Letzte Aktualisierung 01/04/2025

Vereinbarung zur Auftragsdatenverarbeitung (DPA)

Die Plattform von TravelPerk bietet Geschäftsreisedienstleistungen an, indem sie den Kunden mit den besten Reisepartnern, wie Hotels oder Fluggesellschaften, verbindet, um Unterkünfte, Flüge und andere Dienstleistungen zu buchen. Zu diesem Zweck wird TravelPerk personenbezogene Daten verarbeiten. Während des gesamten Buchungsprozesses wird dabei ein Höchstmaß an Datenschutz gewährleistet. Einige Gesetze, wie z.B. die GDPR, verlangen von uns den Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung („DPA“).

Wir sind der Meinung, dass Verträge in erster Linie dem Aufbau von Partnerschaften dienen, die auf Vertrauen beruhen, und Datenschutz ist ein elementarer Bestandteil davon. Aus diesem Grund bieten wir Ihnen diese klaren und fairen Bedingungen an - ohne Tricks und Reibungsverluste. Wir hoffen, dass wir damit schnell durchstarten können, um Zeit und Geld zu sparen.

Einzelheiten der Verarbeitung

Rollen bei der Datenverarbeitung und Zweck der Verarbeitung

  • Kunde: Verantwortlicher (in Bezug auf die personenbezogenen Daten von Betroffenen bei der Verwendung des Kundenaccounts).
  • Travelperk:
    — Auftragsdatenverarbeiter (Verbindung des Kunden mit Reisepartnern, um deren Dienstleistungen zu buchen, Pflege und Aktualisierung von Kundenkonten und Verwaltung von Reisebuchungen).
    — Verantwortlicher (Kundensupport [z.B. Versendung von Mitteilungen bei Flugverspätungen], Verbesserung von TravelPerk, Aufrechterhaltung der Plattform-Sicherheit und Betrugsprävention).

Art der Verarbeitung

  • Sammlung, Aufzeichnung, Speicherung, Verwendung, Strukturierung, Übermittlung.
  • Travelperk wird keine personenbezogenen Daten verkaufen.

Betroffene Personen

  • Personen, die vom Kunden auf die TravelPerk-Plattform eingeladen werden, z. B. Mitarbeiter, Auftragnehmer oder Bewerber, sowie deren Notfallkontakte.

Verarbeitete personenbezogene Daten

  • Nutzerinformationen (z. B. Name, Kontaktdaten, berufliche Informationen, Informationen von Ausweisdokumente), Reiseverlauf (z. B. Hotelaufenthalte, Flüge, Mietwagen), Interaktionen mit dem Kundensupport, Informationen über die Reisezugehörigkeit (z. B. Miles & More-Nummer.
  • Zahlungen werden direkt von Drittanbietern (z. B. Stripe) verarbeitet, die die entsprechenden Standards wie PCI DSS erfüllen. TravelPerk speichert den Typ (Visa/Mastercard), die letzten vier Ziffern (nicht die vollständigen Nummern), das Ablaufdatum der Kreditkarte und die Bankinformationen, um diese Zahlungsmethode zu Ihrem Benutzerprofil hinzuzufügen. TravelPerk erfüllt die Anforderungen des PCI DSS SAQ-A (Self-Assessment Questionnaire A).
  • TravelPerk verlangt von den Nutzern nicht, dass sie besondere Kategorien personenbezogener Daten (sensible Informationen) preisgeben. TravelPerk löscht solche Informationen, es sei denn, dies ist erforderlich, um den Anweisungen des Nutzers Folge zu leisten (z. B. Anforderung einer speziellen Mahlzeit).

Dauer der Verarbeitung

  • TravelPerk verarbeitet personenbezogene Daten so lange, wie es Geschäftsreisedienstleistungen erbringt, und danach nur für die geltenden gesetzlichen Aufbewahrungsfristen (in der Regel zwischen 5 und 7 Jahren).
  • Die Löschung oder Anonymisierung kann nicht vor der Beendigung unserer vertraglichen Beziehung veranlasst werden, es sei denn, die betroffene Person macht wirksam seine Betroffenenrechte geltend. Einzelne Reisende können von einem Administrator jederzeit archiviert oder von der Plattform gelöscht werden.
  • TravelPerk stellt auf Wunsch eine schriftliche Bestätigung der Löschung oder Anonymisierung aus.
  • Diese DPA bleibt in Kraft, bis TravelPerk personenbezogene Daten innerhalb von 30 Tagen nach Beendigung der vertraglichen Beziehung oder nach Ablauf der gesetzlichen Fristen, je nachdem, was später eintritt, löscht oder anonymisiert.

Bedingungen der Auftragsdatenverarbeitung

Geltende Gesetze

  • Alle relevanten und anwendbaren Gesetze und Urteile von Behörden und Gerichten, insbesondere die GDPR, UK GDPR, CCPA/CPRA, FADP (Schweiz).

Verpflichtungen des Kunden

  • Als datenschutzrechtlich Verantwortlicher ist der Kunde dafür verantwortlich, dass die Datenverarbeitung auf einer rechtmäßigen Rechtsgrundlage beruhen und die geltenden Transparenzpflichten erfüllt werden.

Anweisungen an TravelPerk

  • TravelPerk wird personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten.
  • TravelPerk wird den Kunden unverzüglich informieren, wenn eine der Anweisungen gegen geltendes und anwendbares Recht verstößt.

