Vertrag zur Auftragsverarbeitung

gemäß Art. 28 DS-GVO

Zuletzt aktualisiert Vor 24 Tagen

Vereinbarung

zwischen 

_________________________

_________________________

________________________

- Verantwortlicher - nachstehend Auftraggeber genannt -

und 

einfach-reisekosten.de

c/o blackbytes GmbH

Weiherhofstrasse 16

79104 Freiburg

- Auftragsverarbeiter - nachstehend Auftragnehmer genannt


1. Gegenstand und Dauer des Auftrags

(1) Gegenstand  

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer zur Bereitstellung eines Online-Dienstes zur Abrechnung von Reisekosten.

(2) Dauer

Der Auftrag wird auf unbestimmte Zeit erteilt und kann von beiden Parteien mit einer Frist von 30 Tagen zum Ende des laufenden Abrechnungszeitraums gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der Verarbeitung  

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vereinbarten Dienstleistungen gemäß den Allgemeinen Geschäftsbedingungen. Eine Verarbeitung außerhalb der EU oder des EWR ist nur nach vorheriger Zustimmung des Auftraggebers und im Einklang mit den Art. 44 ff. DS-GVO gestattet.

(2) Art der Daten 

Die folgenden Datenarten werden verarbeitet:

  • Personenstammdaten  

  • Kommunikationsdaten (z.B. Telefon, E-Mail)  

  • Vertragsstammdaten  

  • Abrechnungs- und Zahlungsdaten  

  • Reisedaten (inkl. Adressen und Ortsangaben)  

  • Reisekosten (Belege, Pauschalen)  

(3) Kategorien betroffener Personen 

Betroffen von der Verarbeitung sind folgende Personengruppen:

  • Kunden  

  • Interessenten  

  • Beschäftigte  

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer dokumentiert vor Beginn der Verarbeitung die erforderlichen technischen und organisatorischen Maßnahmen und übergibt diese dem Auftraggeber. Änderungen bedürfen der einvernehmlichen Abstimmung.

(2) Der Auftragnehmer gewährleistet die Sicherheit der Daten gemäß Art. 28 Abs. 3 lit. c und Art. 32 DS-GVO. Die Maßnahmen umfassen insbesondere den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten unter Berücksichtigung des Standes der Technik und der Risiken.

(3) Technische und organisatorische Maßnahmen unterliegen der fortlaufenden Weiterentwicklung. Der Auftragnehmer kann alternative, gleichwertige Maßnahmen implementieren, ohne das vereinbarte Sicherheitsniveau zu unterschreiten.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf Daten nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Anfragen betroffener Personen leitet der Auftragnehmer unverzüglich an den Auftraggeber weiter.

(2) Soweit im Leistungsumfang enthalten, gewährleistet der Auftragnehmer die Umsetzung von Löschkonzepten, Berichtigungen sowie die Datenportabilität.

5. Qualitätssicherung und Pflichten des Auftragnehmers

Der Auftragnehmer gewährleistet die Einhaltung der gesetzlichen Vorgaben gemäß Art. 28 bis 33 DS-GVO, insbesondere:

- Der Auftragnehmer hat keine Pflicht zur Benennung eines Datenschutzbeauftragten.  

Ansprechpartner ist:  

Herr Khaled Soliman

Geschäftsführer  

0761-42991208  

datenschutz@blackbytes.de

  • Wahrung der Vertraulichkeit: Beschäftigte, die Zugang zu personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet.  

  • Der Auftragnehmer stellt sicher, dass die technischen und organisatorischen Maßnahmen regelmäßig geprüft und dokumentiert werden.

6. Unterauftragsverhältnisse

(1) Unterauftragsverhältnisse, die unmittelbar mit der Erbringung der vertraglichen Hauptleistung zusammenhängen, bedürfen der Zustimmung des Auftraggebers.

Der Auftraggeber stimmt der Beauftragung folgender Unterauftragnehmer zu:

Firma Unterauftragnehmer

Anschrift/Land

Leistung

Google LLC

1600 Amphitheatre Parkway

Mountain View, CA 94043

USA

Cloudserver
Standort: Frankfurt,
Deutschland

PayPal (Europe) S.à r.l. et Cie, S.C.A.

22-24 Boulevard Royal

2449 Luxembourg

Luxemburg

Zahlungsanbieter

Stripe, Inc.

510 Townsend Street

San Francisco, CA 94103, USA

Zahlungsanbieter

OpenAI, L.L.C.
(zusätzliche Zustimmung im Account  erforderlich)

3180 18th Street,
San Francisco, CA 94110,
USA

Belegerfassung(KI-Dienstleistung)

Google Ireland Limited

Gordon House,Barrow Street

Dublin 4

Irland

Geodatendienst

HERE Global B.V.

Kennedyplein 222 -226

5611 ZT Eindhoven

Niederlande

Geodatendienst

Featurebase

CORDNET OÜ, d/b/a Featurebase, Harju maakond, Viimsi vald, Haabneeme alevik, Kaluri tee 4-32, 74001, Estonia

Feedback und Support

(2) Der Auftragnehmer informiert den Auftraggeber vorab über geplante Änderungen bei Unterauftragnehmern. Der Auftraggeber kann innerhalb einer angemessenen Frist Einspruch erheben.

7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. 

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. 

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag

betreffen,  kann erfolgen durch:

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;

  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;

  • aktuelle Testate, Berichte oder Berichte Auszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

(4) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

8. Mitteilung bei Verstößen

(1)Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DS-GVO, insbesondere:

  • Die unverzügliche Meldung von Verletzungen personenbezogener Daten  

  • Unterstützung bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden


(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten sind oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

9. Weisungsbefugnis des Auftraggebers

(1) Mündliche Weisungen sind durch den Auftraggeber unverzüglich in Textform zu bestätigen.

(2) Der Auftragnehmer ist berechtigt, die Ausführung einer Weisung auszusetzen, wenn diese gegen geltende Datenschutzvorschriften verstößt.

10. Löschung und Rückgabe von Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzung Ergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 

(3) Dokumentationen, die der Nachweisführung dienen, sind entsprechend der Aufbewahrungsfristen über das Vertragsende hinaus zu speichern oder dem Auftraggeber zu übergeben.

Auftraggeber

Auftragnehmer

Ort, Datum:

Ort, Datum:

Freiburg i. Br., 30.10.2025

Name:

Name:

Khaled Soliman

Unterschrift:

Unterschrift:

PDF-Version des Auftragsdatenverarbeitungsvertrag

Einfach Reisekosten - Vertrag zur Auftragsverarbeitung.pdf

207.5 KB Document