AVV

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO
(Oktober 2021)

(1) Im Rahmen der Leistungserbringung aus dem Vertrag, der insbesondere die Vermittlung und das Management von Reisemitteln im Sinne eines Geschäftsreisebüros zum Gegenstand hat („Hauptvertrag“), verarbeitet - je nachdem wer Vertragspartner des Kunden ist -

a) die Navan Germany GmbH, Schinkestraße 20, 12047 Berlin, oder

b) die Comtravo Operations GmbH, Ludwigstraße 54 - 56, 89231 Neu-Ulm in Zusammenarbeit mit der Navan Germany GmbH, Schinkestraße 20, 12047 Berlin als gemeinsame Verantwortliche (Art. 26 DSGVO)

als Auftragsverarbeiter personenbezogene Daten, für die der Kunde Verantwortlicher im Sinne des Art. 4 Ziff. 7 DSGVO ist („Daten“).

(2) Im Fall b) ergibt sich die gemeinsame Verarbeitung aus der Stellung der Navan Germany GmbH als hundertprozentiges Tochterunternehmen der Navan Germany GmbH, die von der Muttergesellschaft mit Software, Services und Finanzdienstleistungen (z. B. Factoring) unterstützt wird. Dabei bestimmen die Unternehmen die Zwecke und Mittel der Verarbeitung gemeinsam.

(3) Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung durch den Auftragsverarbeiter gemäß Art. 28 DSGVO zur Durchführung des Hauptvertrags.

1. Gegenstand und Dauer der Datenverarbeitung

1.1 Der Auftragsverarbeiter verarbeitet die Daten im Auftrag und nach Weisung des Verantwortlichen im Sinne von Art. 28 DSGVO („Auftragsverarbeitung“).

1.2 Gegenstand des Auftrags ist die Vermittlung und das Management von Reisemitteln und damit verbundene Dienstleistungen im Sinne eines Geschäftsreisebüros im Rahmen des Hauptvertrages.

1.3 Die Laufzeit und Kündigung dieser Vereinbarung richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Eine isolierte Kündigung dieser Vereinbarung ist ausgeschlossen.

2. Art, Zweck und Ort der Datenverarbeitung

2.1 Art und Zweck der Verarbeitung der Daten durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dieser umfasst folgende Tätigkeiten und Zwecke:
a) Vermittlung und Management (z. B. Umbuchung, Stornierung, Erstellung von Auswertungen) von Reisemitteln im Sinne eines Geschäftsreisebüros;
b) Ab-/Verrechnung der bezogenen Reisemittel im Sinne eines Geschäftsreisebüros;
c) Ermittlung von Rückerstattungs- bzw. Entschädigungsansprüchen (z. B. gemäß der EU-Fluggastrechteverordnung) anhand einer Auswertung der Reisedaten und Vermittlung eines spezialisierten Drittdienstleisters, der die Forderungsdurchsetzung unter Nutzung der Reisedaten im Kundenauftrag übernimmt;
d) Erteilung von Hinweisen auf erforderliche Visa anhand einer Auswertung der Reisedaten und Vermittlung eines spezialisierten Drittdienstleisters, der die Visumbeantragung und -abwicklung unter Nutzung der Reisedaten im Kundenauftrag übernimmt;
e) Sofern der Verantwortliche Vertragspartner der Circula GmbH, Schönhauser Allee 148, 10435 Berlin („Circula“) ist und den Auftragsverarbeiter mit dem Datenaustausch mit Circula beauftragt, überlässt der Auftragsverarbeiter nachfolgende Daten an Circula: E-Mail-Adresse des Reisenden sowie Reisedaten (u. a. Informationen zur Übernachtung oder zum Reisemittel nebst der jeweiligen Kosten), um eine Reisekostenabrechnung durch Circula im Auftrag des Verantwortlichen zu ermöglichen.

2.2 Die Verarbeitung der Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verarbeitung in einem Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

3. Kategorien betroffener Personen

Die Kategorien der durch den Umgang mit den Daten im Rahmen dieser Vereinbarung betroffenen Personen umfasst:
a) Mitarbeiter (z. B. Angestellte, Auszubildende, Leiharbeiter, freie Mitarbeiter);
b) Sonstige Personen, die im Auftrag oder durch den Verantwortlichen vermittelt reisen.

