Datenverarbeitungsvereinbarung

Die vorliegende Datenverarbeitungsvereinbarung („Datenverarbeitungsvereinbarung“) legt die Bedingungen fest, zu denen TravelPerk, S.L.U. („TravelPerk“) als Auftragsverarbeiter die personenbezogenen Daten, die für die Erbringung der vom Kunden (Datenverantwortlichen) im Rahmen des Vertrags oder der Verträge beauftragten Dienstleistungen erforderlich sind, verarbeitet und schützt (der „Vertrag“).

Durch die Beauftragung der Dienstleistungen akzeptiert der Kunde die Datenverarbeitungsvereinbarung und stimmt zu, an selbige als integralem Bestandteil des Vertrags gebunden zu sein.

ZUSAMMENFASSUNG DER DATENVERARBEITUNGSVEREINBARUNG:

1. DEFINITIONEN
2. ROLLE DER PARTEIEN
3. UMFANG DER DIENSTLEISTUNGEN
4. BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN
5. DETAILS ZUR DATENVERARBEITUNG
6. PFLICHTEN DES KUNDEN
7. PFLICHTEN VON TRAVELPERK UND ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN AN DRITTANBIETER
8. FRAGEN UND HINWEISE ZU DIESER DATENVERARBEITUNGSVEREINBARUNG
9. RECHTSWIRKSAMKEIT DIESER DATENVERARBEITUNGSVEREINBARUNG
10. GESAMTE DATENVERARBEITUNGSVEREINBARUNG UND KÜNFTIGE ÄNDERUNGEN
11. ABSCHNITT KALIFORNISCHES GESETZ ZUM VERBRAUCHERDATENSCHUTZ
12. GELTENDE RECHTSVORSCHRIFTEN UND RECHTSORDNUNG

ANLAGE 1: ANGABEN ZUR DATENVERARBEITUNG
ANLAGE 2: SICHERHEITSMAßNAHMEN VON TRAVELPERK (TOMS)

1. BEGRIFFSBESTIMMUNGEN

1.1 In dieser Datenverarbeitungsvereinbarung:

a) Bezeichnen „Abonnementgebühren jene Gebühren, die der Kunde für die Dienstleistungen entrichtet. Zur Vermeidung von Missverständnissen gelten die Reisekosten oder sonstige Auslagen selbst nicht als Abonnementgebühren.

b) Bezeichnet „Admin“ den oder die Mitarbeiter bzw. Vertreter der TravelPerk-Kunden, die in Vertretung der Kunden handeln und Administratorrechte auf der TravelPerk-Plattform haben.

c) Bezeichnet „Benutzer“ die Reisenden und Administratoren.

d) Bezeichnen „Binding Corporate Rules“ Richtlinien zum Schutz personenbezogener Daten, die es multinationalen Konzernen, internationalen Organisationen und Firmengruppen ermöglichen, innerhalb der Organisation personenbezogene Daten zu übermitteln.

e) Bezeichnet „Datenschutzgesetze“ die DSGVO, das spanische Kgl. Dekret 3/2018 vom 5. Dezember 2018 und die anwendbaren Datenschutzbestimmungen der EWR-Mitgliedstaaten. Für Kunden mit Sitz im Vereinigten Königreich sind darunter auch die jeweils geltenden Datenschutzgesetze des Vereinigten Königreichs zu verstehen.

f) Bezeichnet „Dienstleistungen“ die Dienstleistungen im Zusammenhang mit Geschäftsreisen, die TravelPerk dem Kunden im Rahmen des Vertrags anbietet, wobei der Kunde ein für die personenbezogenen Daten Verantwortlicher und TravelPerk ein Auftragsverarbeiter ist. Der Umfang der Dienstleistungen ist in der nachstehenden Klausel 3 genauer beschrieben.

g) Bezeichnet „Drittland“ ein Land außerhalb des EWR oder ein Land, das keinen angemessenen Sicherheitsstandard gemäß den EWR-Standards gewährleistet.

h) Bezeichnet „DSGVO die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

i) Bezeichnet „EWR“ den Europäischen Wirtschaftsraum.

j) Bezeichnet „Kunde oder Kunden“ die Unternehmen, Einrichtungen und/oder Organisationen, die die Dienstleistungen von TravelPerk in Anspruch nehmen.

k) Bezeichnet „Reisende“ die Mitarbeiter und ggf. Auftragnehmer des Kunden, die über ein Reisekonto auf der von TravelPerk-Plattform verfügen und geschäftlich im Rahmen von über die Plattform gebuchten Reisen reisen.

l) Bezeichnet „Reisedienstleistungen“ reisebezogene Dienstleistungen, die von Dritten wie Fluggesellschaften, Bahnbetreibern, Mietwagenfirmen und Hotels bzw. Beherbergungsbetrieben („Reisedienstleistungsanbieter“), erbracht werden.

