Datenschutzbestimmungen

1. Einleitung

Diese Datenschutzrichtlinie (“Richtlinie”) informiert über die Verarbeitung personenbezogener Daten durch die Last Mile Solutions Deutschland GmbH, eine Gesellschaft mit beschränkter Haftung nach deutschem Recht mit satzungsmäßigem Sitz in Unter den Linden 21, 10117 Berlin (Deutschland) (im Folgenden bezeichnet als: “Last Mile Solutions“).

Last Mile Solutions ist unter den folgenden Kontaktdaten zu erreichen:

Last Mile Solutions Deutschland GmbHUnter den Linden 21,10117 Berlin (Deutschland)

Telefon:  +49 170 571 5807E-Mail Adresse: privacy@lastmilesolutions.com

Diese Richtlinie gilt für alle von Last Mile Solutions und/oder im Auftrag von Last Mile Solutions verarbeiteten personenbezogenen Daten, die eine Person identifizieren oder identifizieren können (“personenbezogene Daten“). Diese Personen werden im Folgenden gemeinsam als betroffene Personen (“Betroffene Person“) bezeichnet.

Last Mile Solutions behält sich das Recht vor, diese Richtlinie in regelmäßigen Abständen zu überprüfen und/oder zu ändern, um die einschlägigen Gesetze einzuhalten, sowie für jeden anderen Zweck, den Last Mile Solutions für angemessen notwendig erachtet.

Bei Fragen zu dieser Richtlinie wenden Sie sich bitte an die Datenschutzbeauftragten unter: privacy@lastmilesolutions.com.

Diese Datenschutzrichtlinie gilt nicht, soweit Last Mile Solutions personenbezogene Daten im Auftrag seiner Kunden als Auftragsverarbeiter verarbeitet, einschließlich wenn Last Mile Solutions die Plattform bereitstellt, über die seine Kunden personenbezogene Daten von Kunden ihrer Kunden sammeln und verarbeiten.

Für Datenschutzinformationen bezüglich eines Kunden von Last Mile Solutions oder eines verbundenen Unternehmens eines Kunden, das die Plattform und Dienstleistungen von Last Mile Solutions als Datenverantwortlicher nutzt, konsultieren Sie bitte die Datenschutzrichtlinie des Kunden oder kontaktieren Sie den Kunden direkt.

2. Umfang mit personenbezogenen Daten

Last Mile Solutions hält sich an alle deutschen und europäischen Gesetze und Vorschriften zum Schutz personenbezogener Daten, insbesondere an die EU-Datenschutz-Grundverordnung vom 27. April 2016 (im Folgenden “DS-GVO”) (“Anwendbare Gesetze”).

Die Richtlinie ist eine externe Richtlinie und richtet sich an betroffene Personen, deren personenbezogene Daten von Last Mile Solutions zum Zweck der Herstellung und Lieferung von Produkten und Dienstleistungen verarbeitet werden. Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten, bei der Last Mile Solutions als Datenverantwortlicher im Sinne der anwendbaren Gesetze handelt. Diese Datenschutzbestimmungen gelten für die personenbezogenen Daten der betroffenen Personen durch Last Mile Solutions sowie für die Verarbeitung dieser personenbezogenen Daten, in welcher Form auch immer.

Für Geschäftszwecke können die betroffenen Personen aufgefordert werden, ihre personenbezogenen Daten zur Verfügung zu stellen. In diesem Fall ist Last Mile Solutions, seine Tochtergesellschaften und Partner verpflichtet, diese Informationen vertraulich zu behandeln.

3. Personenbezogene Daten

Die hier erwähnten und von Last Mile Solutions definierten personenbezogenen Daten beziehen sich auf Informationen aller Art, die sich auf jede betroffene Person beziehen – ihren Namen, ihre Adresse, ihre E-Mail-Adresse, ihre Mobiltelefonnummer usw. – und die von den betroffenen Personen an Last Mile Solutions übermittelt werden.

Die Kategorien von personenbezogenen Daten, die Last Mile Solutions verarbeitet, sind:

• Name;
• Nachname;
• Titel;
• Familienname;
• E-Mail-Adresse;
• Telefonnummer (geschäftlich und privat);
• Bankkontonummer;
• Anschrift;
• Geschäfts-, Rechnungs- und Lieferanschrift;
• Berufserfahrung;
• Rolle in der Organisation;
• Abteilung;
• Nationalität;
• IP-Adresse;
• Log-in-Verlauf;
• Videobilder von natürlichen Personen;
• digitale Bilder von natürlichen Personen bei Veranstaltungen;
• Zahlungsauftrag/Historie;
• Statistiken über die Nutzung der App
• Besucherinformationen (Datum und Uhrzeit);
• in Verträgen enthaltene Tarife und Preise;
• Rechnungen und Transaktionsdaten;
• Passwort;
• Energieverbrauch;
• Benutzer-(Serien-)Nummer; und
• Benutzer-Login-ID oder Nutzername;
• Ladestellen-ID;
• Karten-ID.