4. Art der personenbezogenen Daten

Von der Auftragsverarbeitung sind folgende Datenarten betroffen:
a) Stammdaten (z. B. Name, Titel/akademischer Grad, Geburtsdatum, Sprache, Nationalität);
b) Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer, Anschrift);
c) Kommunikationsdaten (z. B. Kommunikationsinhalte und -metadaten der E-Mails);
d) Reisedaten (z. B. Datum, Uhrzeit, gewählte Reisemittel, Flugnummer, Passnummer);
e) Abrechnungsdaten (z. B. Rechnungsdetails, Bankverbindung, Kreditkarteninformationen, Zahlungsinformationen);
f) Daten zum Arbeitsverhältnis (z. B. der Reisende ist Arbeitnehmer des Verantwortlichen);
g) Daten zu Reisepräferenzen (z. B. Preisspanne, bevorzuge Airlines, ruhiges Zimmer, Treuebonussysteme wie z. B. Miles&More);
h) Daten zu Rückerstattungs- bzw. Entschädigungsansprüchen (z. B. Höhe der Fluggastentschädigung, Betroffener, Mitreisende).

5. Rechte und Pflichten des Verantwortlichen

5.1 Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der Betroffenen verantwortlich.
5.2 Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind auf Verlangen des Verantwortlichen unverzüglich vom Auftragsverarbeiter schriftlich oder in Textform (z .B. per E-Mail) zu bestätigen.
5.3 Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung von Daten durch den Auftragsverarbeiter festgestellt werden.

6. Pflichten des Auftragsverarbeiters

6.1 Der Auftragsverarbeiter wird die Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen verarbeiten. Der Auftragsverarbeiter stellt dies durch geeignete Kontrollen sicher.
6.2 Der Auftragsverarbeiter wird den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen (Kapitel III der DSGVO), insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen.
6.3 Soweit sich nichts anderes aus den geltenden Gesetzen ergibt, hat der Auftragsverarbeiter auf Weisung des Verantwortlichen die Daten zu berichtigen, zu löschen oder die Verarbeitung einzuschränken.
6.4 Soweit sich eine betroffene Person unmittelbar an den Auftragsverarbeiter zur Ausübung seiner Betroffenenrechte wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich nach Erhalt an den Verantwortlichen weiterleiten.
6.5. Der Auftragsverarbeiter bestätigt, dass er einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter des Auftragsverarbeiters ist derzeit:

Widegreen & Data GmbH, vertreten durch den GF Hans-Chr. Widegreen, Wrangelstraße 5, 10997 Berlin,
E-Mail: hcw@anddata.de.

6.6 Für den Fall, dass der Auftragsverarbeiter feststellt oder Tatsachen die Annahme begründen, dass von ihm für den Verantwortlichen verarbeiteten Daten einer Verletzung des gesetzlichen Schutzes personenbezogener Daten gem. Art. 33 DSGVO (Datenschutzverstoß bzw. Datenpanne) unterliegen, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich und vollständig unter Berücksichtigung der gesetzlichen Vorgaben zu informieren.
6.7 Der Auftragsverarbeiter verpflichtet die mit der Verarbeitung von Daten beschäftigten Personen schriftlich zur Vertraulichkeit.
6.8 Der Auftragsverarbeiter wird den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen.
6.9 Nach Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle im Auftrag verarbeiteten Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern der Löschung dieser Daten keine gesetzlichen Aufbewahrungspflichten des Auftragsverarbeiters entgegenstehen. Die datenschutzgerechte Löschung ist auf Verlangen zu dokumentieren und gegenüber dem Verantwortlichen auf Anforderung zu bestätigen.

7. Kontrollrechte des Verantwortlichen

7.1 Der Verantwortliche ist berechtigt, nach rechtzeitiger vorheriger Anmeldung, zu den üblichen Geschäftszeiten, ohne Störung des Geschäftsbetriebes des Auftragsverarbeiters oder Gefährdung der Sicherheitsmaßnahmen für andere Verantwortliche und auf eigene Kosten, die Einhaltung der Vorschriften über den Datenschutz und dieser Vereinbarung im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren.
7.2 Der Auftragsverarbeiter gewährt dem Verantwortlichen die zur Durchführung der Kontrollen erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. Die Geltendmachung der genannten Rechte durch den Verantwortlichen ist durch diesen rechtzeitig vorher anzumelden. 
7.3 Nach Wahl der Parteien kann der Nachweis anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichts-Auszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter/-auditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits („Prüfbericht“) erbracht werden, wenn der Prüfbericht es dem Verantwortlichen in angemessener Weise ermöglicht, sich von der Einhaltung der Vorschriften über den Datenschutz und dieser Vereinbarung zu überzeugen.

