Vereinbarung zur Auftragsverarbeitung (AVV)

Zuletzt aktualisiert: 9. Februar 2026

VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG (AVV)

TripProf

Zuletzt aktualisiert: 7. Februar 2026

Diese Vereinbarung zur Auftragsverarbeitung ("Vereinbarung" oder "AVV") ist integraler Bestandteil der Nutzungsbedingungen und regelt die Verarbeitung personenbezogener Daten durch TripProf im Zusammenhang mit der Erbringung der Dienste.

Diese AVV wird geschlossen zwischen:

  • TripProf ("Auftragsverarbeiter" oder "Dienstleister"), und

  • der die Dienste nutzenden juristischen oder natürlichen Person ("Verantwortlicher" oder "Kunde").

1. Definitionen

Großgeschriebene Begriffe, die hierin nicht definiert sind, haben die Bedeutung, die ihnen zugewiesen ist in:

  • Verordnung (EU) 2016/679 (DSGVO),

  • UK DSGVO,

  • Nutzungsbedingungen von TripProf.

Für die Zwecke dieser AVV:

  • "Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

  • "Verarbeitung" bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird.

  • "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von TripProf mit der Verarbeitung personenbezogener Daten beauftragt wird.

2. Rollen der Parteien

  • Der Kunde handelt als Verantwortlicher.

  • TripProf handelt als Auftragsverarbeiter, wenn personenbezogene Daten im Auftrag des Kunden verarbeitet werden.

  • Für bestimmte eingeschränkte Verarbeitungstätigkeiten (z.B. Kontoverwaltung, Sicherheit, Analysen) kann TripProf als eigenständiger Verantwortlicher handeln, wie in der Datenschutzerklärung beschrieben.

3. Umfang und Zweck der Verarbeitung

TripProf verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung, Aufrechterhaltung und Verbesserung der Dienste, einschließlich:

  • Benutzerkontenverwaltung,

  • Reiseplanung und Berichtserstellung,

  • Speicherung vom Nutzer bereitgestellter Reisedaten und -inhalte,

  • Analysen, Überwachung und Sicherheit,

  • Kundensupport.

TripProf verarbeitet personenbezogene Daten nicht für andere als die in dieser Vereinbarung genannten Zwecke, es sei denn, dies ist gesetzlich vorgeschrieben.

4. Kategorien betroffener Personen und personenbezogener Daten

4.1 Betroffene Personen

  • Endnutzer der TripProf-Dienste,

  • von Nutzern hinzugefügte Reiseteilnehmer.

4.2 Kategorien personenbezogener Daten

Können je nach Nutzung umfassen:

  • Identifikations- und Kontaktdaten,

  • Reisepräferenzen und Reisepläne,

  • Optionale Ernährungs-, Barrierefreiheits- oder religiöse Präferenzen,

  • Hochgeladene Inhalte (Fotos, Notizen, Dokumente),

  • Technische und Nutzungsdaten.

TripProf verarbeitet nicht absichtlich besondere Kategorien von Daten, es sei denn, diese werden vom Nutzer freiwillig zu Personalisierungszwecken bereitgestellt.

5. Pflichten des Kunden

Der Kunde versichert und gewährleistet, dass:

  • er über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügt,

  • er alle erforderlichen Hinweise bereitgestellt und die erforderlichen Einwilligungen eingeholt hat,

  • seine Weisungen den geltenden Datenschutzgesetzen entsprechen.

Der Kunde bleibt allein verantwortlich für die Rechtmäßigkeit der über die Dienste verarbeiteten personenbezogenen Daten.

6. Pflichten des Auftragsverarbeiters

TripProf wird:

  • personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten,

  • sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind,

  • geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen,

  • den Kunden bei der Beantwortung von Anfragen betroffener Personen unterstützen,

  • bei Datenschutz-Folgenabschätzungen und behördlichen Anfragen unterstützen, soweit erforderlich.

7. Sicherheitsmaßnahmen

TripProf setzt dem Risiko angemessene Maßnahmen um, einschließlich, aber nicht beschränkt auf:

  • Zugangskontroll- und Authentifizierungsmechanismen,

  • Verschlüsselung bei der Übertragung und im Ruhezustand, soweit angemessen,

  • Protokollierung und Überwachung,

  • Verfahren zur Reaktion auf Vorfälle.

TripProf garantiert keine absolute Sicherheit, verpflichtet sich jedoch zu branchenüblichen Schutzmaßnahmen.

8. Unterauftragsverarbeitung

Der Kunde erteilt eine allgemeine Genehmigung für TripProf, Unterauftragsverarbeiter für die Erbringung der Dienste einzusetzen.

TripProf kann Unterauftragsverarbeiter beauftragen, um Infrastruktur, zahlungsbezogene Dienste, Analysen, Überwachung, Authentifizierung, Messaging, Anwendungsbereitstellung und KI-gestützte Funktionalitäten bereitzustellen.

Solche Unterauftragsverarbeiter können sich innerhalb der Europäischen Union oder in Drittländern befinden, einschließlich den Vereinigten Staaten.

Wenn Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums ansässig sind und die betreffende Rechtsordnung kein angemessenes Datenschutzniveau bietet, stellt TripProf sicher, dass geeignete Schutzmaßnahmen vorhanden sind, einschließlich der Verwendung von Standardvertragsklauseln (SVK) oder anderer rechtmäßiger Übermittlungsmechanismen in Übereinstimmung mit den geltenden Datenschutzgesetzen.

