Datenverarbeitungsvereinbarung – Bookairy
Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der Vereinbarung zwischen Bookairy und dem Kunden. Bookairy wird von Ghekko Development, Willem Buytewechstraat 187 C, 3024
1. Rollen und Anweisungen
- Der Kunde ist der Verantwortliche für personenbezogene Daten, die über den Bookairy-Arbeitsbereich des Kunden eingegeben oder verarbeitet werden.
- Bookairy ist der Auftragsverarbeiter und verarbeitet personenbezogene Daten im Auftrag des Kunden.
- Bookairy verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Anweisungen des Kunden, einschließlich der Vereinbarung, dieser DPA, der Produktkonfiguration und rechtmäßiger Supportanfragen.
- Der Kunde bleibt für die Rechtmäßigkeit der Verarbeitung, die Richtigkeit der Daten, Informationshinweise, ggf. erforderliche Einwilligungen und branchenspezifische Pflichten verantwortlich.
- Wenn Bookairy der Ansicht ist, dass eine Anweisung gegen die DSGVO oder andere geltende Datenschutzgesetze verstößt, wird Bookairy den Kunden darüber informieren, sofern dies nicht gesetzlich verboten ist.
2. Gegenstand, Dauer und Zweck
Gegenstand der Verarbeitung ist die Bereitstellung, Wartung, Sicherheit und Support der Buchungs-, Terminierungs- und Businessplattform Bookairy. Die Verarbeitung dauert für die Laufzeit der Vereinbarung und etwaige angemessene Export-, Sicherungs-, Lösch- oder gesetzliche Aufbewahrungsfristen nach Beendigung.
Der Zweck besteht darin, Online-Buchungen, Kalender, Kundenverwaltung, Personalverwaltung, Dienstleistungen, Veranstaltungen, Produkte, POS, Rechnungen, Anzahlungen, Zahlungsstatus, Benachrichtigungen, Berichte, Formulare, mehrsprachige Buchungsabläufe, Support, Sicherheit, Fehlerbehebung und damit verbundene SaaS-Funktionen bereitzustellen.
3. Kategorien personenbezogener Daten
- Namen, Adressen, E-Mail-Adressen, Telefonnummern und andere Kontaktdaten.
- Konto-, Firmen-, Mitarbeiter-, Rollen- und Berechtigungsdaten.
- Buchungs-, Kalender-, Termin-, Wartelisten-, Stornierungs-, Nichterscheinen- und Serviceverlaufsdaten.
- Kundennotizen, Präferenzen, Formularantworten, hochgeladene Dateien und Kommunikationsinhalte.
- Zahlungsstatus, Transaktionsreferenzen, Rechnungsdaten, Einzahlungsdaten und Rückerstattungs- oder Rückbuchungsinformationen.
- Gerät, Installation, Browser, App-Version, IP-Adresse, Protokoll, Nutzungs- und Sicherheitsdaten.
- Abhängig von der Konfiguration des Kunden: Gesundheits-, Behandlungs-, Wellness-, Einnahme- oder andere sensible Daten, die vom Kunden oder Endkunden eingegeben werden.
4. Kategorien betroffener Personen
- Die Klienten, Kunden, Patienten, Gäste, Teilnehmer oder sonstigen Endnutzer des Kunden.
- Mitarbeiter, Auftragnehmer, Administratoren und Benutzer des Kunden.
- Kontakte, Supportkontakte und Benutzer öffentlicher Buchungsseiten.
5. Sicherheitsmaßnahmen
Bookairy ergreift angemessene technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art der Verarbeitung, des Umfangs, des Kontexts, der Zwecke und Risiken. Zu den Maßnahmen können gehören:
- HTTPS/TLS-Verschlüsselung für Daten während der Übertragung.
- Rollenbasierte Zugriffskontrollen und Authentifizierungskontrollen.
- Eingeschränkter interner Zugriff auf Produktionsdaten.
- Protokollierung, Überwachung und Missbrauchsprävention.
- Sichere Cloud-Infrastruktur und Firestore, Speicher oder vergleichbare Sicherheitsregeln.
- Logische Trennung der Firmendaten nach Firmen- oder Mieterkennungen.
- Cloudflare oder vergleichbarer Netzwerkschutz, Firewall, Bot-Schutz und DDoS-Abwehr.
- Backups, Wiederherstellungs- oder Exportmechanismen, sofern verfügbar.
- Regelmäßige Anwendungs- und Infrastrukturaktualisierungen.
- Geheimhaltungspflichten für Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind.
6. Vertraulichkeit
Bookairy stellt sicher, dass die zur Verarbeitung personenbezogener Daten berechtigten Personen zur Verschwiegenheit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff ist auf das für Betrieb, Support, Sicherheit und Wartung erforderliche Maß beschränkt.