8. Unterauftragsverhältnisse

8.1 Der Verantwortliche ermächtigt den Auftragsverarbeiter, weitere Auftragsverarbeiter (Unterauftragnehmer) gemäß den nachfolgenden Absätzen in Anspruch zu nehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO dar.
8.2 Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den in Anlage 1 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.
8.3 Der Auftragsverarbeiter ist berechtigt, weitere Unterauftragnehmer zu beauftragen oder bereits beauftragte Unterauftragnehmer zu ersetzen. Der Auftragsverarbeiter wird den Verantwortlichen im Vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Unterauftragnehmers informieren. Der Verantwortliche kann gegen eine beabsichtigte Änderung Einspruch erheben.
8.4 Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von zwei (2) Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Falle des Einspruchs bemüht sich der Auftragsverarbeiter eine alternative Lösung vorzuschlagen. Davon unabhängig können im Fall des Einspruchs der Verantwortliche und der Auftragsverarbeiter diese Vereinbarung sowie den Hauptvertrag mit einer Frist von einem (1) Monat zum Monatsende kündigen.
8.5 Bei Einschaltung eines Unterauftragnehmers muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten Unterauftragnehmer verantwortlich.

9. Technische und organisatorische Maßnahmen

9.1 Der Auftragsverarbeiter hat vor Beginn der Verarbeitung der Daten die in Anlage 2 genannten technischen und organisatorischen Maßnahmen zu implementieren und während des Vertragsverhältnisses aufrechtzuerhalten.
9.2 Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragsverarbeiter gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten oder ausgebaut wird. Der Auftragsverarbeiter wird solche Änderungen dokumentieren und dem Verantwortlichen auf Anforderung zur Verfügungstellen.

10. Haftung und Freistellung

Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Eine Ersatzpflicht des Auftragsverarbeiters besteht nicht, sofern der Auftragsverarbeiter nachweist, dass er die ihm überlassenen Daten des Verantwortlichen ausschließlich nach den Weisungen des Verantwortlichen verarbeitet und seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nachgekommen ist.

11. Schlussbestimmungen

11.1 Im Falle von Widersprüchen zwischen den Bestimmungen dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.
11.2 Änderungen, Ergänzungen und die Aufhebung dieser Vereinbarung und aller seiner Bestandteile bedürfen der Textform. Gleiches gilt für eine Änderung oder Aufhebung des Textformerfordernisses. Mündliche Nebenabreden bestehen nicht und sich auch für künftige Änderungen dieser Vereinbarung ausgeschlossen.
11.3 Diese Vereinbarung unterliegt deutschem Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.
11.4 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Bestimmung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

Anlagen

Anlage 1: Unterauftragnehmer
Anlage 2: Technische und organisatorische Maßnahmen gemäß Ziffer 9 der Vereinbarung zur Auftragsverarbeitung



Annex 1: Unterauftragsverhältnisse

Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Kunde einverstanden erklärt.


Google

● Name/Company: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043,
● Location: USA
● Contact in Germany: Google Germany GmbH, ABC-Straße 19, 20354 Hamburg, 040-808179000 www.google.de
● Product/Operation: Google Workspace, Cloud Infrastructure
● Categories of data concerned: Master data, contact data, communication data, travel data, employment data, billing data, travel preference data, data on compensation claims
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: ISO certification (ISO 27001, 27017, 27018)


Zendesk

● Name/Company: Zendesk, Inc., 1019 Market Street, San Francisco, CA 94103, USA
● Location: USA
● Contact in Germany: Zendesk GmbH, Neue Schönhauser Str. 3-5, 10178 Berlin, 030-30808524, www.zendesk.de
● Product/Operation: Zendesk Support
● Categories of data concerned: Master data, contact data, communication data, travel data, employment data
● Categories of data subjects: Customers, end users of the customer (e.g,. employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: Binding Corporate Rules (Processor Policy)


AWS

● Name/Company: Amazon Web Services Inc., 410 Terry Avenue North, Seattle, WA 98109, USA
● Location: USA
● Contact in Germany: -
● Product/Operation: System & Web Hosting, Cloud Infrastructure
● Categories of data concerned: Master data, contact data, communication data, travel data, employment data, billing data, travel preference data, data on compensation claims
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: ISO certification (ISO 27001, 27017, 27018); reports on system organisation and control; auditing by external auditors; server locations within the EU (Frankfurt a.M. and Ireland)

