Präambel
Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Nutzungsbedingungen ("Vereinbarung") zwischen:
Verantwortlicher ("Kunde"):
Das Unternehmen, das die AUTONOMi-Nutzungsbedingungen abgeschlossen hat und im zugehörigen Auftragsformular identifiziert wird.
Auftragsverarbeiter ("AUTONOMi"):
AUTONOMi
E-Mail: gdpr@goautonomi.com
Webseite: goautonomi.com
Gemeinsam als die "Parteien" bezeichnet.
Dieser AVV regelt die Verarbeitung personenbezogener Daten durch AUTONOMi im Auftrag des Kunden in Verbindung mit der AUTONOMi-Plattform und den Dienstleistungen ("Dienste"). Im Falle eines Widerspruchs zwischen diesem AVV und den Nutzungsbedingungen in Bezug auf Datenverarbeitungsangelegenheiten hat dieser AVV Vorrang.
Artikel 1 — Definitionen
Für die Zwecke dieses AVV:
- "DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
- "Personenbezogene Daten" hat die Bedeutung gemäß Art. 4(1) DSGVO.
- "Verarbeitung" hat die Bedeutung gemäß Art. 4(2) DSGVO.
- "Betroffene Person" hat die Bedeutung gemäß Art. 4(1) DSGVO.
- "Verantwortlicher" hat die Bedeutung gemäß Art. 4(7) DSGVO. Für die Zwecke dieses AVV ist der Kunde der Verantwortliche.
- "Auftragsverarbeiter" hat die Bedeutung gemäß Art. 4(8) DSGVO. Für die Zwecke dieses AVV ist AUTONOMi der Auftragsverarbeiter.
- "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von AUTONOMi mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.
- "Kundendaten" bezeichnet alle personenbezogenen Daten, die vom oder im Auftrag des Kunden an die Dienste übermittelt oder über diese verarbeitet werden.
- "Sicherheitsvorfall" bezeichnet jede zufällige oder unrechtmäßige Vernichtung, jeden Verlust, jede Veränderung, unbefugte Offenlegung oder jeden unbefugten Zugang zu Kundendaten.
- "SVK" bezeichnet die Standardvertragsklauseln, die von der Europäischen Kommission gemäß Beschluss 2021/914 für Übermittlungen personenbezogener Daten in Drittländer verabschiedet wurden.
- "EWR" bezeichnet den Europäischen Wirtschaftsraum.
Artikel 2 — Gegenstand und Dauer
2.1 Gegenstand
AUTONOMi verarbeitet Kundendaten ausschließlich zum Zweck der Bereitstellung der Dienste wie in den Nutzungsbedingungen und diesem AVV beschrieben.
2.2 Dauer
Dieser AVV bleibt für die Dauer der Vereinbarung in Kraft und endet automatisch mit Beendigung oder Ablauf der Vereinbarung, vorbehaltlich Artikel 12 (Rückgabe und Löschung von Daten).
Artikel 3 — Art, Zweck und Umfang der Verarbeitung
3.1 Art der Verarbeitung
AUTONOMi verarbeitet Kundendaten mit automatisierten Mitteln, einschließlich:
- Speicherung, Abruf und Übermittlung an Werbeplattformen
- Datenabgleich und Zielgruppenaktivierung
- Attributions- und Berichtsberechnungen
- Sicherungs- und Archivierungsspeicher
3.2 Zweck der Verarbeitung
AUTONOMi verarbeitet Kundendaten ausschließlich für die folgenden Zwecke:
- Aktivierung von First-Party-CRM- und DMS-Daten über Werbeplattformen (Google, Meta, TikTok, YouTube, Microsoft Advertising und andere) im Auftrag des Kunden
- Erstellung bestandsspezifischer Werbemittel
- Verwaltung der Multi-Channel-Kampagnenorchestrierung
- Bereitstellung von Attributionsberichten, die Medienausgaben mit Geschäftsergebnissen verknüpfen
- Technischer Support und Plattformwartung
3.3 Weisungen
AUTONOMi verarbeitet Kundendaten nur auf Grundlage dokumentierter Weisungen des Kunden, einschließlich der in diesem AVV und den Nutzungsbedingungen festgelegten Weisungen. Wenn AUTONOMi nach EU- oder mitgliedstaatlichem Recht verpflichtet ist, Kundendaten über die Weisungen des Kunden hinaus zu verarbeiten, wird AUTONOMi den Kunden vor der Verarbeitung über diese Anforderung informieren, es sei denn, dies ist aus Gründen des öffentlichen Interesses gesetzlich untersagt.
