Auftragsdatenverarbeitung durch Ingram Micro GmbH

Ingram Micro GmbH („Ingram“ oder „wir“) ist unter Umständen von Herstellern bzw. Lizenzgebern beauftragt, zum Abschluss bzw. zur Abwicklung von Garantieverträgen (Garantieverlängerungen) und/ oder Lizenzverträgen (EULA) und/ oder die erforderlichen Daten der Endkunden (Garantienehmer bzw. Lizenznehmer) zu erheben. Diesbezüglich kommen die jeweiligen Garantie- bzw. Lizenzbedingungen des Herstellers bzw. Lizenzgebers zur Anwendung (Details siehe jeweilige Unterlagen zum Produkt bzw. zur Leistung). Dafür werden (nicht sensible) Endkundendaten erhoben und verarbeitet. Diesbezüglich wird Ingram bzw. unsere Kunden, welche die entsprechenden Daten von Endkunden erheben, als „datenschutzrechtlicher Auftragsverarbeiter“ des jeweiligen Herstellers bzw. Lizenzgebers (als „datenschutzrechtliche Verantwortliche“ - Details siehe jeweils zum Produkt bzw. zur Leistung) tätig. Die Verarbeitung erfolgt bis zur Erreichung des Zwecks, nämlich des Abschlusses bzw. der Abwicklung der Garantie- bzw. Lizenzverträge, längstens bis zur Beendigung der vertraglichen Auftragsverarbeiter-Eigenschaft.

Soweit Ingram von Kunden beauftragt wird, für diese personenbezogene Daten zu verarbeiten, wird Ingram als Auftragsverarbeiter für den Kunden als Verantwortlicher tätig. Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffene Personen und die Pflichten und Rechte des Verantwortlichen ergeben sich aus der Beauftragung von Ingram. Soweit der Kunde Ingram mit Direktlieferung, Warenwirtschaft (Lagerung und Versandlogistik) und / oder Austausch von Waren an / bei deren Kunden beauftragt, werden von Ingram als Auftragsverarbeiter nicht sensible (End)Kundendaten für den Zweck der Direktlieferung / des Austausches („Dead on Arrival“) verarbeitet und zwar bis zur Erreichung des Zwecks, längstens bis zur Beendigung der vertraglichen Auftragsverarbeiter-Eigenschaft. Den Kunden treffen in diesem Zusammenhang alle Pflichten als Verantwortlicher, einschließlich der Zulässigkeit des Einsatzes der (Sub)Auftragsverarbeiter.

Die Beauftragung bzw. Inanspruchnahme von weiteren Subauftragsverarbeitern ist dem (jeweiligen) Auftragsverarbeiter prinzipiell gestattet, sofern er den Verantwortlichen bzw. Ingram vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung anderer und / oder die Ersetzung bisheriger Subauftragnehmer informiert, wodurch die Möglichkeit für den Verantwortlichen bzw. Ingram besteht, gegen derartige Änderungen Einspruch zu erheben.

Alle Auftragsverarbeiter verarbeiten die personenbezogenen Daten in diesem Zusammenhang ausschließlich für den jeweiligen Zweck des Geschäftsfalls und auf dokumentierte Weisung des Verantwortlichen bzw. von Ingram, sofern nicht eigenständige gesetzliche Verpflichtungen zur Verarbeitung bestehen; in einem solchen Fall besteht die Verpflichtung, diese rechtlichen Anforderungen vor der Verarbeitung dem Verantwortlichen bzw. Ingram mitzuteilen, sofern eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verboten ist.

Die (jeweiligen) Auftragsverarbeiter gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; vgl. § 15 DSG 2000, bzw. § 6 DSG.

Ingram setzt Konzerngesellschaften als (Sub)Auftragsverarbeiter ein und diese gelten als genehmigt, insbesondere Ingram Micro, Inc, in den USA.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen die Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Auftragsverarbeiter werden den Verantwortlichen bzw. Ingram angesichts der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der EU-Datenschutzgrundverordnung (DSGVO) genannten Rechte der betroffenen Person (= Recht auf Auskunft, Berichtigung und Löschung, Information, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) nachzukommen. Gleiches gilt für die Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (= Ergreifung technischer und organisatorischer Maßnahmen, Security Breach Notification, Erstellung einer allenfalls erforderlichen Datenschutzfolgenabschätzung).

Die Auftragsverarbeiter sind verpflichtet, dem Verantwortlichen bzw. Ingram alle erforderlichen Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Pflichten zur Verfügung zu stellen. Die Auftragsverarbeiter sind auch verpflichtet, es dem Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten und der Vertraulichkeitsverpflichtung unterliegenden unabhängigen Prüfer bzw. Ingram nach einer angemessenen Ankündigung und in angemessenen Rahmen zu ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten zu überprüfen (einschließlich entsprechender Inspektionen) und diese werden zu solchen Überprüfungen beitragen. Ingram ist in diesem Zusammenhang berechtigt, vereinbartes bzw. sonst angemessenes Entgelt für ihre Leistungen zu verlangen. Mit Blick auf diese Verpflichtung wird der Verantwortliche bzw. Ingram auch unverzüglich informiert, falls die Auffassung besteht, dass eine Weisung des Verantwortlichen bzw. von Ingram gegen die DSGVO oder gegen andere Datenschutzbestimmungen verstößt.

Nach Abschluss der Erbringung der Verarbeitungsleistungen sind alle personenbezogenen Daten nach Wahl des Verantwortlichen bzw. von Ingram entweder zu löschen oder zurückzugeben, sofern nicht eigene gesetzliche Verpflichtungen zur Speicherung bestehen.