m) Bezeichnen „Standardvertragsklauseln“ die Standardvertragsklauseln der Europäischen Kommission, die für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländer gelten, gemäß Beschluss 2010/87/EU der Kommission vom 5. Februar 2010, bzw., wo rechtlich erforderlich, gemäß den von den EU-Behörden festgelegten Umsetzungszeiträumen, gemäß Durchführungsbeschluss 2021/914/EG der Kommission vom 4. Juni 2021, bzw. den durch die Datenschutzbehörden jeweils aktualisierten Fassungen dieser Klauseln bzw. den Klauseln, die diese ersetzen.

n) Bezeichnet „UK-DSGVO“ die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr als Teil der Rechtsordnung von England und Wales, Schottland und Nordirland gemäß Abschnitt 3 des European Union (Withdrawal) Act von 2018.

o) Bezeichnet „Unterauftragsverarbeiter“ jede natürliche oder juristische Person, die von TravelPerk beauftragt und gemäß dieser Datenverarbeitungsvereinbarung befugt ist, auf die personenbezogenen Daten des Kunden zuzugreifen und diese zu verarbeiten, um die Erbringung der Dienstleistungen zu unterstützen.

p) Bezeichnet „verbundenes Unternehmen“ jede Organisation, die direkt oder indirekt vom Kunden bzw. von TravelPerk kontrolliert wird bzw. den Kunden kontrolliert oder mit dem Kunden unter einer gemeinsamen Kontrolle steht (wobei Kontrolle das Eigentum an der Mehrheit an Anteilen, Aktien oder Stimmrechten bedeutet), bzw. jede Partei, die direkt oder indirekt Anteile oder Aktien am Kunden hält.

q) Gilt als „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von oder zum Zugang zu personenbezogenen Daten führt, die von TravelPerk übermittelt, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung der Dienstleistungen verarbeitet werden.

1.2 Die Begriffe „personenbezogene Daten“, „besondere Datenkategorien“, „Verarbeiten/Verarbeitung“, „Datenverantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „Aufsichtsbehörde“ und sonstige Begriffe, die in dieser Datenverarbeitungsvereinbarung nicht ausdrücklich definiert sind, haben die gleiche Bedeutung wie in der DSGVO.

2. ROLLE DER PARTEIEN

Die Parteien nehmen zur Kenntnis und vereinbaren, dass der Kunde in Bezug auf die Verarbeitung personenbezogener Daten gemäß dieser Datenverarbeitungsvereinbarung der Datenverantwortliche und TravelPerk der Auftragsverarbeiter ist. Jede Partei ist für die Einhaltung ihrer Pflichten aus den Datenschutzgesetzen verantwortlich.

3. UMFANG DER DIENSTLEISTUNGEN

3.1 Allgemeine Beschreibung

Die von TravelPerk über seine Plattform erbrachten Dienstleistungen, die es Unternehmen ermöglichen, Geschäftsreisen zu suchen, zu buchen, zu verwalten, Berichte dazu zu erstellen und deren Kosten zu kontrollieren, können in Übereinstimmung mit den von den einzelnen Kunden beauftragten Dienstleistungen folgende Tätigkeiten umfassen:

a) Benutzerkonten erstellen, pflegen und aktualisieren.

b) Reisebuchungen verwalten, Aufträge und Zahlungen abwickeln, Buchungsbestätigungen ausstellen, Buchungen ändern und stornieren.

c) Den Benutzern im Fall von Stornierungen, Änderungen oder Nichterscheinen Nachrichten senden.

d) Kundendienst leisten, Fragen, Anfragen und Aufforderungen beantworten und besondere Anträge behandeln.

e) Den Benutzern auf der Grundlage ihrer bisherigen Buchungen und ihres Suchverlaufs Buchungsempfehlungen erteilen.

f) Den Benutzern bei nicht beendeten Buchungsvorgängen Erinnerungen senden.

g) Die Kunden und Reisenden über etwaige Aktualisierungen der Dienstleistungen, einschließlich neuer Funktionen, informieren.

h) Alle vom Kunden zum jeweiligen Zeitpunkt beauftragten Dienstleistungen erbringen, wie Geschäftsreisemanagement, Premium-, Pro- und flexible Stornierungsdienste, API-Zugang, Dienstleistungen in Bezug auf CO2-Kompensation, Dienstleistungen zur Information des Kunden über Notfall- oder Risikosituationen in verschiedenen Ländern bzw. alle sonstigen in Zukunft erbrachten Dienstleistungen gemäß dem jeweiligen Auftrag des Kunden.

Jede neue, von TravelPerk angebotene und vom Kunden beauftragte Dienstleistung, in der TravelPerk Auftragsverarbeiter und der Kunde Datenverantwortlicher ist, ist in der Definition der Dienstleistungen inbegriffen. TravelPerk verarbeitet die personenbezogenen Daten zu den oben genannten Zwecken sowie für alle Zwecke, die für die Erbringung der vom Kunden beauftragten Dienstleistungen als erforderlich angesehen werden.

