Vereinbarung zur Verarbeitung personenbezogener Daten

Präambel

Diese Vereinbarung regelt die Verpflichtungen der Vertragsparteien nach Art. 28 Abs. 3 DSGVO zum Schutz der personenbezogenen Daten betroffener Personen und ergänzt insoweit den Vertrag vom xx.xx.xxx (im Folgenden „Auftrag" genannt). Sie findet Anwendung auf alle Verarbeitungen personenbezogener Daten, die mit dem Auftrag in Zusammenhang stehen und bei denen der Auftragnehmer oder durch den Auftragnehmer beauftragte Dritte personenbezogene Daten für den Auftraggeber verarbeiten.

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

1.1 Art, Zweck und Gegenstand der Verarbeitung

• Gegenstand: Bereitstellung und Betrieb der Lambus for Business-Plattform zur Darstellung von Reiseinformationen sowie damit verbundene Support-Dienstleistungen.
• Zweck: Digitalisierung und Verwaltung von Reisedaten, Buchungsmanagement, Koordination von Reisegruppen und Kommunikation zwischen den Teilnehmern im Auftrag des Auftraggebers.

Dauer der Verarbeitung

• Die Verarbeitung erfolgt für die Dauer des Hauptvertrages, sofern nicht durch die nachfolgenden Bestimmungen oder gesetzliche Pflichten eine darüber hinausgehende Speicherung erforderlich ist.
• Nach Beendigung des Hauptvertrages erfolgt die Löschung oder Rückgabe personenbezogener Daten gemäß Ziffer 2.9 dieser Vereinbarung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Art der verarbeiteten personenbezogenen Daten

• Stammdaten: Name, Vorname, Geburtsdatum, Anschrift.
• Kontaktdaten: E-Mail-Adresse, Telefonnummer.
• Reisedaten: Buchungsreferenzen, Flugnummern, Hotelinformationen, Reiserouten, Ausweisdaten (sofern für Buchungen hinterlegt).
• Nutzungsdaten: IP-Adressen, Logfiles, Geräteinformationen.

Kategorien der betroffenen Personen

• Kunden und Interessenten des Auftraggebers.
• Mitarbeiter des Auftraggebers (z. B. Administratoren oder Reisekoordinatoren).
• Mitreisende Dritte innerhalb der vom Auftraggeber verwalteten Gruppen.

1.2

Im Rahmen der Bereitstellung der Software können personenbezogene Daten durch eingesetzte Unterauftragsverarbeiter auch in Staaten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, insbesondere in den Vereinigten Staaten von Amerika.

Eine solche Übermittlung erfolgt ausschließlich unter Einhaltung der gesetzlichen Voraussetzungen gemäß Art. 44 ff. DSGVO.

Sofern kein Angemessenheitsbeschluss der Europäischen Kommission für das betreffende Drittland besteht, erfolgt die Übermittlung auf Grundlage geeigneter Garantien im Sinne des Art. 46 DSGVO, insbesondere durch den Abschluss von EU-Standardvertragsklauseln (SCC).

Soweit ein Dienstleister unter dem EU-US Data Privacy Framework zertifiziert ist, erfolgt die Datenübermittlung auf Grundlage des entsprechenden Angemessenheitsbeschlusses der Europäischen Kommission.

Der Anbieter stellt sicher, dass bei allen Drittlandübermittlungen ein angemessenes Datenschutzniveau gewährleistet ist. Der Auftragnehmer dokumentiert die jeweils eingesetzten geeigneten Garantien und stellt dem Auftraggeber diese auf Anfrage zur Verfügung.

Änderungen der eingesetzten Transfermechanismen werden dem Auftraggeber unverzüglich mitgeteilt.

2. Rechte und Pflichten des Auftragnehmers

2.1 Der Auftragnehmer verarbeitet Daten von betroffenen Personen ausschließlich im Rahmen der getroffenen Vereinbarungen und der dokumentierten Weisungen des Auftraggebers sowie entsprechend den datenschutzrechtlichen Regelungen, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchst. a DSGVO). Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen Zwecke und insbesondere nicht für eigene Zwecke. Kopien der Daten werden, ohne dass sie im Auftrag oder in diesem Vertrag geregelt sind, nicht erstellt.

