Wir verpflichten uns, Ihre Daten in jeder Phase Ihrer Reise mit TravelPerk verantwortungsvoll zu verarbeiten. Bei unseren Produkten steht Ihre Privatsphäre an erster Stelle.
Ihre Daten. Ihre Rechte.
Einhaltung von Datenschutzgesetzen
Sicherheit
Privacy by Design
Sie haben die Kontrolle
Transparenz
Einhaltung von Datenschutzgesetzen
Wir sind von der Bedeutung des Schutzes Ihrer Privatsphäre und der Einhaltung der Datenschutz-Grundverordnung der EU und Großbritanniens, des Datenschutzgesetzes des kalifornischen Bundesstaates und anderer anwendbarer Datenschutzbestimmungen überzeugt.
Unser Rechenzentrum befindet sich in der EU (AWS Irland – eu-west-1, mit einem Ausweichstandort in AWS Deutschland – eu-central-1).
Unsere Unterauftragsverarbeiter mit Sitz außerhalb der EU/des EWR und Großbritanniens halten sich bei der Übermittlung personenbezogener Daten außerhalb Europas an die neuesten Standardvertragsklauseln (EU und UK SCC).
Wenn wir die SCCs für unzureichend halten, um eine sichere internationale Datenübertragung zu gewährleisten, ergreifen wir zusätzliche Schutzmaßnahmen.
Wir haben Datenverarbeitungsvereinbarungen mit allen Lieferanten abgeschlossen, die Zugang zu den von TravelPerk verarbeiteten personenbezogenen Daten haben.
Wir unterstützen Sie bei der Erfüllung Ihrer Datenschutzpflichten als für die Datenverarbeitung Verantwortliche.
Wir wenden erstklassige technische und organisatorische Maßnahmen an, um Ihre personenbezogenen Daten zu schützen und zu sichern.
Weitere Informationen können Sie unserem Whitepaper über internationale Datenübertragungen entnehmen.
Sicherheit
Wir haben ein umfassendes Sicherheitsprogramm, um Ihre personenbezogenen Daten zu schützen.
ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, PCI DSS Level 1 und C5-zertifiziertes Rechenzentrum des BSI (AWS).
Verschlüsselung von Daten während der Übertragung und im Ruhezustand sowohl mit der Plattform als auch am TravelPerk-Endpunkt.
Wir wenden in allen Phasen der Produktentwicklung strenge Datenschutzstandards an.
Wir gewähren Zugang zu personenbezogenen Daten streng nach dem „Need-to-Know“-Prinzip.
Wir schulen alle Mitarbeiter und Auftragnehmer in Datenschutz und Informationssicherheit.
Wir erheben nur so viele personenbezogene Daten wie nötig, um die Nutzung unserer Plattform zu ermöglichen.
Wir haben ein engagiertes Team, das den Datenschutz bei TravelPerk beaufsichtigt.
Sie haben die Kontrolle
Wir machen es Ihnen leicht, Ihre personenbezogenen Daten auf dem neuesten Stand zu halten.
Wir stellen verschiedene Zugriffsprofile zur Verfügung, mit denen Sie den Zugriff Ihrer Kollegen auf Ihre personenbezogenen Daten steuern können.
Wir stellen Ihnen die Tools bereit, um Ihre Profilinformationen abzurufen und zu aktualisieren.
Wir machen es Ihnen leicht, veraltete Benutzerprofile auf unserer Plattform zu archivieren oder zu löschen.
Transparenz
Wir halten Sie auf dem Laufenden, damit Sie die besten Entscheidungen treffen können.
In unserem Whitepaper zum Datenschutz finden Sie detaillierte Informationen darüber, wie wir Ihre personenbezogenen Daten verarbeiten und schützen.
Unser Whitepaper über internationale Datenübertragungen fasst zusammen, wie unsere Kunden TravelPerk nutzen können, um personenbezogene Daten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) unter Einhaltung des EU-Rechts zu übertragen, indem sie sich auf unsere branchenführenden vertraglichen, technischen und organisatorischen Rahmenbedingungen und Schutzmaßnahmen verlassen.