Wenn AUTONOMi der Ansicht ist, dass eine Weisung des Kunden gegen die DSGVO oder anwendbares EU-Recht verstoßen würde, wird AUTONOMi den Kunden unverzüglich informieren.
Artikel 4 — Kategorien personenbezogener Daten und betroffener Personen
4.1 Kategorien verarbeiteter personenbezogener Daten
| Kategorie | Beispiele |
|---|---|
| Kontakt- und Identitätsdaten | Name, E-Mail-Adresse, Telefonnummer |
| Fahrzeugbesitzdaten | FIN, Kaufdatum, Modell, Ausstattung |
| Service- und Transaktionsdaten | Servicehistorie, Kaufhistorie, Transaktionsbeträge |
| Werbeinteraktionsdaten | Anzeigenimpressionen, Klicks, Konversionsereignisse |
| CRM-Daten | Lead-Datensätze, Kundenlebenszyklus-Phase, Vertriebsnotizen |
| First-Party-Zielgruppenidentifikatoren | Gehashte E-Mails, Telefonnummern für Plattformabgleich |
4.2 Kategorien betroffener Personen
| Kategorie | Beschreibung |
|---|---|
| Autohäuser-Kunden | Personen, die ein Fahrzeug beim Autohaus des Kunden gekauft oder warten lassen haben |
| Autohäuser-Interessenten | Personen, die im CRM des Kunden als potenzielle Kunden identifiziert wurden |
| Website-Besucher | Personen, die die Website des Kunden besucht haben und über Pixel oder Tag erfasst werden |
| Service-Kunden | Personen mit einem offenen oder historischen Servicedatensatz beim Autohaus des Kunden |
Artikel 5 — Pflichten von AUTONOMi als Auftragsverarbeiter
AUTONOMi verpflichtet sich:
5.1 Verarbeitung nur auf Weisung
Kundendaten nur auf Grundlage dokumentierter Weisungen des Kunden zu verarbeiten, es sei denn, dies ist nach geltendem Recht erforderlich.
5.2 Vertraulichkeit
Sicherzustellen, dass zur Verarbeitung von Kundendaten befugtes Personal einer bindenden Vertraulichkeitsverpflichtung in Bezug auf diese Daten unterliegt.
5.3 Sicherheit
Geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, in Übereinstimmung mit Art. 32 DSGVO und der Sicherheitsrichtlinie von AUTONOMi. Siehe Artikel 9 für Details.
5.4 Unterauftragsverarbeiter
Unterauftragsverarbeiter nur in Übereinstimmung mit Artikel 7 dieses AVV einzusetzen.
5.5 Rechte betroffener Personen
Den Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen, wie in Artikel 10 festgelegt.
5.6 Sicherheits- und Compliance-Unterstützung
Den Kunden bei der Einhaltung der Art. 32–36 DSGVO zu unterstützen, einschließlich Sicherheit, Meldung von Verletzungen, DSFA und vorherige Konsultation mit Aufsichtsbehörden, unter Berücksichtigung der Art der Verarbeitung und der AUTONOMi zur Verfügung stehenden Informationen.
5.7 Löschung oder Rückgabe
Bei Beendigung der Vereinbarung alle Kundendaten gemäß Artikel 12 und nach Wahl des Kunden zu löschen oder zurückzugeben.
5.8 Audit
Dem Kunden alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen, und Audits und Inspektionen durch den Kunden oder einen beauftragten Prüfer zu ermöglichen und dazu beizutragen, wie in Artikel 11 festgelegt.
