Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung (DVV) ist Bestandteil der Nutzungsbedingungen von TravelPerk und bildet einen Teil Ihres Vertrages mit uns. Sollten Sie eine separate DVV mit TravelPerk wünschen, können Sie dieses Formular verwenden, um eine Ausfertigung dieser DVV digital zu unterzeichnen und per E-Mail zu erhalten.

Beziehung zwischen den Parteien	Datenverantwortlicher an Auftragsverarbeiter
Die Rollen der Parteien	Kunde handelt als für Datenverantwortlicher (wie in Abschnitt 1 der Bedingungen definiert) Kunde bezeichnet die juristische Person oder, im Falle von Freiberuflern, die Person, die einen Vertrag mit TravelPerk für die Bereitstellung der Dienste abschließt. Verweise auf den Kunden beinhalten gegebenenfalls verbundene Unternehmen des Kunden, die die Plattform oder die Dienste von TravelPerk über das Konto des Kunden nutzen. TRAVELPERK, S.L.U. (TravelPerk) handelt als Auftragsverarbeiter (wie in Abschnitt 1 der Bedingungen definiert)
Kontaktdaten	Auftragsverarbeiter Name: Data Protection Officer E-mail: dpo@travelperk.com
Hauptvertrag	Die Vertrag Über Geschäftsreisedienste, die Plattformdienstvereinbarung, die Nutzungsbedingungen oder eine andere Vereinbarung über die Lieferung der vereinbarten Dienstleistungen zwischen TravelPerk und dem Kunden. Durch die Beauftragung der Dienstleistungen (wie unten definiert) akzeptiert und stimmt der Kunde zu, durch diese DVV gebunden zu sein, die einen integralen Bestandteil des Hauptvertrag bildet.
Laufzeit	Diese Datenverarbeitungsvereinbarung tritt am Tag der endgültigen Unterzeichnung in Kraft und gilt bis nach Ablauf des Hauptvertrags.
Meldefrist für Datenschutzverletzungen	Unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.
Frist für die Mitteilung von Unterauftragsverarbeitern	14 Tage, bevor der neue Unterauftragsverarbeiter Zugang zu personenbezogenen Daten erhält.
Haftungsobergrenze	Die Haftungsobergrenzen sind im Hauptvertrag festgelegt.
Anwendbares Recht und Gerichtsstand	Gemäß dem Hauptvertrag.
Datenschutzgesetze	Alle Gesetze, Verordnungen und Gerichtsbeschlüsse, die für die Verarbeitung von personenbezogenen Daten im Europäischen Wirtschaftsraum (EWR) gelten. Dies beinhaltet die Verordnung (EU) 2016/679 (DSGVO) der Europäischen Union in ihrer jeweils gültigen Fassung. Für Kunden mit Sitz in der Schweiz umfasst dies auch alle Gesetze, Vorschriften und Gerichtsbeschlüsse, die für die Verarbeitung personenbezogener Daten in der Schweiz gelten. Darunter fällt auch das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) in der jeweils gültigen Fassung.
Dienstleistungen im Zusammenhang mit der Verarbeitung	Auf Anfrage des Kunden erbrachte Geschäftsreisedienstleistungen, ggf. einschließlich Premium-Leistungen, Pro-Leistungen, Rechnungssammeldienste, FlexiPerk (jeweils wie im Hauptvertrag beschrieben) und alle anderen Dienstleistungen, die von TravelPerk angeboten und vom Kunden gelegentlich in Anspruch genommen werden können (zusammenfassend die Dienstleistungen).
Dauer der Verarbeitung	Die personenbezogenen Daten werden während der Vertragslaufzeit sowie nach dem Ende dieser Beziehung, unabhängig vom Beendigungsgrund, während der jeweils anwendbaren gesetzlichen Dauer verarbeitet bzw. gespeichert. Nach Ablauf der gesetzlichen Speicherdauer werden die personenbezogenen Daten gelöscht oder evtl. anonymisiert.
Art und Zweck der Verarbeitung	TravelPerk sammelt, speichert, verwendet, strukturiert, ändert, übermittelt und organisiert die Daten, zeichnet diese auf und ruft sie ab und führt alle erforderlichen Tätigkeiten zur Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung durch. Die von TravelPerk über seine Plattform erbrachten Dienstleistungen, die es Unternehmen ermöglichen, Geschäftsreisen zu suchen, zu buchen, zu verwalten, Berichte dazu zu erstellen und deren Kosten zu kontrollieren, können in Übereinstimmung mit den vom Kunden beauftragten Dienstleistungen folgende Tätigkeiten umfassen: Erstellung, Pflege und Aktualisierung von Kundenkonten. Verwaltung von Reisebuchungen, Abwicklung von Aufträgen und Zahlungen. Versand von Mitteilungen an die Reisenden in Bezug auf: (i) Stornierungen, Änderungen oder Nichterscheinen; (ii) nicht abgeschlossene Buchungsvorgänge; (iii) Buchungsempfehlungen auf der Grundlage ihrer früheren Buchungen und Suchhistorie. Erbringung von Kundenbetreuung und Bearbeitung von Sonderwünschen. Information der Kunden und Reisenden über etwaige Aktualisierungen, einschließlich neuer Funktionen. Erbringung aller Dienstleistungen, die der Kunde gelegentlich in Anspruch nimmt, wie z. B. Geschäftsreisemanagement, Premium, PRO und flexible Stornierungsdienste, API-Zugang, Dienstleistungen in Bezug auf CO2-Kompensation usw. Benachrichtigen Sie im Notfall die vom Kunde zu diesem Zweck angegebene Kontaktperson. Jede neue, vom Kunden beauftragte Dienstleistung, in der TravelPerk Auftragsverarbeiter und der Kunde Datenverantwortlicher ist, ist in der Definition der Dienstleistungen inbegriffen und unterliegt dieser DVV.
Personenbezogene Daten	Es werden folgende Arten personenbezogener Daten verarbeitet: Kenndaten wie Vor- und Nachname, Ausweis- oder Reisepassdaten, Kontaktdaten, Geburtsdatum, Berufsadresse, Wohnsitzland, Staatsangehörigkeit, geschäftliche E-Mail-Adresse, Staatsangehörigkeit. Reisemitgliedskarten. Ggf. besondere Ernährung, besondere Bedürfnisse. Zahlungsmethoden. Angaben zu Buchungen, Reisen und verbundenen Anfragen. Anfragen oder Beschwerden von Kunden.
Betroffene Personen	Die Personen, deren personenbezogene Daten verarbeitet werden, sind die: Nutzer von TravelPerk. Notfallkontakte, die von TravelPerk-Nutzern auf der Plattform hinzugefügt wurden.
Besondere Bestimmungen	Besondere Datenkategorien: TravelPerk fordert von den Reisenden keine Mitteilung personenbezogener Daten in Bezug auf Gesundheit, das Sexualleben oder die sexuelle Orientierung, die rassische oder ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen und Mitgliedschaften bei Gewerkschaften sowie biometrische Daten, die nur zur Identifizierung eines Menschen verarbeitet werden, und genetische Daten (besondere Datenkategorien). Der Kunde hat die Reisenden entsprechend zu informieren, sodass diese besondere Datenkategorien nur dann an TravelPerk übermitteln, wenn diese für TravelPerk zur Erbringung der Dienstleistungen unbedingt erforderlich sind. Wenn Reisende ausdrücklich der Verarbeitung von besonderen Datenkategorien eingewilligt haben, indem sie diese freiwillig an TravelPerk weitergegeben oder auf die Plattform hochgeladen haben, damit TravelPerk die besonderen Wünsche oder Anfragen der Reisenden bearbeiten kann (z. B. Lebensmittelallergien, Bedarf an speziellen Zimmern usw.), darf TravelPerk die besonderen Datenkategorien ausschließlich für diesen speziellen Zweck verarbeiten. Reisedienstleistungsanbieter: Zur Erbringung der Dienstleistungen muss TravelPerk den Dienstleistungen, die von Dritten wie Fluggesellschaften, Bahnbetreibern, Mietwagenfirmen und Hotels bzw. Beherbergungsbetrieben personenbezogene Daten mitteilen (Reisedienstleistungsanbieter). Aufgrund der Art der von Reisedienstleistungsanbietern erbrachten Tätigkeiten und entsprechenden Verarbeitung der personenbezogenen Daten gelten die Reisedienstleistungsanbieter und Kunde sind unabhängiger Datenverantwortlicher der personenbezogenen Daten des Kunden, während TravelPerk als Auftragsverarbeiter des Kunden fungiert, um die Dienstleistungen von Reisedienstleistern auf Wunsch des Kunden zu vermitteln. Aktualisierung: Wir können diese DVV von Zeit zu Zeit aktualisieren und werden Sie gemäß den gesetzlichen Bestimmungen über diese Änderungen und Aktualisierungen informieren. Wir werden die vorherige Version dieses DPA teilen und die Überarbeitungsdaten auf dieser Seite angeben. Sie können TravelPerk um eine Kopie der früheren Versionen des DVV bitten. Ganze Vereinbarung: Als Ergänzung zu Ziffer 5.5: „Gesamte Vereinbarung. Sofern die Parteien keine Datenverarbeitungsvereinbarung abgeschlossen haben, ersetzt diese DVV alle vorherigen Diskussionen und Vereinbarungen und stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf ihren Gegenstand dar, und keine der Parteien hat sich beim Abschluss dieser DVV auf eine Erklärung oder Zusicherung irgendeiner Person verlassen .“

