📌 Rechtliche Vorrangstellung: Dieses Dokument ist eine kostenlose Übersetzung des italienischen Originals. Bei Diskrepanzen zwischen dieser Übersetzung und der italienischen Version
ist die italienische Version maßgebend. Italienisches Original hier verfügbar:
https://vezpa.it/dpa/.
📌 Zweck dieses Dokuments: Der vorliegende Auftragsverarbeitungsvertrag (
AVV/DPA) regelt die Verarbeitung der personenbezogenen Daten der
Gaeste der Beherbergungsbetriebe, die die Vezpa-Plattform nutzen. Der Betrieb (
Verantwortlicher) betraut Vezpa (
Auftragsverarbeiter) mit der Verarbeitung dieser Daten. Der AVV ist integraler Bestandteil der
Nutzungsbedingungen und wird bei der Registrierung des Betriebs zusammen mit diesen akzeptiert.
Geltungsbereich: Dieser AVV gilt jedes Mal, wenn der Betrieb Vezpa zur Verarbeitung von personenbezogenen Daten von anderen Personen als dem Betrieb selbst nutzt (typischerweise: Gaeste, deren Begleiter, Buchungskontakte).
Er gilt nicht fuer die Verarbeitung der Daten der gewerblichen Nutzer des Betriebs, fuer die Vezpa als eigenstaendiger Verantwortlicher agiert (siehe
Datenschutzerklaerung).
1. Parteien
| Verantwortlicher ("Verantwortlicher") |
Der Beherbergungsbetrieb, der das Vezpa-Abonnement abschliesst, wie in seinem Account identifiziert (Firmenname, USt-IdNr., Sitz, gesetzlicher Vertreter). |
| Auftragsverarbeiter ("Auftragsverarbeiter" / "Vezpa") |
Vezpa di Paolo Vezzola, USt-IdNr. 04449070988, mit Sitz in via San Zeno 67, 25015 Desenzano del Garda (BS), Italien. PEC: [email protected] · E-Mail: [email protected] |
2. Gegenstand und Dauer (Art. 28 Abs. 3 DSGVO)
Der Verantwortliche beauftragt den Auftragsverarbeiter, personenbezogene Daten in seinem Auftrag mittels der Vezpa-Plattform zu verarbeiten. Die Verarbeitung hat die Dauer des Abonnementvertrags zwischen den Parteien und endet mit dessen Aufloesung, vorbehaltlich der Bestimmungen in §14.
3. Art, Zwecke und Kategorien der verarbeiteten Daten
3.1 Zwecke
- Verwaltung von Buchungen, Aufenthalten und Check-in/Check-out
- Erfuellung der gesetzlichen Pflichten des Verantwortlichen gegenueber den Behoerden (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Uebermittlung der Buchungsdaten an die vom Betrieb aktivierten OTA-Kanaele und Channel Manager
- Versand von Mitteilungen an den Gast (Bestaetigungen, Pre-Check-in, Zahlungen)
- Verarbeitung von Zahlungen ueber Booking Engine oder Stripe-Link
- Erstellung von Berichten und Statistiken fuer den Verantwortlichen
3.2 Kategorien von Betroffenen
- Gaeste der Beherbergungsbetriebe und deren Begleiter
- Personen, die im Namen anderer buchen
- Notfallkontakte, die gegebenenfalls vom Gast angegeben werden
3.3 Kategorien der verarbeiteten personenbezogenen Daten
- Identifikations- und Stammdaten (Vorname, Nachname, Geburtsdatum und -ort, Staatsangehoerigkeit, Geschlecht)
- Ausweisdokumente (Art, Nummer, Ausstellungsdatum, ausstellende Behoerde, gescanntes oder fotografiertes Bild)
- Aus dem Dokument per automatischem OCR extrahierte Textdaten
- Kontaktdaten (E-Mail, Telefon, Adresse)
- Buchungs- und Aufenthaltsdaten
- Zahlungsdaten (verwaltet von Stripe, nicht auf Vezpa gespeichert)
⚠️ Besondere Kategorien (Art. 9 DSGVO): Das Ausweisdokument kann besondere Daten enthalten (z. B. Geburtsort). Der Verantwortliche erklaert, eine geeignete Rechtsgrundlage gemaess Art. 9 Abs. 2 DSGVO zu haben (typischerweise lit. b, f oder g) und weist den Auftragsverarbeiter an, die Verarbeitung dieser Daten auf die gesetzlich erforderlichen Mitteilungen an Behoerden und die Aufbewahrung innerhalb der vorgesehenen Fristen zu beschraenken.
4. Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschliesslich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Die allgemeinen Weisungen sind im vorliegenden AVV, in der Datenschutzerklaerung, in der DSGVO-Information und in den Nutzungsbedingungen enthalten. Spezifische Weisungen koennen vom Verantwortlichen erteilt werden durch:
- Konfigurationen im eigenen Account (Aktivierung/Deaktivierung von Behoerden-Konnektoren, OTA, Retention)
- Schriftliche Mitteilung an [email protected] oder per PEC an [email protected]
Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen die DSGVO oder andere anwendbare Vorschriften verstoesst, informiert er den Verantwortlichen unverzueglich.
5. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 lit. b-h DSGVO)
Der Auftragsverarbeiter verpflichtet sich zu:
- Vertraulichkeit: Die Daten vertraulich zu behandeln und sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind;
- Sicherheit: Die in Anhang B genannten technischen und organisatorischen Massnahmen zu ergreifen, die dem Risiko angemessen sind;
- Unterauftragsverarbeiter: Die Bedingungen in §6 einzuhalten;
- Unterstuetzung des Verantwortlichen: Den Verantwortlichen bei der Erfuellung seiner Pflichten zu unterstuetzen, insbesondere:
- Beantwortung der Anfragen der Betroffenen (Art. 15-22 DSGVO) innerhalb von Fristen, die es dem Verantwortlichen ermoeglichen, innerhalb der gesetzlichen 30 Tage zu antworten;
- Meldung von Data Breaches an den Verantwortlichen innerhalb von 24 Stunden nach Entdeckung (§7);
- Unterstuetzung bei DSFA (Art. 35) und vorherigen Konsultationen (Art. 36);
- Nachweis der Konformitaet durch Dokumentation und, auf Anfrage, durch Audit (§9).
- Rueckgabe / Loeschung der Daten am Ende, wie in §14 vorgesehen;
- Information: Dem Verantwortlichen alle Informationen zur Verfuegung zu stellen, die erforderlich sind, um die Konformitaet mit dem vorliegenden AVV nachzuweisen.
6. Unterauftragsverarbeiter (Art. 28 Abs. 2 und Abs. 4 DSGVO)
6.1 Allgemeine Genehmigung
Der Verantwortliche ermaechtigt den Auftragsverarbeiter, die unter vezpa.it/subprocessors aufgefuehrten Unterauftragsverarbeiter sowie diejenigen, die nachfolgend nach dem hier beschriebenen Verfahren hinzugefuegt werden, zu beauftragen.
6.2 Vorankuendigung von Aenderungen
Der Auftragsverarbeiter teilt dem Verantwortlichen die Absicht mit, einen Unterauftragsverarbeiter hinzuzufuegen oder zu ersetzen, mit einer Vorankuendigung von mindestens 30 Tagen, per E-Mail an die registrierte Adresse und/oder Mitteilung im Dashboard. Innerhalb dieser Frist kann der Verantwortliche begruendeten Widerspruch einlegen. Im Falle eines nicht loesbaren Widerspruchs kann jede Partei vom Vertrag mit Einstellung der betreffenden Verarbeitung zuruecktreten.
6.3 Pflichten gegenueber den Unterauftragsverarbeitern
Der Auftragsverarbeiter erlegt den Unterauftragsverarbeitern schriftlich Datenschutzpflichten auf, die denen des vorliegenden Vertrags entsprechen, und haftet gegenueber dem Verantwortlichen fuer die Leistung der Unterauftragsverarbeiter.
7. Data Breach (Art. 33 DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die im Auftrag des Verantwortlichen verarbeitete Daten betrifft, wird der Auftragsverarbeiter:
- Den Verantwortlichen ohne ungerechtfertigte Verzoegerung und auf jeden Fall innerhalb von 24 Stunden ab Entdeckung benachrichtigen;
- Die Informationen gemaess Art. 33 Abs. 3 DSGVO bereitstellen (Art, Kategorien und ungefaehre Anzahl der Betroffenen und der Daten, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Massnahmen);
- Mit dem Verantwortlichen bei der Mitteilung an die Betroffenen und an die Aufsichtsbehoerde zusammenarbeiten;
- Den Vorfall und die ergriffenen Massnahmen dokumentieren.
Die Meldung an den Verantwortlichen erfolgt per E-Mail an die registrierte Adresse und per PEC, sofern verfuegbar. Der Verantwortliche bleibt fuer die externen Meldungen (Datenschutzbehoerde, Betroffene) gemaess Art. 33-34 DSGVO verantwortlich.
