Letzte Aktualisierung 30/01/2023
Datenverarbeitungsvereinbarung
Diese Datenverarbeitungsvereinbarung (DVV) ist Bestandteil der Nutzungsbedingungen von TravelPerk und bildet einen Teil Ihres Vertrages mit uns. Sollten Sie eine separate DVV mit TravelPerk wünschen, können Sie dieses Formular verwenden, um eine Ausfertigung dieser DVV digital zu unterzeichnen und per E-Mail zu erhalten.
Beziehung zwischen den Parteien | Datenverantwortlicher an Auftragsverarbeiter |
Die Rollen der Parteien |
Kunde handelt als für Datenverantwortlicher (wie in Abschnitt 1 der Bedingungen definiert)
|
Kontaktdaten |
Auftragsverarbeiter Name: Data Protection Officer E-mail: dpo@travelperk.com |
Hauptvertrag |
Die Vertrag Über Geschäftsreisedienste, die Plattformdienstvereinbarung, die Nutzungsbedingungen oder eine andere Vereinbarung über die Lieferung der vereinbarten Dienstleistungen zwischen TravelPerk und dem Kunden. Durch die Beauftragung der Dienstleistungen (wie unten definiert) akzeptiert und stimmt der Kunde zu, durch diese DVV gebunden zu sein, die einen integralen Bestandteil des Hauptvertrag bildet. |
Laufzeit | Diese Datenverarbeitungsvereinbarung tritt am Tag der endgültigen Unterzeichnung in Kraft und gilt bis nach Ablauf des Hauptvertrags. |
Meldefrist für Datenschutzverletzungen | Unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. |
Frist für die Mitteilung von Unterauftragsverarbeitern | 14 Tage, bevor der neue Unterauftragsverarbeiter Zugang zu personenbezogenen Daten erhält. |
Haftungsobergrenze | Die Haftungsobergrenzen sind im Hauptvertrag festgelegt. |
Anwendbares Recht und Gerichtsstand | Gemäss dem Hauptvertrag. |
Datenschutzgesetze |
Alle Gesetze, Verordnungen und Gerichtsbeschlüsse, die für die Verarbeitung von personenbezogenen Daten im Europäischen Wirtschaftsraum (EWR) gelten. Dies beinhaltet die Verordnung (EU) 2016/679 (DSGVO) der Europäischen Union in ihrer jeweils gültigen Fassung. Für Kunden mit Sitz in der Schweiz umfasst dies auch alle Gesetze, Vorschriften und Gerichtsbeschlüsse, die für die Verarbeitung personenbezogener Daten in der Schweiz gelten. Darunter fällt auch das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) in der jeweils gültigen Fassung. |
Dienstleistungen im Zusammenhang mit der Verarbeitung | Auf Anfrage des Kunden erbrachte Geschäftsreisedienstleistungen, ggf. einschliesslich Premium-Leistungen, Pro-Leistungen, Rechnungssammeldienste, FlexiPerk (jeweils wie im Hauptvertrag beschrieben) und alle anderen Dienstleistungen, die von TravelPerk angeboten und vom Kunden gelegentlich in Anspruch genommen werden können (zusammenfassend die Dienstleistungen). |
Dauer der Verarbeitung | Die personenbezogenen Daten werden während der Vertragslaufzeit sowie nach dem Ende dieser Beziehung, unabhängig vom Beendigungsgrund, während der jeweils anwendbaren gesetzlichen Dauer verarbeitet bzw. gespeichert. Nach Ablauf der gesetzlichen Speicherdauer werden die personenbezogenen Daten gelöscht oder evtl. anonymisiert. |
Art und Zweck der Verarbeitung |
TravelPerk sammelt, speichert, verwendet, strukturiert, ändert, übermittelt und organisiert die Daten, zeichnet diese auf und ruft sie ab und führt alle erforderlichen Tätigkeiten zur Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung durch. Die von TravelPerk über seine Plattform erbrachten Dienstleistungen, die es Unternehmen ermöglichen, Geschäftsreisen zu suchen, zu buchen, zu verwalten, Berichte dazu zu erstellen und deren Kosten zu kontrollieren, können in Übereinstimmung mit den vom Kunden beauftragten Dienstleistungen folgende Tätigkeiten umfassen:
|
Personenbezogene Daten |
Es werden folgende Arten personenbezogener Daten verarbeitet:
|
Betroffene Personen |
Die Personen, deren personenbezogene Daten verarbeitet werden, sind die:
|
Besondere Bestimmungen |
