Zusatz zur Datenverarbeitung
Zusatz zur Datenverarbeitung
Zuletzt aktualisiert: 2. Februar 2026
TUMODO TRAVEL TECHNOLOGIES DMCC
Dieser Datenverarbeitungszusatz („DVZ“ oder „Zusatz“) ist Bestandteil des Tumodo-Reisedienstleistungsvertrags oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen TUMODO TRAVEL TECHNOLOGIES DMCC und verbundenen Unternehmen („Tumodo“) und dem Kunden, die die Nutzung von Reisemanagementsoftware von Tumodo regelt (in der anwendbaren Vereinbarung als „Dienstleistungen“ bezeichnet und nachfolgend als „Dienstleistungen“ definiert) (die „Vereinbarung“), um die Übereinstimmung der Parteien hinsichtlich der Verarbeitung von Kunden-Personendaten widerzuspiegeln. Der DVZ ist nur in der englischen Originalsprache rechtsverbindlich. Die englische Sprachversion des DVZ gilt im Falle eines Widerspruchs oder einer Inkonsistenz mit übersetzten Versionen als maßgebend. Versionen des DVZ in einer anderen Sprache dienen ausschließlich der Bequemlichkeit.
Der Kunde schließt diesen DVZ im eigenen Namen und, soweit dies nach anwendbaren Datenschutzgesetzen und -vorschriften erforderlich ist, im Namen und auf Rechnung seiner verbundenen Unternehmen ab, sofern und soweit Tumodo Kunden-Personendaten verarbeitet, für die diese verbundenen Unternehmen als Verantwortliche gelten. Für die Zwecke dieses DVZ und sofern nicht anders angegeben, umfasst der Begriff „Kunde“ Kunden von Tumodo, die eine Vereinbarung mit Tumodo abgeschlossen haben, und ihre autorisierten verbundenen Unternehmen (sofern vorhanden). Alle großgeschriebenen Begriffe, die hier nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung.
Die Parteien vereinbaren hiermit, dass die nachstehenden Bedingungen als Zusatz zur Vereinbarung hinzugefügt werden.
Definitionen
In diesem Zusatz haben die folgenden Begriffe die nachstehend aufgeführten Bedeutungen, und verwandte Begriffe sind entsprechend auszulegen:
„Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das den Kunden oder Tumodo direkt oder indirekt besitzt oder kontrolliert, von diesen besessen oder kontrolliert wird oder gemeinsam mit diesen unter gemeinsamer Kontrolle oder Eigentümerschaft steht (je nach Kontext), wobei Kontrolle als der direkte oder indirekte Besitz der Befugnis definiert ist, die Geschäftsführung und die Richtlinien eines Unternehmens zu leiten oder zu beeinflussen, sei es durch Eigentum an Stimmrechtsanteilen, durch Vertrag oder auf andere Weise;
„Kunden-Personendaten“ bezeichnet alle personenbezogenen Daten, die der Kunde Tumodo bereitgestellt oder zur Verfügung gestellt hat oder die Tumodo im Auftrag des Kunden erhoben hat und die von Tumodo zur Erbringung der Dienstleistungen verarbeitet werden;
„Standardvertragsklauseln Verantwortlicher-Auftragsverarbeiter“ bezeichnet die von der Europäischen Kommission am 4. Juni 2021 veröffentlichten Standardvertragsklauseln für die grenzüberschreitende Übermittlung, die die Übertragung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in Drittländer regeln (zusammen „EU-SVK“). Die EU-SVK werden hiermit durch Verweis in diesen Zusatz aufgenommen und sind integraler Bestandteil desselben;;
„Datenschutzgesetze“ bezeichnet alle lokalen, regionalen oder nationalen Gesetze zur Verarbeitung personenbezogener Daten, die auf Tumodo in den Rechtsordnungen anwendbar sind, in denen die Dienstleistungen dem Kunden bereitgestellt werden, einschließlich, ohne Einschränkung, Datenschutz-, Sicherheits- und Datenschutzrecht;