Sofern Weisungen des Auftraggebers zunächst mündlich erfolgen, sind sie unverzüglich schriftlich oder elektronisch zu bestätigen. Weisungen des Auftraggebers werden vom Auftragnehmer dokumentiert und für die Dauer des Auftragsverhältnisses aufbewahrt.

Eine Nutzung der personenbezogenen Daten zur Entwicklung, zum Training oder zur Verbesserung eigener oder fremder KI-Modelle ist ausgeschlossen. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.

Eine hiervon abweichende Verarbeitung bedarf einer gesonderten schriftlichen Vereinbarung zwischen den Parteien.

2.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Unterabs. 2 DSGVO). Ist die Rechtmäßigkeit einer Weisung zweifelhaft, ist der Auftragnehmer berechtigt, die Durchführung der Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. Stehen schwere Persönlichkeitsrechtsverletzungen im Raum oder nimmt der Auftragnehmer bei weisungsgemäßem Handeln das Risiko einer strafbaren Handlung auf sich, darf er die Umsetzung der Weisung darüber hinaus aussetzen, bis die Parteien eine einvernehmliche Lösung gefunden haben.

2.3 Der Auftragnehmer gestaltet seine innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft insbesondere geeignete technische und organisatorische Maßnahmen, um einen dem Risiko angemessenen Schutz der Daten des Auftraggebers zu gewährleisten (Art. 32 Abs. 1 DSGVO). Sofern personenbezogene Daten in Telearbeit und Heimarbeit verarbeitet werden, ist er verpflichtet, dies dem Auftraggeber mitzuteilen. Er trifft diese technischen und organisatorischen Maßnahmen so, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt sind. Die entsprechenden technischen und organisatorischen Maßnahmen ergeben sich aus den technischen und organisatorischen Maßnahmen (TOMs) in Anlage 2. Diese Anlage ist Bestandteil dieser Vereinbarung. Änderungen der technischen und organisatorischen Maßnahmen sind zulässig, sofern sie das vertraglich vereinbarte Schutzniveau nicht unterschreiten. Der Auftragnehmer dokumentiert solche Änderungen und stellt sicher, dass sie weiterhin den Anforderungen des Art. 32 DSGVO entsprechen. Wesentliche Änderungen, die das Sicherheitskonzept betreffen, werden dem Auftraggeber vorab mitgeteilt.

2.4 Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte (Art. 28 Abs. 3 Unterabs. 1 Buchst. e DSGVO) nachzukommen und unterstützt den Auftraggeber unter Berücksichtigung der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, wie etwa bei erforderlichen Datenschutz-Folgenabschätzungen (Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchst. f DSGVO).

2.5 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Beschäftigten und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen (Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchst. b DSGVO). Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

2.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, in der Regel innerhalb von 24 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO.

Die Mitteilung enthält zumindest die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit diese dem Auftragnehmer vorliegen.

2.7 Der Auftragnehmer nennt dem Auftraggeber Ansprechpartner für im Rahmen des Vertrages anfallende Weisungen sowie einen etwaige(n) Datenschutzbeauftragte(n). Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Auftraggeber die Kontaktdaten eines neuen, zuständigen Ansprechpartners bzw. eines oder einer etwaigen Datenschutzbeauftragten unverzüglich anzuzeigen.

Ansprechpartner des Auftragnehmers
Hendrik Scherer, Leitung B2B-Partnerships, 0541 40659977, privacy@lambus.com

2.8 Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist, es sei denn, die Weisung widerspricht etwaigen gesetzlichen Aufbewahrungspflichten.

2.9 Nach Auftragsende sind Daten (einschließlich vorhandener Kopien), Datenträger sowie sonstige Materialien auf Verlangen und nach Wahl des Auftraggebers entweder zurückzugeben oder spätestens innerhalb von 30 Tagen nach Vertragsende zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur weiteren Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchst. g DSGVO). Der Auftragnehmer bestätigt dem Auftraggeber auf Anfrage schriftlich oder in elektronischer Form die ordnungsgemäße Löschung oder Rückgabe der Daten. Sofern eine sofortige Löschung einzelner Datenbestände aus technischen Gründen, insbesondere aufgrund von Backup- oder Archivsystemen, nicht möglich ist, werden diese Daten bis zur endgültigen Löschung gesperrt und nicht weiterverarbeitet.

2.10 Im Falle einer Inanspruchnahme des Auftraggebers durch eine Person hinsichtlich etwaiger Schadensersatzansprüche nach Art. 82 DSGVO verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten zu unterstützen.