Artikel 6 — Pflichten des Kunden als Verantwortlicher
Der Kunde verpflichtet sich:
- Sicherzustellen, dass eine gültige Rechtsgrundlage für die Verarbeitung der an die Dienste übermittelten personenbezogenen Daten vorliegt und dass er berechtigt ist, diese Daten für die Zwecke dieses AVV an AUTONOMi zu übermitteln oder zugänglich zu machen
- Sicherzustellen, dass alle betroffenen Personen, deren personenbezogene Daten über die Dienste verarbeitet werden, gemäß Art. 13 und 14 DSGVO über diese Verarbeitung informiert wurden
- Die geltenden DSGVO-Pflichten als Verantwortlicher einzuhalten, einschließlich der Pflege eigener Datenschutzhinweise und Verarbeitungsverzeichnisse
- Sicherzustellen, dass alle CRM-, DMS- oder Kundendaten, die an AUTONOMi weitergegeben werden, allen geltenden Datenschutzgesetzen in den Herkunftsländern der Daten entsprechen
- AUTONOMi unverzüglich über Änderungen seiner Weisungen zu informieren, die die Verarbeitungstätigkeiten von AUTONOMi beeinflussen können
Artikel 7 — Unterauftragsverarbeiter
7.1 Genehmigung
Der Kunde erteilt AUTONOMi eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die in diesem AVV festgelegten Zwecke. AUTONOMi führt eine Liste der aktuellen Unterauftragsverarbeiter, erhältlich unter gdpr@goautonomi.com.
7.2 Aktuelle Unterauftragsverarbeiter
AUTONOMi verwendet derzeit die folgenden Kategorien von Unterauftragsverarbeitern, die Kundendaten verarbeiten können:
| Kategorie | Zweck | Standort |
|---|---|---|
| Cloud-Infrastruktur (z. B. AWS, Google Cloud) | Datenspeicherung und Rechenleistung | Vereinigte Staaten / EU-Regionen |
| Werbeplattformen (Google, Meta, TikTok, LinkedIn, Microsoft) | Kampagnenauslieferung und Zielgruppenabgleich im Auftrag des Kunden | Vereinigte Staaten |
| Analyseinfrastruktur | Plattformleistungsüberwachung | Vereinigte Staaten |
| Support- und CRM-Tools (z. B. HubSpot, Intercom) | Kundensupport-Operationen | Vereinigte Staaten |
| E-Mail-Zustellung (z. B. SendGrid) | Transaktions- und Benachrichtigungs-E-Mails | Vereinigte Staaten |
Eine aktuelle, spezifische Liste der Unterauftragsverarbeiter ist auf schriftliche Anfrage erhältlich unter gdpr@goautonomi.com.
7.3 Änderungen bei Unterauftragsverarbeitern
AUTONOMi wird dem Kunden 30 Tage im Voraus schriftlich Bescheid geben, bevor ein Unterauftragsverarbeiter hinzugefügt oder ersetzt wird. Die Mitteilung erfolgt per E-Mail an die registrierte Kontaktadresse des Kunden oder wird in einem dokumentierten Änderungsprotokoll veröffentlicht, das dem Kunden zugänglich ist.
7.4 Widerspruch
Der Kunde kann aus berechtigten datenschutzbezogenen Gründen einem neuen Unterauftragsverarbeiter widersprechen, indem er AUTONOMi innerhalb von 14 Tagen nach der Mitteilung schriftlich benachrichtigt. Die Parteien werden nach Treu und Glauben an einer Lösung des Widerspruchs arbeiten. Kann der Widerspruch nicht gelöst werden und fährt AUTONOMi mit dem neuen Unterauftragsverarbeiter fort, kann der Kunde die Vereinbarung mit 30 Tagen schriftlicher Kündigungsfrist ohne Vertragsstrafe kündigen.
7.5 Pflichten der Unterauftragsverarbeiter
AUTONOMi stellt sicher, dass jeder Unterauftragsverarbeiter an Datenschutzpflichten gebunden ist, die denen in diesem AVV gleichwertig sind, einschließlich angemessener technischer und organisatorischer Sicherheitsmaßnahmen.
Artikel 8 — Internationale Datenübermittlungen
8.1 Übermittlungen innerhalb des EWR
Die Verarbeitung innerhalb des EWR erfordert keinen zusätzlichen Übermittlungsmechanismus gemäß DSGVO.
