- Unser Rechenzentrum befindet sich in der EU (AWS Irland – eu-west-1, mit einem Ausweichstandort in AWS Deutschland – eu-central-1).
- Unsere Unterauftragsverarbeiter mit Sitz ausserhalb der EU/des EWR und Grossbritanniens halten sich bei der Übermittlung personenbezogener Daten ausserhalb Europas an die neuesten Standardvertragsklauseln (EU und UK SCC).
- Wenn wir die SCCs für unzureichend halten, um eine sichere internationale Datenübertragung zu gewährleisten, ergreifen wir zusätzliche Schutzmassnahmen.
- Wir haben Datenverarbeitungsvereinbarungen mit allen Lieferanten abgeschlossen, die Zugang zu den von TravelPerk verarbeiteten personenbezogenen Daten haben.
- Wir unterstützen Sie bei der Erfüllung Ihrer Datenschutzpflichten als für die Datenverarbeitung Verantwortliche.
- Wir wenden erstklassige technische und organisatorische Massnahmen an, um Ihre personenbezogenen Daten zu schützen und zu sichern.
- Weitere Informationen können Sie unserem Whitepaper über internationale Datenübertragungen entnehmen.
Ihr Vertrauen ist unser höchstes Gut
Wir verpflichten uns, Ihre Daten in jeder Phase Ihrer Reise mit TravelPerk verantwortungsvoll zu verarbeiten. Bei unseren Produkten steht Ihre Privatsphäre an erster Stelle.
Ihre Daten. Ihre Rechte.
Einhaltung von Datenschutzgesetzen
Wir sind von der Bedeutung des Schutzes Ihrer Privatsphäre und der Einhaltung der Datenschutz-Grundverordnung der EU und Grossbritanniens, des Datenschutzgesetzes des kalifornischen Bundesstaates und anderer anwendbarer Datenschutzbestimmungen überzeugt.
Sicherheit
Wir haben ein umfassendes Sicherheitsprogramm, um Ihre personenbezogenen Daten zu schützen.
- ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, PCI DSS Level 1 und C5-zertifiziertes Rechenzentrum des BSI (AWS).
- Verschlüsselung von Daten während der Übertragung und im Ruhezustand sowohl mit der Plattform als auch am TravelPerk-Endpunkt.
- Firewalls auf Netzwerk- und Anwendungsebene.
- Pseudonymisierung der Daten bei Bedarf.
Weitere Informationen können Sie unserem Whitepaper zur Sicherheit entnehmen.
Privacy by Design
Wir wenden in allen Phasen der Produktentwicklung strenge Datenschutzstandards an.
- Wir gewähren Zugang zu personenbezogenen Daten streng nach dem „Need-to-Know“-Prinzip.
- Wir schulen alle Mitarbeiter und Auftragnehmer in Datenschutz und Informationssicherheit.
- Wir erheben nur so viele personenbezogene Daten wie nötig, um die Nutzung unserer Plattform zu ermöglichen.
- Wir haben ein engagiertes Team, das den Datenschutz bei TravelPerk beaufsichtigt.
Sie haben die Kontrolle
Wir machen es Ihnen leicht, Ihre personenbezogenen Daten auf dem neuesten Stand zu halten.
- Wir stellen verschiedene Zugriffsprofile zur Verfügung, mit denen Sie den Zugriff Ihrer Kollegen auf Ihre personenbezogenen Daten steuern können.
- Wir stellen Ihnen die Tools bereit, um Ihre Profilinformationen abzurufen und zu aktualisieren.
- Wir machen es Ihnen leicht, veraltete Benutzerprofile auf unserer Plattform zu archivieren oder zu löschen.
Transparenz
Wir halten Sie auf dem Laufenden, damit Sie die besten Entscheidungen treffen können.
- In unserem Whitepaper zum Datenschutz finden Sie detaillierte Informationen darüber, wie wir Ihre personenbezogenen Daten verarbeiten und schützen.
- Unser Whitepaper über internationale Datenübertragungen fasst zusammen, wie unsere Kunden TravelPerk nutzen können, um personenbezogene Daten ausserhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) unter Einhaltung des EU-Rechts zu übertragen, indem sie sich auf unsere branchenführenden vertraglichen, technischen und organisatorischen Rahmenbedingungen und Schutzmassnahmen verlassen.
- Unsere Datenschutzdokumentation ist öffentlich zugänglich, damit Sie sich von der Zuverlässigkeit unserer Praktiken überzeugen können.
- Wir werden Sie über alle wesentlichen Änderungen unserer Datenschutzrichtlinien auf dem Laufenden halten.
Häufige Fragen zum Datenschutz
Wo werden Ihre Dienste gehostet und welche Ausfallsicherheit ist vorgesehen?
Unser Dienst und unsere Backups werden bei Amazon Web Services (AWS) in Irland gehostet, mit einem Ausweichstandort in Deutschland. Es handelt sich um ein mit Blick auf Ausfallsicherheit, Dienstkontinuität und Disaster Recovery gebautes und gewartetes hochverfügbares Rechenzentrum. AWS verfügt über Zertifizierungen nach ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 sowie C5 von BSI.
Zu welchen Zwecken kann TravelPerk die personenbezogenen Daten der Kunden verarbeiten?
Wir verarbeiten personenbezogene Daten von TravelPerk-Benutzern als Auftragsverarbeiter für die folgenden Zwecke, die in unserem Datenverarbeitungsvertrag aufgeführt sind:
(i) zum Erstellen, Pflegen und Aktualisieren von Kundenkonten;
(ii) zum Verwalten von Reisebuchungen sowie Abwickeln von Aufträgen und Zahlungen;
(iii) zum Versand von Nachrichten an Benutzer über Stornierungen, Änderungen oder Nichterscheinen, nicht abgeschlossene Buchungsvorgänge und/oder Buchungsempfehlungen auf der Grundlage ihrer früheren Buchungen und Suchhistorie;
(iv) zur Kundenbetreuung und zum Bearbeiten von Sonderwünschen;
(v) zur Information unserer Kunden und Benutzer über etwaige Aktualisierungen bei den Dienstleistungen, einschliesslich neuer Funktionen;
(vi) zur Erbringung aller Dienstleistungen, die unsere Kunden gelegentlich in Anspruch nehmen, wie z. B. Geschäftsreisemanagement, Premium-, PRO- und flexible Stornierungsdienste, API-Zugang, Dienstleistungen in Bezug auf CO2-Kompensation usw.;
(vii) zur Benachrichtigung der vom Reisenden zu diesem Zweck angegebenen Kontaktperson über einen Notfall.
