GreenFlux Datenschutzrichtlinie

Diese Datenschutzrichtlinie ist Teil des Vertrags, wenn GreenFlux personenbezogene Daten im Auftrag des Kunden verarbeitet. Wenn der Kunde ein Datenverantwortlicher ist, ernennt der Kunde GreenFlux als Datenverarbeiter und wenn der Kunde ein Datenverarbeiter ist, ernennt der Kunde GreenFlux als Unterdatenverarbeiter. 

Alle Begriffe in dieser Datenschutzrichtlinie werden in Übereinstimmung mit ihrer Bedeutung in der DSGVO interpretiert und ausgelegt. 

GreenFlux behält sich das Recht vor, diese Datenschutzrichtlinie von Zeit zu Zeit zu ändern. Die neue Version der Datenschutzrichtlinie gilt dann ab dem Datum der Veröffentlichung auf der GreenFlux-Website (www.greenflux.de/datenschutzrichtlinie). 

  1. Definitionen 

Vertrag   der Vertrag zwischen GreenFlux und dem Kunden über die von GreenFlux angebotenen Dienstleistungen, von denen die Allgemeinen Geschäftsbedingungen einen integralen Bestandteil bilden 
 Ladestation    ein von GreenFlux unterstütztes Ladegerät für Elektrofahrzeuge, das mit der von GreenFlux akzeptierten Version von OCPP kompatibel ist und aus einer oder mehreren EVSEs besteht   
 Kunde    die natürliche und juristische Person, die einen Vertrag mit GreenFlux abschließt  
 Fahrer   Fahrer, der das EVSE-Netzwerk des Kunden nutzt  
 Endnutzer    die natürliche oder juristische Person, die berechtigt ist, auf die Dienstleistungen zuzugreifen und sie zu nutzen, einschließlich, aber nicht beschränkt auf Fahrer, CPOs, EMSPs  
 EVSE    eine Steckdose oder ein Ladearm, an dem jeweils ein Elektrofahrzeug geladen werden kann  
Allgemeine Geschäftsbedingungen  die Allgemeinen Verkaufsbedinungen von GreenFlux 
DSGVO  Verordnung (EU) 2016/679 (Allgemeine Datenschutzverordnung)   
GreenFlux  GreenFlux Assets B.V. mit Sitz in der Mauritskade 63 (1092 AD), Amsterdam, Niederlande, und eingetragen bei der niederländischen Handelskammer unter der Nummer 55511171 
OCPP  Protokoll für offene Ladestationen 
 Plattform    die von GreenFlux entwickelte Dienstleistungs- und Betriebssoftware-Plattform, auf die der Kunde im Rahmen des Vertrags Zugriff und an denen er ein Nutzungsrecht hat  
Datenschutzrichtlinie  diese Datenschutzrichtlinie 
 Dienstleistungen    alle Dienstleistungen, einschließlich, aber nicht beschränkt auf die Einrichtung und das Abonnement im Rahmen dieses Vertrags 
Einrichtung  die Vorbereitungsarbeiten, die GreenFlux durchführt, bevor das Abonnement aktiviert werden kann 
Abonnement  Zugang zu den Dienstleistungen der Plattform, einschließlich des Rechts, die Funktionen der erworbenen Dienstleistungen zu nutzen 

 

2. Allgemeines   

2.1   GreenFlux verarbeitet personenbezogene Daten, von denen Beispiele in Anlage 1 detailliert beschrieben sind, ausschließlich mit dem Ziel, Dienstleistungen für den Kunden zu erbringen.  

2.2  GreenFlux verarbeitet personenbezogene Daten nur in Übereinstimmung mit und gemäß den strengen Anweisungen des Kunden. GreenFlux hat keine unabhängige Kontrolle über die von ihr verarbeiteten personenbezogenen Daten. GreenFlux darf personenbezogene Daten nicht zum eigenen Nutzen, zum Nutzen Dritter oder zu anderen Zwecken verarbeiten, es sei denn, der Kunde hat vorher schriftlich zugestimmt oder es ist gesetzlich vorgeschrieben. 

2.3 Der Kunde kann Anweisungen erteilen, die im Vertrag vorgesehen sind, sowie weitere Anweisungen. Jede Anweisung wird schriftlich erteilt, es sei denn, die Dringlichkeit oder andere besondere Umstände erfordern eine andere (z.B. mündliche, elektronische) Form. Spezifikationen und/oder weitere Anweisungen, die in einer anderen als der schriftlichen Form erteilt werden, sind vom Kunden unverzüglich schriftlich zu bestätigen. 

