nur der Information.

Die folgende Liste benennt die derzeit eingesetzten Sub-Auftragsverarbeiter im Sinne von § 8. Änderungen werden gemäß § 8 Abs. 2 angekündigt.

Abkürzungen: DPF = EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023); SCCs= Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Hinweis zu Stripe: Der Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Dublin, sowie Stripe, Inc., USA) verarbeitet ausschließlich Konto-, Vertrags- und Zahlungsdaten des Owners, für die Spritbiene selbst Verantwortlicher und Stripe in Teilen eigener Verantwortlicher ist (insbesondere Geldwäsche- und Betrugsprävention). Stripe ist daher keinSub-Auftragsverarbeiter der hier gegenständlichen Mitarbeiter- und Fahrerdaten und wird in der Datenschutzerklärung geführt.

Beschreibung der von Spritbiene zum Schutz der im Auftrag verarbeiteten personenbezogenen Daten getroffenen Maßnahmen nach Art. 32 DSGVO. Die Maßnahmen berücksichtigen den Stand der Technik und werden regelmäßig überprüft.

Die Maßnahmen werden bei wesentlichen technischen oder organisatorischen Änderungen, mindestens jedoch jährlich, überprüft und bei Bedarf angepasst, ohne das Schutzniveau zu unterschreiten.