logo
Funktionen
Lösungen
Pakete
Über uns
Ressourcen
Kunden
Login

Planen Sie Ihre persönliche Web Demo

Mit dem Absenden Ihrer E-Mail-Adresse erklären Sie sich damit einverstanden, gemäß unserer Datenschutzerklärung, Marketingkommunikation zu empfangen. Sie können sich jederzeit abmelden.

errorHmm, da ist wohl etwas schiefgelaufen. Versuchen Sie es später erneut.
Demo vereinbaren

Planen Sie Ihre persönliche Web Demo

Mit dem Absenden Ihrer E-Mail-Adresse erklären Sie sich damit einverstanden, gemäß unserer Datenschutzerklärung, Marketingkommunikation zu empfangen. Sie können sich jederzeit abmelden.

errorHmm, da ist wohl etwas schiefgelaufen. Versuchen Sie es später erneut.
Demo vereinbaren

Anlage AGB-AV

print
Drucken
file_save
PDF herunterladen

Stand: 22.12.2025

Anlage AGB-AV

  1. Gegenstand des Auftrages, Art und Zweck der Datenverarbeitung, Art der Daten sowie Kategorien der betroffenen Personen
  1. Gegenstand des Auftrages

Der Auftragnehmer verarbeitet personenbezogene Daten, die über den Auftraggeber zum Zwecke der Erfüllung des Hauptvertrages erhoben wurden (z.B. personenbezogene Daten von Nutzern der Anwendung). Diese Daten werden insbesondere dazu benötigt, Ticketbuchungen, Zahlungsabwicklungen und ggf. die Abwicklung von Stornierungen und Erstattungen durchzuführen und den Auftraggeber über Produkt-Updates der für die Buchung, Umbuchung und Stornierung von Beförderungs- und Beherbergungsleistungen von Geschäftsreisen bereitgestellten Software (nachfolgend „SaaS-Anwendung“) zu informieren. 

  1. Art und Zweck der Datenverarbeitung

Die Verarbeitung durch den Auftragnehmer umfasst alle Arten der Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO, insbesondere das Erheben, das Erfassen, die Speicherung, das Auslesen und die Übermittlung personenbezogener Daten. Zweck der Verarbeitung ist die Erbringung der im Hauptvertrag vereinbarten Leistungen durch den Auftragnehmer, insbesondere die Erhebung und Übermittlung personenbezogener Daten für die Buchung von Reiseleistungen, die Erfassung, das Abfragen und die Übermittlung von personenbezogener Daten im Rahmen des Support-Service für die Buchung, Umbuchung oder Stornierung von Reiseleistungen.  

  1. Art der Daten

Datenkategorie

Auflistung konkret verarbeiteter Daten

Personenbezogene Daten, die für den Nutzer-Account der SaaS-Anwendung erforderlich sind

Name, Vornamen, Geschlecht, Geburtsdatum, geschäftliche Kontaktdaten (E-Mail-Adresse, Mobiltelefonnummer), zugewiesene Nutzerrolle in der SaaS-Anwendung, organisatorische Zuordnung (z.B. Kostenstellen, zugeordnete Travel-Manager)

Personenbezogene Daten, die optional oder reisebezogen hinterlegt werden können.

Titel, Personalnummer, Namenskürzel, private Kontaktdaten (E-Mail-Adresse, Mobiltelefonnummer), Ausweis- oder Passdaten (Geburtsdatum, Geburtsort, Personalausweis- bzw. Reisepassnummer, Passtyp, Nationalität, Wohnsitzstaat, Ausstellungsland, Ausstellungsdatum, Ablaufdatum), Visa- bzw. einreiserelevante Daten (z.B. Alien Registration Number, Known Traveller Number, Redress Number), private oder geschäftliche Bonus- und Rabattkarten, Präferenzen (z.B. Privat- oder Büroadresse), E-Mail-Adresse Airbnb-Konto

Personenbezogene Reisedaten

Personenbezogene Daten im Zusammenhang mit z.B. Reiseanfragen, Buchungsdaten, Reiseanträgen, Umbuchungen, Stornierungen, Service-Anfragen, Belegen, Tagegeldern, Kilometerpauschalen, Rechnungen

Personenbezogene Nutzerdaten

Zugriffs- und nutzungsbezogene personenbezogene Daten (z.B. Log-in und Protokolldaten) sowie Video- und Audioaufzeichnungen von Webmeetings nach gesonderter Einwilligung der Betroffenen für jede Aufzeichnung (z.B. Implementierungstermine für die SaaS-Anwendung)

Besondere Kategorien personenbezogener Daten

Vom Nutzer freiwillig angegebene Gesundheitsdaten (z.B. Lebensmittelunverträglichkeiten bei Unterkunftsbuchungen, Anfragen für barrierefreie Reiseleistungen)

  1. Kreis der Betroffenen:

Betroffenengruppe

Beschreibung

Beispiele

Mitarbeiter des Auftraggebers / des Verantwortlichen

Eigene Mitarbeiter des Auftraggebers / des Verantwortlichen, die den Nutzer-Account der Software administrieren oder als Nutzer der Software angelegt sind.