TripProf wird:

  • den Unterauftragsverarbeitern Datenschutzverpflichtungen auferlegen, die nicht weniger schützend sind als die in dieser AVV festgelegten;

  • für die Erfüllung der Datenschutzverpflichtungen durch die Unterauftragsverarbeiter voll verantwortlich bleiben;

  • eine aktuelle Liste der Unterauftragsverarbeiter führen und diese dem Kunden auf Anfrage oder über einen öffentlich zugänglichen Ort zur Verfügung stellen;

  • den Kunden über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern informieren, soweit dies nach geltendem Recht erforderlich ist.

Bestimmte an der Zahlungsabwicklung beteiligte Dienstleister handeln als eigenständige Verantwortliche für die über ihre Plattformen verarbeiteten Zahlungskartendaten. In solchen Fällen fungiert TripProf lediglich als Vermittler für begrenzte transaktionsbezogene Metadaten, und es gelten die eigene Datenschutzrichtlinie und die Verantwortlichkeitspflichten des jeweiligen Anbieters.

9. Internationale Datenübermittlungen

Wenn personenbezogene Daten außerhalb der Europäischen Union oder des Vereinigten Königreichs in ein Land übermittelt werden, das nach geltendem Recht kein angemessenes Datenschutzniveau bietet, stellt TripProf sicher, dass solche Übermittlungen geeigneten Schutzmaßnahmen unterliegen.

Solche Schutzmaßnahmen können je nach Einzelfall umfassen:

  • die von der Europäischen Kommission genehmigten Standardvertragsklauseln;

  • den UK International Data Transfer Addendum oder andere vom Vereinigten Königreich genehmigte Übermittlungsmechanismen;

  • andere rechtmäßige Übermittlungsmechanismen, die nach den geltenden Datenschutzgesetzen anerkannt sind.

TripProf wird die Umstände der Übermittlung bewerten und, soweit erforderlich, ergänzende technische und organisatorische Maßnahmen umsetzen, um ein Schutzniveau zu gewährleisten, das im Wesentlichen dem innerhalb der EU und des Vereinigten Königreichs garantierten entspricht.

Details zu den Standorten der Unterauftragsverarbeiter und den geltenden Übermittlungsmechanismen werden dokumentiert und dem Kunden auf Anfrage oder über einen separaten Anhang oder eine öffentlich zugängliche Unterauftragsverarbeiterliste zur Verfügung gestellt.

10. Rechte betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung unterstützt TripProf den Kunden durch:

  • Umsetzung technischer und organisatorischer Maßnahmen,

  • Beantwortung von Anfragen auf Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit oder Widerspruch.

11. Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird TripProf:

  • den Kunden unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Kenntniserlangung der Verletzung benachrichtigen, damit der Verantwortliche die 72-Stunden-Meldefrist bei der Aufsichtsbehörde gemäß Art. 33 DSGVO einhalten kann,

  • die für die Einhaltung gesetzlicher Verpflichtungen vernünftigerweise erforderlichen Informationen bereitstellen.

12. Datenspeicherung und Löschung

Bei Beendigung der Dienste:

  • werden personenbezogene Daten innerhalb von 24 Stunden nach Kontolöschung aus aktiven Systemen gelöscht,

  • automatisierte verschlüsselte Backups werden gemäß den Standard-Infrastruktur-Aufbewahrungszyklen (bis zu 7 Tage) bereinigt,

  • es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

Die Löschung kann vom Nutzer innerhalb der 24-Stunden-Frist rückgängig gemacht werden.

13. Audits

TripProf stellt die vernünftigerweise erforderlichen Informationen zur Verfügung, um die Einhaltung dieser AVV nachzuweisen.

Audits:

  • müssen angemessen sein,

  • im Umfang beschränkt sein,

  • Vertraulichkeits- und Sicherheitsverpflichtungen unterliegen.

14. Haftung

Die Haftung jeder Partei im Rahmen dieser AVV unterliegt den Haftungsbeschränkungen der Nutzungsbedingungen.

Nichts in dieser AVV erhöht die Haftung von TripProf über das hinaus, was nach geltendem Recht erforderlich ist.

15. CCPA / CPRA Konformität

Für die Zwecke des CCPA/CPRA:

  • handelt TripProf als Dienstleister,

  • verkauft oder teilt keine personenbezogenen Daten,

  • verarbeitet Daten ausschließlich zu geschäftlichen Zwecken.

16. Anwendbares Recht

Diese AVV unterliegt dem gleichen Recht und Gerichtsstand wie die Nutzungsbedingungen, sofern nicht zwingendes Datenschutzrecht etwas anderes vorsieht.

17. Rangordnung

Im Falle eines Widerspruchs gilt die allgemeine Rangordnung innerhalb des rechtlichen Rahmens von TripProf:

  1. Nutzungsbedingungen

  2. EULA

  3. Datenschutzerklärung

  4. AVV

  5. Sonstige Richtlinien

Für Angelegenheiten, die sich speziell auf den Schutz personenbezogener Daten beziehen, hat diese AVV Vorrang vor den Nutzungsbedingungen, der EULA und anderen nicht datenschutzbezogenen Richtlinien.

18. Kontakt

Für Datenschutzangelegenheiten:
[email protected]

Version 1 · DE