Besondere Datenkategorien: TravelPerk fordert von den Reisenden keine Mitteilung personenbezogener Daten in Bezug auf Gesundheit, das Sexualleben oder die sexuelle Orientierung, die rassische oder ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen und Mitgliedschaften bei Gewerkschaften sowie biometrische Daten, die nur zur Identifizierung eines Menschen verarbeitet werden, und genetische Daten (besondere Datenkategorien). Der Kunde hat die Reisenden entsprechend zu informieren, sodass diese besondere Datenkategorien nur dann an TravelPerk übermitteln, wenn diese für TravelPerk zur Erbringung der Dienstleistungen unbedingt erforderlich sind. Wenn Reisende ausdrücklich der Verarbeitung von besonderen Datenkategorien eingewilligt haben, indem sie diese freiwillig an TravelPerk weitergegeben oder auf die Plattform hochgeladen haben, damit TravelPerk die besonderen Wünsche oder Anfragen der Reisenden bearbeiten kann (z. B. Lebensmittelallergien, Bedarf an speziellen Zimmern usw.), darf TravelPerk die besonderen Datenkategorien ausschliesslich für diesen speziellen Zweck verarbeiten. Reisedienstleistungsanbieter: Zur Erbringung der Dienstleistungen muss TravelPerk den Dienstleistungen, die von Dritten wie Fluggesellschaften, Bahnbetreibern, Mietwagenfirmen und Hotels bzw. Beherbergungsbetrieben personenbezogene Daten mitteilen (Reisedienstleistungsanbieter). Aufgrund der Art der von Reisedienstleistungsanbietern erbrachten Tätigkeiten und entsprechenden Verarbeitung der personenbezogenen Daten gelten die Reisedienstleistungsanbieter und Kunde sind unabhängiger Datenverantwortlicher der personenbezogenen Daten des Kunden, während TravelPerk als Auftragsverarbeiter des Kunden fungiert, um die Dienstleistungen von Reisedienstleistern auf Wunsch des Kunden zu vermitteln. Aktualisierung: Wir können diese DVV von Zeit zu Zeit aktualisieren und werden Sie gemäss den gesetzlichen Bestimmungen über diese Änderungen und Aktualisierungen informieren. Wir werden die vorherige Version dieses DPA teilen und die Überarbeitungsdaten auf dieser Seite angeben. Sie können TravelPerk um eine Kopie der früheren Versionen des DVV bitten. Ganze Vereinbarung: Als Ergänzung zu Ziffer 5.5: „Gesamte Vereinbarung. Sofern die Parteien keine Datenverarbeitungsvereinbarung abgeschlossen haben, ersetzt diese DVV alle vorherigen Diskussionen und Vereinbarungen und stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf ihren Gegenstand dar, und keine der Parteien hat sich beim Abschluss dieser DVV auf eine Erklärung oder Zusicherung irgendeiner Person verlassen .“ |
ANHANG 1
Sicherheitsmassnahmen. Technische und organisatorische Massnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten: | https://www.travelperk.com/wp-content/uploads/TravelPerk-Security-Measures-DPA-1.pdf |
ANHANG 2
Unterauftragsverarbeiter. Derzeitige Unterauftragsverarbeiter: | https://www.travelperk.com/wp-content/uploads/TravelPerk-List-of-Sub-Processors-1.pdf |
BESTIMMUNGEN
1. Worum geht es bei dieser Vereinbarung?
1.1. Zweck. Die Parteien schliessen diese Datenverarbeitungsvereinbarung (DVV) zum Zweck der Verarbeitung personenbezogener Daten (wie oben festgelegt) ab.
1.2. Begriffsbestimmungen. Bedeutungen im Rahmen dieser DVV:
a. Ein Land mit angemessenem Schutzniveau ist ein Land oder Gebiet, das gemäss den zum jeweiligen Zeitpunkt geltenden Datenschutzgesetzen einen angemessenen Schutz bei der Verarbeitung personenbezogener Daten bietet.
b. Datenverantwortlicher, betroffene Person, Verletzung des Schutzes personenbezogener Daten, Verarbeitung, Auftragsverarbeiter und Aufsichtsbehörde haben die gleiche Bedeutung wie in den Datenschutzgesetzen und
c. Unterauftragsverarbeiter ist ein anderer vom Auftragsverarbeiter beauftragter Verarbeiter, der bestimmte Verarbeitungstätigkeiten mit personenbezogenen Daten durchführt.
