English (US)
Dansk
Norsk
Svenska
Suomi
English (UK)
Deutsch
Español
Français
Nederlands
Unternehmensinformationen
- Unternehmen
- Booking Board ApS
- Adresse
- Aabenraavej 44, 6100 Haderslev, Dänemark
- Registrierung
- CVR: DK43231952
Hintergrund des Auftragsverarbeitungsvertrags
Dieser Vertrag legt die Rechte und Pflichten fest, die gelten, wenn Booking Board (der Auftragsverarbeiter) personenbezogene Daten im Auftrag eines Kunden (des Verantwortlichen) verarbeitet.
Der Vertrag dient der Sicherstellung der Einhaltung von Artikel 28 Absatz 3 der Datenschutz-Grundverordnung (EU) 2016/679, der spezifische Anforderungen an den Inhalt eines Auftragsverarbeitungsvertrags stellt.
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt im Zusammenhang mit der Nutzung des Booking Board-Systems durch den Verantwortlichen, wie in den Geschäftsbedingungen von Booking Board beschrieben.
Der Auftragsverarbeitungsvertrag und die Geschäftsbedingungen von Booking Board sind voneinander abhängig und können nicht gesondert gekündigt werden. Der Auftragsverarbeitungsvertrag kann jedoch durch einen anderen gültigen Auftragsverarbeitungsvertrag ersetzt werden, ohne dass die Geschäftsbedingungen berührt werden. Bei Änderungen muss Booking Board den Verantwortlichen benachrichtigen und den neuen Vertrag zur Verfügung stellen.
Dieser Auftragsverarbeitungsvertrag hat Vorrang vor etwaigen ähnlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien, einschließlich der Geschäftsbedingungen von Booking Board.
Rechte und Pflichten
Der Verantwortliche trägt die letztendliche Verantwortung dafür, dass die Verarbeitung personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung und des Datenschutzgesetzes erfolgt.
Der Auftragsverarbeiter muss angemessenen Anfragen des Verantwortlichen stets unverzüglich nachkommen, um die Einhaltung der Datenschutz-Grundverordnung und des Datenschutzgesetzes sicherzustellen.
Der Auftragsverarbeiter handelt gemäß Weisungen
- Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß dokumentierten Weisungen des Verantwortlichen verarbeiten, es sei denn, eine Verarbeitung ist nach dem Recht der EU oder der Mitgliedstaaten erforderlich. In solchen Fällen hat der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung zu informieren, es sei denn, das betreffende Recht untersagt eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
- Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn nach seiner Auffassung eine Weisung gegen die Datenschutz-Grundverordnung oder gegen andere datenschutzrechtliche Bestimmungen der EU oder der Mitgliedstaaten verstößt.
Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass nur Personen, die für ihre Tätigkeit bei Booking Board Zugang benötigen, Zugriff auf die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten haben. Der Zugang zu den Daten ist unverzüglich zu entziehen, wenn die Person den Zugang nicht mehr benötigt oder nicht mehr bei Booking Board beschäftigt ist.
Datensicherheit
Der Auftragsverarbeiter hat alle nach Artikel 32 der Datenschutz-Grundverordnung erforderlichen Maßnahmen umzusetzen und angemessene technische und organisatorische Sicherheitsmaßnahmen unter Berücksichtigung des Risikos für die Rechte und Freiheiten natürlicher Personen zu gewährleisten:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme auf Dauer sicherzustellen
- Fähigkeit, die Verfügbarkeit der und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Einsatz von Unterauftragsverarbeitern
Der Auftragsverarbeiter muss die in Artikel 28 Absatz 2 und 4 der Datenschutz-Grundverordnung festgelegten Bedingungen erfüllen, um einen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Der Auftragsverarbeiter darf ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen Unterauftragsverarbeiter einsetzen.
Übermittlung von Daten an Drittländer oder internationale Organisationen
Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß dokumentierten Weisungen des Verantwortlichen verarbeiten, einschließlich bei Übermittlungen an Drittländer oder internationale Organisationen, es sei denn, eine Verarbeitung ist nach dem Recht der EU oder der Mitgliedstaaten erforderlich.
Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel 3 der Datenschutz-Grundverordnung zu beantworten.
Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu benachrichtigen, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
Löschung und Rückgabe von Daten
Nach Beendigung der mit der Verarbeitung verbundenen Dienste hat der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zu löschen oder an den Verantwortlichen zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das Recht der EU oder der Mitgliedstaaten schreibt eine Aufbewahrung der personenbezogenen Daten vor.
Überwachung und Prüfung
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und dieses Vertrags zur Verfügung und ermöglicht Überprüfungen oder Inspektionen durch den Verantwortlichen.
Inkrafttreten und Beendigung
Dieser Vertrag tritt in Kraft, wenn der Verantwortliche mit der Nutzung des Systems von Booking Board beginnt. Der Vertrag bleibt in Kraft, solange die Verarbeitung andauert, und kann nicht gesondert von den Geschäftsbedingungen von Booking Board gekündigt werden.