Bestimmte Informationen können sensible personenbezogene Daten im Sinne der geltenden Vorschriften sein. Last Mile Solutions verpflichtet sich, solche sensiblen Daten im Einklang mit den geltenden Vorschriften zu verarbeiten und die betroffenen Personen entsprechend zu informieren.

4. Zweck und Rechtsgrundlage der Datenverarbeitung

4.1 Zweck

Die Zwecke der Verarbeitung der personenbezogenen Daten durch Last Mile Solutions sind:

• Verkauf und Materialverwaltung;
• Marketing- und PR-Aktivitäten;
• Rekrutierung;
• Zahlung von Rechnungen und Schuldenmanagement;
• Rechtshilfe (Überprüfung von Verträgen);
• Beziehungsmanagement;
• Kontaktpflege mit potenziellen Geschäftspartnern;
• Erstellen von Bestellungen (PO);
• Bereitstellung von Service und Unterstützung;
• Besucherregistrierung;
• Qualitätskontrolle;
• Schulung von Kunden;
• Paketzustellung; und
• Vertragsverwaltung;
• Sicherheitsgründe: physische Sicherheit von Personen, Schutz von Eigentum und gegen Eindringlinge;
• Bewertung der Kundenzufriedenheit;
• Sicherstellung von Werbe- und Direktmarketingmaßnahmen;
• Einhaltung der gesetzlichen und behördlichen Vorschriften;
• Durchführung von Marktanalysen und Erstellung von Statistiken.

Die Videoüberwachung in Form von Video-Türklingeln oder Parkplatzkameras kann auf unserem Gelände von Dritten durchgeführt werden. Last Mile Solutions Deutschland hat keine Kontrolle über diese Videoüberwachung und übernimmt keine Verantwortung für diese Videoüberwachung.

Weitere Informationen zu den Zwecken der Verarbeitung personenbezogener Daten durch Last Mile Solutions finden Sie in Anhang 1 zu diesen Datenschutzbestimmungen.

4.2 Rechtsgrundlage

Last Mile Solutions ist verpflichtet, die personenbezogenen Daten in Übereinstimmung mit diesen Zwecken und in Übereinstimmung mit den geltenden Gesetzen zu verarbeiten. Die Datenverarbeitung durch Last Mile Solutions ist für die Durchführung von Tätigkeiten erforderlich, für die die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, oder für die Erfüllung eines Vertrags zwischen Last Mile Solutions und der betroffenen Person, oder für die Erfüllung einer rechtlichen Verpflichtung, oder sie ist für die Zwecke eines von Last Mile Solutions verfolgten berechtigten Interesses erforderlich. Die betroffenen Personen haben das Recht, ihre Einwilligung jederzeit zu widerrufen. Auch wenn die Verarbeitung für die Erfüllung eines Vertrags zwischen Last Mile Solutions und der betroffenen Person erforderlich ist, sind die verarbeiteten personenbezogenen Daten für den Abschluss eines Vertrags notwendig. Ohne die Bereitstellung der personenbezogenen Daten kann der Vertrag nicht geschlossen werden. Die berechtigten Interessen, für die Last Mile Solutions personenbezogene Daten verarbeitet, sind: Beziehungsmanagement, Marketing- und PR-Aktivitäten, Kontaktformular für Angebote und Bestellungen sowie die Gewährleistung der Sicherheit von Kunden und Besuchern.

4.3 Aufbewahrungsfrist

Last Mile Solutions verwendet und speichert personenbezogene Daten nur so lange, wie es für die Erfüllung der oben genannten Zwecke erforderlich ist, und löscht die gesammelten personenbezogenen Daten nach Ablauf des Zeitraums, der erforderlich ist, um die in dieser Richtlinie beschriebenen Zwecke zu erreichen, oder um vertraglichen Verpflichtungen nachzukommen oder wie es die geltenden Gesetze erlauben oder vorschreiben. In Anhang 1 dieser Richtlinie sind die Aufbewahrungsfristen für die einzelnen Zwecke der Verarbeitung personenbezogener Daten aufgeführt.

5. Zweckbindung

Die personenbezogenen Daten dürfen nur in dem Umfang verarbeitet werden, der für die beschriebenen Zwecke erforderlich ist. Personenbezogene Daten dürfen grundsätzlich nicht für andere Zwecke als die, für die sie erhoben wurden, verarbeitet werden. Besteht die Notwendigkeit oder das Bedürfnis, personenbezogene Daten für andere Zwecke zu verarbeiten, so wird Last Mile Solutions prüfen, ob die Zwecke der beabsichtigten Datenverarbeitung mit den ursprünglichen Zwecken vereinbar sind. Vor dieser Weiterverarbeitung wird Last Mile Solutions die betroffene Person über den neuen Zweck informieren.

6. Sicherheitsmaßnahmen und Meldung von Datenschutzverletzungen

6.1 Sicherheitsmaßnahmen

Last Mile Solutions hat angemessene organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten getroffen, die mindestens Folgendes umfassen:

• physische Sicherheit und Schutz der eingesetzten Geräte und Systeme;
• Zugriffssicherheit (z. B. Passwörter, Windows‑Passwort, VPN‑Login, sichere Internetverbindung, Verschlüsselung sowie der Einsatz getrennter Cloud‑Dienste);
• Versand von E‑Mails unter Verwendung des BCC‑Feldes, soweit angemessen;
• rollenbasierte Zugriffskontrollen;
• SSL‑Zertifikate; und
• Einsatz eines zentralen Verzeichnisdienstes (Active Directory).