2.4 Wenn GreenFlux gesetzlich verpflichtet ist, personenbezogene Daten offenzulegen oder anderweitig zu verarbeiten, die nicht mit den Anweisungen des Kunden übereinstimmen, wird GreenFlux den Kunden vor der Verarbeitung der personenbezogenen Daten über diese Anforderungen informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses. 

2.5 Der Kunde ist verantwortlich und verpflichtet, die Rechtmäßigkeit der Datenverarbeitung zu prüfen und die Rechte der Betroffenen zu schützen.  

2.6  GreenFlux und der Kunde haften für ihre eigenen Verpflichtungen, die in dieser Datenschutzrichtlinie, der GDPR und/oder anderen anwendbaren Datenschutzgesetzen festgelegt sind. Jegliche Haftung, die sich aus oder in Verbindung mit einem Verstoß gegen diese Datenschutzrichtlinie oder gegen geltendes Datenschutzrecht ergibt, folgt den Haftungsbestimmungen, die im Vertrag festgelegt sind oder anderweitig auf den Vertrag anwendbar sind, und unterliegt diesen.   

3.        Geheimhaltung    

3.1 GreenFlux verpflichtet sich, personenbezogene Daten vertraulich zu behandeln und sie in keiner Weise an Mitarbeiter und/oder Dritte weiterzugeben, es sei denn, (i) es ist notwendig, dass Mitarbeiter und/oder Dritte zum Zweck der Ausführung des Vertrags Kenntnis von personenbezogenen Daten haben müssen, oder (ii) es ist gesetzlich vorgeschrieben. 

3.2 GreenFlux gewährt Mitarbeitern und/oder Dritten nur insoweit Zugang zu personenbezogenen Daten, als dies für die zur Vertragsdurchführung notwendige Verarbeitung erforderlich ist. GreenFlux stellt sicher, dass die zur Verarbeitung personenbezogener Daten berechtigten Personen sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.   

4.        Unterauftragsverarbeiter   

4.1 Der Kunde gewährt GreenFlux eine allgemeine Genehmigung für die Einbeziehung oder den Austausch bestehender Unterauftragsverarbeiter unter den in dieser Datenschutzrichtlinie dargelegten Bedingungen. GreenFlux informiert den Kunden über alle beabsichtigten Änderungen in Bezug auf die Einbeziehung oder den Austausch von Unterauftragsverarbeitern, die personenbezogene Daten verarbeiten werden. Der Kunde kann gegen solche Änderungen Einspruch erheben, wobei der Einspruch nicht unverhältnismäßig sein darf. 

4.2 GreenFlux wählt jeden Unterauftragsverarbeiter sorgfältig aus und achtet dabei insbesondere auf seinen guten Ruf und seine Erfahrung mit der Erbringung der beauftragten Leistungen sowie auf die Eignung seiner technischen und organisatorischen Maßnahmen. GreenFlux haftet für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in gleicher Weise wie für seine eigenen Handlungen und Unterlassungen. GreenFlux schließt mit allen zugelassenen Unterauftragsverarbeitern einen schriftlichen Datenverarbeitungsvertrag ab. GreenFlux stellt sicher, dass die Unterauftragsverarbeiter vertraglich an die gleichen oder höhere Verpflichtungen in Bezug auf die Verarbeitung gebunden sind, an die GreenFlux nach dem Vertrag gebunden ist. 

4.3 Wenn während der Vertragslaufzeit ein neuer Unterauftragsverarbeiter beauftragt wird, informiert GreenFlux den Kunden mindestens dreißig (30) Kalendertage vorher, bevor der neue Unterauftragsverarbeiter personenbezogene Daten des Kunden verarbeitet, über die Beauftragung (einschließlich des Namens und des Standorts des betreffenden Unterauftragsverarbeiters und der Tätigkeiten, die er ausführen wird), indem es die vom Kunden als Ansprechpartner (für Datenschutzangelegenheiten) im Vertrag genannte Person benachrichtigt. 

4.4 Der Kunde kann jedem neuen Unterauftragsverarbeiter unter der Bedingung widersprechen, dass er dies innerhalb von vierzehn (14) Kalendertagen anzeigt, nachdem er über die Beauftragung des neuen Unterauftragsverarbeiters informiert wurde, wie in Absatz 4.3 beschrieben. 

  

5.        Sicherheits- und Datenschutzverletzungen   

5.1 GreenFlux ist nach ISO/IEC 27001:2013 zertifiziert und hat technische und organisatorische Sicherheitsmaßnahmen implementiert, einschließlich Verfahren, die darauf ausgerichtet sind, Sicherheitsvorfälle und Datenverletzungen in angemessener Weise zu erkennen und darauf zu reagieren, um ein angemessenes Sicherheitsniveau für die Verarbeitung personenbezogener Daten im Rahmen des Vertrags zu gewährleisten.   

