📌 Rechtliche Vorrangstellung: Dieses Dokument ist eine kostenlose Übersetzung des italienischen Originals. Bei Diskrepanzen zwischen dieser Übersetzung und der italienischen Version
ist die italienische Version maßgebend. Italienisches Original hier verfügbar:
https://vezpa.it/dpa/.
Zweck dieses Dokuments: Der vorliegende Auftragsverarbeitungsvertrag (
AVV) regelt die Verarbeitung personenbezogener Daten der
Gaeste der Beherbergungsunterkuenfte, die die Vezpa-Plattform nutzen. Die Unterkunft (
Verantwortlicher) beauftragt Vezpa (
Auftragsverarbeiter) mit der Verarbeitung dieser Daten. Der AVV ist integraler Bestandteil der
Allgemeinen Geschaeftsbedingungen und wird zeitgleich mit der Registrierung der Unterkunft akzeptiert.
Fuer wen gilt er: Dieser AVV gilt jedes Mal, wenn die Unterkunft Vezpa zur Verarbeitung personenbezogener Daten von Personen nutzt, die nicht die Unterkunft selbst sind (typischerweise: Gaeste, deren Begleiter, Buchungskontakte).
Er gilt nicht fuer die Verarbeitung der Daten der professionellen Nutzer der Unterkunft, fuer die Vezpa als eigenstaendiger Verantwortlicher auftritt (siehe
Datenschutzerklaerung).
1. Parteien
| Verantwortlicher ("Verantwortlicher") |
Die Beherbergungsunterkunft, die das Vezpa-Abonnement abschliesst, wie in ihrem Konto identifiziert (Firmenname, USt-IdNr., Sitz, gesetzlicher Vertreter). |
| Auftragsverarbeiter ("Auftragsverarbeiter" / "Vezpa") |
Vezpa di Paolo Vezzola, USt-IdNr. 04449070988, Sitz in via San Zeno 67, 25015 Desenzano del Garda (BS), Italien. PEC: [email protected] · E-Mail: [email protected] |
2. Gegenstand und Dauer (Art. 28 Abs. 3 DSGVO)
Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten in seinem Auftrag ueber die Vezpa-Plattform. Die Verarbeitung hat die Dauer des Abonnementvertrags zwischen den Parteien und endet mit dessen Aufloesung, vorbehaltlich der Regelungen in §14.
3. Art, Zweck und Art der verarbeiteten Daten
3.1 Zwecke
- Verwaltung der Buchungen, des Aufenthalts und des Check-in/Check-out
- Erfuellung der gesetzlichen Verpflichtungen des Verantwortlichen gegenueber den oeffentlichen Behoerden (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Weitergabe von Buchungsdaten an OTA-Kanaele und den von der Unterkunft aktivierten Channel Manager
- Versand von Mitteilungen an den Gast (Bestaetigungen, Pre-Check-in, Zahlungen)
- Zahlungsabwicklung ueber Booking Engine oder Stripe-Links
- Erstellung von Berichten und Statistiken fuer den Verantwortlichen
3.2 Kategorien betroffener Personen
- Gaeste der Unterkuenfte und deren Begleiter
- Personen, die fuer andere buchen
- Eventuell vom Gast angegebene Notfallkontakte
3.3 Art der verarbeiteten personenbezogenen Daten
- Identifikations- und Personendaten (Name, Vorname, Geburtsdatum und -ort, Staatsangehoerigkeit, Geschlecht)
- Ausweisdokumente (Art, Nummer, Ausstellungsdatum, ausstellende Behoerde, gescanntes oder fotografiertes Bild)
- Aus dem Dokument per automatischem OCR extrahierte Textdaten
- Kontaktdaten (E-Mail, Telefon, Adresse)
- Buchungs- und Aufenthaltsdaten
- Zahlungsdaten (verwaltet von Stripe, nicht auf Vezpa gespeichert)
Besondere Kategorien von Daten (Art. 9 DSGVO): Das Ausweisdokument kann besondere Kategorien von Daten enthalten (z.B. Geburtsort). Der Verantwortliche erklaert, ueber eine geeignete Rechtsgrundlage gemaess Art. 9 Abs. 2 DSGVO zu verfuegen (typischerweise lit. b, f oder g) und weist den Auftragsverarbeiter an, die Verarbeitung dieser Daten auf die gesetzlich vorgeschriebenen Meldungen an die oeffentlichen Behoerden und die Aufbewahrung innerhalb der vorgesehenen Fristen zu beschraenken.
4. Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschliesslich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Die allgemeinen Weisungen sind im vorliegenden AVV, in der Datenschutzerklaerung, in der DSGVO-Information und in den Allgemeinen Geschaeftsbedingungen enthalten. Spezifische Weisungen koennen vom Verantwortlichen erteilt werden ueber:
- Konfigurationen in seinem Konto (Aktivierung/Deaktivierung von Regierungskonnektoren, OTAs, Retention)
- Schriftliche Mitteilung an [email protected] oder per PEC an [email protected]
Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen die DSGVO oder andere anwendbare Bestimmungen verstoesst, informiert er den Verantwortlichen unverzueglich.
5. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 lit. b-h DSGVO)
Der Auftragsverarbeiter verpflichtet sich:
- Vertraulichkeit: die Daten vertraulich zu behandeln und sicherzustellen, dass die zur Verarbeitung befugten Personen einer Vertraulichkeitspflicht unterliegen;
- Sicherheit: die in Anlage B vorgesehenen technischen und organisatorischen Massnahmen zu ergreifen, die dem Risiko angemessen sind;
- Unterauftragsverarbeiter: die Bedingungen von §6 einzuhalten;
- Unterstuetzung des Verantwortlichen: den Verantwortlichen bei der Erfuellung seiner Pflichten zu unterstuetzen, insbesondere:
- Antwort auf Anfragen der Betroffenen (Art. 15-22 DSGVO) innerhalb von Fristen, die es dem Verantwortlichen ermoeglichen, innerhalb der gesetzlichen 30 Tage zu antworten;
- Meldung von Datenschutzverletzungen an den Verantwortlichen innerhalb von 24 Stunden nach Entdeckung (§7);
- Unterstuetzung bei DSFA (Art. 35) und vorherigen Konsultationen (Art. 36);
- Nachweis der Konformitaet durch Dokumentation und, falls erforderlich, Audit (§9).
- Rueckgabe / Loeschung der Daten am Ende, wie in §14 vorgesehen;
- Information: dem Verantwortlichen alle Informationen zur Verfuegung zu stellen, die zum Nachweis der Einhaltung dieses AVV erforderlich sind.
6. Unterauftragsverarbeiter (Art. 28 Abs. 2 und Abs. 4 DSGVO)
6.1 Allgemeine Genehmigung
Der Verantwortliche genehmigt dem Auftragsverarbeiter die Benennung der unter vezpa.it/subprocessors aufgefuehrten Unterauftragsverarbeiter sowie jener, die gemaess dem hier beschriebenen Verfahren hinzugefuegt werden.
6.2 Vorankuendigung bei Aenderungen
Der Auftragsverarbeiter teilt dem Verantwortlichen die Absicht, einen Unterauftragsverarbeiter hinzuzufuegen oder zu ersetzen, mit mindestens 30 Tagen Vorankuendigung per E-Mail an die registrierte Adresse und/oder Hinweis im Dashboard mit. Innerhalb dieser Frist kann der Verantwortliche begruendet widersprechen. Bei nicht loesbarem Widerspruch kann jede Partei vom Vertrag zuruecktreten und die betroffene Verarbeitung beenden.
6.3 Pflichten gegenueber Unterauftragsverarbeitern
Der Auftragsverarbeiter erlegt den Unterauftragsverarbeitern schriftlich Datenschutzpflichten auf, die den hier vorgesehenen gleichwertig sind, und haftet gegenueber dem Verantwortlichen fuer das Handeln der Unterauftragsverarbeiter.
7. Datenschutzverletzung (Art. 33 DSGVO)
Im Falle einer Datenschutzverletzung, die im Auftrag des Verantwortlichen verarbeitete Daten betrifft, wird der Auftragsverarbeiter:
- Den Verantwortlichen ohne ungerechtfertigte Verzoegerung und auf jeden Fall innerhalb von 24 Stunden nach Entdeckung benachrichtigen;
- Die in Art. 33 Abs. 3 DSGVO geforderten Informationen bereitstellen (Art, Kategorien und ungefaehre Zahl der Betroffenen und Daten, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Massnahmen);
- Mit dem Verantwortlichen bei den Mitteilungen an die Betroffenen und die Aufsichtsbehoerde zusammenarbeiten;
- Den Vorfall und die ergriffenen Massnahmen dokumentieren.
Die Meldung an den Verantwortlichen erfolgt per E-Mail an die registrierte Adresse und PEC, falls verfuegbar. Der Verantwortliche bleibt fuer externe Meldungen (an die Datenschutzbehoerde, an Betroffene) gemaess Art. 33-34 DSGVO verantwortlich.