Eine weitergehende Beschreibung der von Last Mile Solutions getroffenen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten kann bei Last Mile Solutions unter folgender Kontaktadresse angefordert werden: privacy@lastmilesolutions.com.

6.2 Verfahren zur Meldung von Datenschutzverletzungen

Last Mile Solutions ist verpflichtet, Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzungen“) einer Datenschutzaufsichtsbehörde zu melden und – sofern die Datenschutzverletzung voraussichtlich nachteilige Folgen für betroffene Personen haben kann – auch die betroffenen Personen zu informieren.

6.2.1 Analyse von Datenschutzverletzungen

Alle betroffenen Personen sollen eine (vermutete) Datenschutzverletzung unverzüglich nach deren Entdeckung dem Datenschutzbeauftragten von Last Mile Solutions unter folgender Kontaktadresse melden: privacy@lastmilesolutions.com.

Die Meldung sollte nach Möglichkeit insbesondere die folgenden Informationen enthalten:

• die betroffenen personenbezogenen Daten;
• die Art der Datenschutzverletzung;
• die Kategorien und – soweit möglich – die ungefähre Anzahl der betroffenen Personen;
• die Kategorien und – soweit möglich – die ungefähre Anzahl der betroffenen Datensätze personenbezogener Daten;
• den Zeitraum, in dem die Datenschutzverletzung eingetreten ist;
• die wahrscheinlichen Folgen der Datenschutzverletzung;
• eine Beschreibung der tatsächlichen oder mutmaßlichen negativen Auswirkungen der Datenschutzverletzung;
• die von Last Mile Solutions ergriffenen und/oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Folgen; sowie
• den Namen und die Kontaktdaten relevanter interner und externer Ansprechpartner, bei denen weitere Informationen eingeholt werden können.

Geht beim Datenschutzbeauftragten von Last Mile Solutions eine Meldung über eine (vermutete) Datenschutzverletzung ein, prüft dieser, ob tatsächlich eine Datenschutzverletzung vorliegt.

Steht fest, dass eine Datenschutzverletzung eingetreten ist, bewertet der Datenschutzbeauftragte von Last Mile Solutions, ob diese Datenschutzverletzung in den Anwendungsbereich der DSGVO fällt. Die DSGVO findet insbesondere Anwendung, wenn die Datenschutzverletzung im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten von Last Mile Solutions innerhalb der EU steht. Darüber hinaus findet die DSGVO Anwendung, wenn die Datenschutzverletzung im Zusammenhang mit Tätigkeiten von Last Mile Solutions außerhalb der EU steht, bei denen die Verarbeitung in Bezug steht auf

• die Beobachtung des Verhaltens betroffener Personen, soweit dieses Verhalten innerhalb der EU stattfindet; oder
• das Anbieten von Waren oder Dienstleistungen an betroffene Personen in der EU.

Ist die DSGVO nicht anwendbar, prüft der Datenschutzbeauftragte von Last Mile Solutions, welche Gesetze und Vorschriften auf die betreffende Datenschutzverletzung Anwendung finden.

Ergibt sich aus dieser Prüfung, dass die DSGVO anwendbar ist, bewertet der Datenschutzbeauftragte, ob Last Mile Solutions in Bezug auf die jeweilige Datenschutzverletzung als „Verantwortlicher“ oder als „Auftragsverarbeiter“ handelt.

Handelt Last Mile Solutions als Verantwortlicher, meldet Last Mile Solutions – sofern erforderlich – die Datenschutzverletzung an die zuständige Aufsichtsbehörde sowie an die betroffenen Personen gemäß diesem Verfahren. Handelt Last Mile Solutions als Auftragsverarbeiter, prüft Last Mile Solutions zunächst die einschlägige Datenverarbeitungsvereinbarung, stimmt sich mit dem jeweiligen Verantwortlichen ab und vereinbart mit diesem das weitere Vorgehen.

6.2.2 Meldung an die zuständige Aufsichtsbehörde

Steht fest, dass eine Datenschutzverletzung vorliegt, hat die Datenschutzbeauftragte von Last Mile Solutions die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung zu unterrichten, es sei denn, die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Der Datenschutzbeauftragte von Last Mile Solutions bewertet das Risikoniveau einer Datenschutzverletzung anhand der Schwere möglicher Auswirkungen und der Eintrittswahrscheinlichkeit. Dabei berücksichtigt der Datenschutzbeauftragte insbesondere folgende Faktoren:

• Art der Datenschutzverletzung;
• Art, Sensibilität und Umfang der betroffenen personenbezogenen Daten;
• Grad der Identifizierbarkeit betroffener Personen;
• Schwere der möglichen Folgen für betroffene Personen;
• besondere Eigenschaften der betroffenen Personen; sowie
• besondere Eigenschaftendes Verantwortlichen.