Unsere Datenschutzdokumentation ist öffentlich zugänglich, damit Sie sich von der Zuverlässigkeit unserer Praktiken überzeugen können.
Wir werden Sie über alle wesentlichen Änderungen unserer Datenschutzrichtlinien auf dem Laufenden halten.
Technische, organisatorische und physische Sicherheit (Art. 32 DSGVO)
Datenübertragung
Anfragen betroffener Personen
Welche Informationen erfassen Sie?
Wir verarbeiten die folgenden Informationen, um Ihnen unsere Produkte und Dienstleistungen bereitstellen zu können:
Identifizierungsdaten wie vollständiger Name, Personalausweis- oder Reisepassdaten, Kontaktdaten, Geburtsdatum, Geschäftsanschrift, Staatsangehörigkeit, Wohnsitzland und E-Mail-Adresse, einschließlich geschäftlicher E-Mails mit vollständigem Namen.
Sind Sie ein Verarbeiter oder ein für die Verarbeitung Verantwortlicher in Bezug auf die personenbezogenen Daten, die von uns, dem Kunden, im Rahmen der von Ihrem Unternehmen erbrachten Dienstleistungen bereitgestellt werden?
Bei der Verarbeitung personenbezogener Daten unserer Kunden ist TravelPerk ein Datenverarbeiter, da wir Reisen in ihrem Namen organisieren.
Für Administratoren, Besucher und potenzielle Kunden sind wir die für die Datenverarbeitung Verantwortlichen, wenn wir Ihre Daten direkt verarbeiten.
Wo speichern Sie unsere personenbezogenen Daten?
Unsere Plattform wird bei Amazon Web Services („AWS“, mit Sitz in Irland, EU) gehostet. AWS bietet eine extrem hohe Verfügbarkeit/Betriebsbereitschaft, eine Reihe von Sicherheitsfunktionen und -tools und ist nach verschiedenen Normen zertifiziert, darunter ISO 27001, ISO 27017 und ISO 27018, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 und C5 des BSI.
Wie kann ich eine unterzeichnete Kopie der Datenverarbeitungsvereinbarung erhalten?
Bitte wenden Sie sich an Ihren Kundenbetreuer, um eine ausgefüllte Version der Datenverarbeitungsvereinbarung anzufordern.
Ist Ihre Organisation beim Büro des Informationsbeauftragten (ICO) und anderen zuständigen Datenschutzbehörden für datenschutzrechtliche Zwecke registriert?
Wir sind bei den Aufsichtsbehörden in Großbritannien (ICO) und in Spanien (AEPD) registriert, wo wir gesetzlich dazu verpflichtet sind.
Haben Sie einen Datenschutzbeauftragten ernannt?
Ja. Die Kontaktdaten lauten wie folgt: Tiffanie Horsfall; dpo@travelperk.com; Avinguda Catedral 6-8 1ª Planta, 08002 Barcelona (Spanien).
Welche technischen, organisatorischen und physischen Sicherheitsmaßnahmen haben Sie ergriffen?
Die wichtigsten technischen, organisatorischen und physischen Maßnahmen, die TravelPerk getroffen hat, sind:
Verschlüsselung von Daten im Ruhezustand
Datenverschlüsselung während der Übertragung
Häufiges Scannen auf Sicherheitslücken
Halbjährliche Penetrationstests
Bug-Bounty-Programm
Erweiterte Bedrohungserkennung über AWS GuardDuty
SAML-basierte SSO-Unterstützung
Schulungs- und Sensibilisierungsprogramme
Richtlinien und Verfahren für den Datenschutz
Zugangskontrolle und Risikomanagement
CCTV
Zugangskontrollen für Räume und Gebäude
Vollständige und aktuelle Informationen über die Sicherheitsmaßnahmen von TravelPerk finden Sie hier:
Die von uns verarbeiteten Daten werden während der Übertragung und im Ruhezustand sowohl auf der Plattform als auch am Endpunkt innerhalb von TravelPerk verschlüsselt. Dazu gehören unsere Website, Workspace, die E-Mail-Verschlüsselung, Backups und die Nutzung des von TravelPerk bereitgestellten VPN für den Fernzugriff.