„EU-Gebiet“ bezeichnet die Europäische Union;
„EU-Gebietsrecht“ bezeichnet (i) die Richtlinie 95/46/EG und ab dem 25. Mai 2018 die Verordnung (EU) 2016/679 („EU-DSGVO“) sowie anwendbare Rechtsvorschriften zur Umsetzung oder Ergänzung derselben oder sonstige Vorschriften zur Verarbeitung personenbezogener Daten natürlicher Personen; (ii) alle sonstigen Gesetze zum Datenschutz, zur Datensicherheit oder zur Privatsphäre von Personen, die im EU-Gebiet gelten; oder (v) etwaige Nachfolge- oder Änderungsregelungen dazu (einschließlich, ohne Einschränkung, der Umsetzung der EU-DSGVO durch die Mitgliedstaaten in ihr jeweiliges nationales Recht);
„Sicherheitsvorfall“ bezeichnet jeden Sicherheitsversтоß, der zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf Kunden-Personendaten führt, die von Tumodo verarbeitet werden;
„Dienstleistungen“ bezeichnet die Leistungen, die Tumodo dem Kunden oder den verbundenen Unternehmen des Kunden gemäß der Vereinbarung zu erbringen hat; und
„Drittland“ bezeichnet Länder, die, soweit dies nach anwendbaren Datenschutzgesetzen erforderlich ist, keinen Angemessenheitsbeschluss einer zuständigen Behörde für die grenzüberschreitende Übermittlung personenbezogener Daten erhalten haben, einschließlich von Regulierungsbehörden wie der Europäischen Kommission.
Die Begriffe „Unternehmen“, „Geschäftszweck“, „kommerzieller Zweck“, „Auftragnehmer“, „Verantwortlicher“, „Betroffene Person“, „Personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten», „Verarbeiten“, „Auftragsverarbeiter“, „Verkaufen“, „Dienstleister“, „Weitergeben“, „Unterauftragsverarbeiter“, „Aufsichtsbehörde“ und „Dritte“ haben die gleichen Bedeutungen wie in den anwendbaren Datenschutzgesetzen beschrieben, und verwandte Begriffe sind entsprechend auszulegen.
Großgeschriebene Begriffe, die in diesem Zusatz nicht anderweitig definiert sind, haben die Bedeutungen, die ihnen in der Vereinbarung zugewiesen sind.
Geltungsbereich des Zusatzes
Dieser Zusatz gilt für die Verarbeitung von Kunden-Personendaten durch Tumodo im Rahmen der Vereinbarung, soweit diese Verarbeitung den Datenschutzgesetzen unterliegt. Dieser Zusatz unterliegt dem für die Vereinbarung geltenden Recht, sofern nicht durch Datenschutzgesetze anderweitig vorgeschrieben.
Rollen der Parteien
Die Parteien erkennen an und stimmen zu, dass der Kunde in Bezug auf die Verarbeitung von Kunden-Personendaten, wie in Anhang 1 hierzu näher beschrieben, als Verantwortlicher und Tumodo als Auftragsverarbeiter handelt. Dieser Zusatz gilt ausschließlich für die Verarbeitung von Kunden-Personendaten durch Tumodo in seiner Eigenschaft als Auftragsverarbeiter (wie in Anhang 1 angegeben).
Die Parteien vereinbaren ausdrücklich, dass der Kunde allein dafür verantwortlich ist, die verbundenen Unternehmen des Kunden oder die betreffenden Verantwortlichen, die die Dienstleistungen erhalten, rechtzeitig zu informieren, soweit solche Mitteilungen im Lichte der anwendbaren Datenschutzgesetze erforderlich oder nützlich sein könnten, damit die verbundenen Unternehmen des Kunden oder die betreffenden Verantwortlichen diese Datenschutzgesetze einhalten können.
Der Kunde ist allein dafür verantwortlich, die für ihn geltenden Gesetze zur Meldung von Sicherheitsvorfällen einzuhalten und alle Verpflichtungen zur Benachrichtigung von Behörden, betroffenen Personen oder Dritten im Zusammenhang mit Sicherheitsvorfällen zu erfüllen.