2.11 Der Auftragnehmer stellt durch geeignete technische und organisatorische Maßnahmen sicher, dass personenbezogene Daten verschiedener Auftraggeber logisch voneinander getrennt verarbeitet werden. Eine Verwendung produktiver personenbezogener Daten zu Test- oder Entwicklungszwecken erfolgt ausschließlich in anonymisierter oder pseudonymisierter Form.

3. Rechte und Pflichten des Auftraggebers

3.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Beurteilung der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO, die Datenweitergabe an den Auftragnehmer sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO verantwortlich („Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO).

3.2 Der Auftraggeber informiert den Auftragnehmer unverzüglich, falls er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

3.3 Im Falle einer Inanspruchnahme des Auftragnehmers durch eine Person hinsichtlich etwaiger Schadensersatzansprüche nach Art. 82 DSGVO verpflichtet sich der Auftraggeber, den Auftragnehmer bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten zu unterstützen.

3.4 Der Auftraggeber nennt dem Auftragnehmer weisungsberechtigte Personen für im Rahmen des Vertrages anfallende Weisungen sowie den / die Datenschutzbeauftragte(n). Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Auftragnehmer unverzüglich die Kontaktdaten eines neuen, zuständigen Ansprechpartners bzw. eines oder einer Datenschutzbeauftragten anzuzeigen.

Weisungsberechtigte Personen des Auftraggebers sind: Name, Position, Telefonnr., E-Mail

3.5 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieser Vereinbarung bestehen. Die Befugnisse der Aufsichtsbehörden – insbesondere nach Art. 58 Abs. 1 DSGVO – bleiben hiervon unberührt.

4. Anfragen betroffener Personen

Macht eine betroffene Person ihre Rechte gemäß Art. 15 ff. DSGVO gegenüber dem Auftragnehmer geltend, wird dieser die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber auf Basis der Angaben der betroffenen Person möglich ist. Gemäß Nr. 2.4 dieser Vereinbarung unterstützt der Auftragnehmer den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte.

5. Kontrollrechte des Auftraggebers

5.1 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung, sofern diese im Rahmen einer externen Prüfung benötigt werden (Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchst. h DSGVO).

5.2 Der Auftraggeber ist berechtigt, sich vor Beginn und während der Verarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in dieser Vereinbarung festgelegten Verpflichtungen zu überzeugen. Dies und Maßnahmen nach Nr. 5.4 werden nicht durch die Vorlage von Nachweisen nach Nr. 5.1 ausgeschlossen.

5.3 Inspektionen durch den Auftraggeber oder durch einen von diesem beauftragten Prüfer werden grundsätzlich nach vorheriger Anmeldung unter Berücksichtigung einer angemessenen Vorlauffrist zu den üblichen Geschäftszeiten durchgeführt. Inspektionen erfolgen unter Wahrung der berechtigten Geschäfts- und Betriebsgeheimnisse des Auftragnehmers sowie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit. Sie sind grundsätzlich auf ein angemessenes Maß und eine angemessene Häufigkeit beschränkt. Der Auftragnehmer hat die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung abhängig zu machen, wenn die Möglichkeit besteht, dass der Auftraggeber oder ein von diesem beauftragte(r) Prüfer / Prüferin im Rahmen seiner / ihrer Inspektion auch Kenntnis von Daten erlangt, die der Auftragnehmer im Auftrag eines anderen Verantwortlichen verarbeitet. Der Auftraggeber stellt sicher, dass ein von ihm beauftragter Prüfer / Prüferin in keinem Wettbewerbsverhältnis zu dem Auftragnehmer steht.

6. Unterauftragsverarbeiter (weitere Auftragsverarbeiter)

6.1 Ein Unterauftragsverarbeitungsverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragsverarbeiter mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. Der Auftragnehmer trägt bei der Auswahl eines Unterauftragsverarbeiters insbesondere Sorge dafür, dass dieser hinreichende Garantien dafür bietet, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung personenbezogener Daten entsprechend den Anforderungen der Datenschutz-Grundverordnung erfolgt.