Salesforce

● Name/Company: salesforce.com Inc., Salesforce Tower, 415 Mission Street, San Francisco, CA 94105, USA
● Location: USA
● Contact in Germany: Salesforce.com Germany GmbH Erika-Mann-­Str. 31, 80636 München, 0800-1822338, www.salesforce.de
● Product/Operation: Salesforce CRM
● Categories of data concerned: Master data, contact data, communication data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: Binding Corporate Rules (Data Protection)


AirHelp

● Name/Company: AirHelp Germany GmbH, Boxhagener Str. 18, 10245 Berlin, Germany
● Location: Germany
● Contact in Germany: (see above)
● Product/Operation: Determination and enforcement of passenger compensation claims
● Categories of data concerned: Master data, contact data, communication data, travel data, employment data, data on compensation claims
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Data Protection Agreement
● Measures for comp. level of protection: -


refundrebel

● Name/Company: refundrebel GmbH, Pettenkoferstr. 9, 67063 Ludwigshafen am Rhein, Germany
● Location: Germany
● Contact in Germany: (see above)
● Product/Operation: Determination and enforcement of compensation claims from train delays and cancellations
● Categories of data concerned: Master data, contact data, communication data, travel data, employment data, data on compensation claims
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Data Protection Agreement
● Measures for comp. level of protection: -

HubSpot

● Name/Company: HubSpot, Inc., 25 First Street, , Cambridge, MA 02141, USA
● Location: USA
● Contact in Germany: HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin
● Product/Operation: Customer Relationship Management, Communication
● Categories of data concerned: contact data, communication data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: Binding Corporate Rules, Data Center (ISO 27001 certificate)

Fullstory

● Name/Company: FullStory, Inc., 1745 Peachtree St. NE, Atlanta, GA 30309, USA
● Location: USA
● Contact in Germany: -
● Product/Operation: Usage analysis within “MyComtravo”
● Categories of data concerned: Master data, contact data, communication data, travel data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: Data Center (ISO 27001 certificate), Sub-Processor-Management

Delighted

● Name/Company: Delighted LLC, 333 W. River Park Drive, Provo, UT 84604, USA
● Location: USA
● Contact in Germany: -
● Product/Operation: Customer communication, surveys
● Categories of data concerned: contact data, communication data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: Data Center (ISO 27001 certificate); PEN-Testing; encryption of the data stock; Security Policy; Security Training

Vonage

● Name/Company: Vonage Limited, 25 Canada Square Level 37, London E14 5LQ, UK
● Location: UK
● Contact in Germany: -
● Product/Operation: Cloud Communication, VoIP Service, ContactWorld
● Categories of data concerned: Contact details, communication data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Standard contractual clause and case-by-case assessment with regard to a level of protection comparable to the EU
● Measures for comp. level of protection: ISO 27001:2013 certification; PEN-Testing; Change Management Policy; Auditing (Security); Security Awareness Training; Corporate Risk Management

Stripe

● Name/Company: Stripe Payments Europe Ltd, The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland
● Location: Ireland
● Contact in Germany: -
● Product/Operation: Payment Processor
● Categories of data concerned: User identifiers, purchase data
● Categories of data subjects: Customers, end users of the customer
● Protection: Data Protection Agreement
● Measures for comp. level of protection: -

LCR/LCC

● Name/Company: Lufthansa City Center Reisebüropartner GmbH, Lyoner Straße 36, 60528 Frankfurt / Main,
● Location: Germany
● Contact in Germany: (see above)
● Product/Operation: Provision of technologies and framework agreements to booking providers and service providers
● Categories of data concerned: Master data, contact data, communication data, travel data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Data Protection Agreement
● Measures for comp. level of protection: -

A3M

● Name/Company: A3M personal Mobile Protection GmbH, Hintere Grabenstraße 26, 72070 Tübingen, Germany
● Location: Germany
● Contact in Germany: (see above)
● Product/Operation: Travel Alert and Travel Security Provide, sublicensed through LCR
● Categories of data concerned: Master data, contact data, communication data, travel data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Data Protection Agreement through LCR
● Measures for comp. level of protection: -