ANHANG 1

Sicherheitsmaßnahmen. Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten:

https://www.travelperk.com/wp-content/uploads/TravelPerk-Security-Measures-DPA-1.pdf

ANHANG 2

Unterauftragsverarbeiter. Derzeitige Unterauftragsverarbeiter:

https://www.travelperk.com/wp-content/uploads/TravelPerk-List-of-Sub-Processors-1.pdf

BESTIMMUNGEN

1. Worum geht es bei dieser Vereinbarung?

1.1. Zweck. Die Parteien schließen diese Datenverarbeitungsvereinbarung (DVV) zum Zweck der Verarbeitung personenbezogener Daten (wie oben festgelegt) ab.

1.2. Begriffsbestimmungen. Bedeutungen im Rahmen dieser DVV: 

a. Ein Land mit angemessenem Schutzniveau ist ein Land oder Gebiet, das gemäß den zum jeweiligen Zeitpunkt geltenden Datenschutzgesetzen einen angemessenen Schutz bei der Verarbeitung personenbezogener Daten bietet.

b. Datenverantwortlicher, betroffene Person, Verletzung des Schutzes personenbezogener Daten, Verarbeitung, Auftragsverarbeiter und Aufsichtsbehörde haben die gleiche Bedeutung wie in den Datenschutzgesetzen und

c. Unterauftragsverarbeiter ist ein anderer vom Auftragsverarbeiter beauftragter Verarbeiter, der bestimmte Verarbeitungstätigkeiten mit personenbezogenen Daten durchführt.

2. Welche Pflichten haben die Parteien?

2.1. Pflichten des Datenverantwortlichen. Der Datenverantwortliche weist den Auftragsverarbeiter an, personenbezogene Daten in Übereinstimmung mit dieser DVV zu verarbeiten, und ist dafür verantwortlich, alle Mitteilungen zu machen und alle Zustimmungen und Genehmigungen einzuholen und Rechtsgrundlagen zu erfüllen, die erforderlich sind, damit der Auftragsverarbeiter personenbezogene Daten verarbeiten kann.