Datenverarbeitungsbedingungen
Der Kunde hat alle anwendbaren Datenschutzgesetze im Zusammenhang mit der Erfüllung dieses Zusatzes einzuhalten. Im Zusammenhang mit seinem Zugang zu und seiner Nutzung der Dienstleistungen hat der Kunde die Kunden-Personendaten innerhalb dieser Dienstleistungen zu kontrollieren und Tumodo Weisungen in Übereinstimmung mit den anwendbaren Datenschutzgesetzen zu erteilen. Im Verhältnis zwischen den Parteien ist der Kunde allein verantwortlich für die Einhaltung der anwendbaren Datenschutzgesetze hinsichtlich der Erhebung und Übermittlung von Kunden-Personendaten an Tumodo. Der Kunde verpflichtet sich, Tumodo keine Daten über die Gesundheit, die Religion oder besondere Kategorien personenbezogener Daten einer natürlichen Person gemäß Artikel 9 der DSGVO zu übermitteln.
Tumodo hat alle anwendbaren Datenschutzgesetze bei der Verarbeitung von Kunden-Personendaten einzuhalten, und Tumodo hat:
Die Kunden-Personendaten für die Zwecke der Vereinbarung und für die jeweils in Anhang 1 dieses Zusatzes festgelegten spezifischen Zwecke und ansonsten ausschließlich auf der Grundlage der dokumentierten Weisungen des Kunden zu verarbeiten, zum Zweck der Erbringung der Dienstleistungen und soweit dies zur Erfüllung seiner Verpflichtungen aus der Vereinbarung erforderlich ist. Die Vereinbarung, dieser Zusatz und die Nutzung der Funktionen und Funktionalitäten der Dienstleistungen durch den Kunden sind die schriftlichen Weisungen des Kunden an Tumodo in Bezug auf die Verarbeitung von Kunden-Personendaten, einschließlich der folgenden:
Kunden-Personendaten nur im Namen des Kunden und für den spezifischen Geschäftszweck der Erbringung der Dienstleistungen und gemäß den Weisungen des Kunden zu verwenden, aufzubewahren, offenzulegen oder anderweitig zu verarbeiten, einschließlich wie in der Vereinbarung beschrieben. Tumodo darf Kunden-Personendaten weder verkaufen noch weitergeben und diese auch nicht außerhalb seiner Geschäftsbeziehung mit dem Kunden oder für andere Zwecke (einschließlich des kommerziellen Zwecks von Tumodo) verwenden, aufbewahren, offenlegen oder anderweitig verarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben oder zulässig. Tumodo hat den Kunden unverzüglich zu informieren (a) wenn Tumodo feststellt, dass es seinen Verpflichtungen gemäß den Datenschutzgesetzen nicht mehr nachkommen kann, oder (b) wenn nach Auffassung von Tumodo eine Weisung gegen anwendbare Datenschutzgesetze verstößt. Der Kunde behält sich das Recht vor, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitung von Kunden-Personendaten durch Tumodo mit den Verpflichtungen des Kunden gemäß dem Datenschutzgesetz übereinstimmt; und die unbefugte Nutzung von Kunden-Personendaten einzustellen und zu beheben;
Tumodo ist berechtigt, Kunden-Personendaten ausschließlich (i) in dem Umfang zu verarbeiten, der erforderlich ist, um (a) die Dienstleistungen und seine Verpflichtungen aus der Vereinbarung zu erfüllen; (b) die Dienstleistungen zu betreiben, zu verwalten, zu testen, zu pflegen und zu verbessern, auch im Rahmen seines Geschäftsbetriebs; (c) aggregierte Statistiken über die Dienstleistungen auf eine Weise offenzulegen, die eine individuelle Identifizierung oder Re-Identifizierung von Kunden-Personendaten verhindert, einschließlich, ohne Einschränkung, einzelner Geräte oder Personen; und/oder (d) die Dienstleistungen vor einer Bedrohung für die Dienstleistungen oder Kunden-Personendaten zu schützen; oder (ii) wenn dies durch einen Gerichtsbeschluss eines Gerichts oder einer behördlich bevollmächtigten Stelle erforderlich ist, vorausgesetzt, dass, soweit nach anwendbarem Recht zulässig, dem Kunden zuvor Mitteilung gemacht wird; (iii) wie anderweitig vom Kunden ausdrücklich genehmigt;