Arbeitnehmer, Auszubildende, ehem. Beschäftigte

Sonstige Dritte

Sonstige Dritte, sofern der Auftraggeber für diese Personen Reiseleistungen bucht.

Geschäftskontakte, Angehörige und sonstige Privatpersonen

  1. Weisungsberechtigte Personen

Dr. Veit Blumschein, Geschäftsführer, 089/21540710, [email protected]                                     

  1. Datenschutzbeauftragter

Dominik Fünkner, Proliance GmbH, Leopoldstraße 21, 80802 München

[email protected], Tel: 089/250039222

  1. Technische und organisatorische Maßnahmen

Der in diesem Abschnitt 4 verwendete Begriff „IT-Systeme" bezieht sich auf die vom Auftragnehmer zum Zwecke der Auftragsverarbeitung eingesetzten Datenverarbeitungssysteme wie die SaaS-Anwendung und unterstützende IT-Anwendungen.

4.1 Maßnahmen zur Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

  • Grundsätzliche Prüfung vor Änderungen an Verfahren oder vor der Einführung neuer Verfahren, inwieweit personenbezogene Daten pseudonymisiert werden können.
  • Grundsätzliche Prüfung bei Datenflüssen, inwieweit personenbezogene Daten pseudonymisiert werden können.

4.2 Maßnahmen zur Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  • Regelungen und Maßnahmen zum Einsatz kryptografischer Verfahren.
  • Verschlüsselung der Datenträgern von Computern.
  • Nutzung von Verfahren zur Transportverschlüsselung bei Datenübertragungen.
  • Grundsätzliche Prüfung vor Änderungen an Verfahren oder vor der Einführung neuer Verfahren, inwieweit (personenbezogene) Daten verschlüsselt werden können.

4.3 Maßnahmen zur Sicherstellung der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO)

  • Betreiben eines Informationssicherheitsmanagementsystems gemäß ISO/IEC 27001.
  • Regelungen und Maßnahmen zur physischen Sicherheit, zur Zutrittskontrolle und zur Besucherregelung für die Büro-Bereiche.
  • Betreiben der SaaS-Anwendung auf firmeneigener Hardware in hoch gesicherten externen Rechenzentren in Deutschland (Co-Location-Ansatz).
  • Restriktiver Zutritt und Zugang zu der für den Betrieb der SaaS-Anwendung erforderlichen Infrastruktur.
  • Regelungen und Maßnahmen zum Identity-, User- und Access-Management für alle IT-Systeme.
  • Regelungen und Maßnahmen zur sicheren Authentisierung an IT-Systemen.
  • Regelungen und Maßnahmen zum Umgang mit geheimen Authentisierungsinformationen.
  • Etablierte Rollen- und Berechtigungskonzepte für IT-Systeme unter Beachtung des Need-to-know-Prinzips.
  • Regelungen und Maßnahmen zur restriktiven Vergabe von erweiterten oder administrativen Berechtigungen in IT-Systemen.
  • Regelungen und Maßnahmen zur wirksamen Trennung von Kundendaten.
  • Nutzung von Firewall-Systemen.
  • Regelungen und Maßnahmen zur Informationsklassifizierung und zum Umgang mit klassifizierten Informationen.
  • Regelungen und Maßnahmen zum Schutz vertraulicher Daten am Arbeitsplatz.
  • Regelungen und Maßnahmen zur Steuerung von Dienstleistern.
  • Regelungen und Maßnahmen zur Verwaltung, Nutzung und Entsorgung von Geräten.
  • Regelungen und Maßnahmen zum Patch- und Schwachstellen-Management für IT-Systeme.
  • Regelungen und Maßnahmen zum Logging & Monitoring der SaaS-Anwendung.
  • Regelungen und Maßnahmen für die sichere Entwicklung der SaaS-Anwendung.

4.4 Maßnahmen zur Fähigkeit zur schnellen Wiederherstellung der Verfügbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

  • Vorhalten von Redundanzen zur Steigerung der Resilienz und zur Sicherstellung einer kurzfristigen Wiederaufnahme des Betriebs in Ausfallszenarien.
  • Regelungen und Maßnahmen zur Datensicherung und zur System- und Datenwiederherstellung der SaaS-Anwendung.
  • Regelungen und Maßnahmen zum Security-Incident-Management.
  • Regelungen und Maßnahmen zum Business-Continuity-Management.

4.5 Maßnahmen zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelungen und Maßnahmen zum Messen und Überwachen des Informationssicherheitsmanagementsystems.
  • Regelungen und Maßnahmen zur Durchführung von Internen Audits.
  • Kontinuierliche Überprüfung und Weiterentwicklung der technischen und organisatorischen Maßnahmen.