Ansprechpartner beim Auftragsverarbeiter
Anfragen zu personenbezogenen Daten können an folgenden Ansprechpartner gerichtet werden:
- Name
- Casper S. Paulsen
- Partner/Entwickler
- Telefon
- 60534462
Anlage A: Informationen zur Verarbeitung
Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist:
- Dem Verantwortlichen die Nutzung des Booking Board-Systems zu ermöglichen, das im Eigentum des Auftragsverarbeiters steht und von diesem verwaltet wird, um Informationen über die Mitglieder des Verantwortlichen zu erheben und zu verarbeiten.
Die Verarbeitung umfasst folgende Arten personenbezogener Daten über die betroffenen Personen:
- Name, E-Mail-Adresse, Telefonnummer, Adresse, Geburtsdatum, Art der Mitgliedschaft, Anmeldung und Teilnahme an den Kursen des Verantwortlichen.
Die Verarbeitung umfasst folgende Kategorien betroffener Personen:
- Personen, die über Booking Board ein Profil beim Verantwortlichen erstellt haben.
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann nach Inkrafttreten dieses Vertrags beginnen. Die Verarbeitung ist zeitlich unbefristet und dauert an, bis der Vertrag von einer der Parteien gekündigt oder aufgehoben wird.
Anlage B: Unterauftragsverarbeiter
B.1 Bedingungen für den Einsatz von Unterauftragsverarbeitern
Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung des Verantwortlichen zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter muss den Verantwortlichen jedoch über geplante Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informieren, damit der Verantwortliche Einspruch erheben kann.
Diese Mitteilung muss den Verantwortlichen mindestens einen Monat vor der Umsetzung der Änderung erreichen. Erhebt der Verantwortliche Einspruch, muss er den Auftragsverarbeiter innerhalb von 14 Tagen benachrichtigen. Der Verantwortliche darf nur Einspruch erheben, wenn vernünftige, konkrete Gründe vorliegen.
B.2 Genehmigte Unterauftragsverarbeiter
Der Verantwortliche hat zum Zeitpunkt des Inkrafttretens des Vertrags den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:
| Name | Beschreibung der Verarbeitung |
|---|---|
| Twilio | Übernimmt den Versand von SMS-Nachrichten aus dem System. |
| Mailgun | Übernimmt den Versand von E-Mails aus dem System. |
| DigitalOcean | Stellt die IT-Infrastruktur für den Betrieb des Systems bereit. |
| Hetzner | Stellt die IT-Infrastruktur für den Betrieb des Systems bereit. |
| Scaleway | Stellt die IT-Infrastruktur für den Betrieb des Systems bereit. |
| OneSignal | Übernimmt den Versand von Push-Benachrichtigungen aus dem System. |
| Sentry | Verwaltet die Fehlerprotokollierung von Ereignissen im System. |
Der Verantwortliche hat den Einsatz der oben genannten Unterauftragsverarbeiter für die genau beschriebene Verarbeitung ausdrücklich genehmigt. Der Auftragsverarbeiter darf ohne die ausdrückliche und schriftliche Genehmigung des Verantwortlichen einen einzelnen Unterauftragsverarbeiter nicht für eine andere Art der Verarbeitung einsetzen oder einem anderen Unterauftragsverarbeiter die beschriebene Verarbeitung gestatten.
Anlage C: Weisungen bezüglich der Verarbeitung
C.1 Gegenstand der Verarbeitung / Weisungen
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt wie folgt: Verwaltung der Kundendaten des Verantwortlichen im Zusammenhang mit der Nutzung von Booking Board durch den Verantwortlichen zur Verwaltung von Kursen, Lehrgängen, Zahlungen usw.
C.2 Datensicherheit
Das Sicherheitsniveau muss berücksichtigen, dass die verarbeiteten Daten grundlegende personenbezogene Informationen über die betroffenen Personen sowie Angaben zu deren Einkäufen und Nutzung der Produkte des Verantwortlichen umfassen, jedoch in der Regel keine besonderen Kategorien personenbezogener Daten gemäß Artikel 9 der Datenschutz-Grundverordnung.
Der Auftragsverarbeiter ist daher berechtigt und verpflichtet, über die technischen und organisatorischen Sicherheitsmaßnahmen zu entscheiden, die zur Gewährleistung des erforderlichen Sicherheitsniveaus für die Daten notwendig sind.
C.3 Aufbewahrungsfrist / Löschroutine
Personenbezogene Daten werden vom Auftragsverarbeiter gespeichert, bis der Verantwortliche die Löschung oder Rückgabe der Daten verlangt.
Darüber hinaus werden Mitgliederkonten, die seit mehr als 24 Monaten inaktiv sind, automatisch vom System anonymisiert, sofern sie keine aktiven Mitgliedschaften, ausstehenden Zahlungen oder sonstigen laufenden Aktivitäten aufweisen.
Wenn ein einzelner Benutzer aus dem System gelöscht wird, werden alle direkt identifizierbaren Informationen entfernt, einschließlich Name, Adresse, E-Mail, Geburtsdatum und etwaiger beschreibender Kommentare. Was verbleibt, ist ein anonymisierter Benutzer, sodass der Verantwortliche weiterhin Berichte erstellen kann.
C.4 Überwachungsverfahren
Der Verantwortliche trägt etwaige Kosten im Zusammenhang mit der physischen Überwachung. Der Auftragsverarbeiter ist jedoch verpflichtet, die erforderlichen Ressourcen bereitzustellen, damit der Verantwortliche die Überwachung durchführen kann.