2. Welche Pflichten haben die Parteien?
2.1. Pflichten des Datenverantwortlichen. Der Datenverantwortliche weist den Auftragsverarbeiter an, personenbezogene Daten in Übereinstimmung mit dieser DVV zu verarbeiten, und ist dafür verantwortlich, alle Mitteilungen zu machen und alle Zustimmungen und Genehmigungen einzuholen und Rechtsgrundlagen zu erfüllen, die erforderlich sind, damit der Auftragsverarbeiter personenbezogene Daten verarbeiten kann.
2.2. Pflichten des Auftragsverarbeiters. Der Auftragsverarbeiter ist verpflichtet,
a. personenbezogene Daten nur in Übereinstimmung mit dieser DVV und den Anweisungen des Datenverantwortlichen zu verarbeiten (sofern nicht gesetzlich etwas anders vorgeschrieben ist),
b. keine personenbezogenen Daten für andere als die in dieser DVV und dem Hauptvertrag vorgesehenen Zwecke zu verkaufen, zu speichern oder zu verwenden,
c. den Datenverantwortlichen unverzüglich zu benachrichtigen, wenn (seiner Meinung nach) eine Anweisung gegen die Datenschutzgesetze verstösst,
d. bei der Verarbeitung personenbezogener Daten die in Anhang 1 beschriebenen technischen und organisatorischen Massnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten,
e. den Datenverantwortlichen innerhalb der Meldefrist für Datenschutzverletzungen über eine Verletzung des Schutzes personenbezogener Daten zu informieren und den Datenverantwortlichen im Rahmen der Datenschutzgesetze bei der Reaktion auf die Verletzung zu unterstützen,
f. sicherzustellen, dass alle Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet sind,
g. dem Datenverantwortlichen unverzüglich angemessene Unterstützung zu gewähren, durch: (i) Datenschutzfolgenabschätzungen, (ii) Beantwortung von Anfragen betroffener Personen in Ausübung ihrer Rechte gemäss den Datenschutzgesetzen und (iii) Zusammenarbeit mit den Aufsichtsbehörden,
h. Bereitstellung der erforderlichen Informationen (auf Anfrage des Datenverantwortlichen) zum Nachweis seiner Einhaltung der Pflichten aus den Datenschutzgesetzen und dieser DVV,
i. Zulassung von Audits auf begründeten Antrag des Datenverantwortlichen, unter Beschränkung auf ein Mal pro Jahr und während der Geschäftszeiten, ausser im Falle einer Verletzung des Schutzes personenbezogener Daten, und
j. Rückgabe personenbezogener Daten auf schriftliche Aufforderung des Datenverantwortlichen oder Löschung personenbezogener Daten zum Ende der Vertragslaufzeit, es sei denn, die Speicherung ist gesetzlich vorgeschrieben.
2.3. Zusicherungen. Die Parteien gewährleisten, dass sie und ihre Mitarbeiter bzw. Unterauftragnehmer ihre jeweiligen Pflichten aus den Datenschutzgesetzen während der Vertragslaufzeit einhalten werden.
3. Unterauftragsverarbeitung
3.1. Einsatz von Unterauftragsverarbeitern. Der Datenverantwortliche gestattet es dem Auftragsverarbeiter, andere Auftragsverarbeiter (in diesem Abschnitt als Unterauftragsverarbeiter bezeichnet) mit der Verarbeitung personenbezogener Daten zu beauftragen. Die bestehenden Unterauftragsverarbeiter des Verarbeiters sind in Anhang 2 aufgeführt.
3.2. Anforderungen an die Unterauftragsverarbeiter. Der Auftragsverarbeiter ist verpflichtet,
a. von seinen Unterauftragsverarbeitern die Einhaltung von Bedingungen zu verlangen, die den Pflichten des Auftragsverarbeiters in dieser DVV entsprechen,
b. sicherzustellen, dass vor der internationalen Übermittlung personenbezogener Daten an den Unterauftragsverarbeiter angemessene Sicherheitsvorkehrungen getroffen werden, und
c. für Handlungen, Fehler oder Unterlassungen seiner Unterauftragsverarbeiter so zu haften, als wären sie eine Partei dieser DVV.
