Dieser Auftragsverarbeitungsvertrag („AVV“) ist Teil der Plattformvereinbarung zwischen der wakesys sàrl („Auftragsverarbeiter“, „wakesys“, „wir“, „uns“) und dem in der Bestellformular genannten Park („Verantwortlicher“, „Park“, „du“, „dein").
Dieser AVV spiegelt die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten gemäß den Anforderungen der Datenschutzgesetze wider, einschließlich der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten („DSGVO").
1. Definitionen
- „Datenschutzgesetze“ bedeutet alle anwendbaren Gesetze zum Datenschutz und zur Privatsphäre, einschließlich der DSGVO.
- „Personenbezogene Daten“ bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die von wakesys im Auftrag des Verantwortlichen verarbeitet werden.
- „Verarbeitung“ bedeutet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Speicherung, Nutzung, Offenlegung und Löschung.
- „Betroffene Person“ bedeutet die natürliche Person, auf die sich die personenbezogenen Daten beziehen.
- „Unterauftragsverarbeiter“ bedeutet jeden Dritten, den wakesys mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt.
- „Datenpanne“ bedeutet eine Verletzung der Sicherheit, die zu einer unbefugten Offenlegung von oder einem unbefugten Zugang zu personenbezogenen Daten führt.
- „Standardvertragsklauseln“ bedeutet die von der Europäischen Kommission für internationale Datenübermittlungen angenommenen Vertragsklauseln.
2. Geltungsbereich und Rollen
2.1 Rollen
- Du (der Park) bist der Verantwortliche. Du bestimmst die Zwecke und Mittel der Verarbeitung personenbezogener Daten deiner Kunden.
- wakesys ist der Auftragsverarbeiter. Wir verarbeiten personenbezogene Daten nur in deinem Auftrag und gemäß deinen dokumentierten Anweisungen.
2.2 Gegenstand
Dieser AVV gilt für die Verarbeitung personenbezogener Daten durch wakesys im Zusammenhang mit der Bereitstellung der Plattformdienste.
2.3 Dauer
Dieser AVV bleibt für die Dauer der Plattformvereinbarung in Kraft.
3. Einzelheiten der Verarbeitung
3.1 Art und Zweck
wakesys verarbeitet personenbezogene Daten zur Bereitstellung der Plattformdienste, einschließlich:
- Verarbeitung und Verwaltung von Buchungen
- Verarbeitung von Zahlungen
- Verwaltung digitaler Verzichtserklärungen
- Versand transaktionaler E-Mails
- Bereitstellung von Kundenverwaltungsfunktionen
- Erstellung von Berichten und Analysen
3.2 Kategorien betroffener Personen
- Kunden, die über die Plattform buchen oder kaufen
- Gäste, die von Kunden zu Buchungen hinzugefügt werden
- Besucher, die Verzichtserklärungen unterzeichnen oder vor Ort registrieren
3.3 Arten personenbezogener Daten
| Kategorie | Datentypen |
|---|
| Identitätsdaten | Name, Geburtsdatum, Geschlecht |
| Kontaktdaten | E-Mail-Adresse, Telefonnummer, Adresse |
| Transaktionsdaten | Buchungsdetails, Kaufhistorie, Zahlungsunterlagen |
| Verzichtserklärungsdaten | Unterzeichnete Verzichtserklärungen, Unterschriften, Notfallkontakte |
| Technische Daten | IP-Adresse, Browserinformationen, Gerätedaten |
4. Pflichten des Verantwortlichen
Als Verantwortlicher bist du verantwortlich für:
- Sicherstellung einer rechtmäßigen Grundlage für die Verarbeitung personenbezogener Daten
- Bereitstellung angemessener Datenschutzhinweise für betroffene Personen
- Einholung erforderlicher Einwilligungen, soweit erforderlich
- Beantwortung von Anfragen betroffener Personen
- Einhaltung der anwendbaren Datenschutzgesetze
5. Pflichten des Auftragsverarbeiters
5.1 Verarbeitungsanweisungen
wakesys wird:
- personenbezogene Daten nur gemäß deinen dokumentierten Anweisungen verarbeiten
- dich informieren, wenn wir der Auffassung sind, dass eine Anweisung gegen die Datenschutzgesetze verstößt
5.2 Vertraulichkeit
wakesys stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet sind.