8.2 Übermittlungen außerhalb des EWR
Wenn Kundendaten aus dem EWR in ein Drittland übermittelt werden (einschließlich der Vereinigten Staaten), stellt AUTONOMi einen angemessenen Übermittlungsmechanismus sicher, einschließlich:
- Standardvertragsklauseln (SVK): Die von der Europäischen Kommission gemäß Beschluss 2021/914 genehmigten SVK sind durch Verweis in diesen AVV einbezogen und gelten für alle Übermittlungen aus dem EWR in Drittländer. Das anwendbare Modul ist Modul Zwei (Verantwortlicher-an-Auftragsverarbeiter) für Übermittlungen vom Kunden an AUTONOMi und Modul Drei (Auftragsverarbeiter-an-Auftragsverarbeiter) für Weiterübermittlungen von AUTONOMi an Unterauftragsverarbeiter.
- Angemessenheitsbeschlüsse: Wenn die Europäische Kommission einen Angemessenheitsbeschluss für das Zielland erlassen hat, können Übermittlungen auf diesen Beschluss gestützt werden.
8.3 Folgenabschätzung für Datenübermittlungen
AUTONOMi hat eine Folgenabschätzung für Datenübermittlungen (TIA) für Übermittlungen in die Vereinigten Staaten und andere Drittländer durchgeführt und ist überzeugt, dass die SVK unter Berücksichtigung ergänzender Maßnahmen und der Art der Daten einen angemessenen Schutz bieten. Die TIA ist dem Kunden auf schriftliche Anfrage zugänglich.
8.4 Übermittlungen an Werbeplattformen
Übermittlungen von Kundendaten an Werbeplattformen (Google, Meta, TikTok, LinkedIn, Microsoft) erfolgen auf dokumentierte Weisung des Kunden zum Zweck der Kampagnenauslieferung. Diese Plattformen arbeiten unter ihren eigenen Auftragsverarbeitungsverträgen und SVK. AUTONOMi stellt dem Kunden auf Anfrage die entsprechenden Referenzen zur Verfügung.
Artikel 9 — Technische und organisatorische Sicherheitsmaßnahmen
AUTONOMi implementiert die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO:
9.1 Verschlüsselung
- Verschlüsselung von Kundendaten bei der Übertragung mit TLS 1.2 oder höher
- Verschlüsselung von Kundendaten im Ruhezustand mit AES-256 oder gleichwertig
- Verschlüsselungsschlüsselverwaltung mit definierten Rotationsplänen und Zugriffskontrollen
9.2 Zugriffskontrollen
- Rollenbasierte Zugriffskontrolle (RBAC), die den Zugriff auf Kundendaten auf autorisiertes Personal beschränkt
- Multi-Faktor-Authentifizierung (MFA) erforderlich für alle Zugriffe auf Produktionssysteme
- Zugangsmodell nach dem Prinzip der geringsten Rechte; Zugriffsrechte werden regelmäßig überprüft
- Sofortige Aufhebung des Zugangs bei Personalabgang
9.3 Netzwerksicherheit
- Firewalls und Netzwerksegmentierung zur Isolation von Produktionsumgebungen
- Erkennung von Eindringversuchen und Überwachung
- Alle externen Schnittstellen durch TLS geschützt
9.4 Verfügbarkeit und Belastbarkeit
- Redundante Infrastruktur zur Unterstützung der Dienstverfügbarkeit
- Automatische tägliche Sicherungen von Kundendaten, verschlüsselt an separaten geografischen Standorten gespeichert
- Regelmäßige Tests der Sicherungswiederherstellung
9.5 Tests und Bewertung
- Regelmäßige interne Sicherheitsüberprüfungen und Schwachstellenbewertungen
- Jährliche Penetrationstests durch qualifizierte Sicherheitsfachleute
- Behebung identifizierter Schwachstellen basierend auf dem Schweregrad
9.6 Personalmaßnahmen
- Vertraulichkeitsverpflichtungen für alle Mitarbeiter mit Zugang zu Kundendaten
- Jährliche Sicherheitsbewusstseinsschulungen für alle Mitarbeiter
- Hintergrundüberprüfungen für Personal in sensiblen Rollen, vorbehaltlich des geltenden Rechts
9.7 Physische Sicherheit
- Physische Zugriffskontrollen in Büroeinrichtungen
- Physische Sicherheit der Cloud-Infrastruktur wird von zertifizierten Cloud-Anbietern verwaltet (SOC 2 / ISO 27001)
AUTONOMi kann Sicherheitsmaßnahmen im Laufe der Zeit aktualisieren, sofern das Gesamtschutzniveau nicht wesentlich verringert wird. Kunden können eine aktuelle Beschreibung der Sicherheitsmaßnahmen anfordern unter gdpr@goautonomi.com.
