Stand: 17.03.2025
Anlage AGB-AV
- Gegenstand des Auftrages, Art und Zweck der Datenverarbeitung, Art der Daten sowie Kategorien der betroffenen Personen
- Gegenstand des Auftrages
Der Auftragnehmer verarbeitet personenbezogene Daten, die über den Auftraggeber zum Zwecke der Erfüllung des Hauptvertrages gemäß Art. 6 Absatz 1 lit. b) DSGVO erhoben wurden (z.B. personenbezogene Daten von Nutzern der Anwendung). Diese Daten werden insbesondere dazu benötigt, Ticketbuchungen, Zahlungsabwicklungen und ggf. die Abwicklung von Stornierungen und Erstattungen durchzuführen und den Auftraggeber über Produktupdates zu informieren.
- Art und Zweck der Datenverarbeitung
Die Verarbeitung durch den Auftragnehmer umfasst alle Arten der Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO, insbesondere das Erheben, das Erfassen, die Speicherung, das Auslesen und die Übermittlung personenbezogener Daten. Zweck der Verarbeitung ist die Erbringung der im Hauptvertrag vereinbarten Leistungen durch den Auftragnehmer, insbesondere die Erhebung und Übermittlung personenbezogener Daten für die Buchung von Reiseleistungen, die Erfassung, das Abfragen und die Übermittlung von personenbezogener Daten im Rahmen des Support-Service für die Umbuchung oder Stornierung von Reiseleistungen.
- Art der Daten
Datenkategorie | Auflistung konkret verarbeiteter Daten |
Berufliche Kontakt- und (Arbeits-) Organisationsdaten | Name, Vorname, Titel, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Personalnummer |
Private Kontakt- und Identifikationsdaten | Soweit angegeben oder im Einzelfall erforderlich: Adresse, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Ausweisdaten (Geburtsdatum, Geburtsort, Personalausweis- bzw. Reisepassnummer, Nationalität, Wohnsitzstaat, Ausstellungsland, Ausstellungsdatum, Ablaufdatum), Visa- bzw. einreiserelevante Daten (z.B. Alien Registration Number, Known Traveller Number, Redress Number) |
Vertragsdaten | Zugriffs- und nutzungsbezogene personenbezogene Daten im SaaS-Tool, Service-bezogene Transaktionsdaten wie Reiseanfragen und -planungen, Buchungen und deren Änderungen, Stornierungen, Abrechnungen der Reisen und Belege/Auslagen der Nutzer, Abrechnung der Reisen und Belege/Auslagen gegenüber den Kunden |
Besondere Kategorien personenbezogener Daten | Freiwillig angegebene Gesundheitsdaten (z.B. Lebensmittelunverträglichkeiten bei Unterkunftsbuchungen, Anfragen für barrierefreie Reiseleistungen) |
- Kreis der Betroffenen:
Betroffenengruppe | Beschreibung | Beispiele |
Mitarbeiter des Auftraggebers/ des Verantwortlichen | Eigene Mitarbeiter des Auftraggebers/des Verantwortlichen, die den Nutzeraccount der Software administrieren oder als Nutzer der Software angelegt sind | Arbeitnehmer, Auszubildende, ehem. Beschäftigte |
Mitarbeiter anderer Unternehmen | Mitarbeiter anderer Unternehmen, sofern diese Personen in der Software als Nutzer hinterlegt sind. | Arbeitnehmer, Auszubildende, ehem. Beschäftigte |
- Weisungsberechtigte Personen
Dr. Veit Blumschein, Geschäftsführer, 089/21540710, [email protected] Mona Niedermayer, Head of Customer Success, 089/215407165, [email protected]
- Datenschutzbeauftragter
Dominik Fünkner, Proliance GmbH, Leopoldstraße 21, 80802 München
[email protected], Tel: 089/250039222
- Technische und organisatorische Maßnahmen
Der in diesem Abschnitt 4 verwendete Begriff "Anwendung" bezieht sich auf die vom Auftragnehmer zum Zwecke der Auftragsverarbeitung eingesetzten Software.