7. Unterauftragsverarbeiter
Der Kunde erteilt Bookairy eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Bookairy wird den Unterauftragsverarbeitern Datenschutzpflichten auferlegen, die im Wesentlichen mit dieser DPA vergleichbar sind, sofern die DSGVO dies erfordert.
| Unterauftragsverarbeiter | Zweck |
|---|---|
| Google Cloud / Firebase | Hosting, Datenbank, Authentifizierung, Cloud-Funktionen, Speicher- und Plattforminfrastruktur. |
| Wolkenflare | DNS, CDN, Sicherheit, DDoS-Schutz, Firewall-Funktionalität, Bot-Schutz, Turnstile, Netzwerkschutz und Verkehrsfilterung. |
| MailerSend | Transaktions-E-Mail und E-Mail-Benachrichtigungen. |
| Mollie | Online-Zahlungen, Einzahlungen, Zahlungsstatus, Rückerstattungen und Zahlungsabwicklung. |
| DeepL | Automatische Übersetzungen von vom Kunden eingegebenen Inhalten, wenn Übersetzungsfunktionen aktiviert sind. |
| Apfel | App Store-Verteilung, Plattformdienste und Push-Benachrichtigungsinfrastruktur, sofern zutreffend. |
| Google Play / Google | App-Verteilung, Plattformdienste und Push-Benachrichtigungsinfrastruktur, sofern zutreffend. |
| Support-, Hosting-, Überwachungs- oder Kommunikationstools | Support, betriebliche Kommunikation, Überwachung, Diagnose und Kundendienst, sofern eingesetzt. |
Bookairy kann Unterauftragsverarbeiter aktualisieren, wenn dies für die Bereitstellung, Sicherheit oder Verbesserung der Dienste erforderlich ist. Der Kunde kann aus angemessenen Gründen des Datenschutzes innerhalb von fünf (5) Werktagen nach Bekanntgabe eines wesentlichen Wechsels des Unterauftragsverarbeiters Einspruch erheben.
8. Internationale Überweisungen
Personenbezogene Daten dürfen nur dann außerhalb des Europäischen Wirtschaftsraums übermittelt werden, wenn dies gemäß der DSGVO zulässig ist. Bei Bedarf wird Bookairy geeignete Schutzmaßnahmen wie Standardvertragsklauseln, Angemessenheitsentscheidungen, Folgenabschätzungen für die Übertragung und ergänzende Maßnahmen nutzen.
9. Unterstützung des Kunden
Unter Berücksichtigung der Art der Verarbeitung und der Bookairy zur Verfügung stehenden Informationen wird Bookairy den Kunden angemessen bei Anfragen betroffener Personen, Sicherheitsverpflichtungen, Folgenabschätzungen zum Datenschutz, vorheriger Konsultation, Untersuchungen von Verstößen und Informationen unterstützen, die zum Nachweis der Einhaltung erforderlich sind. Bookairy kann angemessene Kosten für Unterstützung berechnen, die über die Standardfunktionalität der Plattform oder den normalen Support hinausgeht.
10. Datenschutzverletzungen
Bookairy wird den Kunden unverzüglich benachrichtigen, wenn Bookairy Kenntnis von einem Verstoß gegen den Schutz personenbezogener Daten erlangt, der die im Auftrag des Kunden verarbeiteten personenbezogenen Daten betrifft. Sofern verfügbar, stellt Bookairy Informationen über die Art des Verstoßes, die betroffenen Kategorien, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen bereit. Für etwaige Meldungen an Aufsichtsbehörden oder betroffene Personen bleibt der Kunde verantwortlich.
11. Audits und Compliance-Informationen
Bookairy wird die Informationen zur Verfügung stellen, die angemessenerweise erforderlich sind, um die Einhaltung dieser DPA nachzuweisen. Audits erfordern eine vorherige schriftliche Ankündigung, dürfen höchstens einmal im Kalenderjahr stattfinden, es sei denn, ein schwerwiegender Vorfall erfordert etwas anderes, müssen während der Geschäftszeiten von einem unabhängigen Experten durchgeführt werden, der zur Vertraulichkeit verpflichtet ist, und dürfen den Betrieb von Bookairy nicht unangemessen stören.
12. Rückgabe und Löschung
Nach der Kündigung wird Bookairy die im Auftrag des Kunden verarbeiteten personenbezogenen Daten löschen oder für den Export bereitstellen, es sei denn, gesetzliche Aufbewahrungspflichten erfordern eine weitere Speicherung. Backups können vorübergehend bleiben, bis sie gemäß dem regulären Backup-Zyklus überschrieben oder gelöscht werden.
13. Haftung und Vorrang
Die Haftungsbeschränkungen in den Allgemeinen Geschäftsbedingungen gelten für diese DPA, sofern nicht zwingendes Recht etwas anderes vorsieht. Sollte diese DPA im Widerspruch zu den Allgemeinen Geschäftsbedingungen für die Verarbeitung personenbezogener Daten stehen, hat diese DPA bei diesem Verarbeitungskonflikt Vorrang.