Auf Basis dieser Bewertung legt der Datenschutzbeauftragte fest und dokumentiert, ob die Schwellenwerte für eine Meldepflicht im Sinne dieses Abschnitts erreicht sind.

Besteht eine Meldepflicht, übermittelt der Datenschutzbeauftragte die Meldung an die zuständige Aufsichtsbehörde. Diese Meldung umfasst mindestens:

• eine Beschreibung der Art der Datenschutzverletzung, einschließlich – soweit möglich – der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze personenbezogener Daten;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten bzw. Ansprechpartners von Last Mile Solutions;
• eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung; und
• eine Beschreibung der von Last Mile Solutions ergriffenen oder geplanten Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich – soweit angemessen – Maßnahmen zur Minderung etwaiger nachteiliger Auswirkungen.

Ist es dem Datenschutzbeauftragten von Last Mile Solutions nicht möglich, der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden sämtliche vorstehenden Informationen zur Verfügung zu stellen, übermittelt er zunächst die verfügbaren Informationen und ergänzt die Meldung so bald wie möglich. Kann die Meldung nicht innerhalb von 72 Stunden erfolgen, legt der Datenschutzbeauftragte der zuständigen Aufsichtsbehörde die Gründe für die Verzögerung dar.

6.2.3 Benachrichtigung betroffener Personen

Eine Benachrichtigung der betroffenen Personen ist erforderlich, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt, es sei denn, einer der folgenden Ausnahmetatbestände greift:

• Last Mile Solutions hat geeignete technische und organisatorische Maßnahmen umgesetzt, um einen unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern (z. B. Verschlüsselung), sodass die Daten für unbefugte Dritte unverständlich sind;
• Last Mile Solutions hat nach Entdeckung der Datenschutzverletzung Maßnahmen ergriffen, um die Folgen der Datenschutzverletzung zu verhindern oder so weit zu mindern, dass das hohe Risiko für die Rechte und Freiheiten betroffener Personen voraussichtlich nicht mehr besteht; oder
• die Benachrichtigung der betroffenen Personen würde einen unverhältnismäßigen Aufwand erfordern; in diesem Fall erfolgt eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme, durch die die betroffenen Personen in ebenso wirksamer Weise informiert werden.

Die Information der betroffenen Personen erfolgt unverzüglich, d. h. ohne schuldhafte Verzögerung. Der Datenschutzbeauftragte stellt den betroffenen Personen im Rahmen dieser Benachrichtigung zumindest die folgenden Informationen zur Verfügung:

• eine Beschreibung der Art der Datenschutzverletzung;
• den Namen und die Kontaktdaten des Ansprechpartners bei Last Mile Solutions (Datenschutzbeauftragter von Last Mile Solutions);
• eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung; und
• eine Beschreibung der von Last Mile Solutions ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich – soweit angemessen – Maßnahmen zur Minderung der etwaigen nachteiligen Auswirkungen.

Die Benachrichtigung der betroffenen Personen erfolgt mittels einer gesonderten, klar und verständlich formulierten Mitteilung, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Soweit angemessen, gibt der Datenschutzbeauftragte den betroffenen Personen zudem konkrete Hinweise, wie sie sich vor möglichen nachteiligen Folgen der Datenschutzverletzung schützen können.

6.2.4 Dokumentation von Datenschutzverletzungen

Jede Datenschutzverletzung wird – unabhängig davon, ob eine Meldepflicht gegenüber einer Aufsichtsbehörde oder eine Benachrichtigung betroffener Personen besteht – vom Datenschutzbeauftragten von Last Mile Solutions dokumentiert. Die Dokumentation umfasst die in den Abschnitten 6.2.1 bis 6.2.3 beschriebenen Informationen einschließlich sämtlicher Erwägungen, Bewertungen und Entscheidungen im Zusammenhang mit der jeweiligen Datenschutzverletzung.

Zweck dieser Dokumentation ist es, Last Mile Solutions die Erfüllung der Rechenschaftspflichten nach der DSGVO zu ermöglichen. Zu diesem Zweck werden sämtliche Unterlagen zu Datenschutzverletzungen in einem internen Register erfasst und aufbewahrt. Dieses Register kann einer zuständigen Aufsichtsbehörde auf entsprechendes Verlangen vorgelegt werden.

 7. Sicherheit der personenbezogenen Daten

Last Mile Solutions behandelt personenbezogene Daten sorgfältig und vertraulich und setzt geeignete physische, organisatorische und technische Schutzmaßnahmen ein, um die Integrität und Sicherheit der personenbezogenen Daten zu gewährleisten.

7.1 Allgemeine Sicherheitsverpflichtungen

Last Mile Solutions setzt geeignete technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, in Übereinstimmung mit Artikel 32 DSGVO, dem EU Data Act (Verordnung (EU) 2023/2854) sowie den nach ISO 27001 und ISO 27701 zertifizierten Informationssicherheits‑Managementsystemen von Last Mile Solutions.