8. Rechte der Betroffenen (Art. 28 Abs. 3 lit. e DSGVO)
Wenn sich ein Betroffener direkt an den Auftragsverarbeiter wendet, um Rechte in Bezug auf im Auftrag des Verantwortlichen verarbeitete Daten auszuueben, leitet der Auftragsverarbeiter die Anfrage unverzueglich an den Verantwortlichen weiter und antwortet nicht im Namen des Verantwortlichen, sofern keine andere Weisung vorliegt.
Der Auftragsverarbeiter stellt dem Verantwortlichen im Dashboard und ueber API Funktionen zur Verfuegung fuer:
- Export der Daten eines Betroffenen (Auskunft und Datenuebertragbarkeit)
- Berichtigung
- Loeschung oder Anonymisierung
- Einschraenkung der Verarbeitung
Bei Anfragen, die manuelle technische Eingriffe erfordern, antwortet der Auftragsverarbeiter innerhalb von 10 Werktagen nach Erhalt der Weisung des Verantwortlichen.
9. Audit (Art. 28 Abs. 3 lit. h DSGVO)
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Informationen und Dokumentation zur Verfuegung, die die Einhaltung des vorliegenden AVV nachweisen, darunter:
- Zusammenfassung der umgesetzten Sicherheitsmassnahmen
- Liste der Unterauftragsverarbeiter mit Standorten und Transfergrundlagen
- Verzeichnis der Verarbeitungstaetigkeiten (relevante Ausschnitte)
- Zertifizierungen der Unterauftragsverarbeiter (ISO 27001, SOC 2, DPF), soweit verfuegbar
Der Verantwortliche kann Audits durchfuehren (direkt oder durch unabhaengige Dritte, die der Vertraulichkeit unterliegen) mit mindestens 30 Tagen Vorankuendigung, waehrend der Geschaeftszeiten, ohne Unterbrechung der Betriebsablaeufe und nicht oefter als einmal jaehrlich (ausser bei Datenschutzverletzung). Jede Partei traegt ihre eigenen Kosten.
10. Drittlandstransfers (Kapitel V DSGVO)
Die Liste der Unterauftragsverarbeiter mit Angabe des Sitzes und der Rechtsgrundlage des Transfers ist veroeffentlicht unter vezpa.it/subprocessors. Fuer Transfers, die nicht durch einen Angemessenheitsbeschluss abgedeckt sind, verwendet der Auftragsverarbeiter:
- Standardvertragsklauseln 2021/914 und zusaetzliche Massnahmen, soweit erforderlich (dokumentiertes Transfer Impact Assessment);
- Oder andere geeignete Garantien gemaess Art. 46 DSGVO.
11. Rolle des Verantwortlichen
Der Verantwortliche erklaert und garantiert:
- Den Betroffenen die in Art. 13-14 DSGVO vorgesehene Information erteilt zu haben;
- Die eventuell fuer die Verarbeitung erforderlichen Rechtsgrundlagen (Einwilligung, Vertrag, gesetzliche Verpflichtung) eingeholt zu haben;
- Dem Auftragsverarbeiter rechtmaessige Weisungen zu erteilen;
- Die ordnungsgemaesse Aufbewahrung und Loeschung der Daten nach dem Rueckzug von der Vezpa-Plattform zu gewaehrleisten.
12. Vertraulichkeit
Jede Partei behandelt alle im Rahmen dieses AVV von der anderen Partei erhaltenen Informationen fuer die gesamte Vertragsdauer und fuer die nachfolgenden 5 Jahre streng vertraulich.
13. Haftung
Die Haftung jeder Partei gemaess Art. 82 DSGVO gegenueber den Betroffenen bleibt gesetzlich geregelt. In den Beziehungen zwischen den Parteien ist das vertragliche Haftungsregime das in den Allgemeinen Geschaeftsbedingungen (§9-10) festgelegte, vorbehaltlich der zwingenden Aufteilung gemaess Art. 82 DSGVO.
14. Beendigung der Verarbeitung
Bei Beendigung des Vertrags aus welchem Grund auch immer wird der Auftragsverarbeiter:
- Dem Verantwortlichen die Werkzeuge zur Verfuegung stellen, um seine Daten im strukturierten Format (CSV/JSON) fuer 30 Tage nach Beendigung zu exportieren;
- Nach Ablauf der 30 Tage die im Auftrag des Verantwortlichen verarbeiteten Daten aus den Produktionssystemen loeschen oder anonymisieren;
- Die Daten aus den Backups innerhalb des naechsten Rotationszyklus loeschen (typischerweise innerhalb von 90 Tagen);
- Die Daten, die Vezpa gesetzlich aufbewahren muss (typischerweise: Rechnungsdaten und Sicherheitsprotokolle), ausschliesslich fuer die von den anwendbaren Vorschriften vorgeschriebenen Zeiten aufbewahren und dabei angemessene Sicherheitsmassnahmen beibehalten.