3.2 Nutzung der Dienstleistungen durch Minderjährige

3.2.1 Die Dienstleistungen richten sich nicht an Jugendliche unter 18 Jahren („Minderjährige“). Minderjährigen ist es nicht gestattet, ein Konto bei TravelPerk einzurichten oder Dienstleistungen zu buchen. Unbeschadet dessen können berechtigte Benutzer (Kundenmitarbeiter) die gemeinsam mit ihren Kindern reisen müssen, unter besonderen Umständen auch die entsprechenden personenbezogenen Daten dieser Minderjährigen übermitteln, jedoch nur soweit dies strikt für die Erbringung der Dienstleistungen erforderlich ist und unter folgenden Voraussetzungen:

(i) Im Fall von unter 14 Jahre alten Minderjährigen müssen die jeweiligen befugten Benutzer (Erwachsenen) rechtlich befugt sein, in ihrem Namen zuzustimmen.

(ii) Im Fall von Minderjährigen im Alter zwischen 14 und 16 Jahren müssen die jeweiligen befugten Benutzer (Erwachsenen) den Nachweis der Zustimmung der Minderjährigen einholen und diesen vorlegen können.

3.2.2 Der Kunde verpflichtet sich, TravelPerk zu entschädigen, zu verteidigen und gegenüber allen rechtlichen und/oder außergerichtlichen Schritten, die aufgrund einer unrechtmäßigen Verarbeitung der personenbezogenen Daten Minderjähriger ergriffen werden, schadlos zu halten.

4. BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN

4.1 TravelPerk fordert von den Benutzern keine Mitteilung besonderer Datenkategorien (wie personenbezogene Daten über Gesundheit, das Sexualleben oder die sexuelle Orientierung, die rassische oder ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen und Mitgliedschaften bei Gewerkschaften sowie biometrische und genetische Daten). Der Kunde hat die Benutzer entsprechend zu schulen, sodass die Benutzer besondere Datenkategorien nur dann an TravelPerk übermitteln, wenn diese für TravelPerk zur Erbringung der Dienstleistungen unbedingt erforderlich sind.

4.2 TravelPerk greift gelegentlich auf besondere Datenkategorien (Gesundheit) zu, um bestimmte Benutzeranfragen zu bearbeiten. Wenn Benutzer besondere Datenkategorien mitteilen, stellt die Mitteilung derartiger Daten durch die Benutzer eine ausdrückliche und aktive Zustimmung dar. 

5. DETAILS ZUR DATENVERARBEITUNG

5.1 In Anlage 1 sind Art, Dauer und Zwecke der Verarbeitung, die Art der von TravelPerk verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Person, deren personenbezogene Daten verarbeitet werden, festgelegt.

6. PFLICHTEN DES KUNDEN

6.1 Im Rahmen des Vertrags und bei seiner Nutzung der Dienstleistungen ist der Kunde dafür verantwortlich sicherzustellen, dass die Verarbeitung personenbezogener Daten unter Einhaltung der anwendbaren Datenschutzgesetze und dieser Datenverarbeitungsvereinbarung erfolgt. Der Kunde ist dafür verantwortlich sicherzustellen, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt und ggf. die erforderliche Zustimmung von den betroffenen Personen eingeholt wurde.

6.2 Um die Erbringung der Dienstleistungen zu ermöglichen, verpflichtet sich der Kunde, TravelPerk alle erforderlichen personenbezogenen Daten zur sachgerechten Durchführung der Verarbeitungstätigkeiten zur Verfügung zu stellen.

6.3 Der Kunde gewährleistet die Richtigkeit und Qualität der TravelPerk zur Verfügung gestellten personenbezogenen Daten und dass diese in Übereinstimmung mit allen Anforderungen der notwendigen Transparenz und Rechtmäßigkeit der anwendbaren Datenschutzgesetze eingeholt wurden, einschließlich der Einholung aller erforderlichen Zustimmungen und Bewilligungen.

7. PFLICHTEN VON TRAVELPERK UND ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN AN DRITTANBIETER

7.1 Anweisungen des Kunden

7.1.1 TravelPerk darf die personenbezogenen Daten nur zur Erbringung der Dienstleistungen und gemäß den dokumentierten Anweisungen des Kunden verarbeiten, außer wenn Verarbeitungstätigkeiten erforderlich sind, die durch die geltenden Datenschutzgesetze vorgeschrieben sind.

7.1.2 Mit der vorliegenden Datenverarbeitungsvereinbarung ermächtigt der Kunde TravelPerk ausdrücklich, die personenbezogenen Daten zur Abwicklung von Buchungen, Reservierungen, Änderungen, Bestätigungen, Stornierungen und zur Erbringung der vom Kunden zum jeweiligen Zeitpunkt beauftragten Dienstleistungen zu verwenden.