5.2   Sobald GreenFlux Kenntnis von einem (potenziellen) Sicherheitsvorfall (z. B. einer Sicherheitsverletzung) oder einer (potenziellen) Datenverletzung in Bezug auf die personenbezogenen Daten des Kunden erhält, wird GreenFlux den Kunden unverzüglich und ohne unnötige Verzögerung benachrichtigen, indem es die vom Kunden als Ansprechpartner für Datenschutzangelegenheiten genannte Person über die folgenden Punkte informiert:  

      a) den Tag und die Uhrzeit, an dem GreenFlux Kenntnis von dem Sicherheitsvorfall erhalten hat;   

      b) die Art des Sicherheitsvorfalls;   

      c) den Zeitpunkt bzw. den wahrscheinlichsten Zeitpunkt oder Zeitraum, zu dem der Sicherheitsvorfall aufgetreten ist, und wie lange er gedauert hat;   

      d) den Umfang der personenbezogenen Daten des Kunden, die (möglicherweise) von dem Sicherheitsvorfall betroffen sind;   

      e) die möglichen Folgen/Risiken des Sicherheitsvorfalls für den Schutz der Privatsphäre der Datensubjekte, d. h. der betroffenen Personen;  

      f) die Ansprechpartner, bei denen weitere Informationen über den Sicherheitsvorfall eingeholt werden können;   

      g) die empfohlenen Maßnahmen zur Einschränkung der negativen Folgen des Sicherheitsvorfalls;   

      h) die Maßnahmen, die GreenFlux zur Behebung des Sicherheitsvorfalls ergriffen hat oder zu ergreifen beabsichtigt; und     

      i) alle anderen Informationen, die für die Beurteilung des Sicherheitsvorfalls relevant sind.    

5.3 In Bezug auf jeden in Absatz 5.2 genannten Sicherheitsvorfall unterstützt GreenFlux den Kunden im Rahmen des für GreenFlux Zumutbaren, einschließlich der Bereitstellung angemessener Informationen und Unterstützung bei der Bereitstellung der in Absatz 5.2 genannten Informationen, bei Anfragen von Behörden, bei der Begrenzung der Auswirkungen eines Sicherheitsvorfalls auf die Privatsphäre der betroffenen Person(en) und/oder bei der Begrenzung des Schadens des Kunden infolge des Sicherheitsvorfalls.   

5.4  GreenFlux wird seine Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten regelmäßig auf der Grundlage der ISO/IEC 27001:2013 Serie oder ähnlicher Standards überprüfen. 

5.5  Der Kunde ist allein dafür verantwortlich, die auf ihn anwendbaren Gesetze zur Meldung von Datenschutzverletzungen oder anderen Vorfällen einzuhalten und alle Benachrichtigungspflichten gegenüber Dritten im Zusammenhang mit einer Datenschutzverletzung zu erfüllen. 

  

6.        Weitergabe von personenbezogenen Daten   

Wenn personenbezogene Daten in ein Land außerhalb der Europäischen Union oder an eine internationale Organisation, die dem internationalen öffentlichen Recht unterliegt, übermittelt werden, einschließlich der Bereitstellung oder Zugänglichmachung personenbezogener Daten, die kein angemessenes Sicherheitsniveau für personenbezogene Daten bietet, ergreift GreenFlux Maßnahmen, um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden, indem es EU-Standardvertragsklauseln abschließt oder geeignete Schutzmaßnahmen einrichtet.   

  

7.        Recht auf Prüfung   

7.1   GreenFlux stellt die für die Verarbeitung personenbezogener Daten relevanten Verarbeitungssysteme, Einrichtungen und Unterlagen für ein Audit durch den Kunden oder einen vom Kunden ausgewählten, qualifizierten, unabhängigen Prüfer zur Verfügung. GreenFlux wird bei solchen Audits in einem vernünftigen und erforderlichen Maße mitwirken und sicherstellen, dass seine Unterauftragnehmer dies ebenfalls tun. 

7.2  Der Kunde sorgt dafür, dass die von ihm mit der Durchführung des Audits beauftragten Vertreter alle vertretbaren Schritte unternehmen, um eine durch die Durchführung des Audits verursachte Störung des Geschäftsbetriebs von GreenFlux zu minimieren. 