AERTicket

● Name/Company: AERTicket Conso GmbH, Boppstr. 10, 10967 Berlin, Germany
● Location: Germany
● Contact in Germany: (see above)
● Product/Operation: Airline Ticket Wholesale
● Categories of data concerned: Master data, contact data, communication data, travel data
● Categories of data subjects: Customers, end users of the customer (e.g., employees)
● Protection: Data Protection Agreement
● Measures for comp. level of protection: -

The below suppliers and intermediaries receive data from the Processor in the course of the Order Processing. During the booking confirmation the Controller agrees that the Processor forwards the required information to these suppliers and enters into an agreement with the respective supplier or intermediary. As such, Comtravo and its affiliates are not the processor in such cases. For the sake of transparency, we list these partners here.

Sabre

● Name/Company: Sabre GLBL Inc, 3150 Sabre Drive, Southlake, TX 76092 USA
● Location: USA
● Product/Operation: GDS

Amadeus

● Name/Company: Amadeus IT Group S.A., C/Salvador de Madariaga 1, 28027 Madrid, Spain
● Location: Spain
● Product/Operation: GDS

HitchHiker

● Name/Company: HitchHiker GmbH, Berner Straße 81, 60437 Frankfurt a.M., Germany
● Location: Germany
● Product/Operation: Ticketing API

Booking.com

● Name/Company: Booking.com, Herengracht 597, 1017 CE Amsterdam, Netherlands
● Location: The Netherlands
● Contact in Germany: Hotel Broker

HRS

● Name/Company: HRS Hotel Reservation Service, Breslauer Platz 4, 50668 Köln, Germany
● Location: Germany
● Contact in Germany: Hotel Broker

Deutsche Bahn

● Name/Company: DB Vertrieb GmbH, Europa-Allee 78-84, 60486 Frankfurt a.M, Germany
● Location: Germany
● Contact in Germany: DB Internet Booking Engine



Annex 2: Technische und organisatorische Maßnahmen gemäß Ziffer 9 der Vereinbarung zur Auftragsverarbeitung

Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:

1. Maßnahmen zur Sicherung der Vertraulichkeit
1.1. Zutrittskontrolle: Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.
- Ausweisleser, kontrollierte Schlüsselvergabe, Chipkarte;
- Türsicherung (elektronischer Türöffner etc.);
- Überwachungseinrichtung (Alarmanlagen, Video);
- zentraler, tagsüber besetzter Empfang.

1.2. Zugangskontrolle: Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.
- Kennwortverfahren (mind. 8-stellige Passwörter, Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts);
Automatische Sperrung (nach 5 Minuten Inaktivität);
- Begrenzung der Zahl der berechtigten Mitarbeiter;
- Access-Listen;
- Verschlüsselung von Datenträgern, sofern benutzt.

1.3. Zugriffskontrolle: Maßnahmen, die gewährleisten, dass Berechtigte ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Berechtigungskonzepte (Profile, Rollen etc.) und deren Dokumentation;
- Auswertung/Protokollierungen.

1.4. Trennungsgebot: Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
- Berechtigungskonzepte;
- Softwareseitige Kundentrennung;
- Trennung von Test- und Produktivsystemen.

1.5. Pseudonymisierung: Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.
- Für die Hauptdienstleistung ist dies nicht möglich und nicht im Kundeninteresse, da Buchungsanfragen Buchenden/Personen individuell beantwortet werden.
- Für allgemeine Analysen anonymisieren wir sämtliche Daten.
- Bei der Auswertung personenbezogener Anfragen/Angebote arbeiten wir mit Pseudonymisierung, wobei hier außer dem Geschlecht und Alter keine weiteren personenbezogenen Daten genutzt werden.

2. Maßnahmen zur Sicherung der Integrität
2.1. Weitergabekontrolle: Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen, mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.
- Elektronische Signatur;
- Protokollierung;
- Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN);
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen.

2.2 Eingabekontrolle: Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.
- Protokollierung sämtlicher Systemaktivitäten;
- Systeme zur Protokollauswertung.

3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle: Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
- Datensicherungsverfahren;
- Regelmäßige Tests der Datenwiederherstellung.

3.2. Schnelle Wiederherstellbarkeit: Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall schnell  wiederherzustellen.
- Datensicherungsverfahren (Backups).

4.   Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung
Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.
- Regelmäßige Datenschutzauditierung;
- 4-Augen-Prinzip bei dateninternsiver Verarbeitung;
- Formalisierte Prozesse für das Management von Datenschutzvorfälle.