4.1 Maßnahmen zur Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)
- Grundsätzliche Prüfung vor Änderungen an Verfahren oder vor der Einführung neuer Verfahren, inwieweit personenbezogene Daten pseudonymisiert werden können.
- Grundsätzliche Prüfung bei Datenflüssen, inwieweit personenbezogene Daten pseudonymisiert werden können.
4.2 Maßnahmen zur Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Regelungen und Maßnahmen zum Einsatz kryptografischer Verfahren.
- Verschlüsselung der Festplatten von Computern.
- Nutzung von Verfahren zur Transportverschlüsselung bei Datenübertragungen.
- Verschlüsselte Datenübertragung zur Anwendung.
- Verschlüsselung der Datenträger in der Anwendung.
- Grundsätzliche Prüfung vor Änderungen an Verfahren oder vor der Einführung neuer Verfahren, inwieweit personenbezogene Daten verschlüsselt werden können.
4.3 Maßnahmen zur Sicherstellung der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO)
- Etablierung eines Informationssicherheitsmanagementsystems gemäß ISO/IEC 27001.
- Regelungen und Maßnahmen zur physischen Sicherheit, zur Zutrittskontrolle und zur Besucherregelung für die Büro-Bereiche.
- Betreiben der Anwendung in hoch gesicherten Rechenzentren in Deutschland mit restriktivem Zutritt und Zugang zu der für den Betrieb der Anwendung erforderlichen Infrastruktur.
- Regelungen und Maßnahmen zum Identity-, User- und Access-Management für IT-Systeme und für die Anwendung.
- Regelungen und Maßnahmen zur sicheren Authentisierung an IT-Systemen und an der Anwendung.
- Regelungen und Maßnahmen zum Umgang mit geheimen Authentisierungsinformationen.
- Etablierte Rollen- und Berechtigungskonzepte für IT-Systeme und für die Anwendung unter Beachtung des Need-to-know-Prinzips.
- Regelungen und Maßnahmen zur restriktiven Vergabe von erweiterten oder administrativen Berechtigungen in IT-Systemen und für die Anwendung.
- Regelungen und Maßnahmen zur wirksamen Trennung von Kundendaten.
- Nutzung von Firewall-Systemen für das Office-Netzwerk und für die Anwendung.
- Regelungen und Maßnahmen zur Informationsklassifizierung und zum Umgang mit klassifizierten Informationen.
- Regelungen und Maßnahmen zum Schutz vertraulicher Daten am Arbeitsplatz.
- Regelungen und Maßnahmen zur Steuerung von Dienstleistern.
- Regelungen und Maßnahmen zur Verwaltung, Nutzung und Entsorgung von Geräten.
- Regelungen und Maßnahmen zum Patch- und Schwachstellen-Management für IT-Systeme und für die Anwendung.
- Regelungen und Maßnahmen zum Logging & Monitoring der Anwendung.
- Regelungen und Maßnahmen für die sichere Entwicklung der Anwendung.
4.4 Maßnahmen zur Fähigkeit zur schnellen Wiederherstellung der Verfügbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
- Redundantes Betreiben der Anwendung in hoch gesicherten Rechenzentren in Deutschland.
- Regelungen und Maßnahmen zur Datensicherung und zur System- und Datenwiederherstellung der Anwendung.
- Regelungen und Maßnahmen zum Security-Incident-Management.
- Regelungen und Maßnahmen zum Business-Continuity-Management.
4.5 Maßnahmen zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO)
- Regelungen und Maßnahmen zum Messen und Überwachen des Informationssicherheitsmanagementsystems.
- Regelungen und Maßnahmen zur Durchführung von Internen Audits.
- Kontinuierliche Überprüfung und Weiterentwicklung der technischen und organisatorischen Maßnahmen.
- Durchführung von Penetrationstests der Anwendung.
4.6 Ergänzende Maßnahmen
- Etablierung einer internen Datenschutz- und Informationssicherheitsorganisation.
- Bestellung eines Datenschutzbeauftragten.
- Berücksichtigung der Prinzipien “privacy by design” und “privacy by default” bei der Konzeption und Weiterentwicklung der Anwendung.
- Durchführung von Sensibilisierungs- und Schulungsmaßnahmen.