2.2. Pflichten des Auftragsverarbeiters. Der Auftragsverarbeiter ist verpflichtet,

a. personenbezogene Daten nur in Übereinstimmung mit dieser DVV und den Anweisungen des Datenverantwortlichen zu verarbeiten (sofern nicht gesetzlich etwas anders vorgeschrieben ist),

b. keine personenbezogenen Daten für andere als die in dieser DVV und dem Hauptvertrag vorgesehenen Zwecke zu verkaufen, zu speichern oder zu verwenden,

c. den Datenverantwortlichen unverzüglich zu benachrichtigen, wenn (seiner Meinung nach) eine Anweisung gegen die Datenschutzgesetze verstößt,

d. bei der Verarbeitung personenbezogener Daten die in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten,

e. den Datenverantwortlichen innerhalb der Meldefrist für Datenschutzverletzungen über eine Verletzung des Schutzes personenbezogener Daten zu informieren und den Datenverantwortlichen im Rahmen der Datenschutzgesetze bei der Reaktion auf die Verletzung zu unterstützen,

f. sicherzustellen, dass alle Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet sind,

g. dem Datenverantwortlichen unverzüglich angemessene Unterstützung zu gewähren, durch: (i) Datenschutzfolgenabschätzungen, (ii) Beantwortung von Anfragen betroffener Personen in Ausübung ihrer Rechte gemäß den Datenschutzgesetzen und (iii) Zusammenarbeit mit den Aufsichtsbehörden, 

h. Bereitstellung der erforderlichen Informationen (auf Anfrage des Datenverantwortlichen) zum Nachweis seiner Einhaltung der Pflichten aus den Datenschutzgesetzen und dieser DVV,

i. Zulassung von Audits auf begründeten Antrag des Datenverantwortlichen, unter Beschränkung auf ein Mal pro Jahr und während der Geschäftszeiten, außer im Falle einer Verletzung des Schutzes personenbezogener Daten, und

j. Rückgabe personenbezogener Daten auf schriftliche Aufforderung des Datenverantwortlichen oder Löschung personenbezogener Daten zum Ende der Vertragslaufzeit, es sei denn, die Speicherung ist gesetzlich vorgeschrieben.  

2.3. Zusicherungen. Die Parteien gewährleisten, dass sie und ihre Mitarbeiter bzw. Unterauftragnehmer ihre jeweiligen Pflichten aus den Datenschutzgesetzen während der Vertragslaufzeit einhalten werden.

3. Unterauftragsverarbeitung

3.1. Einsatz von Unterauftragsverarbeitern. Der Datenverantwortliche gestattet es dem Auftragsverarbeiter, andere Auftragsverarbeiter (in diesem Abschnitt als Unterauftragsverarbeiter bezeichnet) mit der Verarbeitung personenbezogener Daten zu beauftragen. Die bestehenden Unterauftragsverarbeiter des Verarbeiters sind in Anhang 2 aufgeführt.

3.2. Anforderungen an die Unterauftragsverarbeiter. Der Auftragsverarbeiter ist verpflichtet, 

a. von seinen Unterauftragsverarbeitern die Einhaltung von Bedingungen zu verlangen, die den Pflichten des Auftragsverarbeiters in dieser DVV entsprechen,

b. sicherzustellen, dass vor der internationalen Übermittlung personenbezogener Daten an den Unterauftragsverarbeiter angemessene Sicherheitsvorkehrungen getroffen werden, und

c. für Handlungen, Fehler oder Unterlassungen seiner Unterauftragsverarbeiter so zu haften, als wären sie eine Partei dieser DVV.

3.3. Genehmigungen. Der Auftragsverarbeiter kann neue Unterauftragsverarbeiter ernennen, sofern er dies dem Datenverantwortlichen innerhalb der Frist zur Mitteilung von Unterauftragsverarbeiter schriftlich mitteilt. 