Zusätzlich dazu können wir personenbezogene Daten von TravelPerk-Benutzern als Datenverantwortlicher für die folgenden Zwecke verarbeiten, die in unserer Datenschutzerklärung aufgeführt sind.
Wer überwacht den Datenschutz bei TravelPerk?
TravelPerk verfügt über ein spezielles Datenschutzteam aus Rechtsexperten und Datentechnikern, das für alle, die unserem Unternehmen ihre personenbezogenen Daten anvertrauen ein hochwertiges unterhält. Unsere Datenschutz- und Informationssicherheitsteams arbeiten eng zusammen, um sicherzustellen, dass unsere Abläufe stets auf den Schutz Ihrer personenbezogenen Daten ausgerichtet sind.
Unser Datenschutzbeauftragter (DSB) ist für die Umsetzung der Erkenntnisse aus den Rechtsvorschriften in praktische Verbesserungen unserer Datenschutzkultur verantwortlich und fungiert als Ansprechpartner für Aufsichtsbehörden und Kunden bei Fragen zur Einhaltung des Datenschutzes.
Sie können sich unter der folgenden Adresse an unser Datenschutzteam wenden: privacy@travelperk.com. Unser DSB ist erreichbar unter dpo@travelperk.com.
Haben alle Mitarbeiter von TravelPerk Zugang zu den Kundendaten?
Die TravelPerk-Mitarbeiter erhalten nur Zugriff auf jene Kundendaten, die sie für ihre Aufgabe benötigen. Die TravelPerk-Mitarbeiter können Zugang zu den Kundendaten haben, die für die Erbringung unserer Dienstleistungen mindestens erforderlich sind (z. B. geschäftliche Kontaktdaten, Reise- und Buchungshistorie und Historie der Benutzeranfragen für das Kundendienstteam; Geschäftsinformationen, Rechnungsdaten, Historie der Plattformnutzung und ähnliche Berichte für den jeweiligen Account-Manager usw.).
Alle Mitarbeiter von TravelPerk sind zur Vertraulichkeit verpflichtet und haben ein Schulungs- und Bewusstseinsbildungsprogramm absolviert, das Sicherheits- und Datenschutzschulungen bei Eintritt in das Unternehmen mit Tests und jährlichen Auffrischungskursen umfasst.
Ist TravelPerk in Bezug auf personenbezogene Daten, die im Namen seiner Kunden verarbeitet werden, ein Datenverantwortlicher oder ein Auftragsverarbeiter?
Wie in unserem Datenverarbeitungsvertrag und dem Weissbuch zur Datensicherheit dargelegt, sind unsere Kunden verantwortlich für die Daten ihrer Mitarbeiter, Auftragnehmer und anderer Personen, die auf das TravelPerk-Konto des Kunden zugreifen. TravelPerk wiederum ist als Anbieter von Geschäftsreisedienstleistungen für unsere Kunden der Auftragsverarbeiter dieser Daten. Dies bedeutet, dass TravelPerk personenbezogene Daten im Namen und auf Anweisung des Kunden zu den vom Kunden erlaubten Zwecken, wie im Datenverarbeitungsvertrag festgelegt, verarbeitet.
Welche Aufgaben haben die von TravelPerk beauftragten Dienstleister im Bereich des Datenschutzes?
Wenn TravelPerk personenbezogene Kundendaten an bestimmte Dienstleister übermittelt, die uns bei der Erbringung von Geschäftsreisedienstleistungen unterstützen, gelten diese Dienstleister als Unterauftragsverarbeiter und sind an die entsprechenden Datenverarbeitungsverträge und gegebenenfalls an die von der Europäischen Kommission und dem Vereinigten Königreich herausgegebenen Standardvertragsklauseln für internationale Datenübermittlungen gebunden.
Wenn TravelPerk hingegen Kundendaten an Reiseanbieter wie Hotels, Flug- oder Bahngesellschaften oder Fahrzeugvermieter übermittelt, um den Reisenden die entsprechenden Unterkunfts- und Beförderungsleistungen zu bieten, verarbeiten diese Reiseanbieter die Daten in ihrer Eigenschaft als unabhängige Datenverantwortliche. TravelPerk hat jedoch Datenschutzklauseln in alle Dienstleistungsverträge mit den Reiseanbietern aufgenommen, die deren Pflicht zur Einhaltung der geltenden Datenschutzgesetze und zur Beschränkung der Verarbeitung von Kundendaten auf den durch diese Gesetze erlaubten Umfang festschreiben.
Wie lauten Ihre Richtlinien zur Speicherung und Löschung der Daten?
Unsere Richtlinie zur Datenaufbewahrung enthält alle rechtlichen Aufbewahrungsvorschriften, die wir von TravelPerk einhalten, wie z. B. für die Speicherung von Kundendaten nach Vertragsrecht. Darüber hinaus gibt es für jedes Team einen Zeitplan, in dem die Aufbewahrungsfristen für die in unserer Datenschutzerklärung beschriebenen Geschäftsaktivitäten verarbeiteten personenbezogenen Daten festgelegt sind.
Nach Ablauf dieser Aufbewahrungsfrist werden die betreffenden personenbezogenen Daten gelöscht.
Führen Sie Datenschutzfolgenabschätzungen (DSFA) für die von Ihnen durchgeführte Datenverarbeitung durch?