7.1.3 Zur Erbringung der Dienstleistungen muss TravelPerk den Reisedienstleistungsanbietern personenbezogene Daten mitteilen. Aufgrund der Art der von einigen Reisedienstleistungsanbietern erbrachten Tätigkeiten und entsprechenden Verarbeitung der personenbezogenen Daten gelten die Reisedienstleistungsanbieter als unabhängige Verantwortliche für die personenbezogenen Daten. Um die Dienstleistungen zu erbringen, muss TravelPerk die personenbezogenen Daten auch an andere Datenverantwortliche weitergeben (Betrugsbekämpfungsstellen, Zahlungsabwickler, Versicherungsunternehmen usw.). Die Verarbeitung personenbezogener Daten unterliegt den Datenschutzbestimmungen des Reisedienstleistungsanbieters. TravelPerk übernimmt keine Verantwortung für Angelegenheiten, die sich aus der Verarbeitung personenbezogener Daten bzw. in Bezug auf die Einhaltung der Datenschutzgesetze durch die Reisedienstleistungsanbieter ergeben.

7.2 Vertraulichkeit

TravelPerk hat sicherzustellen, dass alle zur Verarbeitung personenbezogener Daten im Auftrag von TravelPerk befugten Mitarbeiter zur Geheimhaltung derselben verpflichtet werden oder einer geeigneten gesetzlichen Geheimhaltungspflicht unterliegen.

7.3 Sicherheit personenbezogener Daten

7.3.1 Soweit die personenbezogenen Daten in Systemen oder Einrichtungen von TravelPerk verarbeitet werden, muss TravelPerk die Umsetzung geeigneter technischer und organisatorischer Maßnahmen gewährleisten, um einen dem Risiko angemessenen Sicherheitsstandard vorzuhalten. Dabei müssen der aktuelle Stand der Technik, die Umsetzungskosten und die Art, der Umfang, Kontext und Zweck der Verarbeitung sowie die Wahrscheinlichkeit und Schwere der durch die Verarbeitung entstehenden Risiken für die Rechte und Freiheiten der natürlichen Personen berücksichtigt werden.

Bei der Bewertung des angemessenen Sicherheitsstandards sind die Risiken zu berücksichtigen, die durch die Verarbeitung entstehen, insbesondere durch unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Weitergabe von oder Zugang zu übermittelten, gespeicherten oder auf andere Weise verarbeiteten personenbezogenen Daten.

7.3.2 Zur Erfüllung seiner Pflichten aus dem obigen Abschnitt 7.3.1 hat TravelPerk die in Anlage 2 festgelegten Sicherheitsmaßnahmen umzusetzen und aufrechtzuerhalten.

7.3.3 TravelPerk darf nur Unterauftragsverarbeiter einsetzen, die ausreichende Garantien für die Umsetzung angemessener technischer und organisatorischer Maßnahmen bieten, um einen dem Risiko entsprechenden Sicherheitsstandard zu gewährleisten.

7.4 Verletzungen des Schutzes personenbezogener Daten

7.4.1 TravelPerk hat den Kunden ohne unangemessene Verzögerung zu benachrichtigen, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und den Kunden zu unterstützen, falls die Verletzung des Schutzes personenbezogener Daten der spanischen Datenschutzbehörde oder anderen zuständigen Aufsichtsbehörden und ggf. den betroffenen Personen mitgeteilt werden muss.

7.4.2 Soweit wie möglich hat TravelPerk dem Kunden folgende Informationen bereitzustellen:

a) Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich – soweit möglich – der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze.

b) Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, die weitere Auskunft erteilen kann.

c) Beschreibung der vermutlichen Konsequenzen der Verletzung des Schutzes personenbezogener Daten.

d) Beschreibung der getroffenen Maßnahmen oder vom Kunden vorgeschlagenen Maßnahmen als Reaktion auf die Verletzung des Schutzes personenbezogener Daten, einschließlich – soweit möglich – der Maßnahmen zur Milderung möglicher unerwünschter Folgen.

7.4.3 Wenn es nicht möglich ist, die unter dem obigen Abschnitt 7.4.2 genannten Informationen gleichzeitig bereitzustellen, können die Informationen ohne unnötige Verzögerung gestaffelt bereitgestellt werden.

7.4.4 Eine Mitteilung gemäß dem vorliegenden Abschnitt 7 ist nicht als Eingeständnis eines Fehlers oder einer Haftung von TravelPerk aufzufassen bzw. auszulegen.

7.5 Unterauftragsverarbeiter

7.5.1 Der Kunde erteilt TravelPerk hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die Erbringung der Dienstleistungen.

7.5.2 Die jeweils aktuelle Liste der von TravelPerk beauftragten Unterauftragsverarbeiter kann per E-Mail an personaldata@travelperk.com angefordert werden. Durch die Beauftragung der Dienstleistungen genehmigt der Kunde die Beauftragung der zum jeweiligen Zeitpunkt in der genannten Liste enthaltenen Unterauftragsverarbeiter und stimmt dieser zu.