4.6 Ergänzende Maßnahmen

  • Etablierung einer internen Datenschutz-, Qualitäts- und Informationssicherheitsorganisation.
  • Bestellung eines Datenschutzbeauftragten.
  • Berücksichtigung der Prinzipien “privacy by design” und “privacy by default” bei der Konzeption und Weiterentwicklung der SaaS-Anwendung.
  • Durchführung von Sensibilisierungs- und Schulungsmaßnahmen.
  • Verpflichtung auf das Datengeheimnis und zur Verschwiegenheit.

  1. Unterauftragnehmer

Unterauftragnehmer des Auftraggebers sind:

Unterauftragnehmer
(Name, Anschrift)

Verarbeitete Datenkategorien

Beschreibung der Tätigkeit

Ort der Datenverarbeitung

Aircall SAS,
11-15 rue Saint-Georges, 75009 Paris, Frankreich

Siehe Anm. 4,5

Telekommunikationssoftware für den Kundensupport

Frankreich

Amadeus IT Group,
S.A., Calle Salvador de Madariaga, 1, 28027 Madrid, Spanien

Siehe Anm. 4,5,6,7

Reise-Aggregator für Beförderungs- und Beherbergungsleistungen

Spanien

Callattack S.L.,
Calle Maestre Angeles Aspiazu 14, 29640 Fuengirola, Spanien

Siehe Anm. 4,5,6

Dienstleister für die Vorbereitung und Abrechnung von Beherbergungsleistungen

Spanien

CloudTalk s.r.o.,
Tallerova 4, 811 02 Bratislava, Slowakei

Siehe Anm. 4,5

Telekommunikationssoftware für den Kundensupport

Slowakei

Demodesk GmbH,
Franz-Joseph-Str. 9, 80801 München

Siehe Anm. 4

Dienstleister für Web-Meetings

Deutschland

Distribusion Technologies GmbH,
Wattstraße 10, 13355 Berlin

Siehe Anm. 4,5,6,7

Reise-Aggregator für Beförderungsleistungen

Deutschland

ehotel AG,
Greifswalder Straße 208, 10405 Berlin

Siehe Anm. 4,5,6,7

Reise-Aggregator für Beherbergungsleistungen

Deutschland

Expedia Inc.,
1111 Expedia Group Way West, Seattle, WA 98119, USA, siehe Anm.1,2,3

Siehe Anm. 4,5,6,7

Reise-Aggregator für Beförderungs- und Beherbergungsleistungen

USA

Event Logic Digital Solutions Europe AB,
Kvarnbergsgatan 2, 41105 Göteborg, Schweden

Siehe Anm. 4,5,6,7

Dienstleister von Beherbergungsleistungen für Gruppenreisen

Schweden

Google Cloud EMEA Limited,
70 Sir John Rogerson’s Quay, Dublin 2, Ireland

Siehe Anm. 4,5,6,7

Dienstleister für Office-Anwendungen und Kartendienste

Irland

Katanox BV,
Kleine Gartmanplantsoen 21-6th floor, 1017 RP Amsterdam, Niederlande

Siehe Anm. 4,5,6,7

Reise-Aggregator für Beherbergungsleistungen

Niederlande

refundrebel GmbH,
Pettenkoferstr. 9, 67063 Ludwigshafen

Siehe Anm. 4,5,6

Dienstleister für Entschädigungen bei Bahnreisen8

Deutschland

Trainline.com Limited,
120 Holborn, London, EC1N 2TD, England,
siehe Anm.1

Siehe Anm. 4,5,6,7

Reise-Aggregator für Bahnreisen

Vereinigtes Königreich

Travelfusion Ltd.,
70 St Mary Axe, London EC3A 8BE, England,
siehe Anm.1,3

Siehe Anm. 4,5,6,7

Reise-Aggregator für Flüge

Vereinigtes Königreich

Typeform S.L.,
Carrer de Bac de Roda, 163, 08018 Barcelona, Spanien

Siehe Anm. 4

Erstellung von Online-Formularen und -umfragen

Spanien

Twilio Sendgrid,
1801 California St., Suite 500, Denver, CO 80202, USA,
siehe Anm.1,2,3

Siehe Anm. 4,5,6,7

Versand von Transaktions-E-Mails

USA

Zendesk Inc.,
1019 Market St., San Francisco CA 94103, USA,
siehe Anm.1,2,3

Siehe Anm. 4,5,6,7

Software für Kundensupport-Anfragen

USA

Anmerkungen:

1 Ein Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO liegt vor.

2 Der Unterauftragnehmer ist zertifiziert gemäß EU-US Data Privacy Framework.

3 Vereinbarung von Standardvertragsklauseln gemäß Durchführungsbeschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021

4 Berufliche Kontaktdaten sowie Arbeits- und Organisationsdaten (soweit für eine Buchung erforderlich)

5 Private Kontakt- und Identifikationsdaten (soweit für eine Buchung erforderlich)

6 Transaktionsdaten

7 Besondere Kategorien personenbezogener Daten

8 Nur nach vorheriger Beauftragung durch den Kunden

print
Drucken
file_save
PDF herunterladen