7.2 Verschlüsselung von Daten

Alle personenbezogenen und nicht‑personenbezogenen Daten, die von Last Mile Solutions verarbeitet werden, sind nach dem Stand der Technik durch Verschlüsselung sowohl bei der Übertragung als auch bei der Speicherung geschützt, soweit dies technisch umsetzbar und dem jeweiligen Verarbeitungsrisiko angemessen ist. Last Mile Solutions wendet mindestens die folgenden Verschlüsselungsstandards an:

• Daten in Übertragung: TLS 1.2 oder höher für sämtliche Netzwerkkommunikation zwischen Plattformkomponenten, Endnutzergeräten und Integrationen mit Drittsystemen.
• Daten im Ruhezustand: AES‑256‑Verschlüsselung oder höher für sämtliche gespeicherten Daten, einschließlich Datenbanken, Backup‑Systemen und Archivspeichern.
• Schlüsselverwaltung: Kryptografische Schlüssel werden über dedizierte Key‑Management‑Dienste mit strengen Zugriffsbeschränkungen, Rotationsrichtlinien und Protokollierung verwaltet.
• Ende‑zu‑Ende‑Schutz: Daten aus Ladevorgängen, Zahlungstoken sowie personenbezogene Identifikatoren unterliegen – soweit technisch umsetzbar – einer feldbasierten Verschlüsselung.

Last Mile Solutions überprüft und aktualisiert seine Verschlüsselungspraktiken regelmäßig unter Berücksichtigung der Empfehlungen der ENISA, den anwendbaren technischen Standards nach dem EU‑Cybersecurity‑Act sowie der Verpflichtungen aus der NIS‑2‑Richtlinie (Richtlinie (EU) 2022/2555), soweit diese auf Betreiber essenzieller Dienste Anwendung finden.

7.3 Informationspflicht zur Lokalisierung der IKT‑Infrastruktur (EU Data Act)

Rechtsgrundlage

EU Data Act – Verordnung (EU) 2023/2854, Artikel 30 (Transparenzpflichten in Bezug auf den Ort der Datenverarbeitung und Datenspeicherung), in Verbindung mit Artikel 25 Data Act (Beschränkungen des internationalen staatlichen Zugriffs auf nicht‑personenbezogene Daten), Artikel 32 DSGVO (technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung) sowie Erwägungsgrund 69 des Data Act (Transparenz über den Standort von Cloud‑ und Edge‑Infrastrukturen).

7.3.1 Anwendungsbereich und Zweck

Im Einklang mit den durch den EU Data Act auferlegten Transparenzpflichten ist Last Mile Solutions verpflichtet, Dateninhaber, Datenempfänger, Nutzer vernetzter Produkte sowie sonstige betroffene Parteien darüber zu informieren:

(i) in welcher(en) Rechtsordnung(en) personenbezogene und nicht‑personenbezogene Daten, die im Rahmen der Dienstleistungen von Last Mile Solutions erzeugt werden, gespeichert und verarbeitet werden;

(ii) welche technischen und organisatorischen Maßnahmen bestehen, um einen unrechtmäßigen oder unbefugten Zugriff auf solche Daten durch öffentliche Stellen von Drittstaaten zu verhindern; sowie

(iii) welcher rechtliche Rahmen für die entsprechenden Zugriffsbeschränkungen gilt.

Diese Informationspflicht gilt für sämtliche Daten, die über die IKT‑Infrastruktur von Last Mile Solutions verarbeitet werden, einschließlich Lademanagementsystemen, OCPP‑Kommunikationsebenen, Backend‑Plattformen sowie damit verbundenen Cloud‑ oder Edge‑Services.

7.3.2 Standort der IKT‑Infrastruktur

Last Mile Solutions speichert und verarbeitet sämtliche Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR). Es gelten die folgenden Standorte und Ausgestaltungen der IKT‑Infrastruktur:

Kategorie: Primäres Rechenzentrum

Standort / Rechtsordnung: Europäische Union (Niederlande)

Rechtlicher Rahmen: DSGVO; EU Data Act; NIS-2-Richtlinie

Kategorie: Backup- und Notfallwiederherstellung

Standort / Rechtsordnung: Europäische Union

Rechtlicher Rahmen: DSGVO; EU Data Act; NIS-2-Richtlinie

Kategorie: Cloud-Unterauftragsverarbeiter

Standort / Rechtsordnung: Ausschließlich EWR (vertraglich beschränkt)

Rechtlicher Rahmen: DSGVO Art. 28 (AVV); Data Act Art. 25; Standardvertragsklauseln (SCCs), soweit anwendbar

Kategorie: Edge-Computing-Knoten

Standort / Rechtsordnung: Vor-Ort an Ladeinfrastruktureinrichtungen innerhalb des EWR

Rechtlicher Rahmen: DSGVO; EU Data Act; jeweils anwendbares nationales Recht

Die vorstehende Übersicht zur IKT‑Infrastruktur wird jährlich überprüft und aktualisiert, sobald wesentliche Änderungen an den Orten der Datenverarbeitung von Last Mile Solutions eintreten. Die jeweils aktuelle und gültige Übersicht ist abrufbar unter:

https://www.lastmilesolutions.com/de/datenschutzbestimmungen/

7.3.3 Schutz vor staatlichem Zugriff aus Drittstaaten

In Übereinstimmung mit Artikel 25 des EU Data Act hat Last Mile Solutions die folgenden Maßnahmen implementiert, um einen unrechtmäßigen Zugriff auf nicht‑personenbezogene Daten durch öffentliche Stellen von Drittstaaten zu verhindern:

• Vertragliche Zugriffsbeschränkungen: Sämtliche Datenverarbeitungsverträge mit Unterauftragsverarbeitern und Cloud‑Dienstleistern enthalten verbindliche Verpflichtungen, die eine Offenlegung von Daten von Last Mile Solutions gegenüber öffentlichen Stellen von Drittstaaten ohne vorherige Benachrichtigung von Last Mile Solutions und – soweit rechtlich zulässig – ohne ausdrückliche Zustimmung von Last Mile Solutions untersagen.
• Rechtsraumbezogene Beschränkung: Daten sind vertraglich und technisch auf Rechtsräume innerhalb des EWR beschränkt. Unterauftragsverarbeiter sind nicht berechtigt, Daten außerhalb des EWR zu übermitteln, sofern hierfür kein rechtmäßiger Übermittlungsmechanismus nach Kapitel V DSGVO besteht und keine ausdrückliche Genehmigung erteilt wurde.
• Verpflichtung zur rechtlichen Anfechtung: Erhält ein Unterauftragsverarbeiter oder Last Mile Solutions selbst ein rechtlich verbindliches Auskunfts‑ oder Zugriffsersuchen einer Behörde eines Drittstaates, sind Last Mile Solutions und die eingesetzten Auftragsverarbeiter vertraglich verpflichtet, einen solchen Zugriff – sofern entsprechende rechtliche Mechanismen bestehen – vor dem zuständigen Gericht anzufechten und die zuständige europäische Aufsichtsbehörde zu informieren.
• Technische Trennung und Datenresidenz: Soweit technisch umsetzbar, setzt Last Mile Solutions Maßnahmen zur Datenresidenz ein, einschließlich von Datenhoheits‑ und Datenresidenzfunktionen zertifizierter EU‑Cloud‑Anbieter, um zu verhindern, dass Daten außerhalb des EWR physisch zugänglich sind.
• Verschlüsselung als Zugriffsschranke: Eine umfassende Verschlüsselung gemäß Abschnitt 6.2 stellt sicher, dass Daten selbst im Falle eines unbefugten physischen Zugriffs auf Hardware für Dritte nicht lesbar sind, solange kein Zugriff auf die kryptografischen Schlüssel besteht, die ausschließlich innerhalb des EWR verwaltet werden.

7.3.4 Öffentlich bereitgestellte allgemeine Sicherheitsmaßnahmen

Zur Erfüllung der Transparenzpflichten nach dem EU Data Act und im Einklang mit der ISO‑27001‑Zertifizierung von Last Mile Solutions veröffentlicht Last Mile Solutions eine Zusammenfassung der anwendbaren Sicherheitsmaßnahmen. Folgende Maßnahmen auf hoher Ebene sind implementiert:

• Ende‑zu‑Ende‑Verschlüsselung sämtlicher Daten bei Übertragung und im Ruhezustand (AES‑256+ / TLS 1.2+)
• Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der minimalen Berechtigung
• Mehrfaktor‑Authentifizierung für sämtliche privilegierten Systemzugriffe
• Kontinuierliche Überwachung sowie Erkennung von Sicherheitsvorfällen und Eindringversuchen
• Schwachstellenmanagement und regelmäßige Penetrationstests
• Informationssicherheits‑Managementsystem nach ISO 27001 und ISO 27701
• Jährliche Überprüfung der Sicherheits‑Compliance von Unterauftragsverarbeitern
• Verfahren zum Umgang mit Datenschutzverletzungen einschließlich der Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Artikel 33 DSGVO

Die vollständigen technischen und organisatorischen Maßnahmen (TOMs) werden auf Anfrage Vertragsparteien zur Verfügung gestellt, die an Datenverarbeitungsvereinbarungen gebunden sind.

7.3.5 Zertifizierung und Compliance

Die Einhaltung der in diesem Abschnitt beschriebenen Informations‑ und Sicherheitsverpflichtungen durch Last Mile Solutions ist verankert in und wird überprüft durch:

• ISO‑27001‑Zertifizierung (Informationssicherheits‑Managementsystem) – mit jährlichem externem Audit;
• ISO‑27701‑Zertifizierung (Datenschutz‑Informationsmanagementsystem) – ausgerichtet an den Rechenschaftspflichten der DSGVO;
• Regelmäßige Durchführung von Datenschutz‑Folgenabschätzungen (DSFA) für Verarbeitungsvorgänge mit hohem Risiko;
• Regelmäßige rechtliche Überprüfung der Anforderungen an Datenlokalisierung und Datenzugriff nach sich fortentwickelnde EU‑Datenrecht.

8. Rechte in Bezug auf personenbezogene Daten

Betroffene Personen haben das Recht auf Information, Zugang, Berichtigung, Ergänzung und Löschung personenbezogener Daten und das Recht, der Verarbeitung personenbezogener Daten zu widersprechen oder sie einzuschränken (oder eine früher erteilte Zustimmung zu widerrufen), sowie das Recht auf Datenübertragbarkeit. Das Verfahren von Last Mile Solutions, das es den betroffenen Personen ermöglicht, diese Rechte auszuüben, wird im Folgenden beschrieben.