7.5.3 TravelPerk hat den Kunden von jeder beabsichtigten Änderung durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern zu benachrichtigen und dadurch dem Kunden die Möglichkeit zum Erheben von Einwänden gegen die Änderung zu geben. Der Kunde hat durch Ausfüllen dieses Formulars bzw. über andere dem Kunden von TravelPerk zum jeweiligen Zeitpunkt mitgeteilte Verfahren dem Erhalt von Mitteilungen über neue Unterauftragsverarbeiter und sonstige Datenschutzangelegenheiten zuzustimmen.

7.5.4 Im Fall der Beauftragung eines Unterauftragsverarbeiters hat TravelPerk dem Unterauftragsverarbeiter die von TravelPerk gemäß dieser Datenverarbeitungsvereinbarung übernommenen Pflichten mitzuteilen und zu übertragen, insbesondere die Umsetzung angemessener technischer und organisatorischer Maßnahmen in einer Weise, dass die Verarbeitung die Anforderungen der geltenden Datenschutzgesetze erfüllt.

7.5.5 TravelPerk haftet in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters, vorbehaltlich der Haftungsbeschränkung, die in den auf der Website von TravelPerk abrufbaren und jeweils aktualisierten Nutzungsbedingungen festgelegt ist.

7.6 Internationale Datenübermittlungen

7.6.1 TravelPerk und seine Unterauftragsverarbeiter können die personenbezogenen Daten in Drittländern speichern und verarbeiten, unter Einhaltung der Pflichten von TravelPerk gemäß dem nachstehenden Abschnitt 7.6.2.

7.6.2 Wenn die Speicherung und/oder Verarbeitung der personenbezogenen Daten mit einer Übermittlung dieser Daten in Drittländer verbunden ist, hat TravelPerk durch die Anwendung von Binding Corporate Rules und Standardvertragsklauseln so viele Schutzmaßnahmen festzulegen, wie gemäß den Datenschutzgesetzen für die rechtmäßige Übermittlung personenbezogener Daten erforderlich ist, oder wenn die jeweilige Datenübermittlung von der zuständigen Aufsichtsbehörde genehmigt wurde oder für die Erfüllung des Vertrags erforderlich ist.

7.7 Rechte der betroffenen Personen

7.7.1 Unter Berücksichtigung der Art der Verarbeitung hat TravelPerk den Kunden durch Bereitstellung von Informationen und geeignete technische und organisatorische Maßnahmen so weit wie möglich bei der Erfüllung der Pflicht des Kunden zur Beantwortung von Anfragen betroffener Personen in Ausübung ihrer Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit sowie ihres Rechts, nicht Gegenstand automatisierter Entscheidungsfindung (einschließlich Profiling) zu sein, zu unterstützen.

7.7.2  Falls eine betroffene Person ihre Rechte direkt bei TravelPerk oder einem befugten Unterauftragsverarbeiter geltend macht, ist der Kunde unverzüglich zu benachrichtigen. TravelPerk hat der betroffenen Person erst zu antworten, wenn es die vorherige Einwilligung des Kunden eingeholt hat.

7.7.3 Zu diesem Zweck hat der Kunde TravelPerk eine Kontakt-E-Mail mitzuteilen, an die TravelPerk die Anfragen betroffener Personen weiterzuleiten hat. Für diesen Zweck ist das in Klausel 7.5.3 angegebene Formular zu verwenden. Sollte der Kunde TravelPerk keinen Ansprechpartner genannt haben, wird TravelPerk die Anfrage der betroffenen Person an einen Admin weiterleiten.

7.8 Löschung oder Rückgabe personenbezogener Daten

Nach dem Ende der Erbringung der Dienstleistungen hat TravelPerk alle personenbezogenen Daten auf Kundenwunsch zu löschen, wirksam zu anonymisieren oder dem Kunden zurückzuerstatten und alle bestehenden Kopien zu löschen, außer die Aufbewahrung der personenbezogenen Daten ist gesetzlich erforderlich oder zulässig.

7.9 Compliance, Audits und Inspektionen

TravelPerk hat dem Kunden alle erforderlichen Informationen zum Nachweis der Erfüllung seiner in dieser Datenverarbeitungsvereinbarung festgelegten Pflichten zur Verfügung zu stellen und außerdem die Durchführung von Audits, einschließlich Inspektionen, durch den Kunden oder einem vom Kunden beauftragten Dritten zu ermöglichen und zu diesen beizutragen. Die Kosten für Audits und Inspektionen sind vom Kunden zu tragen, außer wenn diese nur unbedeutende Auswirkungen auf den Arbeitsalltag von TravelPerk haben.