3.3. Genehmigungen. Der Auftragsverarbeiter kann neue Unterauftragsverarbeiter ernennen, sofern er dies dem Datenverantwortlichen innerhalb der Frist zur Mitteilung von Unterauftragsverarbeiter schriftlich mitteilt.
3.4. Einwände. Der Datenverantwortliche kann in angemessener Weise schriftlich gegen jeden künftigen Unterauftragsverarbeiter Einspruch erheben. Wenn sich die Parteien nicht innerhalb einer angemessenen Frist auf eine Lösung einigen können, kann jede Partei diese DVV kündigen.
4. Internationale Übertragungen personenbezogener Daten
4.1. Anweisungen. Der Auftragsverarbeiter wird personenbezogene Daten nur gemäss den dokumentierten Anweisungen des Datenverantwortlichen in ein Land ausserhalb des Vereinigten Königreichs, des EWR oder eines geeigneten Landes übermitteln, sofern gesetzlich nichts anderes vorgeschrieben ist.
4.2. Übermittlungsinstrument. Wenn eine Partei ausserhalb des Vereinigten Königreichs, des EWR oder eines geeigneten Landes ansässig ist und personenbezogene Daten erhält,
a. handelt diese Partei als Datenimporteur,
b. die andere Partei ist der Datenexporteur und
c. es gilt das entsprechende Übermittlungsinstrument.
4.3. Zusätzliche Massnahmen. Wenn das Übermittlungsinstrument nicht ausreicht, um die übermittelten personenbezogenen Daten zu schützen, hat der Datenimporteur unverzüglich zusätzliche Massnahmen zu ergreifen, um sicherzustellen, dass die personenbezogenen Daten demselben Schutzniveau unterliegen, wie es die Datenschutzgesetze vorschreiben.
4.4. Datenweitergabe. Vorbehaltlich der Bedingungen des jeweiligen Übermittlungsinstruments hat der Datenimporteur, wenn er ein Ersuchen einer Behörde um Zugriff auf personenbezogene Daten erhält, (sofern gesetzlich zulässig)
a. das Ersuchen anzufechten und den Datenexporteur unverzüglich davon in Kenntnis zu setzen und
b. nur das erforderliche Minimum an personenbezogenen Daten an die Behörde weiterzugeben und die Weitergabe aufzeichnen.
5. Sonstige wichtige Informationen
5.1. Fortbestand. Jede Bestimmung dieser DVV, die dazu bestimmt ist, die Vertragslaufzeit zu überdauern, bleibt in vollem Umfang in Kraft.
5.2. Rangordnung. Im Falle eines Konflikts zwischen dieser DVV und anderen einschlägigen Vereinbarungen gilt folgende Prioritätsrangfolge:
a. Übermittlungsinstrument,
b. DVV,
c. Hauptvertrag.
5.3. Mitteilungen. Förmliche Mitteilungen im Rahmen dieser DVV bedürfen der Schriftform und sind an die Kontaktadresse zu richten, die auf der ersten Seite dieser DVV angegeben ist bzw. die von einer Partei der anderen zu diesem Zweck schriftlich mitgeteilt werden.
5.4. Dritte. Mit Ausnahme der verbundenen Unternehmen hat niemand ausser den Vertragsparteien das Recht, eine der Bestimmungen dieser DVV durchzusetzen.
5.5. Gesamter Vertrag. Diese DVV ersetzt alle früheren Gespräche und Vereinbarungen und stellt die gesamte Vereinbarung zwischen den Parteien bezüglich des betreffenden Gegenstands dar. Keine Partei hat sich beim Abschluss dieser DVV auf eine Erklärung oder Zusicherung einer anderen Person verlassen.
5.6. Änderungen. Jegliche Änderung dieser DVV muss schriftlich erfolgen.
5.7. Abtretung. Keine Partei kann diese DVV ohne die Zustimmung der anderen Partei an eine andere Person abtreten.
5.8. Verzichtklausel. Wenn eine Partei ein Recht aus dieser DVV nicht durchsetzt, bedeutet dies nicht, dass sie auf dieses Recht zu irgendeinem Zeitpunkt verzichtet.
5.9. Anwendbares Recht und Gerichtsstand. Auf diese DVV ist das geltende Recht anzuwenden und alle Streitigkeiten sind ausschliesslich vor den Gerichten des Gerichtsstandes auszutragen.