8. Rechte der Betroffenen (Art. 28 Abs. 3 lit. e DSGVO)
Wenn sich eine betroffene Person direkt an den Auftragsverarbeiter wendet, um Rechte in Bezug auf im Auftrag des Verantwortlichen verarbeitete Daten auszuueben, leitet der Auftragsverarbeiter die Anfrage unverzueglich an den Verantwortlichen weiter und antwortet nicht im Namen des Verantwortlichen, sofern keine anderslautenden Weisungen vorliegen.
Der Auftragsverarbeiter stellt dem Verantwortlichen im Dashboard und ueber API Funktionen zur Verfuegung fuer:
- Export der Daten einer betroffenen Person (Auskunft und Datenuebertragbarkeit)
- Berichtigung
- Loeschung oder Anonymisierung
- Einschraenkung der Verarbeitung
Bei Anfragen, die einen manuellen technischen Eingriff erfordern, antwortet der Auftragsverarbeiter innerhalb von 10 Arbeitstagen nach Erhalt der Weisung des Verantwortlichen.
9. Audit (Art. 28 Abs. 3 lit. h DSGVO)
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Informationen und Dokumentation zur Verfuegung, die die Konformitaet mit dem vorliegenden AVV nachweisen, darunter:
- Zusammenfassung der implementierten Sicherheitsmassnahmen
- Liste der Unterauftragsverarbeiter mit Sitzen und Uebermittlungsgrundlagen
- Verzeichnis der Verarbeitungstaetigkeiten (relevante Auszuege)
- Zertifizierungen der Unterauftragsverarbeiter (ISO 27001, SOC 2, DPF), sofern verfuegbar
Der Verantwortliche kann Audits durchfuehren (direkt oder ueber unabhaengige, zur Vertraulichkeit verpflichtete Dritte) mit einer Vorankuendigung von mindestens 30 Tagen, waehrend der Arbeitszeit, ohne den Betrieb zu unterbrechen und mit einer Haeufigkeit von nicht mehr als einmal pro Jahr (ausser bei Data Breach). Jede Partei traegt ihre eigenen Kosten.
10. Uebermittlungen ausserhalb der EU (Kapitel V DSGVO)
Die Liste der Unterauftragsverarbeiter mit Angabe des Sitzes und der Rechtsgrundlage der Uebermittlung ist veroeffentlicht unter vezpa.it/subprocessors. Fuer nicht durch einen Angemessenheitsbeschluss abgedeckte Uebermittlungen wendet der Auftragsverarbeiter an:
- Standardvertragsklauseln 2021/914 und erforderlichenfalls zusaetzliche Massnahmen (dokumentiertes Transfer Impact Assessment);
- Oder andere geeignete Garantien gemaess Art. 46 DSGVO.
11. Rolle des Verantwortlichen
Der Verantwortliche erklaert und garantiert:
- Den Betroffenen die gemaess Art. 13-14 DSGVO vorgesehenen Informationen erteilt zu haben;
- Die fuer die Verarbeitung erforderlichen Rechtsgrundlagen (Einwilligung, Vertrag, rechtliche Verpflichtung) eingeholt zu haben;
- Dem Auftragsverarbeiter rechtmaessige Weisungen zu erteilen;
- Die ordnungsgemaesse Aufbewahrung und Loeschung der Daten nach dem Ruecktritt von der Vezpa-Plattform zu gewaehrleisten.
12. Vertraulichkeit
Jede Partei behandelt alle Informationen, die sie von der anderen Partei in Ausfuehrung des vorliegenden AVV erhaelt, streng vertraulich, und zwar fuer die Dauer des Vertrags und fuer 5 Jahre nach dessen Beendigung.
13. Haftung
Die Haftung jeder Partei gemaess Art. 82 DSGVO gegenueber den Betroffenen bleibt gesetzlich geregelt. In den Beziehungen zwischen den Parteien ist die vertragliche Haftungsregelung in den Nutzungsbedingungen (§9-10) festgelegt, unbeschadet der zwingenden Aufteilung gemaess Art. 82 DSGVO.
14. Beendigung der Verarbeitung
Bei Beendigung des Vertrags aus beliebigem Grund wird der Auftragsverarbeiter:
- Dem Verantwortlichen fuer 30 Tage nach Beendigung Tools zur Ausfuhr seiner Daten in strukturiertem Format (CSV/JSON) zur Verfuegung stellen;
- Nach Ablauf der 30 Tage die im Auftrag des Verantwortlichen verarbeiteten Daten in den Produktionssystemen loeschen oder anonymisieren;
- Die Daten in den Backups im Rahmen des naechsten Rotationszyklus loeschen (typischerweise innerhalb von 90 Tagen);
- Die Daten, die Vezpa gesetzlich aufbewahren muss (typischerweise: Rechnungsdaten und Sicherheits-Logs), nur fuer die von den anwendbaren Vorschriften auferlegten Zeitraeume aufbewahren und dabei angemessene Sicherheitsmassnahmen aufrechterhalten.