7.10 Sonstige Verpflichtungen

Weitere Pflichten von TravelPerk:

a) Unterstützung des Kunden bei der Gewährleistung der Erfüllung seiner gesetzlichen Pflichten in Bezug auf die Sicherheit der Verarbeitung, die Datenschutzfolgenabschätzung und Vorkonsultationen.

b) Aufbewahrung der Aufzeichnungen über die im Auftrag des Kunden durchgeführten Verarbeitungstätigkeiten.

c) Auf Aufforderung Zusammenarbeit mit der spanischen Datenschutzbehörde bzw. sonstigen Datenschutzbehörden bei der Erfüllung ihrer Aufgaben.

8. FRAGEN UND HINWEISE ZU DIESER DATENVERARBEITUNGSVEREINBARUNG

Bei Fragen und Hinweisen in Bezug auf diese Datenverarbeitungsvereinbarung kann sich der Kunde unter folgender E-Mail-Adresse an TravelPerk wenden: personaldata@travelperk.com.

TravelPerk verfügt über einen Datenschutzbeauftragten, der unter dpo@travelperk.com kontaktiert werden kann.

9. RECHTSWIRKSAMKEIT DIESER DATENVERARBEITUNGSVEREINBARUNG

Die vorliegende Datenverarbeitungsvereinbarung ist ein gültiges Rechtsinstrument im Sinne von Art. 28 der DSGVO.

Die Parteien nehmen zur Kenntnis und vereinbaren, dass der Abschluss dieser Datenverarbeitungsvereinbarung durch den Kunden auch für die unter dem Konto des Kunden bei TravelPerk registrierten verbundenen Unternehmen gilt. Der Kunde verpflichtet sich, seine verbundenen Unternehmen davon in Kenntnis zu setzen.

Der Kunde bestätigt, dass er von den verbundenen Unternehmen ermächtigt ist, TravelPerk Zugang zu personenbezogenen Daten zu geben, sodass die personenbezogenen Daten gemäß dieser Datenverarbeitungsvereinbarung verarbeitet werden können. Der Kunde nimmt zur Kenntnis, dass die verbundenen Unternehmen in jedem Fall der Datenschutzerklärung von TravelPerk und der jeweils aktualisierten Fassung dieser Datenverarbeitungsvereinbarung unterliegen. Der Kunde verpflichtet sich, seine verbundenen Unternehmen davon in Kenntnis zu setzen.

10. GESAMTE DATENVERARBEITUNGSVEREINBARUNG UND KÜNFTIGE ÄNDERUNGEN

Diese Datenverarbeitungsvereinbarung ist die vollumfängliche Vereinbarung der Parteien in Bezug auf die Rolle von TravelPerk als Auftragsverarbeiter. Sofern keine anderslautende schriftliche Vereinbarung mit dem Kunden getroffen wurde, ersetzt sie in Bezug auf den Gegenstand dieser Vereinbarung alle vorherigen und Bedingungen und Vereinbarungen der vorausgehenden Datenschutzerklärungen.

Wenn ein Kunde mit einer der Bedingungen dieser Datenverarbeitungsvereinbarung nicht einverstanden ist, kann er sich an personaldata@travelperk.com wenden, um seine Bedenken oder Vorschläge zu äußern, die dann von TravelPerk geprüft werden. Kommt TravelPerk nach Prüfung der Sachlage zu dem Schluss, dass der Vorschlag des Kunden nicht akzeptiert werden kann, wird der Kunde gebeten, die Dienstleistungen nicht zu nutzen.

Die vorliegende Datenverarbeitungsvereinbarung kann regelmäßig von uns aktualisiert werden. Wir werden Sie vorschriftsgemäß über diese Änderungen und Aktualisierungen informieren. Das Datum der letzten Überarbeitung dieser Datenverarbeitungsvereinbarung ist jeweils am unteren Rand angegeben. Sie können jederzeit bei TravelPerk eine Kopie der früheren Versionen der Datenverarbeitungsvereinbarung anfordern.

11. ABSCHNITT KALIFORNISCHES GESETZ ZUM VERBRAUCHERDATENSCHUTZ

Dieser Abschnitt ergänzt die vorliegende Datenverarbeitungsvereinbarung und gilt nur für Personen mit Wohnsitz in Kalifornien, soweit das Kalifornische Gesetz über Verbraucherdatenschutz (California Consumer Privacy Act – „CCPA“) zum gegebenen Zeitpunkt auf TravelPerk anwendbar ist. Zur Vermeidung von Missverständnissen wird festgehalten, dass TravelPerk personenbezogene Daten von Personen mit Wohnsitz in Kalifornien gemäß dieses spezifischen Abschnitts und der geltenden Datenverarbeitungsvereinbarung verarbeiten wird.

„Meine personenbezogenen Daten dürfen nicht verkauft werden“ TravelPerk verkauft keine personenbezogenen Daten an Dritte (nach der Definition des kalifornischen Verbraucherdatenschutzgesetzes). Personen mit Wohnsitz in Kalifornien können eine Anfrage an die E-Mail-Adresse personaldata@travelperk.com senden.