Ja, wir führen als Datenverantwortlicher Datenschutzfolgenabschätzungen (DSFA) durch, wenn dies von der DSGVO oder anderen geltenden Gesetzen verlangt wird. In Bezug auf die personenbezogenen Daten, die wir als Auftragsverarbeiter verarbeiten, unterstützen wir unsere Kunden (die Datenverantwortlichen) bei der Durchführung ihrer eigenen DSFA, wie in der DSGVO vorgeschrieben.
Ist TravelPerk in der Lage, bei der Durchführung einer Datenschutzfolgenabschätzung (DSFA) zu helfen, wenn es als Auftragsverarbeiter fungiert?
Ja, das ist eine unserer Pflichten als Datenverarbeiter im Rahmen der DSGVO und wir unterstützen unsere Kunden (die Datenverantwortlichen) gerne bei der Durchführung einer DSFA.
Müssen wir für die Interessentenphase einen Datenverarbeitungsvertrag (DVV) mit TravelPerk unterzeichnen?
Nein. TravelPerk wird erst dann als Auftragsverarbeiter tätig, wenn der Interessent zum Kunden wird und TravelPerk tatsächlich personenbezogene Daten von TravelPerk-Benutzern verarbeitet. Bis zu diesem Zeitpunkt ist TravelPerk der Datenverantwortliche und verarbeitet die Daten des Interessenten gemäss der Datenschutzerklärung.
Sobald Sie Kunde werden, schliessen wir einen DVV ab. Sie können ihn dann mit diesem Formular anfordern.
Haben Sie eine Version Ihres Datenverarbeitungsvertrags (DVV), die wir unterzeichnen können?
Bitte füllen Sie dieses Formular mit den Daten Ihres Unternehmens aus, um ein Exemplar des Datenverarbeitungsvertrags von TravelPerk digital zu unterzeichnen. Sobald Sie das Formular übermittelt haben, senden wir das zu unterzeichnende Exemplar per E-Mail an die Person, die Sie als Unterzeichner bestimmen. Das zu unterzeichnende Exemplar hat denselben Inhalt wie unser Online-Datenverarbeitungsvertrag.
TravelPerk hat den Standard-DVV oneDPA für alle geeigneten Transaktionen übernommen. Der oneDPA wurde von einer Gruppe führender Anwaltskanzleien und Inhouse-Teams und mit Beiträgen der weiteren Rechtsgemeinschaft entwickelt. Die Bestimmungen des oneDPA wurden von Juristen aus verschiedenen Ländern eingehend erörtert, um sicherzustellen, dass sie den rechtlichen Anforderungen entsprechen sowie ausgewogen, fair und leicht verständlich sind.
In Anbetracht des ausgewogenen Charakters des Standard-DVV oneDPA kann oneDPA nicht geändert werden, ausser durch Eintragung der spezifischen Details für unsere Beauftragung im Abschnitt der Variablen. Weitere Informationen zu oneDPA finden Sie auf der offiziellen oneDPA-Website.
Sind Sie bereit, einen kundeneigenen DVV zu prüfen und zu unterzeichnen?
Als SaaS-Anbieter bieten wir allen unseren Kunden einheitliche Datenschutzstandards. Daher müssen wir unseren Standard-Datenverarbeitungsvertrag verwenden, der bereits in den Geschäftsreisedienstleistungsvertrag integriert ist und auf die Art der von TravelPerk erbrachten Dienstleistungen und die von uns angebotenen Sicherheitsmassnahmen zugeschnitten ist.
TravelPerk hat den Standard-DVV oneDPA für alle geeigneten Transaktionen übernommen. Der oneDPA wurde von einer Gruppe führender Anwaltskanzleien und Inhouse-Teams und mit Beiträgen der weiteren Rechtsgemeinschaft entwickelt. Die Bestimmungen des oneDPA wurden von Juristen aus verschiedenen Ländern eingehend erörtert, um sicherzustellen, dass sie den rechtlichen Anforderungen entsprechen sowie ausgewogen, fair und leicht verständlich sind.
In Anbetracht des ausgewogenen Charakters des Standard-DVV oneDPA kann oneDPA nicht geändert werden, ausser durch Eintragung der spezifischen Details für unsere Beauftragung im Abschnitt der Variablen. Weitere Informationen zu oneDPA finden Sie auf der offiziellen oneDPA-Website.
Holt TravelPerk zur Beauftragung neuer Unterauftragsverarbeiter von seinen Kunden eine Genehmigung ein?
TravelPerk kann auf der Grundlage einer von unseren Kunden (den Datenverantwortlichen) erteilten allgemeinen Genehmigung neue Unterauftragsverarbeiter beauftragen, wie dies gemäss Artikel 28 der DSGVO zulässig ist. Mit der Beauftragung unserer Dienstleistungen und dem Abschluss der entsprechenden DVV stimmen unsere Kunden der Beauftragung der in der aktuellen Liste der Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter zu und genehmigen diese. TravelPerk verpflichtet sich ausserdem, den Kunden über beabsichtigte Ergänzungen dieser Liste zu informieren, sodass der Kunde das Recht hat, gegen die Beauftragung neuer Unterauftragsverarbeiter durch TravelPerk rechtzeitig Einwände zu erheben. Wenn ein Einwand erhoben wird, arbeiten TravelPerk und der Kunde daran, eine Lösung zu finden, um die Bedenken des Kunden auszuräumen. Falls dies nicht möglich ist, hat der Kunde jederzeit die Option, den Vertrag ohne zusätzliche Kosten zu kündigen.
Führt TravelPerk ein obligatorisches Verzeichnis von Verarbeitungstätigkeiten (VVT)?
Ja. Als Auftragsverarbeiter muss TravelPerk gemäss Artikel 30 Absatz 2 DSGVO ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führen, die im Auftrag unserer Kunden (Datenverantwortlichen) durchgeführt werden.