15. Aenderungen
Der Auftragsverarbeiter kann den vorliegenden AVV aendern, um regulatorische Entwicklungen (z.B. neue SCC, Massnahmen der Datenschutzbehoerde) oder organisatorische Aenderungen umzusetzen. Wesentliche Aenderungen werden dem Verantwortlichen mit mindestens 30 Tagen Vorankuendigung mitgeteilt. Wenn der Verantwortliche nicht zustimmt, kann er ohne Strafgebuehr fuer den nicht genossenen Teil des Abonnements zuruecktreten.
16. Anwendbares Recht
Der vorliegende AVV unterliegt italienischem Recht. Fuer Streitigkeiten gilt §16 der Allgemeinen Geschaeftsbedingungen.
Anlage A - Zusammenfassende Beschreibung der Verarbeitung
| Punkt |
Beschreibung |
| Art der Verarbeitung |
Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Auslesen, Abfrage, Verwendung, Weitergabe, Uebermittlung an OTA-Kanaele und oeffentliche Behoerden, Loeschung |
| Zwecke |
Siehe §3.1 |
| Kategorien betroffener Personen |
Siehe §3.2 |
| Datenkategorien |
Siehe §3.3 |
| Dauer |
Fuer die gesamte Vertragsdauer. Spezifische Retention nach Datenkategorien gemaess Datenschutzerklaerung §6 |
Anlage B - Technische und organisatorische Sicherheitsmassnahmen (Art. 32 DSGVO)
Technische Massnahmen
- Verschluesselung bei der Uebertragung: HTTPS/TLS 1.2+, HSTS
- Verschluesselung at-rest: sensible Felder mit django-cryptography, Volumes und Snapshots auf Infrastrukturebene verschluesselt (DigitalOcean)
- Passwort-Hashing mit gesalzenem PBKDF2 (Django-Standard)
- Authentifizierung: rotierende JWT (Access 15 Min., Refresh 180 Tage mit Blacklist), optionale 2FA TOTP
- Bot Blocker und Rate Limiting zur Verhinderung automatisierter Angriffe
- Rollenbasierte Zugriffskontrolle (Direktor/Assistent/Hauswirtschaft/Beobachter)
- Vom Infrastrukturanbieter verwaltete Backups in der EU
- Anwendungs- und Zugriffsprotokolle zur Anomalieerkennung
- Secure Storage app-seitig: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organisatorische Massnahmen
- Vezpa operiert derzeit als Einzelunternehmen ohne Angestellte; eventuelle externe Mitarbeiter werden schriftlich als Auftragsverarbeiter oder autorisierte Personen mit Vertraulichkeitspflichten benannt
- Dokumentiertes Incident-Response-Verfahren
- Aktualisiertes Verzeichnis der Verarbeitungstaetigkeiten (Art. 30)
- AVV mit wichtigen Unterauftragsverarbeitern
- Privacy by Design and by Default in den Entwicklungsphasen
- Trennung der Umgebungen Produktion / Staging / Entwicklung
Anlage C - Autorisierte Unterauftragsverarbeiter
Die aktuelle Liste ist veroeffentlicht und wird aktualisiert unter vezpa.it/subprocessors. Zum Zeitpunkt des Vertragsbeginns umfasst die Liste (unter anderem):
- DigitalOcean LLC - Infrastruktur (EU Frankfurt + USA DPF)
- Stripe - Zahlungen (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - E-Mail (DE)
- STAAH Limited - Channel Manager OTA (NZ, Angemessenheit)
- Apple Distribution International Ltd (IE) / Apple Inc. - In-App Purchase (Apple beteiligt sich nicht am DPF, Uebermittlungen in die USA ueber SCC 2021/914)
- Google LLC / Microsoft Corp. - In-App Purchase (USA, aktive DPF-Zertifizierung)
- Tuya Smart - Smart Locks (CN, nur wenn von der Unterkunft aktiviert, SCC)
© 2022-2026 Vezpa - Alle Rechte vorbehalten |
Datenschutzerklaerung |
AGB |
Cookie-Richtlinie |
DSGVO |
AVV |
Unterauftragsverarbeiter