Artikel 10 — Rechte betroffener Personen
10.1 Unterstützung
AUTONOMi wird den Kunden bei der Erfüllung von Anfragen betroffener Personen gemäß den Art. 15–22 DSGVO angemessen unterstützen, unter Berücksichtigung der Art der Verarbeitung und der AUTONOMi zur Verfügung stehenden Informationen.
10.2 Weiterleitung von Anfragen
Wenn AUTONOMi eine Anfrage einer betroffenen Person in Bezug auf Kundendaten erhält, wird AUTONOMi:
- Die Anfrage unverzüglich an den Kunden weiterleiten
- Die Anfrage nicht direkt beantworten, es sei denn, der Kunde weist dies an oder es ist gesetzlich vorgeschrieben
- Den Kunden auf Anfrage bei der Erstellung einer Antwort unterstützen
10.3 Löschung und Einschränkung
AUTONOMi wird dokumentierte Kundenweisungen zur Löschung oder Einschränkung der Verarbeitung bestimmter personenbezogener Daten innerhalb eines angemessenen Zeitraums umsetzen, vorbehaltlich etwaiger geltender Aufbewahrungspflichten.
Artikel 11 — Audits und Inspektionen
11.1 Informationen und Compliance-Nachweise
AUTONOMi wird dem Kunden auf schriftliche Anfrage alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieses AVV und Art. 28 DSGVO nachzuweisen.
11.2 Auditrechte
Der Kunde kann Audits der Datenverarbeitungstätigkeiten von AUTONOMi durchführen, vorbehaltlich der folgenden Bedingungen:
- Der Kunde gibt 30 Tage im Voraus schriftlich Bescheid über ein Audit
- Audits werden während der normalen Geschäftszeiten und nicht öfter als einmal pro Kalenderjahr durchgeführt (außer nach einem Sicherheitsvorfall)
- Der Kunde trägt die Kosten des Audits, es sei denn, das Audit deckt eine wesentliche Nichteinhaltung durch AUTONOMi auf
- Der Prüfer unterliegt einer Vertraulichkeitsverpflichtung
- Das Audit beeinträchtigt den Geschäftsbetrieb von AUTONOMi nicht unangemessen
11.3 Zertifizierungen Dritter
Anstelle eines direkten Audits kann AUTONOMi die Auditanforderungen des Kunden durch Bereitstellung von Drittanbieter-Auditberichten, Zertifizierungen oder Antworten auf Sicherheitsfragebögen erfüllen (z. B. SOC 2 Berichte, ISO 27001 Zertifikate, CAIQ-Antworten), sofern diese den Umfang der Anfrage des Kunden angemessen abdecken.
Artikel 12 — Rückgabe und Löschung von Daten
12.1 Vertragsende
Bei Beendigung oder Ablauf der Vereinbarung:
- Kundendaten werden dem Kunden für 30 Tage nach dem Beendigungsdatum zum Export zur Verfügung gestellt
- Nach Ablauf der 30-tägigen Exportfrist wird AUTONOMi alle Kundendaten von seinen Systemen löschen, einschließlich Sicherungskopien, es sei denn, die Aufbewahrung ist nach geltendem Recht vorgeschrieben
12.2 Löschungsbestätigung
Auf schriftliche Anfrage wird AUTONOMi dem Kunden eine schriftliche Bestätigung darüber ausstellen, dass die Kundendaten nach der Exportfrist gelöscht wurden.
12.3 Gesetzliche Aufbewahrungspflichten
Wenn AUTONOMi nach EU- oder mitgliedstaatlichem Recht verpflichtet ist, bestimmte Daten über die Löschfrist hinaus aufzubewahren, wird AUTONOMi den Kunden über diese Anforderung informieren und diese Daten nur in dem nach geltendem Recht erforderlichen Umfang weiterverarbeiten.