Wie schützt TravelPerk meine persönlichen Daten?
TravelPerk hält sich an die geltenden Datenschutzgesetze, wie die DSGVO der EU, das britische GDPR und das kalifornische CCPA. Wir haben geeignete technische und organisatorische Massnahmen ergriffen, um die uns mitgeteilten personenbezogenen Daten zu schützen. Dazu gehört, dass die Daten sowohl bei der Übertragung als auch im gespeicherten Zustand innerhalb der Plattform und an den Endpunkten verschlüsselt sind. Um die Einhaltung der Vorschriften zu gewährleisten, werden die Mitarbeiter von TravelPerk entsprechend geschult und wir haben zentralisierte Richtlinien eingeführt. Vor dem Zugriff auf personenbezogene Daten wird jede Person und jedes Unternehmen einer Art Risikoprüfung unterzogen und zur Vertraulichkeit verpflichtet. Mit allen unseren Unterauftragsverarbeitern bestehen Datenverarbeitungsverträge, die gegebenenfalls die neuesten, von der Europäischen Kommission am 4. Juni 2021 veröffentlichten Standardvertragsklauseln für internationale Übermittlungen enthalten.
Unser Informationssicherheitsmanagementsystem (ISMS) entspricht den Richtlinien von ISO 27001 für technische und betriebliche Kontrollen der Sicherheit vertraulicher und personenbezogener Daten. Darüber hinaus wird unsere Plattform bei Amazon Web Services (AWS) in Rechenzentren in der EU gehostet, die über branchenführende Sicherheitsprotokolle verfügen.
Welche sind die wichtigsten Sicherheitsmassnahmen, die Sie ergriffen haben, um die Einhaltung von Artikel 32 der DSGVO zu gewährleisten?
Wir haben eine Reihe von Kontrollen eingeführt, um die DSGVO einzuhalten. Zur Gewährleistung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen konzentrieren wir uns auf den Lebenszyklus der Kundendaten. Wir ergreifen technische, organisatorische und physische Sicherheitsmassnahmen ab dem Zeitpunkt, zu dem uns personenbezogene Daten anvertraut werden, bis zu ihrer sicheren Vernichtung. Diese Sicherheitsmassnahmen reichen von fortschrittlicher Endpoint Detection & Response (EDR) bis hin zu Cloud-Sicherheit und -Überwachung. Unsere Büroräume sind ausserdem durch eine Vielzahl von Massnahmen geschützt, darunter rund um die Uhr tätiges Wachpersonal und Videoüberwachung. Weitere Einzelheiten finden Sie in unserem Weissbuch zur Datensicherheit und in unserem Dokument zu Sicherheitsmassnahmen (TOMs).
Verschlüsseln Sie die personenbezogenen Daten, die Sie im Namen Ihrer Kunden verarbeiten?
Ja. Heutzutage ist die Verschlüsselung eine der grundlegendsten Sicherheitsmassnahmen zum Schutz vertraulicher Daten. Wir verwenden AES-256, um Ihre Daten im gespeicherten Zustand, einschliesslich Backups, zu verschlüsseln. Für die Datenübertragung setzen wir mindestens TLS v1.2 voraus und unterstützen keine älteren Versionen.
Bei der Speicherung von Passwörtern folgen wir mit der Wahl des Hashing-Algorithmus und des Passwort-Stretching-Mechanismus den vom NIST empfohlenen Standards. Unser E-Mail-System wird ausserdem automatisch mit S/MIME verschlüsselt, sofern dies unterstützt wird.
Gibt es bei TravelPerk irgendwelche Sicherheitsrichtlinien?
Ja, wir haben mehrere Sicherheitsrichtlinien, darunter eine Datensicherheitsrichtlinie, als Teil unseres Informationssicherheitsmanagementsystems (ISMS). Diese Richtlinien orientieren sich an weltweit anerkannten bewährten Praktiken im Bereich der Daten- und Cybersicherheit, wie z. B. ISO27001, ISO27005 und OWASP, und geben die strategische Richtung für die Aufrechterhaltung unseres ISMS vor.
Sind die Mitarbeiter von TravelPerk ordnungsgemäss für den sicheren Umgang mit personenbezogenen Daten geschult und zur Vertraulichkeit verpflichtet?
Ja, wir haben ein Schulungsprogramm zur Sensibilisierung der Mitarbeiter für die besten Praktiken im Bereich Datenschutz und Sicherheit eingeführt. Wir beschränken uns nicht darauf, jährliche Online-Schulungen durchzuführen und das entsprechende Kästchen abzuhaken, sondern denken, dass wir das Verhalten tatsächlich zum Besseren verändern können. Deshalb bieten wir allen Mitarbeitern, Neulingen und relevanten Vertragspartnern intern entwickelte Schulungen an. Ausserdem setzen wir Phishing-Simulationen, Capture-the-Flag-Übungen, individuelle Aufklärungsposter und vieles mehr ein. Darüber hinaus verwenden wir bei TravelPerk eine rollenbasierte Zugangskontrolle. Das bedeutet, dass nur eine begrenzte Anzahl unserer Mitarbeiter Zugang zu Kundendaten hat, basierend auf der jeweiligen Funktion und unter strenger Beschränkung auf die Erfordernisse ihrer Aufgaben.
Wie sicher sind meine Zahlungen auf der TravelPerk-Plattform?
Ihre Zahlungsdaten sind sicher, wenn Sie auf der TravelPerk-Plattform Zahlungen vornehmen. Wir arbeiten mit Stripe zusammen, um Ihre Kreditkartendaten sicher zu speichern und Ihre Zahlungsanordnungen zu verarbeiten. TravelPerk sieht, speichert oder verarbeitet niemals Ihre Zahlungskartendaten, sondern diese werden immer von Stripe verwaltet. Wir verwenden lediglich eindeutige und anonymisierte Referenznummern, um uns mit Stripe zu verbinden und Ihnen Buchungen und Dienstleistungen in Rechnung zu stellen. Stripe verarbeitet Kundendaten als unabhängiger Datenverantwortlicher; weitere Informationen zum Schutz Ihrer personenbezogenen Daten finden Sie in der Datenschutzerklärung von Stripe.