In Kalifornien ansässige Personen können folgende Rechte in Anspruch nehmen:

• Das Recht, eine Kopie der personenbezogenen Daten anzufordern, die TravelPerk über diese Benutzer gesammelt oder in den letzten 12 Monaten weitergegeben hat (einschließlich der personenbezogenen Datenkategorien, die TravelPerk zu Geschäftszwecken an Dritte weitergegeben hat, und der Datenkategorien der Empfänger dieser personenbezogenen Daten). TravelPerk wird zu diesem Zweck zunächst die Identität der Benutzer überprüfen.
• Das Recht, eine Löschung anzufordern: In Kalifornien ansässige Personen haben das Recht, die Löschung der personenbezogenen Daten zu verlangen, die TravelPerk von ihnen gesammelt hat (vorbehaltlich einiger Ausnahmen gemäß CCPA).
• Das Recht auf Widerspruch gegen den Verkauf personenbezogener Daten: In Kalifornien ansässige Personen haben das Recht, TravelPerk anzuweisen, ihre von TravelPerk gesammelten persönlichen Daten weder jetzt noch in Zukunft an Dritte zu verkaufen.

Bei der Ausübung der oben beschriebenen Rechte haben Sie das Recht, nicht diskriminiert zu werden. Um diese Rechte auszuüben, können in Kalifornien Ansässige eine E-Mail mit dem Betreff "California Rights Request" an personaldata@travelperk.com senden.

12. GELTENDE RECHTSVORSCHRIFTEN UND RECHTSORDNUNG

Diese Datenverarbeitungsvereinbarung unterliegt den spanischen und europäischen Vorschriften zum Schutz personenbezogener Daten sowie den Beschlüssen und Richtlinien der spanischen Datenschutzbehörde und sonstiger zuständiger Aufsichtsbehörden. Zur Beilegung von Unstimmigkeiten bezüglich der Auslegung und/oder der Durchsetzung der Bestimmungen dieser Datenverarbeitungsvereinbarung über die  unterwerfen sich der Kunde und TravelPerk der Rechtsprechung der Gerichte von Barcelona (Spanien) unter ausdrücklichem Verzicht auf jegliche andere ggf. geltende Rechtsvorschriften oder Rechtsordnungen.

ANLAGE 1: ANGABEN ZUR DATENVERARBEITUNG

Kategorien der betroffenen Personen:

Die verarbeiteten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

• Benutzer.

Datenkategorien:

Die verarbeiteten personenbezogenen Daten betreffen folgende Datenkategorien:

• Kenndaten wie Vor- und Nachname, Ausweis- oder Reisepassdaten, Kontaktdaten, Geburtsdatum, Dienstanschrift, Wohnsitzland, Staatsangehörigkeit, berufliche E-Mail-Adresse, Staatsangehörigkeit.
• Reisemitgliedskarten
• Ggf. besondere Ernährung, besondere Bedürfnisse
• Zahlungsmittel
• Angaben zu Buchungen, Reisen und verbundenen Anfragen
• Beschwerden oder Anfragen an Kundendienst

Besondere Datenkategorien:

Siehe obigen Abschnitt 4.

Verarbeitungstätigkeiten:
TravelPerk sammelt, speichert, verwendet, strukturiert, ändert, übermittelt und organisiert die Daten, zeichnet diese auf und ruft sie ab und führt alle erforderlichen Tätigkeiten zur Erbringung der Dienstleistungen durch (die spezifischen Zwecke sind in Abschnitt 3 oben beschrieben). Die verarbeiteten personenbezogenen Daten werden den erforderlichen Verarbeitungstätigkeiten zur ordnungsgemäßen Erbringung der Dienstleistungen unterzogen.

Dauer der Verarbeitung:
Die personenbezogenen Daten werden während der Laufzeit der vertraglichen Beziehung zwischen TravelPerk und dem Kunden sowie nach dem Ende dieser Beziehung aus jedem beliebigen Grund während der jeweils anwendbaren gesetzlichen Dauer verarbeitet bzw. gespeichert. Nach Ablauf der gesetzlichen Speicherdauer werden die personenbezogenen Daten gelöscht oder evtl. anonymisiert.

