Auftragsverarbeitungsvertrag

Hier nicht definierte Begriffe haben die Bedeutung der DSGVO bzw. UK GDPR. „Kunde“ ist die Stelle, die die Nutzungsbedingungen von Randvu akzeptiert hat. „Personenbezogene Daten des Kunden“ sind die personenbezogenen Daten, die Randvu im Auftrag des Kunden verarbeitet. „Unterauftragsverarbeiter“ ist ein von Randvu beauftragter Dritter, der personenbezogene Daten des Kunden verarbeitet.

Der Kunde ist Verantwortlicher für die personenbezogenen Daten des Kunden. Randvu ist Auftragsverarbeiter und verarbeitet die personenbezogenen Daten des Kunden ausschließlich auf dokumentierte Weisung des Kunden, einschließlich Übermittlungen in Drittländer, sofern nicht durch geltendes Recht anders vorgeschrieben.

Randvu verarbeitet personenbezogene Daten des Kunden zur Erbringung des Dienstes gemäß den Nutzungsbedingungen und etwaigen Bestellungen. Die Verarbeitung umfasst Buchungsverwaltung, Kommunikation, Abrechnung, Support und für den Betrieb erforderliche Analysen. Betroffenenkategorien sind Mitarbeitende des Kunden sowie dessen Kunden/Gäste. Datenkategorien sind Identifikatoren, Kontaktdaten und buchungsbezogene Daten.

Der Kunde ermächtigt Randvu, Unterauftragsverarbeiter zu beauftragen, vorbehaltlich:

• einer schriftlichen Vereinbarung mit nicht weniger schützenden Datenschutzpflichten als in diesem AVV;
• der weiterhin bestehenden Verantwortung von Randvu für die Leistung jedes Unterauftragsverarbeiters;
• einer von Randvu geführten Liste aktueller Unterauftragsverarbeiter sowie Vorab-Information über Hinzunahmen oder Wechsel mit angemessener Möglichkeit zum berechtigten Widerspruch aus Datenschutzgründen.

Randvu setzt geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Kunden vor zufälliger oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff um. Die Maßnahmen umfassen:

• Verschlüsselung in der Übertragung sowie sensibler Felder im Ruhezustand;
• Zugriffskontrollen und das Prinzip der minimalen Berechtigung;
• Protokollierung, Monitoring und regelmäßige Überprüfung von Sicherheitsereignissen;
• Vertraulichkeitsverpflichtungen und Sicherheitsschulungen des Personals;
• Lieferanten-Risikomanagement und Verfahren zur Vorfallsreaktion.

Unter Berücksichtigung der Art der Verarbeitung unterstützt Randvu den Kunden in angemessenem Umfang bei der Beantwortung von Anträgen Betroffener auf Ausübung ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch). Erhält Randvu eine Anfrage direkt, leitet es die betroffene Person an den Kunden weiter.

Randvu informiert den Kunden ohne unangemessene Verzögerung nach Kenntnis einer Datenschutzverletzung, die personenbezogene Daten des Kunden betrifft, und stellt die Randvu vernünftigerweise verfügbaren Informationen zur Verfügung, damit der Kunde seine Meldepflichten nach geltendem Recht erfüllen kann.

Übermittelt Randvu personenbezogene Daten des Kunden in ein Land außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz, das nicht als angemessen anerkannt wurde, stützen sich die Parteien auf Standardvertragsklauseln oder einen anderen rechtmäßigen Übermittlungsmechanismus, der durch Verweis Bestandteil dieses AVV wird.

Randvu stellt dem Kunden die zur Nachweisführung über die Einhaltung dieses AVV erforderlichen Informationen zur Verfügung. Der Kunde kann auf eigene Kosten und nicht häufiger als einmal jährlich (außer auf Anordnung einer Aufsichtsbehörde oder nach einer Datenschutzverletzung) die Einhaltung durch Randvu prüfen, mit angemessener Vorankündigung, während der Geschäftszeiten und unter Vertraulichkeitsverpflichtung.

Bei Beendigung oder Ablauf des Dienstes wird Randvu nach Wahl des Kunden die personenbezogenen Daten des Kunden löschen oder zurückgeben sowie bestehende Kopien löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Dieser AVV tritt mit Annahme der Nutzungsbedingungen durch den Kunden in Kraft und gilt, solange Randvu personenbezogene Daten im Auftrag des Kunden verarbeitet.