Wären Sie bereit, auf Anfrage zusätzliche Sicherheitsmassnahmen zu ergreifen?
Wir von TravelPerk sind bestrebt, die Sicherheit unserer Systeme kontinuierlich zu verbessern, indem wir unsere bestehenden Sicherheitsmassnahmen verstärken und aktualisieren. Wenngleich wir uns bemühen, unsere datenschutzrechtlichen Verpflichtungen zu erfüllen, können wir keine individuellen Sicherheitsrichtlinien für Kunden vereinbaren. Als globales SaaS-Unternehmen für Reisemanagement mit einer Vielzahl von Kunden müssen wir einheitliche und umfassende Sicherheitsrichtlinien einhalten, um einen angemessenen Schutz und eine einheitliche Vorgehensweise zu gewährleisten.
Auf Anfrage beantworten wir jedoch gerne Sicherheits- und Audit-Fragebögen. So können Sie sich vergewissern, dass TravelPerk seinen Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten nachkommt. Wir wissen, wie wichtig es ist, für unsere Kunden ein Höchstmass an Sicherheit zu gewährleisten, und setzen alles daran, diese Standards zu erfüllen.
Gibt es spezifische technische und organisatorische Sicherheitsmassnahmen, deren Einhaltung Sie von Ihren Unterauftragsverarbeitern erwarten?
Unsere Unterauftragsverarbeiter sind vertraglich verpflichtet, gleichwertige technische und organisatorische Sicherheitsmassnahmen (TOMs) einzuhalten, wie wir sie unseren Kunden anbieten. Unsere aktualisierten TOMs finden Sie hier.
Wir verlangen von den Unterauftragsverarbeitern, dass sie ausreichende technische und betriebliche Sicherheitsmassnahmen sowie Massnahmen zur Einhaltung der einschlägigen Datenschutzgesetze ergreifen. Alle Unterauftragsverarbeiter und Dienstleister, die Kundendaten hosten, werden sowohl von unserem Informationssicherheitsteam als auch von unserem Datenschutzteam gründlichen Sicherheitsprüfungen und Risikobewertungen unterzogen, um die Einhaltung dieser Anforderungen zu gewährleisten. Darüber hinaus führen wir eine kontinuierliche Sicherheitsüberwachung unserer Dienstleister durch.
Was tut TravelPerk zur Vorbeugung von Datenschutzverletzungen?
Schwachstellenmanagement. Regelmässige Penetrationstests sind in einem sich schnell verändernden Umfeld wie dem unseren nicht ausreichend. Daher geht unser Schwachstellenmanagement viel weiter. Wir führen täglich dynamische Schwachstellen-Scans unserer Web-App durch und auch unsere mobile App wird täglich einer Reihe von statischen, dynamischen und interaktiven Tests unterzogen. Diese Informationen werden zusammen mit den Ergebnissen von Bug Bounty-Programmen oder Penetrationstests schnell überprüft und je nach Schweregrad in Massnahmen umgesetzt.
Malwareschutz. Wie Sie es von einem internationalen Unternehmen wie unserem erwarten können, setzen wir erstklassige Endpoint Detection- und Response-Tools ein. Mithilfe der Verhaltenserkennung können wir uns so vor Angriffen der nächsten Generation schützen, die von signaturbasierten Systemen nicht erkannt werden. Unsere schnellen und effizienten Verbindungsmöglichkeiten ermöglichen es uns, überall auf der Welt umgehend auf Endpunktvorfälle zu reagieren. Ausserdem haben wir verschiedene Lösungen im Einsatz, um sicherzustellen, dass keine Schadprogramme in unsere Systeme oder Reiseanwendungen eindringen.
Überwachung. Wir führen Aktivitäts- und Zugriffsprotokolle und sammeln wichtige Informationen aus einer Vielzahl von Quellen. Wenn wir Warnmeldungen oder andere Auslöser erhalten, prüft unser Team den vermuteten Vorfall umgehend und untersucht ihn. Soweit möglich, sind unsere Tools so konfiguriert, dass sie verdächtige Aktivitäten erkennen und uns unverzüglich darauf aufmerksam machen. Dazu gehören die Überwachung und Warnmeldungen unserer eigenen IT-Anlagen und -Instrumente sowie unserer Geschäftsreise-Anwendungen.
Worin besteht das TravelPerk-Vorfallmanagement?
Unser Sicherheitsteam ist darin geschult, im Falle eines Sicherheitsvorfalls die Führung zu übernehmen, die richtigen Leute einzuschalten und alle erforderlichen Massnahmen gemäss unserem Vorfallreaktionsplan zu koordinieren. Wir vermeiden es, auf der Grundlage von anfangs möglicherweise begrenzten Informationen einen bestimmten Schweregrad annehmen und so frühzeitig voreingenommen zu handeln. Stattdessen behandeln wir jeden Vorfall mit gleich hoher Priorität und Bedeutung, bis wir Informationen haben, die das Gegenteil beweisen.
Wir haben einen rund um die Uhr verfügbaren technischen Bereitschaftsdienst, sodass unsere Techniker bei einem Zwischenfall, der die Vertraulichkeit, Vollständigkeit oder Verfügbarkeit beeinträchtigt, mit Unterstützung unseres Sicherheitsteams reagieren, eskalieren und das Problem schnell lösen können. Wir befolgen bewährte Praktiken, indem wir einen Incident Tracker führen und Vorfälle im Nachhinein analysieren, um sicherzustellen, dass Lehren daraus gezogen und mögliche Verbesserungen vorgenommen werden.
Gibt es ein Verfahren zur Gewährleistung, dass alle Sicherheitsvorfälle entsprechend gemeldet werden?