15. Aenderungen
Der Auftragsverarbeiter kann den vorliegenden AVV aendern, um normative Entwicklungen (z. B. neue SCC, Massnahmen der Datenschutzbehoerde) oder organisatorische Aenderungen zu beruecksichtigen. Wesentliche Aenderungen werden dem Verantwortlichen mit mindestens 30 Tagen Vorankuendigung mitgeteilt. Akzeptiert der Verantwortliche nicht, kann er ohne Strafe fuer den nicht genutzten Teil des Abonnements zuruecktreten.
16. Anwendbares Recht
Der vorliegende AVV unterliegt dem italienischen Recht. Fuer Streitigkeiten gilt §16 der Nutzungsbedingungen. Fuer Nutzer in Oesterreich gelten ergaenzend das DSG und das TKG 2021. Betroffene und Verantwortliche in Oesterreich koennen sich an die Oesterreichische Datenschutzbehoerde (www.dsb.gv.at) wenden.
Anhang A - Kurzbeschreibung der Verarbeitung
| Eintrag |
Beschreibung |
| Art der Verarbeitung |
Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Auslesen, Abfrage, Verwendung, Uebermittlung, Uebermittlung an OTA-Kanaele und Behoerden, Loeschung |
| Zwecke |
Siehe §3.1 |
| Kategorien von Betroffenen |
Siehe §3.2 |
| Kategorien von Daten |
Siehe §3.3 |
| Dauer |
Fuer die gesamte Vertragsdauer. Spezifische Retention nach Datenkategorien gemaess Datenschutzerklaerung §6 |
Anhang B - Technische und organisatorische Sicherheitsmassnahmen (Art. 32 DSGVO)
Technische Massnahmen
- Verschluesselung bei der Uebertragung: HTTPS/TLS 1.2+, HSTS
- Verschluesselung at-rest: sensible Felder mit django-cryptography, Volumes und Snapshots infrastrukturseitig verschluesselt (DigitalOcean)
- Passwort-Hashing mit gesalzenem PBKDF2 (Django-Default)
- Authentifizierung: rotierendes JWT (Access 15 Min, Refresh 180 Tage mit Blacklist), optional 2FA TOTP
- Bot-Blocker und Rate Limiting zur Verhinderung automatisierter Angriffe
- Rollenbasierte Zugriffskontrolle (Direktor/Assistent/Hausdame/Beobachter)
- Vom Infrastrukturanbieter in der EU verwaltete Backups
- Anwendungs- und Zugriffs-Logs zur Anomalieerkennung
- App-seitiger Secure Storage: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organisatorische Massnahmen
- Vezpa agiert derzeit als Einzelunternehmen ohne Angestellte; eventuelle externe Mitarbeiter werden schriftlich als Auftragsverarbeiter oder autorisierte Personen mit Vertraulichkeitspflichten benannt
- Dokumentiertes Incident-Response-Verfahren
- Aktualisiertes Verzeichnis von Verarbeitungstaetigkeiten (Art. 30)
- AVV mit den wesentlichen Unterauftragsverarbeitern
- Privacy by Design und by Default in den Entwicklungsphasen
- Trennung der Umgebungen Produktion / Staging / Entwicklung
Anhang C - Autorisierte Unterauftragsverarbeiter
Die aktuelle Liste ist veroeffentlicht und wird aktualisiert unter vezpa.it/subprocessors. Zum Zeitpunkt des Vertragsbeginns umfasst die Liste (unter anderem):
- DigitalOcean LLC - Infrastruktur (EU Frankfurt + USA DPF)
- Stripe - Zahlungen (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - E-Mail (DE)
- STAAH Limited - Channel Manager OTA (NZ, Angemessenheit)
- Apple Distribution International Ltd (IE) / Apple Inc. - In-App-Kauf (Apple beteiligt sich nicht am DPF, Uebermittlungen in die USA ueber SCC 2021/914)
- Google LLC / Microsoft Corp. - In-App-Kauf (USA, aktive DPF-Zertifizierung)
- Tuya Smart - Smart Locks (CN, nur falls vom Betrieb aktiviert, SCC)
© 2022-2026 Vezpa - Alle Rechte vorbehalten |
Datenschutzerklaerung |
Nutzungsbedingungen |
Cookie-Richtlinie |
DSGVO |
AVV |
Unterauftragsverarbeiter