Betroffene Personen können bei Last Mile Solutions einen Antrag auf Auskunft stellen, und Last Mile Solutions antwortet unverzüglich, in jedem Fall aber innerhalb eines (1) Monats, dahingehend

a) ob Last Mile Solutions über personenbezogene Daten der betroffenen Person verfügt; und,

b) wenn ja, über die Zwecke der Verarbeitung, die Kategorien, die Empfänger (falls zutreffend), die vorgesehene Dauer der Speicherung der personenbezogenen Daten oder die angewandten Kriterien, das Bestehen des Rechts auf Berichtigung, Löschung, Einschränkung oder Widerspruch gegen eine solche Verarbeitung, das Recht auf Beschwerde bei einer Aufsichtsbehörde, das Bestehen einer automatisierten Entscheidungsfindung, im Falle der Übermittlung der Daten in ein Drittland, die angemessenen Garantien und die Quelle(n) der personenbezogenen Daten informiert.

Nachdem eine betroffene Person Zugang zu den personenbezogenen Daten erhalten hat, kann sie Last Mile Solutions auffordern, die personenbezogenen Daten zu korrigieren, einzuschränken, zu ändern, zu ergänzen, zu löschen und/oder zu transportieren. Last Mile Solutions teilt der betroffenen Person innerhalb eines (1) Monats nach Erhalt des Antrags mit, ob dem Antrag (rechtzeitig) entsprochen wird, und falls nicht, die Gründe für die Verzögerung oder Ablehnung.

Die Auskunftserteilung erfolgt unentgeltlich. Die betroffenen Personen können diese Rechte in angemessenen Abständen ausüben. Betroffene Personen können ihre Rechte ausüben, indem sie sich schriftlich an die den Datenschutzbeauftragten bei Last Mile Solutions wenden (Adresse siehe oben) oder eine E-Mail an privacy@lastmilesolutions.com senden.

Last Mile Solutions wird einem berechtigten Antrag einer betroffenen Person auf Berichtigung, Einschränkung oder Löschung nachkommen, wenn die personenbezogenen Daten sachlich unrichtig, unvollständig oder für den Zweck der Datenverarbeitung irrelevant sind oder anderweitig im Widerspruch zu den geltenden Gesetzen verarbeitet werden.

Im Hinblick auf einen Antrag auf Löschung personenbezogener Daten ist zu berücksichtigen, dass Last Mile Solutions einem solchen Antrag nicht nachkommen wird, wenn er mit den gesetzlichen Verpflichtungen von Last Mile Solutions unvereinbar ist.

Wenn einem Antrag stattgegeben wird, führt Last Mile Solutions die Entscheidung über die Berichtigung, Änderung, Löschung und/oder den Transport der personenbezogenen Daten so schnell wie möglich aus.

Im Falle von Bedenken hinsichtlich des Umgangs mit personenbezogenen Daten haben die betroffenen Personen auch das Recht, eine Beschwerde bei einer lokalen Aufsichtsbehörde [in Deutschland: Datenschutzbeauftragte des jeweiligen Bundeslandes] einzureichen.

9. Google Maps

Google Maps kann auf unserer Website genutzt werden, um z.B. die Route zu unserem Büro zu berechnen. Last Mile Solutions verarbeitet in diesem Fall die Standortdaten der betroffenen Person, um herauszufinden, wo sich die betroffene Person befindet und um die Route zu bestimmen. Wir fragen gesondert nach, ob wir dies tun dürfen und verwenden diese Informationen nur mit der Erlaubnis der betroffenen Person. Wir verwenden für diesen Dienst die Navigations- und Ortungssoftware von Google. Mit der Nutzung von Google Maps erklären Sie sich mit den zusätzlichen Nutzungsbedingungen von Google Maps / Google Earth einverstanden, die Sie unter https://www.google.com/intl/pl_US/help/terms_maps/ finden. Wir verwenden Google Maps unter den von Google festgelegten Bedingungen (https://developers.google.com/maps/documentation), und gleichzeitig haben wir keine Kontrolle darüber, was die Hersteller dieser Software (Google) damit machen. Die betroffene Person sollte immer ihre Datenschutzerklärung lesen. Weitere Informationen über die Datenverarbeitung durch Google finden Sie in deren Datenschutzerklärung, die unter https://policies.google.com/privacy abrufbar ist.

Bei der Nutzung unserer mobilen Apps können Sie auch Google Maps mit Informationen über den Standort von Ladestationen nutzen, und während der Nutzung dieses Dienstes sammelt die mobile App Daten über Ihren Standort (ohne jedoch die Möglichkeit, andere Funktionen wie die Navigation zu nutzen). Unsere mobilen Apps erheben Daten über Ihren Standort nur auf der Grundlage Ihrer gesonderten vorherigen Zustimmung und nur zum Zweck der Nutzung dieses Dienstes. Die Daten zu Ihrem Standort werden im Speicher Ihres Geräts gespeichert und nicht an Last Mile Solutions übermittelt. Die Nutzung von Google Maps in unseren mobilen Apps unterliegt den oben genannten zusätzlichen Nutzungsbedingungen für Google Maps / Google Earth, die unter https://www.google.com/intl/pl_US/help/terms_maps/ abrufbar sind, sowie den oben genannten Datenschutzbestimmungen von Google, die unter https://policies.google.com/privacy abrufbar sind.