Ja, wir haben einen Vorfallreaktionsplan, der vom technischen Direktor genehmigt wurde. Darin sind die Aufgaben, Zuständigkeiten, Kontaktdaten und die zu ergreifenden Massnahmen im Falle eines vermuteten Vorfalls festgelegt. Ausserdem haben wir ein Vorfallmanagementteam eingerichtet.
Weitere Informationen finden Sie auf unserer Sicherheitsseite, im Weissbuch zur Datensicherheit und im Dokument zu Sicherheitsmassnahmen (TOMs).
Wurden Ihre Mitarbeiter geschult, wie im Falle einer Verletzung des Schutzes personenbezogener Daten vorzugehen ist?
Ja, die Verfahren zur Erkennung und Meldung von Datenschutzverletzungen sind Bestandteil der Sicherheitsschulung für alle TravelPerk-Mitarbeiter.
Würden Sie die Aufsichtsbehörde im Falle eines Sicherheitsvorfalls benachrichtigen, der Kundendaten betrifft?
Als Auftragsverarbeiter ist TravelPerk verpflichtet, Verstösse gegen den Schutz personenbezogener Daten den betroffenen Kunden (den Datenverantwortlichen) mitzuteilen, damit diese die Aufsichtsbehörde in Übereinstimmung mit den geltenden Datenschutzgesetzen informieren können. In unseren Benachrichtigungen an die Kunden stellen wir alle verfügbaren Informationen gemäss Artikel 33 Absatz 3 DSGVO zur Verfügung.
Haben Sie den Aufsichtsbehörden in den letzten fünf Jahren eine Datenschutzverletzung gemeldet?
Als Auftragsverarbeiter ist TravelPerk verpflichtet, Verstösse gegen den Schutz personenbezogener Daten den betroffenen Kunden (den Datenverantwortlichen) mitzuteilen, damit diese die Aufsichtsbehörde in Übereinstimmung mit den geltenden Datenschutzgesetzen informieren können. In unseren Benachrichtigungen an die Kunden stellen wir alle verfügbaren Informationen gemäss Artikel 33 Absatz 3 DSGVO zur Verfügung.
Übermitteln Sie personenbezogene Daten an Drittländer? Wie sichern Sie solche Übermittlungen?
Wir können ohne Vorliegen einer Angemessenheitsentscheidung der Europäischen Kommission Daten an Empfänger mit Sitz in Drittländern, d. h. in Ländern ausserhalb des EWR, übermitteln. So können wir beispielsweise Daten an Unterauftragsverarbeiter übermitteln, die uns bei der Erbringung unserer Dienstleistungen unterstützen (siehe unsere aktualisierte Liste der Unterauftragsverarbeiter), oder an Reiseanbieter wie Fluggesellschaften, Hotels oder andere Transport- und Unterkunftsanbieter.
Wenn unsere Unterauftragsverarbeiter in Drittländern ansässig sind, stützen wir uns zur Sicherung der Übermittlung in erster Linie auf die von der Europäischen Kommission am 4. Juni 2021 veröffentlichten neuesten Standardvertragsklauseln für internationale Übermittlungen. Ausserdem führen wir eine Sicherheitsbewertung aller unserer Dienstleister durch und implementieren bei Bedarf zusätzliche Massnahmen (gemäss den Empfehlungen des EDSA 01/2020 nach dem Schrems-II-Urteil), um für die übermittelten Daten ein angemessenes Schutzniveau gemäss den EU- und DSGVO-Standards sicherzustellen. Weitere Informationen finden Sie in unserem Weissbuch über internationale Datenübermittlungen.
Können Sie nähere Angaben zu dem Verfahren machen, das Sie bei der Abwicklung internationaler Datenübermittlungen anwenden?
Das Verfahren, das wir jedes Mal anwenden, wenn wir Kundendaten an einen Dienstleister in einem Drittland weitergeben müssen, umfasst sieben Schritte:
- Wir identifizieren und kartieren alle unsere eingeschränkten Übermittlungen (d. h. alle Datenübermittlungen in Länder ohne angemessenes Schutzniveau).
- Die potenziellen Dienstleister müssen einen ausführlichen Fragebogen zum Datenschutz ausfüllen, der von unseren Teams für Informationssicherheit und Datenschutz ausgewertet wird.
- Wir schliessen mit dem Dienstleister einen Datenverarbeitungsvertrag ab, in dem die gleichen oder gleichwertige Datenschutzverpflichtungen wie im DVV mit unseren Kunden festgelegt sind.
- Wir verwenden die neuesten, von der Europäischen Kommission am 4. Juni 2021 herausgegeben Standardvertragsklauseln für internationale Übermittlungen für alle Dienstleister, die personenbezogene Daten in Drittländern verarbeiten.
- Wir bewerten die Gesetze des Landes, in dem der Dienstleister seinen Sitz hat, mit besonderem Augenmerk auf den Vereinigten Staaten.
- Wir ermitteln und ergreifen alle zusätzlichen Massnahmen und Verfahrensschritte, die erforderlich sind, um das Schutzniveau der übermittelten Daten an die EU-Standards anzupassen.
- Wir überprüfen unsere Bewertungen in regelmässigen Abständen, um sicherzustellen, dass die internationalen Übermittlungen langfristig sicher bleiben.
Ergreifen Sie zusätzliche Massnahmen, um ggf. die Wirksamkeit der mit Ihren Unterauftragsverarbeitern geschlossenen Standardvertragsklauseln zu gewährleisten?
Ja. Die Europäische Kommission fordert die Datenverantwortlichen und die Auftragsverarbeiter auf, zusätzliche Garantien für die Übermittlung personenbezogener Daten ins Ausland vorzusehen und dazu zusätzliche vertragliche Verpflichtungen vorzusehen, deren Schutzniveau im Wesentlichen den EU-Standards entspricht.