Werden die Daten pseudonymisiert?
Pseudonymisierung wird dort angewendet, wo sie als notwendig erachtet wird, z. B. um die Datenverarbeitung zu minimieren und die Duplizierung personenbezogener Daten zu reduzieren.
Wir verfügen über ein formales Verfahren, das mit dem Vorfallreaktionsplan abgestimmt ist, aber speziell auf Verstöße im Zusammenhang mit personenbezogenen Daten ausgerichtet ist.
In Zusammenarbeit mit den wichtigsten Stakeholdern unterziehen wir jede Situation einer Risikobewertung, Untersuchung und Beurteilung, um das Risiko eines erneuten Auftretens zu beseitigen und zu verringern. Das Verfahren sowie die Verstöße und Risikobewertungen werden dokumentiert und alle sechs Monate überprüft.
Wie stellen Sie sicher, dass die Daten unserer Kunden von denjenigen, an die sie weitergegeben werden, vertraulich behandelt werden?
Personen, die im Auftrag von TravelPerk personenbezogene Daten verarbeiten, sind verpflichtet, Verträge mit Vertraulichkeitsklauseln zu unterzeichnen.
Mit Dritten, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir vor der Weitergabe von personenbezogenen Daten Datenschutzvereinbarungen abgeschlossen. Darüber hinaus werden Due Diligence-Fragebögen erstellt und Sicherheitsbewertungen durchgeführt.
Wir haben eine Vereinbarung zur konzerninternen Datenverarbeitung mit allen unseren Unternehmen außerhalb des EWR abgeschlossen, um sicherzustellen, dass bei der Verarbeitung personenbezogener Daten ein angemessener Niveau an Datenschutz und Sicherheit gewährleistet ist.
Wie sieht Ihre Richtlinie zur Datenspeicherung aus?
In unserer Richtlinie zur Datenaufbewahrung sind alle gesetzlichen Aufbewahrungsvorschriften aufgeführt, an die wir uns bei TravelPerk halten, wie z. B. die vertragsrechtlichen Bestimmungen für Kundendaten. Darüber hinaus gibt es für jedes Team einen Zeitplan, in dem die Aufbewahrungsfristen für personenbezogene Daten festgelegt sind, die für die Geschäftsaktivitäten verarbeitet werden, wie wir sie in unserer Datenschutzrichtlinie beschreiben.
Nach Ablauf dieser Aufbewahrungsfrist werden die betreffenden personenbezogenen Daten gelöscht.
Übermitteln Sie die von uns, dem Kunden, bereitgestellten personenbezogenen Daten außerhalb des EWR und in welche Länder?
Wir setzen vertrauenswürdige Dritte für die Erbringung unserer Dienstleistungen für Sie ein, wenn im Rahmen der Geschäftstätigkeit personenbezogene Daten außerhalb des EWR verarbeitet werden. Dies sind die USA, die Philippinen, Indien, Kolumbien und El Salvador. Weitere Informationen finden Sie in unserer Liste der Unterauftragsverarbeiter.
Auf die Daten können auch unsere Mitarbeiter in Ländern außerhalb des EWR zugreifen. Wir haben Vertraulichkeitsvereinbarungen und Vereinbarungen über den Datenaustausch zwischen Unternehmen getroffen, um in solchen Fällen eine sichere Übertragung zu ermöglichen.
Welche Folgenabschätzungen für die Übermittlung haben Sie gegebenenfalls durchgeführt, um das Risiko einer Datenübertragung in ein Drittland zu bewerten?
Wir senden Fragebögen zum Datenschutz an alle unsere Lieferanten, um eine erste Bewertung des Übermittlungsrisikos vorzunehmen und die Wirksamkeit der von uns eingerichteten Übertragungsmechanismen (SCC) zu ermitteln.
Welche zusätzlichen Maßnahmen haben Sie gemäß den Empfehlungen 01/2022 des EDSA durchgeführt?