Sicherheitsmaßnahmen

  • TravelPerk bietet technische und organisatorische Sicherheitsmaßnahmen an, die für die unter https://trustcenter.travelperk.com/ aufgeführten Risikostufe angemessen sind.
  • Diese Maßnahmen können von Zeit zu Zeit verbessert werden.

Vertraulichkeit

  • Die Mitarbeiter von TravelPerk unterliegen vertraglichen und/oder gesetzlichen Geheimhaltungspflichten.

Datenschutzvorfälle

  • TravelPerk benachrichtigt den Kunden kostenlos über Datenschutzvorfälle im Zusammenhang mit seinen Daten innerhalb von 24 Stunden nach Bekanntwerden. Weitere Informationen werden laufend zur Verfügung gestellt.
  • TravelPerk wird den Kunden bei der Untersuchung, Eindämmung und Beseitigung kostenlos unterstützen.
  • TravelPerk wird keine Informationen ohne Zustimmung an Dritte weitergeben, es sei denn, hierfür besteht eine gesetzliche Verpflichtung.

Unterstützung

  • TravelPerk unterstützt bei Anfragen von betroffenen Personen oder Behörden innerhalb von 5 Tagen kostenlos.
  • Im Falle von Auskunftsersuchen von Behörden wird TravelPerk, soweit dies nach geltendem Recht zulässig ist, den Kunden unverzüglich benachrichtigen, dem Ersuchen widersprechen und nur das nötige Mindestmaß an personenbezogenen Daten offenlegen.
  • TravelPerk wird den Kunden in angemessener Weise und kostenlos bei den relevanten Einschätzungen unterstützen.

Unterauftragsverarbeiter

  • Der Kunde akzeptiert die aktuellen Unterauftragsverarbeiter von TravelPerk, die unter https://trustcenter.travelperk.com/subprocessors aufgeführt sind. Eine Auswahl bestimmter Unterauftragsverarbeiter ist nicht möglich.
  • TravelPerk wird den Kunden 30 Tage vor der Beauftragung eines neuen Unterauftragsverarbeiters informieren. Innerhalb dieser Frist hat der Kunde das Recht, WIderspruch zu erheben. Wenn der Kunde Widerspruch erhebt, werden die Parteien sich verständigen, um eine gütliche Lösung zu finden, und der Unterauftragsverarbeiter wird in der Zwischenzeit nicht beauftragt. Finden die Parteien in den nächsten 30 Tage keine einvernehmliche Lösung, hat der Kunde das Recht, die vertragliche Beziehung zu TravelPerk zu den im Dienstleistungsvertrag für Geschäftsreisen festgelegten Bedingungen (30 Tage Kündigungsfrist) zu beenden.
  • Neue Unterauftragsverarbeiter werden durch einen schriftlichen Vertrag auf gleichwertige Bedingungen für die Verarbeitung verpflichtet.
  • TravelPerk haftet für alle Handlungen, Fehler oder Unterlassungen von Unterauftragsverarbeitern.

Internationale (beschränkte) Weitergabe

  • TravelPerk verarbeitet personenbezogene Daten:
    — In Irland, Deutschland und Spanien, für Kunden mit Wohnsitz in der EU/im EWR.
    — Zusätzlich in den Vereinigten Staaten, für Kunden mit Wohnsitz in den Vereinigten Staaten.
    — Zusätzlich im Vereinigten Königreich, für Kunden mit Wohnsitz im Vereinigten Königreich.
  • Die Unterauftragsverarbeiter von TravelPerk können personenbezogene Daten in Drittländern verarbeiten. Wenn dies der Fall ist, stellen wir sicher, dass die Übertragung im Einklang mit den geltenden Gesetzen erfolgt (z. B. Standardvertragsklauseln

Prüfungen

  • TravelPerk wird auf angemessene Anfrage des Kunden kostenlos Datenschutz-Prüfungen zulassen, solange die Prüfungen während der regulären Geschäftszeiten stattfinden. Dies gilt nicht im Falle von Datenschutzvorfällen.
  • TravelPerk trägt die Kosten, wenn die Prüfung vernünftiger Weise ergibt, dass Travelperk für den Verstoß verantwortlich ist.
  • TravelPerk stellt kostenlos Informationen zur Verfügung, die die Einhaltung der geltenden Gesetze nachweisen.

Haftung und Freistellung

  • DACH-Version: Für Kunden mit Geschäftssitz in Deutschland, Österreich oder der Schweiz: Die Haftung für Verstöße gegen geltendes Recht oder diese DPA ist während ihrer Laufzeit aufgrund lokaler gesetzlicher Vorgaben nicht begrenzt.

Sonstiges

  • Die Begriffe haben die Bedeutung, die ihnen in den geltenden Gesetzen (z. B. personenbezogene Daten), dieser DPA oder in der Vereinbarung über die Geschäftsreisedienstleistung (z. B. Kunde) zugewiesen wird.
  • Im Falle eines Konflikts hat diese DPA Vorrang vor dem Dienstleistungsvertrag für Geschäftsreisen.
  • Änderungen an dieser DPA müssen schriftlich vereinbart werden.
  • Diese DPA ist die gesamte Vereinbarung in Bezug auf die Verarbeitung personenbezogener Daten für die Erbringung von Geschäftsreisedienstleistungen.