Tumodo wird Kunden-Personendaten, die Tumodo im Auftrag des Kunden verarbeitet, nicht mit personenbezogenen Daten kombinieren, die es von oder im Auftrag einer anderen Person oder anderer Personen erhält oder aus eigenen Interaktionen mit Einzelpersonen sammelt, sofern Tumodo personenbezogene Informationen kombinieren darf, um einen Geschäftszweck zu erfüllen, der nach der Vereinbarung zur Erbringung der Dienstleistungen erlaubt oder erforderlich ist;
Maßnahmen umzusetzen und aufrechtzuerhalten, die sicherstellen sollen, dass Tumodo-Mitarbeiter, die zur Verarbeitung von Kunden-Personendaten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen, es sei denn, die Offenlegung ist gesetzlich oder durch Berufsordnungen vorgeschrieben;
Die in der Vereinbarung festgelegten technischen und organisatorischen Maßnahmen umzusetzen und aufrechtzuerhalten sowie unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten natürlicher Personen weitere wirtschaftlich angemessene und geeignete administrative, technische und organisatorische Maßnahmen umzusetzen und aufrechtzuerhalten, die ein der Risikolage der Verarbeitung von Kunden-Personendaten angemessenes Sicherheitsniveau gewährleisten sollen, gemäß Artikel 32 der DSGVO, und zwar insbesondere:
Pseudonymisierung (sofern relevant) und Verschlüsselung von Kunden-Personendaten;
Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste von Tumodo, die Kunden-Personendaten verarbeiten;
Rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu Kunden-Personendaten im Falle eines physischen oder technischen Vorfalls; und
regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung von Kunden-Personendaten.
Der Kunde stimmt hiermit zu, dass Tumodo generell berechtigt ist, Unterauftragsverarbeiter zu beauftragen und zu ernennen, insbesondere die in Anhang 2 hierzu aufgeführten Unterauftragsverarbeiter, vorbehaltlich der folgenden Bedingungen von Tumodo:
Den Kunden mindestens dreißig (30) Kalendertage im Voraus über beabsichtigte Änderungen oder Ergänzungen seiner in Anhang 2 aufgeführten Unterauftragsverarbeiter per E-Mail zu informieren;
Datenschutzverpflichtungen in seinen Vertrag mit jedem Unterauftragsverarbeiter aufzunehmen, die im Wesentlichen den in diesem Zusatz festgelegten entsprechen; und
Gegenüber dem Kunden für etwaige Versäumnisse jedes Unterauftragsverarbeiters bei der Erfüllung seiner Verpflichtungen in Bezug auf die Verarbeitung der Kunden-Personendaten haftbar zu bleiben.
In Bezug auf eine gemäß Abschnitt 4.2(d)(i) erhaltene Mitteilung hat der Kunde eine Frist von 30 (dreißig) Tagen ab dem Datum der Mitteilung, um Tumodo schriftlich über etwaige begründete Einwände aus Datenschutzgründen gegen die Nutzung des betreffenden Unterauftragsverarbeiters zu informieren. Die Parteien werden dann für einen Zeitraum von höchstens 30 (dreißig) Tagen ab dem Datum des Einspruchs des Kunden in gutem Glauben zusammenarbeiten, um eine wirtschaftlich vertretbare Lösung zu finden, die die Nutzung des beanstandeten Unterauftragsverarbeiters vermeidet. Sofern keine solche Lösung gefunden werden kann, kann jede Partei (ungeachtet anderslautender Bestimmungen in der Vereinbarung) die betreffenden Dienstleistungen mit sofortiger Wirkung durch schriftliche Mitteilung an die andere Partei kündigen, ohne jeglichen Schadenersatz, Strafe oder Entschädigung (jedoch unbeschadet etwaiger vom Kunden vor der Kündigung angefallener Gebühren);
Den Kunden, soweit rechtlich zulässig, unverzüglich über rechtsverbindliche Anfragen zur Offenlegung von Kunden-Personendaten durch Tumodo (d. h. gesetzlich vorgeschriebene Offenlegungen, Gerichtsbeschlüsse oder Vorladungen) zu informieren. Falls eine solche Anfrage nicht rechtsverbindlich ist, werden die Kunden-Personendaten nicht offengelegt und Tumodo informiert den Kunden über die Ablehnung der Anfrage. Eine Aufzeichnung aller rechtsverbindlichen Offenlegungsanfragen in Bezug auf Kunden-Personendaten ist zu führen.