3.4. Einwände. Der Datenverantwortliche kann in angemessener Weise schriftlich gegen jeden künftigen Unterauftragsverarbeiter Einspruch erheben. Wenn sich die Parteien nicht innerhalb einer angemessenen Frist auf eine Lösung einigen können, kann jede Partei diese DVV kündigen.

4. Internationale Übertragungen personenbezogener Daten

4.1. Anweisungen. Der Auftragsverarbeiter wird personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Datenverantwortlichen in ein Land außerhalb des Vereinigten Königreichs, des EWR oder eines geeigneten Landes übermitteln, sofern gesetzlich nichts anderes vorgeschrieben ist.

4.2. Übermittlungsinstrument. Wenn eine Partei außerhalb des Vereinigten Königreichs, des EWR oder eines geeigneten Landes ansässig ist und personenbezogene Daten erhält, 

a. handelt diese Partei als Datenimporteur,

b. die andere Partei ist der Datenexporteur und

c. es gilt das entsprechende Übermittlungsinstrument.

4.3. Zusätzliche Maßnahmen. Wenn das Übermittlungsinstrument nicht ausreicht, um die übermittelten personenbezogenen Daten zu schützen, hat der Datenimporteur unverzüglich zusätzliche Maßnahmen zu ergreifen, um sicherzustellen, dass die personenbezogenen Daten demselben Schutzniveau unterliegen, wie es die Datenschutzgesetze vorschreiben.

4.4. Datenweitergabe. Vorbehaltlich der Bedingungen des jeweiligen Übermittlungsinstruments hat der Datenimporteur, wenn er ein Ersuchen einer Behörde um Zugriff auf personenbezogene Daten erhält, (sofern gesetzlich zulässig)

a. das Ersuchen anzufechten und den Datenexporteur unverzüglich davon in Kenntnis zu setzen und

b. nur das erforderliche Minimum an personenbezogenen Daten an die Behörde weiterzugeben und die Weitergabe aufzeichnen. 

5. Sonstige wichtige Informationen

5.1. Fortbestand. Jede Bestimmung dieser DVV, die dazu bestimmt ist, die Vertragslaufzeit zu überdauern, bleibt in vollem Umfang in Kraft.

5.2. Rangordnung. Im Falle eines Konflikts zwischen dieser DVV und anderen einschlägigen Vereinbarungen gilt folgende Prioritätsrangfolge: 

a. Übermittlungsinstrument,

b. DVV,

c. Hauptvertrag.

5.3. Mitteilungen. Förmliche Mitteilungen im Rahmen dieser DVV bedürfen der Schriftform und sind an die Kontaktadresse zu richten, die auf der ersten Seite dieser DVV angegeben ist bzw. die von einer Partei der anderen zu diesem Zweck schriftlich mitgeteilt werden.

5.4. Dritte. Mit Ausnahme der verbundenen Unternehmen hat niemand außer den Vertragsparteien das Recht, eine der Bestimmungen dieser DVV durchzusetzen.

5.5. Gesamter Vertrag. Diese DVV ersetzt alle früheren Gespräche und Vereinbarungen und stellt die gesamte Vereinbarung zwischen den Parteien bezüglich des betreffenden Gegenstands dar. Keine Partei hat sich beim Abschluss dieser DVV auf eine Erklärung oder Zusicherung einer anderen Person verlassen.

5.6. Änderungen. Jegliche Änderung dieser DVV muss schriftlich erfolgen.

5.7. Abtretung. Keine Partei kann diese DVV ohne die Zustimmung der anderen Partei an eine andere Person abtreten. 

5.8. Verzichtklausel. Wenn eine Partei ein Recht aus dieser DVV nicht durchsetzt, bedeutet dies nicht, dass sie auf dieses Recht zu irgendeinem Zeitpunkt verzichtet.

5.9. Anwendbares Recht und Gerichtsstand. Auf diese DVV ist das geltende Recht anzuwenden und alle Streitigkeiten sind ausschließlich vor den Gerichten des Gerichtsstandes auszutragen.

PDF-Version