7.3   Die Audits beschränken sich auf die Verarbeitungseinrichtungen und das Personal von GreenFlux, die an den vom Vertrag abgedeckten Verarbeitungstätigkeiten beteiligt sind. 

7.4   Audits finden nur einmal jährlich statt oder wenn dies nach geltendem Datenschutzrecht oder von einer zuständigen Kontrollbehörde gefordert wird oder unmittelbar nach einer Datenschutzverletzung, die die von GreenFlux im Rahmen des Vertrags verarbeiteten personenbezogenen Daten betroffen hat. 

7.5   Audits können während der üblichen Geschäftszeiten, bei nur unwesentlicher Beeinträchtigung des Geschäftsbetriebs von GreenFlux und in Übereinstimmung mit den Sicherheitsrichtlinien von GreenFlux sowie nach angemessener vorheriger Ankündigung des Kunden durchgeführt werden. 

7.6   Der Kunde übernimmt alle Kosten, die sich aus oder im Rahmen des Audits ergeben, einschließlich des Audits bei GreenFlux, es sei denn, ein solches Audit hat gezeigt, dass GreenFlux seine Verpflichtungen in Bezug auf die Datensicherheit nach geltendem Datenschutzrecht oder nach dem Vertrag nicht einhält; in diesem Fall trägt GreenFlux diese Kosten. Der Kunde kann einen Auditbericht verfassen, der die Feststellungen und Beobachtungen des Audits zusammenfasst („Auditbericht“). Auditberichte sowie andere, ähnliche Berichte sind vertrauliche Informationen von GreenFlux und der Kunde gibt diese nicht an Dritte, außer wenn unbedingt erforderlich, an Rechtsbeistände und Berater des Kunden, den Datenschutzbeauftragten des Kunden, die Mitarbeiter des Kunden, die verbundenen Unternehmen des Kunden oder wenn der Kunde nach geltendem Datenschutzrecht oder auf Anfrage einer zuständigen Kontrollbehörde zur Weitergabe gezwungen ist oder wenn GreenFlux der Weitergabe zugestimmt hat, weiter. 

7.7   GreenFlux ist weder verpflichtet, dem Kunden oder einem externen Prüfer Auskunft zu erteilen, noch dem Kunden oder einem externen Prüfer den Zugang zu gewähren zu: 

      a) allen (persönlichen) Daten eines anderen Kunden von GreenFlux 

      b) internen, sensiblen Geschäfts- oder Finanzdaten von GreenFlux; oder 

      c) Daten, die nach Einschätzung von GreenFlux die Sicherheit von GreenFlux oder der Räumlichkeiten von GreenFlux gefährden oder dazu führen könnten, dass GreenFlux seine datenschutzrechtlichen Verpflichtungen oder die gegenüber Dritten verletzt. 

  

8.        Kontrolle oder Audits durch öffentliche Behörden   

GreenFlux unterzieht seine jeweiligen Verarbeitungssysteme, Anlagen und Unterlagen einer Kontrolle oder einem Audit im Zusammenhang mit der Verarbeitung durch eine zuständige Behörde, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Im Falle einer Kontrolle oder eines Audits leistet jede Vertragspartei der anderen Vertragspartei jede erforderliche Unterstützung bei der Durchführung der Kontrolle oder des Audits.  

Hält eine zuständige öffentliche Behörde die Verarbeitung im Zusammenhang mit dem Vertrag für rechtswidrig, ergreifen die Parteien unverzüglich die erforderlichen Schritte, um künftig die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten. 

  

9.        Anfragen zur Zusammenarbeit und Rechte der Betroffenen     

9.1   Der Kunde ist in erster Linie für die Bearbeitung und Beantwortung von Anfragen der betroffenen Personen verantwortlich. Der Kunde ist verpflichtet, zu prüfen, ob eine betroffene Person das Recht hat, die in Kapitel III der DSGVO genannten Rechte wahrzunehmen, und GreenFlux mitzuteilen, inwieweit die in Absatz 9.3 genannte Unterstützung gewünscht wird. 

9.2   GreenFlux ergreift angemessene technische und organisatorische Maßnahmen, um den Kunden bei der Erfüllung der Verpflichtung zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Personen, wie in Kapitel III der DSGVO beschrieben, zu unterstützen, soweit dies möglich ist.    

9.3   GreenFlux wird bei Anfragen des Kunden im Zusammenhang mit der Verarbeitung im Rahmen des Vertrags, einschließlich, aber nicht beschränkt auf Beschwerden, Anträge oder Anfragen von betroffenen Personen, unverzüglich und vollumfänglich kooperieren, soweit dies möglich ist, und zwar spätestens innerhalb von zehn (10) Kalendertagen. GreenFlux wird betroffenen Personen nicht direkt antworten, es sei denn, es wird vom Kunden ausdrücklich dazu aufgefordert. 