- Verpflichtung auf das Datengeheimnis und zur Verschwiegenheit.
- Unterauftragnehmer
Zum Kreis der Unterauftragnehmer gehören:
Unterauftragnehmer (Name, Anschrift) | Verarbeitete Datenkategorien | Beschreibung der Tätigkeit | Ort der Datenverarbeitung |
AEROPLAN Reise GmbH, Mauritiussteinweg 116, 50676 Köln | Siehe Anm. 4,5,6,7 | Reise-Aggregator für Flüge | Deutschland |
Aircall SAS, 11-15 rue Saint-Georges, 75009 Paris, Frankreich | Siehe Anm. 4,5 | Telekommunikationssoftware für den Kundensupport | Frankreich |
Amadeus IT Group, S.A., Calle Salvador de Madariaga, 1, 28027 Madrid, Spanien | Siehe Anm. 4,5,6,7 | Reise-Aggregator für Flüge und Unterkünfte | Spanien |
CloudTalk s.r.o., Tallerova 4, 811 02 Bratislava, Slowakei | Siehe Anm. 4,5 | Telekommunikationssoftware für den Kundensupport | Slowakei |
ehotel AG, Greifswalder Straße 208, 10405 Berlin | Siehe Anm. 4,5,6,7 | Reise-Aggregator für Unterkünfte | Deutschland |
Event Logic Digital Solutions Europe AB, Kvarnbergsgatan 2, 41105 Göteburg, Schweden | Siehe Anm. 4,5,6,7 | Dienstleister von Reiseunterkünften für Gruppenreisen | Schweden |
GDSFähren/Prenotazioni 24 s.r.l., Via Casa del Duca 1 – 57037 Portoferraio (LI), Italien | Siehe Anm. 4,5,6,7 | Reise-Aggregator für Fährtransporte | Italien |
Flughafen Parken GmbH, Terminalstraße Mitte 18, 85356 München-Flughafen | Siehe Anm. 4,5,6 | Reise-Aggregator für Parkplätze | Deutschland |
HubSpot, Inc., 25 First Street, Cambridge, MA 02141 USA, siehe Anm. 1,2 | Siehe Anm. 4 | CRM-Software | USA |
Katanox BV, Kleine Gartmanplantsoen 21-6th floor, 1017 RP Amsterdam, Niederlande | Siehe Anm. 4,5,6,7 | Reise-Aggregator für Unterkünfte | Niederlande |
Planhat AB, Regeringsgatan 29, S-111 53 Stockholm | Siehe Anm. 4,5,6 | CRM-Software | Schweden |
Twilio Sendgrid, 1801 California St., Suite 500, Denver, CO 80202, USA, siehe Anm.1,2 | Siehe Anm. 4,5 | Versand von Transaktions-E-Mails | USA |
Travelfusion Ltd., 70 St Mary Axe, London EC3A 8BE, England, siehe Anm.1,3 | Siehe Anm. 4,5,6,7 | Reise-Aggregator für Flüge | Großbritannien |
Typeform S.L., Carrer de Bac de Roda, 163, 08018 Barcelona, Spanien | Siehe Anm. 4,5 | Erstellung von Online-Formularen und -umfragen | Spanien |
Zendesk Inc., 1019 Market St., San Francisco CA 94103, USA, siehe Anm.1,2 | Siehe Anm. 4,5,6,7 | Software für Kundensupport-Anfragen | USA |
Anmerkungen:
1 Angemessenheitsbeschluss gem. Art. 45 Abs. 1 DSGVO liegt vor.
2 Unterauftragnehmer ist zertifiziert gemäß EU-US Data Privacy Framework.
3 Vereinbarung von Standardvertragsklauseln gemäß Durchführungsbeschluss der Europäischen Kommission
(EU) 2021/914 vom 4. Juni 2021
4 Berufliche Kontakt- und (Arbeits-)Organisationsdaten
5 Private Kontakt- und Identifikationsdaten
6 Transaktionsdaten
7 Besondere Kategorien personenbezogener Daten
Lanes & Planes / Anlage AGB-AV / Version 03/2025