Artikel 13 — Sicherheitsvorfälle
13.1 Meldung
AUTONOMi wird den Kunden unverzüglich — und in jedem Fall innerhalb von 48 Stunden — nach Bekanntwerden eines Sicherheitsvorfalls, der Kundendaten betrifft, benachrichtigen. Die Benachrichtigung erfolgt an die registrierte E-Mail-Kontaktadresse des Kunden.
13.2 Inhalt der Meldung
Die Meldung enthält, soweit zum Zeitpunkt bekannt:
- Art des Sicherheitsvorfalls und betroffene Datenkategorien
- Ungefähre Anzahl betroffener Personen und Datensätze
- Wahrscheinliche Folgen des Sicherheitsvorfalls
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung des Vorfalls
AUTONOMi kann diese Informationen stufenweise bereitstellen, wenn sie zum Zeitpunkt der ersten Meldung nicht vollständig verfügbar sind.
13.3 Zusammenarbeit
AUTONOMi wird mit dem Kunden zusammenarbeiten und angemessene Unterstützung in Zusammenhang mit den Pflichten des Kunden zur Benachrichtigung von Aufsichtsbehörden und betroffenen Personen gemäß den Art. 33 und 34 DSGVO leisten.
13.4 Meldepflichten des Kunden
Der Kunde ist dafür verantwortlich, den Sicherheitsvorfall zu bewerten und festzustellen, ob eine Benachrichtigung an Aufsichtsbehörden und/oder betroffene Personen nach geltendem Recht erforderlich ist. Die Meldung von AUTONOMi an den Kunden stellt keine Anerkennung dar, dass der Vorfall eine bestimmte regulatorische Meldepflicht auslöst.
Artikel 14 — Datenschutz-Folgenabschätzungen
Wenn die Art der Verarbeitung voraussichtlich zu einem hohen Risiko für betroffene Personen führt und eine DSFA gemäß Art. 35 DSGVO erforderlich ist, wird AUTONOMi den Kunden bei der Durchführung der DSFA und bei der Konsultation mit Aufsichtsbehörden, sofern nach Art. 36 DSGVO erforderlich, angemessen unterstützen, soweit AUTONOMi über für die Bewertung relevante Informationen verfügt.
Artikel 15 — Haftung
Die Haftung jeder Partei unter diesem AVV unterliegt den Haftungsbeschränkungen der Nutzungsbedingungen im maximal nach geltendem Recht zulässigen Umfang. Nichts in diesem AVV beschränkt die Haftung einer Partei für:
- Vorsatz oder grobe Fahrlässigkeit
- Tod oder Körperverletzung durch Fahrlässigkeit
- Jegliche Haftung, die nach geltendem Recht nicht ausgeschlossen oder beschränkt werden kann
Artikel 16 — Anwendbares Recht
Dieser AVV unterliegt demselben anwendbaren Recht wie die geltenden Nutzungsbedingungen. Für EU-Kunden:
- Dieser AVV unterliegt dem Recht des anwendbaren EU-Mitgliedstaats
- Betroffene Personen in der EU behalten alle gesetzlichen Rechte, die ihnen nach der DSGVO und dem anwendbaren nationalen Recht zustehen, unabhängig vom anwendbaren Recht der Nutzungsbedingungen
Die in diesen AVV einbezogenen SVK unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur (Kunde) seinen Sitz hat, oder dem Recht der Republik Irland, wenn das Recht des Mitgliedstaats des Kunden dies nicht zulässt.
Artikel 17 — Abschluss
Dieser AVV ist Bestandteil der Nutzungsbedingungen zwischen AUTONOMi und dem Kunden und in diese einbezogen. Mit Abschluss der Nutzungsbedingungen stimmt der Kunde den Bedingungen dieses AVV zu.
EU-Kunden, die einen separat unterzeichneten AVV für Compliance- oder Beschaffungszwecke benötigen, können unter gdpr@goautonomi.com eine gegengezeichnete Version anfordern.