  

10.        Datenschutzfolgenabschätzungen   

GreenFlux ist verpflichtet, den Kunden bei seiner Aufgabe zur Durchführung einer Datenschutzfolgenabschätzung und einer vorherigen Rücksprache mit den Kontrollbehörden, die sich auf die von GreenFlux für den Kunden im Rahmen des Vertrags erbrachten Dienstleistungen bezieht, zu unterstützen, indem er dem Kunden die erforderlichen und verfügbaren Informationen zur Verfügung stellt. Wenn GreenFlux dadurch zusätzliche Kosten entstehen, werden die Parteien die Fragen nach Treu und Glauben besprechen und zu einer Übereinkunft gelangen. 

 

11.      Antrag von Regierungsbehörden   

11.1 GreenFlux wird einem Antrag einer Regierungsbehörde auf Bereitstellung von (Zugang zu) personenbezogenen Daten nur dann nachkommen, wenn dies gesetzlich vorgeschrieben ist und der Antrag die gesetzlichen Anforderungen erfüllt, einschließlich der Prinzipien der Verhältnismäßigkeit und Subsidiarität. 

11.2 GreenFlux informiert den Kunden über eine behördliche Anfrage zur Verarbeitung personenbezogener Daten, es sei denn, die behördliche Anfrage verbietet eine solche Benachrichtigung ausdrücklich. 

  

12.       Rückgabe und Löschung von personenbezogenen Daten   

12.1 Alle personenbezogenen Daten werden auf erste Aufforderung des Kunden unverzüglich anonymisiert, gelöscht oder an den Kunden zurückgegeben. GreenFlux speichert personenbezogene Daten nur so lange, wie es für die Erfüllung der Verpflichtungen aus diesem Vertrag erforderlich ist. 

12.2 Bei Beendigung des Vertrags gibt GreenFlux auf Wunsch des Kunden die personenbezogenen Daten einschließlich etwaiger Kopien an den Kunden zurück und/oder vernichtet diese sicher, soweit nicht der Vertrag oder gesetzliche Bestimmungen etwas anderes vorsehen. In diesem Fall verarbeitet GreenFlux die personenbezogenen Daten nicht mehr, es sei denn, der Vertrag oder gesetzliche Bestimmungen sehen etwas anderes vor. Der Kunde kann von GreenFlux verlangen, unverzüglich und in jedem Fall innerhalb von zwei Wochen zu bestätigen und zu gewährleisten, dass GreenFlux alle Kopien der personenbezogenen Daten zurückgegeben, gelöscht und/oder vernichtet hat. 

Anlage 1 (Beispiele für personenbezogene Daten und Verarbeitungszwecke)   

Kategorien von personenbezogenen Daten   Verarbeitungszwecke von personenbezogenen Daten    Kategorien von betroffenen Personen   
Kontaktdaten der Mitarbeiter des Kunden wie Name, E-Mail-Adresse, Mitarbeiternummer und  

Rufnummer    

 Zum Erstellen und Verwalten von Benutzerkonten auf der Plattform    Mitarbeiter des Kunden    
Angaben zum Standort der Ladestation (nur wenn sich die Ladestation auf einem privaten Grundstück befindet  Information für Fahrer zum Standort der Ladestationen   Eigentümer von Ladestationen 
Identifikationsnummer von Fahrern (z.B. NL-GFX-XXXXXXXX)   • Autorisierung und Validierung   von Fahrern  

• Berechnung von Ladevorgängen, Einsicht in Ladevorgänge und Inrechnungstellung von Ladevorgängen an die Fahrer (via EMSP) über eine mobile Anwendung (Charge Assist)  

• Durchführung von technischem Service und Wartung, einschließlich Software-Updates (Hotfixes) und Releases (Releases).  

 

 Fahrer  
Kontaktdaten der Fahrer, wie Name, EMail-Adresse und Fahrzeugkennzeichen  Identifizierung von Fahrern und ihren Fahrzeugen und Bereitstellung individueller Zusatzleistungen und Angebote für diese Fahrer     Fahrer   
Standortdaten der Fahrer  Finden von nahegelegenen Ladestationen über eine mobile Anwendung (Charge Assist)  Fahrer 
Fahrgestellnummer (Autocharge)  Autorisierung und Validierung der Fahrer von Elektrofahrzeugen  

zwecks Autocharge 

 Fahrer