Nicht als Unterauftragsverarbeitungsverhältnis im Sinne dieser Regelung sind solche Leistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Hierzu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice (wenn ein Zugriff auf personenbezogene Daten des Auftraggebers ausgeschlossen ist), Reinigungskräfte und Prüfer. Der Auftragnehmer trifft mit diesen Dritten im erforderlichen Umfang schriftliche Vereinbarungen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten und behält sich Kontrollmaßnahmen vor, um den Schutz und die Sicherheit der Daten des Auftraggebers zu gewährleisten.

6.2 Der Auftragnehmer nimmt keinen Unterauftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung in Anspruch. Der Auftragnehmer teilt dem Auftraggeber die bereits bei Abschluss dieses Vertrags bestehenden Unterauftragsverarbeitungsverhältnisse vorab mit. Die bei Vertragsbeginn bestehenden Unterauftragsverarbeitungsverhältnisse sind in Anlage 1 zu diesem Vertrag aufgeführt. Diese gelten als von Beginn des Auftrages an genehmigt.

6.3 Weitere Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO, weitere Unterauftragsverarbeiter einzusetzen. Der Auftragnehmer informiert den Auftraggeber frühzeitig, in Textform, über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen derartige Änderungen aus wichtigem datenschutzrechtlichem Grund innerhalb von 30 Tagen nach Zugang der Information schriftlich Einspruch erheben. Sofern keine einvernehmliche Lösung erzielt wird, ist der Auftraggeber berechtigt, den Hauptvertrag außerordentlich zu kündigen, soweit die Auftragsverarbeitung hiervon betroffen ist.

6.4 Der Vertrag mit dem Unterauftragsverarbeiter muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO). In dem Vertrag mit dem Unterauftragsverarbeiter sind dieselben datenschutzrechtlichen Pflichten aus der vorliegenden Vereinbarung diesem wirksam aufzuerlegen. Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Verpflichtungen beim Unterauftragsverarbeiter über den Auftragnehmer zu überprüfen oder überprüfen zu lassen.

6.5 Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Unterauftragsverarbeiter den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Abschnitt vertraglich auferlegt wurden (Art. 28 Abs. 4 Satz 2 DSGVO).

6.6 Die Beauftragung von Unterauftragsverarbeitern in Drittstaaten erfolgt ausschließlich unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO. Sofern eine allgemeine Genehmigung nach Ziffer 6.3 erteilt wurde, gelten die dort geregelten Informations- und Widerspruchsrechte auch für Drittstaatenübermittlungen.

7. Haftung und Schadensersatz

Die Vertragsparteien haften entsprechend den einschlägigen gesetzlichen Bestimmungen bzw. gegenüber betroffenen Personen gemäß Art. 82 DSGVO. Soweit eine Vertragspartei einen Datenschutzverstoß zu vertreten hat, stellt sie die jeweils andere Vertragspartei im Innenverhältnis von Ansprüchen Dritter frei, soweit der Verstoß in ihren Verantwortungsbereich fällt. Die Haftungsverteilung richtet sich im Übrigen nach Art. 82 DSGVO.

8. Schlussbestimmungen

8.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn die Daten des Auftraggebers durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter beim Auftragnehmer gefährdet werden. Der Auftragnehmer informiert in diesem Fall alle Beteiligten unverzüglich darüber, dass das Eigentum an den Daten ausschließlich beim Auftraggeber liegt.

8.2 Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen oder in einem elektronischen Format abgefassten Vereinbarung, die den ausdrücklichen Hinweis darauf enthält, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt.

8.3 Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so ist die Wirksamkeit der übrigen Regelungen hiervon nicht betroffen. In diesem Falle werden die Parteien einvernehmlich eine neue Regelung oder Ergänzung der bestehenden Regelung vereinbaren, die die unwirksame oder undurchführbare Regelung in einer Art und Weise ersetzt bzw. ergänzt, die der ursprünglich von den Parteien bei Abfassung dieser Anlage beabsichtigten Regelung am nächsten kommt, hätten sie denn die Unwirksamkeit oder Undurchführbarkeit bedacht. Dies gilt auch für Regelungslücken.

8.4 Erhält der Auftragnehmer Anfragen von Behörden oder sonstigen Dritten auf Herausgabe personenbezogener Daten des Auftraggebers, informiert er den Auftraggeber unverzüglich, sofern ihm dies rechtlich gestattet ist. Der Auftragnehmer wird die Daten nur herausgeben, wenn er hierzu gesetzlich verpflichtet ist.