Vor diesem Hintergrund führt TravelPerk eine gründliche Bewertung aller in Drittländern ansässigen Auftragsverarbeiter und Unterauftragsverarbeiter durch, um die Wirksamkeit der Standardvertragsklauseln in jedem einzelnen Fall zu bestimmen. Auf der Grundlage der Bewertungsergebnisse weisen wir diese Dienstleister an, zusätzliche vertragliche Verpflichtungen in den jeweiligen Datenverarbeitungsvertrag aufzunehmen. Wir konzentrieren uns sowohl auf die vom Dienstleister implementierten Sicherheitsmassnahmen als auch auf spezifische Garantien, um die Risiken potenzieller Aufforderungen zur Offenlegung personenbezogener Daten gegenüber der Öffentlichkeit bzw. Behörden oder Strafverfolgungsbehörden im Land des Dienstleisters zu verhindern oder zu mindern, insbesondere in den USA gemäss Gesetzen und Verordnungen wie FISA Section 702, Executive Order 12333 oder dem CLOUD Act.
Je nach Fall und auf der Grundlage der Ergebnisse unserer Bewertung verlangen wir von unseren Dienstleistern die Einhaltung einiger zusätzlicher vertraglicher Verpflichtungen, wenn sie solche Aufforderungen zur Offenlegung erhalten. Beispielsweise ersuchen wir sie zu prüfen, ob die Aufforderung zur Offenlegung rechtmässig und angemessen ist, auch im Hinblick auf die gesuchten Daten und den anwendbaren Gerichtsstand, und die Aufforderung ggf. gemäss den Grundsätzen der DSGVO und den vertraglichen Pflichten in Bezug auf Aufforderungen von Behörden zur Offenlegung gemäss Artikel 14 und 15 der Standardvertragsklauseln (SCC) anzufechten. Ausserdem weisen wir unsere Dienstleister an, bei der Beantwortung einer Aufforderung zur Offenlegung so wenig Informationen wie möglich zur Verfügung zu stellen, geeignete technische und organisatorische Massnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschliesslich des Schutzes vor versehentlicher oder unrechtmässiger Zerstörung, Verlust, Änderung, unbefugter Weitergabe oder unbefugtem Zugriff auf diese Daten, und keine Hintertüren oder ähnliche Programme zu erstellen, die von Strafverfolgungsbehörden oder öffentlichen Stellen für den Zugriff auf die Systeme und/oder personenbezogenen Daten verwendet werden könnten.
Haben externe Dritte Zugang zu den Kundensystemen oder Verarbeitungseinrichtungen von TravelPerk?
Dritte haben keinen Zugang zu unseren Kundensystemen und Verarbeitungseinrichtungen. TravelPerk kann jedoch Kundendaten an Drittanbieter (Unterauftragsverarbeiter und Reiseanbieter) weitergeben, um Geschäftsreisedienstleistungen zu erbringen (z. B. Name des Reisenden und Kontaktdaten an eine Fluggesellschaft oder ein Hotel zur Bestätigung einer Buchung). Alle diese Dritten werden einer Sicherheitsbewertung unterzogen und unterliegen einschlägigen DVV und/oder Vertragsklauseln, um die Sicherheit und Vertraulichkeit der übermittelten personenbezogenen Daten zu gewährleisten.
Hat TravelPerk die neuen EU-Standardvertragsklauseln für internationale Übermittlungen (SCC 2021 der EU) für die Übermittlung personenbezogener Daten an Unterauftragsverarbeiter mit Sitz ausserhalb des EWR übernommen?
Ja, wir haben für internationale Übermittlungen mit allen Unterauftragsverarbeitern, die ausserhalb des EWR in Ländern ohne angemessenes Schutzniveau, z. B. den Vereinigten Staaten, ansässig sind, die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln übernommen.
In welchen Ländern verarbeiten TravelPerk und seine Unterauftragsverarbeiter Kundendaten für die Erbringung von Geschäftsreisedienstleistungen?
Derzeit befinden sich unsere Unterauftragsverarbeiter in der EU/EWR, dem Vereinigten Königreich, den USA, den Philippinen, Indien, Japan, Australien, El Salvador und Israel. Unsere aktualisierte Liste der Unterauftragsverarbeiter finden Sie hier.
Müssen wir mit TravelPerk Standardvertragsklauseln unterzeichnen?
Wenn Sie Kunde von TravelPerk sind (oder werden wollen), lautet die Antwort NEIN. Als in der EU ansässiges Unternehmen, das personenbezogene Daten gemäss der DSGVO verarbeitet, ist TravelPerk nicht verpflichtet, die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln für internationale Übermittlungen (SCC) zwischen uns und unseren Kunden zu verwenden.
Für den Fall, dass TravelPerk Ihre personenbezogenen Daten an unsere Unterauftragsverarbeiter in Drittländern (z. B. in den Vereinigten Staaten) weiterleiten muss, können wir Ihnen versichern, dass solche Übermittlungen bereits durch SCC geregelt sind, die zwischen TravelPerk und dem jeweiligen Unterauftragsverarbeiter abgeschlossen wurden.
Wenn Sie ein Dienstleister sind, der ausserhalb der EU/EWR oder des Vereinigten Königreichs in einem Land ansässig ist, das von der Europäischen Kommission nicht als Land mit angemessenem Datenschutz anerkannt ist (eine Liste der Länder mit angemessenem Datenschutz finden Sie hier), lautet die Antwort JA – wir müssen die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln für internationale Übermittlungen unterzeichnen, um eine Dienstleistung für TravelPerk erbringen zu können, die die Verarbeitung personenbezogener Daten erfordert.
Haben Sie die Möglichkeit, die Speicherung von Kundendaten auf bestimmte Länder oder geografische Standorte zu beschränken?