Anhang I — Beschreibung der Verarbeitung
| Feld | Details |
|---|---|
| Verantwortlicher | Der Kunde (Autohaus oder Händlergruppe) gemäß Identifikation im Auftragsformular |
| Auftragsverarbeiter | AUTONOMi (goautonomi.com) |
| Gegenstand | Bereitstellung der AUTONOMi-Plattform für Automotive-Wachstumsinfrastruktur |
| Dauer | Dauer der Vereinbarung |
| Art der Verarbeitung | Speicherung, Abruf, Übermittlung, Datenabgleich, Berichterstellung, Sicherung |
| Zweck der Verarbeitung | Aktivierung digitaler Werbung, Kampagnenmanagement, Attributionsberichterstattung |
| Kategorien personenbezogener Daten | Kontaktdaten, Fahrzeugbesitzdaten, Servicehistorie, CRM-Datensätze, gehashte Zielgruppenidentifikatoren, Werbeinteraktionsdaten |
| Kategorien betroffener Personen | Autohäuser-Kunden, Interessenten, Website-Besucher, Service-Kunden |
| Häufigkeit der Übermittlung | Fortlaufend während der Laufzeit der Vereinbarung |
Anhang II — Technische und organisatorische Sicherheitsmaßnahmen
Die in Artikel 9 dieses AVV beschriebenen technischen und organisatorischen Maßnahmen sind durch Verweis hierin einbezogen. Eine vollständige Beschreibung der Sicherheitsmaßnahmen von AUTONOMi ist in der Sicherheitsrichtlinie von AUTONOMi unter goautonomi.com/security-policy und auf schriftliche Anfrage in weiteren Details erhältlich unter gdpr@goautonomi.com.
Anhang III — Unterauftragsverarbeiter
Die gemäß Artikel 7 dieses AVV genehmigten Unterauftragsverarbeiter sind die in Artikel 7.2 aufgeführten. Eine aktuelle spezifische Liste mit Namen, Standorten und Verarbeitungstätigkeiten der Unterauftragsverarbeiter ist auf schriftliche Anfrage erhältlich unter gdpr@goautonomi.com und wird bei Änderungen gemäß Artikel 7.3 aktualisiert.
Anhang IV — Standardvertragsklauseln
Die von der Europäischen Kommission gemäß Beschluss 2021/914/EU verabschiedeten Standardvertragsklauseln sind durch Verweis in diesen AVV einbezogen:
- Modul Zwei (Verantwortlicher-an-Auftragsverarbeiter): Gilt für Übermittlungen von Kundendaten vom Kunden (als Verantwortlicher und Datenexporteur mit Sitz im EWR) an AUTONOMi (als Auftragsverarbeiter und Datenimporteur mit Sitz außerhalb des EWR, einschließlich der Vereinigten Staaten).
- Modul Drei (Auftragsverarbeiter-an-Auftragsverarbeiter): Gilt für Weiterübermittlungen von AUTONOMi an Unterauftragsverarbeiter mit Sitz außerhalb des EWR.
Kunden, die eine vollständig unterzeichnete Kopie der SVK als eigenständiges Dokument benötigen, können diese unter gdpr@goautonomi.com anfordern. AUTONOMi wird die SVK gemäß den geltenden regulatorischen Leitlinien unterzeichnen.
Anwendbares Recht der SVK:
Die SVK unterliegen dem Recht des EU-Mitgliedstaats, in dem der Kunde (Datenexporteur) seinen Sitz hat, oder dem irischen Recht, wenn das Recht des Mitgliedstaats des Kunden dies nicht zulässt.
Gewählte Optionen innerhalb der SVK:
- Klausel 7 (Andockklausel): Nicht anwendbar
- Klausel 11 (Rechtsbehelfe): Optionaler Text zu unabhängiger Beschwerdestelle nicht enthalten
- Klausel 17 (Anwendbares Recht): Wie oben dargelegt
- Klausel 18 (Gerichtsstand): Gerichte des EU-Mitgliedstaats, dessen Recht für die SVK gilt
Kontakt
Für alle AVV-bezogenen Anfragen, Abschlussanfragen, Unterauftragsverarbeiterlisten und Auditanfragen:
AUTONOMi DSGVO / Recht
E-Mail: gdpr@goautonomi.com
Webseite: goautonomi.com