Auf der Grundlage der Antworten des Lieferanten auf unseren Fragebogen zum Datenschutz sowie des Risikos der Rechtsvorschriften und Praktiken des Drittlandes in Bezug auf mögliche Anfragen zur Offenlegung personenbezogener Daten haben wir zusätzliche Sicherheitsvorkehrungen getroffen, die sowohl technische und organisatorische Maßnahmen als auch vertragliche Schutzvorkehrungen umfassen.
Verfügen Sie über Verfahren, um solche Übertragungen zu unterbrechen oder auszusetzen, wenn das Drittland selbst bei Anwendung zusätzlicher Maßnahmen keinen im Wesentlichen gleichwertigen Schutz bietet?
Unsere Datenschutzbehörde hat ein vertragliches Rechtsmittel zur Vertragskündigung, wenn uns keine angemessenen Maßnahmen zur internationalen Datenübertragung geboten werden können. Für den Prozess der Löschung/Rückgabe von Daten gelten dieselben Regeln wie bei einem natürlichen Ende des Vertrags. In anderen Fällen gibt es Klauseln zur Aussetzung der Dienste/Übermittlungen.
Wir verankern den Datenschutz in der Kultur von TravelPerk, indem wir Folgendes sicherstellen:
Ein Schulungsprogramm für alle, die Zugang zu personenbezogenen Daten haben.
Der Datenschutz wird von oben nach unten gesteuert, wobei die Mitarbeiter in Datenschutzfunktionen die Umsetzung der Verfahren beaufsichtigen.
Es gibt einen DSB.
Wir arbeiten derzeit an der Automatisierung unserer Prozesse, um eine automatische Aktualisierung der Datenzuordnung, der Aufzeichnungen über die Verarbeitung, unserer Datenschutzrichtlinie und unseres SAR-Workflows zu ermöglichen.
Sicherstellung der Rechenschaftspflicht in jeder Phase der Datenverarbeitung, von der Erhebung bis zur Löschung, die in unserem Datenflussdiagramm dargestellt ist.
Wie kann ich meine personenbezogenen Daten von TravelPerk löschen?
Die Daten können von den Administratoren des Kunden im Personenverzeichnis auf der Plattform gelöscht werden. Hier finden Sie mehr Informationen.
Eine Anfrage kann auch innerhalb der Plattform über unser Customer Care Team oder per E-Mail an das Datenschutzteam unter privacy@travelperk.com gestellt werden. Wir werden diese Anfrage innerhalb eines Kalendermonats bearbeiten.
Wenn ein Kunde den Wunsch äußert, unsere Produkte und Dienstleistungen nicht mehr zu nutzen oder das Firmenkonto zu schließen, werden wir diesem Wunsch nachkommen und die personenbezogenen Daten löschen.
Es kann sein, dass wir Daten für einen bestimmten Zeitraum aufbewahren müssen, um unseren gesetzlichen Verpflichtungen nachzukommen. Diese Daten werden nach Ablauf des vorgegebenen Zeitraums endgültig gelöscht.
Wie stellen Sie Datenzugriffsanträge (DSARs) bereit?
Sobald wir eine DSAR-Anfrage erhalten, werden wir unseren Kunden auffordern, als für die Datenverarbeitung Verantwortlicher tätig zu werden.
Nach erfolgreicher Überprüfung des Antragstellers stellen wir Kopien der angeforderten personenbezogenen Daten oder Informationen per verschlüsselter Übertragung zur Verfügung.
In welchem Format stellen Sie DSARs zur Verfügung?
DSARs werden im PDF-Format und über unsere End-to-End-Verschlüsselungsplattform bereitgestellt. Zur zusätzlichen Sicherheit versenden wir Kopien der personenbezogenen Daten eines Kunden auch über unsere verschlüsselte End-to-End-Plattform für den Dateiaustausch. Wir werden diesen Antrag innerhalb eines Kalendermonats bearbeiten.
Kontaktieren Sie uns
Wenn Sie weitere Fragen zum Datenschutz bei TravelPerk haben, senden Sie eine E-Mail an privacy@travelperk.com.
