Vertrag über Auftragsverarbeitung (AVV)
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung und dem technischen Betrieb der Software Bookivo / Buchungskalender für Unterkünfte.
Gegenstand der Verarbeitung ist die Bereitstellung einer webbasierten Buchungs-, Kalender- und Verwaltungsanwendung für Unterkünfte einschließlich Hosting, Datenspeicherung, technischer Administration, Fehlerbehebung, Datensicherung und Wiederherstellungsunterstützung.
Die Verarbeitung beginnt mit Freischaltung bzw. Nutzung des Dienstes durch den Verantwortlichen und erfolgt für die Laufzeit des Hauptvertrages.
Die Dauer dieses AVV richtet sich nach der Laufzeit des Hauptvertrages. Er endet spätestens mit Beendigung des Hauptvertrages und vollständiger Abwicklung etwaiger Rückgabe- oder Löschpflichten.
2. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich geschuldeten Leistungen.
Die Verarbeitung umfasst insbesondere:
Speicherung und Verwaltung von Buchungsdaten
Verwaltung von Unterkunfts-, Kalender- und Kundendaten
technische Bereitstellung der Anwendung
Datensicherung und Wiederherstellung
Fehleranalyse und technischer Support
Verarbeitung von Rechnungs- und Abrechnungsdaten, soweit vom Verantwortlichen genutzt
3. Art der personenbezogenen Daten
Je nach Nutzung des Dienstes können insbesondere folgende Daten verarbeitet werden:
Stammdaten von Kunden des Verantwortlichen
Gäste- und Buchungsdaten
Kommunikationsdaten
Rechnungs- und Zahlungsbezugsdaten
Nutzungs- und Protokolldaten
technische Metadaten
4. Kategorien betroffener Personen
Von der Verarbeitung betroffen sein können insbesondere:
Gäste und Buchende
Kunden und Interessenten des Verantwortlichen
Ansprechpartner des Verantwortlichen
sonstige vom Verantwortlichen in der Anwendung angelegte Personen
5. Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit keine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht.
Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen Datenschutzrecht verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen.
6. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Zugriff auf personenbezogene Daten wird auf das erforderliche Maß beschränkt.
7. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO.
Die bei Vertragsschluss bestehenden Maßnahmen ergeben sich aus der Anlage TOM_Bookivo.md, die Bestandteil dieses Vertrages ist.
Der Auftragsverarbeiter ist berechtigt, die Maßnahmen weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.
8. Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei der Erfüllung von Betroffenenrechten nach Kapitel III DSGVO.
Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, soweit dies unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen möglich ist.
9. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten im Einflussbereich des Auftragsverarbeiters bekannt wird.
Die Information enthält, soweit möglich, eine Beschreibung der Art der Verletzung, der betroffenen Daten und Personen, möglicher Folgen sowie der bereits ergriffenen oder vorgeschlagenen Maßnahmen.
10. Unterauftragsverhältnisse
Der Verantwortliche genehmigt den Einsatz der in der Anlage genannten Unterauftragsverarbeiter.
Der Auftragsverarbeiter wird weitere Unterauftragsverarbeiter nur unter Beachtung der gesetzlichen Vorgaben einsetzen.
Derzeit eingesetzter zentraler technischer Unterauftragsverarbeiter:
IONOS als Hosting- und Infrastruktur-Dienstleister
Vom jeweiligen Kunden eigenständig angebundene Zahlungsdienste werden nicht zentral für alle Kunden durch den Auftragsverarbeiter vorgegeben. Die Aktivierung erfolgt eigenverantwortlich durch den jeweiligen Verantwortlichen mit dessen eigenen Zugangsdaten. Insoweit liegt die datenschutzrechtliche Einbindung dieser Zahlungsdienste grundsätzlich beim jeweiligen Verantwortlichen.
11. Kontrollrechte
Der Verantwortliche ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorgaben in angemessenem Umfang zu kontrollieren oder kontrollieren zu lassen.
Kontrollen sind mit angemessener Vorlaufzeit anzukündigen und auf den üblichen Geschäftsbetrieb Rücksicht zu nehmen.
Der Auftragsverarbeiter kann Nachweise, Eigenerklärungen, Dokumentationen oder vergleichbare geeignete Unterlagen zur Verfügung stellen.
12. Rückgabe und Löschung nach Vertragsende
Nach Ende der vertraglichen Leistungen wird der Auftragsverarbeiter personenbezogene Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
Dokumentationen, die dem Nachweis einer ordnungsgemäßen Verarbeitung dienen, können im Rahmen gesetzlicher Pflichten weiter aufbewahrt werden.
13. Schlussbestimmungen
Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform, soweit gesetzlich zulässig.
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Im Übrigen gelten die Bestimmungen des Hauptvertrages und die datenschutzrechtlichen Vorgaben der DSGVO.