5.3 Sicherheitsmaßnahmen
Technische Maßnahmen:
- Verschlüsselung von Daten während der Übertragung (TLS 1.2+/HTTPS)
- Verschlüsselung von Daten im Ruhezustand (AES-256) für sensible Daten
- Sichere Passwort-Hashing (bcrypt mit Salt)
- Sichere Hosting-Infrastruktur (AWS und Fly.io)
- Automatisierte Backups mit Verschlüsselung
- Netzwerk-Firewalls und Angriffserkennung (über Hosting-Anbieter)
Organisatorische Maßnahmen:
- Vertraulichkeitsvereinbarungen mit Mitarbeitern
- Prinzip der geringsten Rechte für Datenzugriff
- Zugriff nur für wesentliches Personal
- Unterauftragsverarbeiter auf etablierte, DSGVO-konforme Anbieter beschränkt
- Regelmäßige Überprüfung der Zugriffsrechte
5.4 Unterstützung bei Rechten betroffener Personen
wakesys unterstützt dich bei der Beantwortung von Anfragen betroffener Personen (Zugang, Berichtigung, Löschung, Übertragbarkeit usw.) durch Bereitstellung relevanter Funktionen in der Plattform und angemessene Zusammenarbeit. Du bist für die direkte Beantwortung der betroffenen Personen verantwortlich.
5.5 Unterstützung bei der Compliance
Unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen wird wakesys dich bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden unterstützen, soweit erforderlich.
5.6 Prüfungsrechte
wakesys stellt dir alle Informationen zur Verfügung, die zur Nachweisführung der Einhaltung dieses AVV erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, die von dir oder einem von dir beauftragten Prüfer durchgeführt werden, und trägt dazu bei. Solche Prüfungen werden mit angemessener Vorankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten durchgeführt, höchstens einmal pro Jahr, sofern nicht von einer Aufsichtsbehörde erforderlich. Der Verantwortliche trägt die Kosten jeder Prüfung, einschließlich angemessener Vergütung für die beteiligte Arbeitszeit und Ressourcen von wakesys.
6. Unterauftragsverarbeiter
6.1 Bevollmächtigung
Du bevollmächtigst wakesys, Unterauftragsverarbeiter zu beauftragen. wakesys haftet vollständig für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter.
6.2 Aktuelle Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Zweck | Standort |
|---|
| Amazon Web Services (AWS) | Cloud-Hosting und Datenbank | Frankfurt, Deutschland (EU) |
| Fly.io | Cloud-Hosting, Datenbank und Infrastruktur | Frankfurt, Deutschland (EU) |
| Stripe | Zahlungsabwicklung | USA (EU-SCC) |
| PayPal | Zahlungsabwicklung | Luxemburg (EU) / USA |
| Adyen | Zahlungsabwicklung | Niederlande (EU) |
| Omise | Zahlungsabwicklung (Asien-Pazifik) | Thailand / Singapur |
| SendGrid (Twilio) | Transaktionale E-Mail-Zustellung | USA (EU-SCC) |
| Omnisend | E-Mail-Marketing (Park-Integration) | USA / Litauen (EU) |
| Hotjar | Sitzungsaufzeichnungen und Heatmaps (stichprobenartig, PII maskiert) | Malta (EU) |
6.3 Änderungen bei Unterauftragsverarbeitern
wakesys wird dich über beabsichtigte Änderungen bei Unterauftragsverarbeitern mindestens 30 Tage vor der Änderung informieren.
7. Internationale Datenübermittlungen
7.1 Primärspeicherung
Personenbezogene Daten werden primär innerhalb der Europäischen Union gespeichert (AWS und Fly.io, Frankfurt, Deutschland).
7.2 Übermittlungen außerhalb der EU/EWR
Wenn personenbezogene Daten in Länder außerhalb der EU/EWR übermittelt werden, stellt wakesys angemessene Garantien sicher, einschließlich Standardvertragsklauseln.
8. Datenpanne
8.1 Benachrichtigung
wakesys wird dich unverzüglich (und in jedem Fall innerhalb von 48 Stunden) nach Kenntnisnahme einer Datenpanne benachrichtigen.
8.2 Zusammenarbeit
wakesys wird mit dir zusammenarbeiten, um die Panne zu untersuchen, zu mindern und zu beheben.
9. Löschung und Rückgabe von Daten
Bei Beendigung der Plattformvereinbarung:
- Du kannst innerhalb von 30 Tagen einen Export deiner personenbezogenen Daten anfordern
- wakesys löscht die personenbezogenen Daten nach 30 Tagen oder nach deiner Bestätigung
10. Kontaktinformationen
Datenschutzbeauftragter
wakesys sàrl
3, montée St. Hubert
8387 Koerich
Luxemburg
E-Mail: info@wakesys.com
11. Anwendbares Recht
Dieser AVV unterliegt dem Recht des Großherzogtums Luxemburg. Alle Streitigkeiten werden ausschließlich vor den Gerichten der Stadt Luxemburg, Luxemburg, beigelegt.