Aufgrund der Beschaffenheit unserer SaaS-Dienstleistung ist es nicht möglich, geografische Beschränkungen auf Kundenbasis zu implementieren. Unsere SaaS-Umgebung und alle damit verbundenen Betriebs- und Sicherheitsverfahren sind so konzipiert, dass sie standardisiert und nicht auf bestimmte Kunden zugeschnitten sind. Daher wird der Zugriff auf und die Nutzung unserer SaaS im Istzustand („as is“) und in Übereinstimmung mit unseren bestehenden Prozessen, Verfahren und den Bedingungen der Vereinbarung zwischen uns und unseren Kunden bereitgestellt.
Wir können Ihnen jedoch versichern, dass wir die höchsten Sicherheitsstandards in unserer Branche erfüllen. Unsere Betriebsabläufe wurden erfolgreich nach den Branchenstandards geprüft. Unser Rechenzentrumsanbieter, Amazon Web Services Irland (mit einem Ausweichstandort in Deutschland), ist nach ISO 27001 zertifiziert. Darüber hinaus verfügt er auch über Zertifizierungen nach ISO 27017 und ISO 27018, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 sowie C5 von BSI.
Könnten Sie einige Ihrer Unterauftragsverarbeiter ausschliessen, wenn Sie Dienstleistungen für uns erbringen?
Als SaaS-Plattform beauftragen wir keine Unterauftragsverarbeiter für einzelne Kunden. Der Einsatz von Unterauftragsverarbeitern ist ein integraler Bestandteil unserer Dienstleistungen und alle Drittanbieter werden im Voraus beauftragt und sind vertraglich an uns gebunden. Vor der Beauftragung eines Drittanbieters führen wir umfassende Sicherheitsbewertungen durch, um sicherzustellen, dass dieser unsere strengen Sicherheitsstandards erfüllt. Darüber hinaus haben alle Unterauftragsverarbeiter einschlägige Datenschutzverträge abgeschlossen, um die Sicherheit und Vertraulichkeit der im Auftrag unserer Kunden verarbeiteten personenbezogenen Daten zu gewährleisten. Auf diese Weise können wir ein hohes Mass an Sicherheit und Schutz der Privatsphäre aufrechterhalten und gleichzeitig unseren Kunden zuverlässige und effiziente Dienstleistungen anbieten.
Wie werden die Kundendaten geschützt, wenn Ihre nicht im EWR ansässigen Tochtergesellschaften, verbundenen Unternehmen oder Muttergesellschaften Zugang zu den Daten haben müssen?
Wir haben einen umfassenden konzerninternen Datenverarbeitungsvertrag, der alle internen Übermittlungen regelt und die neuesten, von der Europäischen Kommission am 4. Juni 2021 veröffentlichten Standardvertragsklauseln für internationale Übermittlungen enthält. Dieser Vertrag bietet einen soliden Rahmen, um sicherzustellen, dass alle Datenübermittlungen innerhalb unserer Organisation die einschlägigen Datenschutzbestimmungen erfüllen und den höchsten Standards für Sicherheit und Vertraulichkeit entsprechen. Durch die Verwendung dieser Standardvertragsklauseln sind wir in der Lage, auch bei der grenzüberschreitenden Übermittlung personenbezogener Daten ein hohes Datenschutzniveau aufrechtzuerhalten und unseren Kunden die Sicherheit zu geben, dass sie uns ihre wertvollen Informationen anvertrauen können.
Wie behandelt TravelPerk Datenschutzanfragen betroffener Personen (Data Subject Requests – DSR)? Wo kann ich meine Rechte ausüben?
Wenn Sie ein TravelPerk-Benutzer sind: Als Auftragsverarbeiter unterstützen wir unsere Kunden (die Datenverantwortlichen) gerne bei der Bearbeitung von Datenschutzanfragen (DSR) ihrer Benutzer. TravelPerk-Benutzer müssen ihre Anfragen an den TravelPerk-Kontoverwalter (Admin) ihres Unternehmens richten, der den Datenverantwortlichen darstellt. Kontoverwalter können Daten direkt von der TravelPerk-Plattform aus löschen (Anleitung hier) und aktualisieren oder weitere Informationen von uns anfordern, wenn sie dies für angebracht halten.
Wenn Sie ein Interessent, ein Produkttester, ein Teilnehmer an einer TravelPerk-Veranstaltung oder ein Besucher der TravelPerk-Website sind, können Sie Ihre Datenschutzrechte über dieses Formular ausüben.
Welche Arten von personenbezogenen Daten erheben Sie über mich?
TravelPerk erhebt personenbezogene Daten, die von unseren Benutzern über unsere Plattform oder den Kundendienst zur Verfügung gestellt werden, um Geschäftsreisedienstleistungen zu erbringen. Wenn Sie ein Reisender sind, dessen Unternehmen Kunde von TravelPerk ist, können wir personenbezogene Daten wie Ihren Namen, Ihre geschäftliche E-Mail-Adresse, Ihre Telefonnummer und Personalausweis- oder Reisepassdaten verarbeiten. Darüber hinaus können wir Daten wie Reisemitgliedskarten, Zahlungsmethoden, Buchungs- und Reisedaten sowie Kundendienstanfragen oder -beschwerden verarbeiten, die erforderlich sind, um unsere Geschäftsreisedienstleistungen zu erbringen und Ihnen die Buchung von Reisen zu ermöglichen.
Ich möchte, dass Sie mein Benutzerkonto löschen.
Wenn Sie ein TravelPerk-Benutzer sind und Ihr Benutzerkonto löschen möchten, senden Sie Ihre Anfrage bitte an den TravelPerk-Kontoverwalter (Admin) Ihres Unternehmens. Die Kontoverwalter Ihres Unternehmens können Benutzerkonten von der TravelPerk-Plattform löschen, indem sie die in diesem Artikel (unter dem Abschnitt „Benutzer löschen“) beschriebenen Schritte befolgen. Die Kontoverwalter können auch Benutzerdaten aus dem Personenverzeichnis auf der TravelPerk-Plattform ändern.
Kontaktieren Sie uns
Wenn Sie weitere Fragen zum Datenschutz bei TravelPerk haben, senden Sie eine E-Mail an privacy@travelperk.com.