10. Verbundene Unternehmen

Threeforce B.V., das unter dem Namen Last Mile Solutions firmiert, kann personenbezogene Daten auch an seine verbundenen Unternehmen weitergeben. Threeforce ist und bleibt jedoch der Datenverantwortliche und Eigentümer aller gemeinsam genutzten und verarbeiteten personenbezogenen Daten. Diese Übermittlung personenbezogener Daten beruht auf dem berechtigten Interesse von Threeforce an der Zusammenarbeit mit den einzelnen Mitgliedsunternehmen in geschäftlichen Angelegenheiten (Art. 6 Abs. 1 lit. f DS-GVO) und soll Threeforce helfen, seine Dienstleistungen zu verbessern.

Zur Sicherstellung eines den Anforderungen des europäischen Datenschutzrechts entsprechenden Datenschutzniveaus und gemäß Art. 46 DSGVO hat Threeforce mit seinen verbundenen Unternehmen eine Vereinbarung über konzerninterne Datenübermittlungen einschließlich EU-Standardvertragsklauseln und Transfer-Folgenabschätzung mit den jeweiligen verbundenen Unternehmen abgeschlossen.

Die jeweiligen verbundenen Unternehmen sind in der nachstehenden Tabelle aufgeführt:

Name und Adresse:

Last Mile Solutions France SAS88 Avenue Charles de Gaulle,92200 Neuilly sur Seine, Paris (Frankreich).

Threeforce UK Limited1 The Sanctuary, WestminsterLondon, SW1P 3JT (Vereinigtes Königreich).

Last Mile Solutions Deutschland GmbHUnter den Linden 21,10117 Berlin (Germany).

Last Mile Solutions Polenul. Stefana Rogozińskiego 6,31-559 Kraków, Poland.

11. Fragen und Anfragen

Für Fragen und Anfragen zu dieser Politik von Last Mile Solutions wenden Sie sich bitte an: den Datenschutzbeauftragten unter: privacy@lastmilesolutions.com

Anhang 1: Zwecke der Verarbeitung, Rechtsgrundlagen und Aufbewahrungsfristen.*

Zweck der VerarbeitungRechtsgrundlage AufbewahrungsfristVertragsdaten, tägliche Kommunikation, Versand-auftrag, Angebotsanfrage, kommerzielle KommunikationErforderlich für die Erfüllung eines Vertrags oder einer BestellungMindestens für die Dauer des Vertrages, bis zum Ende der Garantiezeit und/oder ReklamationFinanzdatenbank; BuchhaltungErforderlich für die Einhaltung der gesetzlichen Verpflich-tung10 JahreDatenbank der LieferantenErforderlich für die Vertragserfüllung10 Jahre nach Ablauf des LieferantenvertragsRechnungsbegleichung und ForderungsmanagementErforderlich für die Vertragserfüllung10 JahreVertrieb und Material-wirtschaftBerechtigter Interesse5 Jahre nach Vertrags-beendigungAngebote und Bestellungen von DienstleistungenErforderlich für die Vertragserfüllung5 Jahre nach Vertrags-beendigungRechtsbeistand (Überprüfung von Verträgen)Berechtigter Interesse (Überprüfung von Verträgen)5 Jahre nach Vertrags-beendigungBeziehungsmanagementZustimmung und notwendig für die Erfüllung eines Vertrages5 Jahre nach Beendigung der Beziehung zum KundenAufrechterhaltung des Kontakts mit potenziellen GeschäftspartnernZustimmung1 JahrBearbeitung von Tickets im Falle einer SupportanfrageNotwendig für die Vertragserfüllung3 Monate nach Beendigung des Vertrags mit dem KundenErstellung einer Bestellung (PO)Erforderlich für die Vertragserfüllung5 Jahre nach Erstellen einer POVertragsmanagementErforderlich für die Vertragserfüllung5 Jahre nach Beendigung des VertragesKommerzielle Zusammen-arbeit mit verbundenen Unternehmen und Ver-besserung der Dienst-leistungsqualitätBerechtigter Interesse7 Jahre nach Beendigung des VertragesQualitätskontrolleErforderlich für die Vertragserfüllung und zur Einhaltung gesetzlicher VerpflichtungenFür die Dauer der Garantie (12 Jahre oder 25 Jahre Leistungsgarantie)Schulung von KundenBerechtigter InteresseFür die Dauer der Konzession, alle zwei JahreRekrutierungZustimmungWährend des Auswahlverfahrens und nicht länger als 4 Wochen ab dem Datum der ursprünglichen Bewerbung. Bei einer offenen Bewerbung sechs/zwölf Monate mit ausdrücklicher, schriftlicher Zustimmung

*Die Aufbewahrungsfristen richten sich stets nach den gesetzlichen Bestimmungen.