ANLAGE 2: SICHERHEITSMAßNAHMEN VONTRAVELPERK (TOMS)

Organisation der Datensicherheit	Für die Sicherheit Verantwortliche	TravelPerk hat einen Informationssicherheitsbeauftragten ernannt, der für die Koordination und Leitung des Sicherheitsprogramms zuständig ist. Das Sicherheitsprogramm von TravelPerk wird vom obersten Management beaufsichtigt.
	Für den Datenschutz Verantwortliche	TravelPerk hat einen Datenschutzbeauftragten ernannt, der für die Koordination und Leitung des Datenschutzprogramms zuständig ist. Das Datenschutzprogramm von TravelPerk wird vom obersten Management beaufsichtigt.
	Informationssicherheitsmanagementsystem (ISMS)	TravelPerk betreibt ein ISMS, in dessen Rahmen Richtlinien, Verfahrensvorschriften und kontinuierliche Verbesserungen des Sicherheitsprogramms erarbeitet werden.
	Sicherheitsfunktionen und Zuständigkeiten	TravelPerk verfügt über ein eigenes Team an Informationssicherheitsfachkräften. Alle Mitarbeiter und entsprechenden Auftragnehmer sind durch Verträge zur Vertraulichkeit verpflichtet.
	Risikomanagementprogramm	TravelPerk verfolgt einen risikobasierten Ansatz für Informationssicherheit und führt Risikobewertungen für wesentliche Anlagewerte des Unternehmens durch.
Anlagenmanagement	Anlageninventar	TravelPerk führt ein Anlageninventar für IT-Anlagen und Datenverarbeitungssysteme. Die Verwendung der Anlagen unterliegt der Richtlinie über die Verwendung der IT-Anlagen.
Sicherheit im Personalwesen	Vertraulichkeit, Schulung und Bewusstseinsbildung	TravelPerk führt für alle Mitarbeiter und entsprechende Auftragnehmer regelmäßig spezifisch abgestimmte Schulungen zur Bewusstseinsbildung in den Bereichen Informationssicherheit und Datenschutz durch. Alle Verträge mit Mitarbeitern und Auftragnehmern enthalten Geheimhaltungsklauseln.
Materielle und Umgebungssicherheit	Materieller Zutritt zu den Einrichtungen	Die Produktionsumgebung von TravelPerk befindet sich in Rechenzentren, die nach ISO 27001 und SOC 2 zertifiziert sind und besonders strenge Zugangsbedingungen haben sowie sehr strenge Kontrollen durchführen.
	Materieller Zutritt zu Büroräumen	Der Zutritt zu den Büroräumen von TravelPerk ist durch Maßnahmen wie Schlüssel bzw. Schlüsselkarten, Videoüberwachungsanlagen und ähnliche Maßnahmen eingeschränkt.
Betriebssicherheit	Anti-Malware	TravelPerk hat Anti-Malware-Maßnahmen für Terminals und seine Geschäftsreise-Anwendung ergriffen.
	Vorbeugung von Datenverlusten	TravelPerk verwendet Maßnahmen zur Erkennung, Kontrolle und Minimierung von Datenverlusten auf Datenträgern mit personenbezogenen Daten. Von allen personenbezogenen und Geschäftsdaten werden Sicherheitskopien erstellt.
	Verschlüsselung	TravelPerk verschlüsselt personenbezogene und vertrauliche Daten sowohl während der Speicherung als auch bei der Übermittlung, um die Vertraulichkeit zu gewährleisten.
	Netzwerksicherheit	Der Zugriff auf das Unternehmensnetzwerk ist auf Firmengeräte beschränkt und passwortgeschützt. Alle Änderungen an der Konfiguration der Netzwerksicherheit unterliegen Änderungskontrollverfahren.
Zugriffskontrolle	Zugriffsrichtlinien	Der Zugriff ist nur gestattet, wenn dieser für die Funktion erforderlich ist.
	Prinzip der geringsten Rechte	Den berechtigten Mitarbeitern werden nur die Rechte eingeräumt, die zur Erfüllung ihrer Aufgaben unbedingt erforderlich sind, um übermäßige Rechte zu vermeiden.
	Identitäts- und Access-Management	TravelPerk betreibt ein IAM-System zur Zentralisierung, Beschränkung und raschen Verwaltung des Zugriffs von Mitarbeitern und Auftragnehmern.
Vorfallmanagement	Erkennung, Mitteilung und Reaktion auf Vorfälle	TravelPerk verfügt über ein festgelegtes und wiederholbares Verfahren zur Reaktion auf Vorfälle gemäß bewährten Praktiken und unter Berücksichtigung gesetzlicher Pflichten. Für die zeitgerechte Erkennung und Mitteilung von Vorfällen wurden technischen und betriebliche Maßnahmen getroffen.
Drittparteien-Risikomanagement	Auftragnehmer	Die Auftragnehmer von TravelPerk wurden von den Sicherheits- und Rechtsteams geprüft, wobei geeignete Maßnahmen wie vertragliche Anforderungen und technische Überwachung verwendet wurden.
	Unterauftragsverarbeiter	TravelPerk führt Sicherheitsprüfungen aller Unterauftragsverarbeiter durch und bei der endgültigen Entscheidung über die Ernennung eines potenziellen Unterauftragsverarbeiters werden etwaige erkannte Risiken berücksichtigt. TravelPerk beaufsichtigt die technische Sicherheit der Unterauftragsverarbeiter auf kontinuierlicher Basis und arbeitet mit dem Unterauftragsverarbeiter bei der Beseitigung möglicher Mängel zusammen.