Den Kunden, soweit rechtlich zulässig, unverzüglich über jede Mitteilung einer betroffenen Person hinsichtlich der Verarbeitung von Kunden-Personendaten oder jede sonstige Mitteilung (einschließlich von einer Aufsichtsbehörde) in Bezug auf Verpflichtungen aus den anwendbaren Datenschutzgesetzen hinsichtlich der Kunden-Personendaten zu informieren. Tumodo beantwortet keine solche Anfrage oder Beschwerde, es sei denn, der Kunde erteilt ausdrücklich seine Genehmigung dazu oder Tumodo ist anderweitig nach anwendbaren Datenschutzgesetzen zur Antwort verpflichtet. Unter Berücksichtigung der Art der Verarbeitung unterstützt Tumodo den Kunden (oder den zuständigen Verantwortlichen) durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Verpflichtung des Kunden, der verbundenen Unternehmen des Kunden oder des/der betreffenden Verantwortlichen, Anfragen zur Ausübung der in Kapitel III DSGVO niedergelegten Rechte der betroffenen Personen zu beantworten. Der Kunde erklärt sich bereit, Tumodo für den Zeitaufwand und die Auslagen zu vergten, die Tumodo im Zusammenhang mit der Erfüllung seiner Verpflichtungen aus diesem Abschnitt 4.2(e) entstehen;
Den Kunden beim Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die Kunden-Personendaten betrifft, unverzüglich darüber zu informieren; eine solche Benachrichtigung hat, soweit Tumodo dies vernuünftigerweise verfügbar ist, alle zeitgerechten Informationen zu enthalten, die der Kunde (oder der zuständige Verantwortliche) benötigt, um seinen Meldepflichten bei Datenschutzverletzungen gemäß den anwendbaren Datenschutzgesetzen nachzukommen. Tumodo hat ferner alle erforderlichen Maßnahmen und Schritte zu ergreifen, um die Auswirkungen eines solchen Sicherheitsvorfalls zu beheben oder zu mindern, und den Kunden über Entwicklungen in Bezug auf Kunden-Personendaten angemessen zu informieren;
Soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist, den Kunden, die verbundenen Unternehmen des Kunden oder den/die betreffenden Verantwortlichen bei der Erfüllung seiner/ihrer Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO angemessen zu unterstützen, unter Berücksichtigung der Art der Verarbeitung und der Tumodo vorliegenden Informationen; der Kunde erklärt sich bereit, Tumodo für den Zeitaufwand und die Auslagen zu vergüten, die Tumodo im Zusammenhang mit der Unterstützung nach den Artikeln 35 und 36 der DSGVO entstehen;
Die Verarbeitung von Kunden-Personendaten bei Kündigung oder Ablauf der Vereinbarung einzustellen und nach Wahl des Kunden, der verbundenen Unternehmen des Kunden oder des/der zuständigen Verantwortlichen entweder alle Kopien der von Tumodo verarbeiteten Kunden-Personendaten zurückzugeben oder zu löschen (einschließlich durch Sicherstellung, dass solche Daten in ein nicht lesbares Format überführt werden), es sei denn, das anwendbare Recht verpflichtet Tumodo, einen Teil oder alle Kunden-Personendaten aufzubewahren (und nur in diesem Umfang und für diesen Zeitraum). Etwaige aufbewahrte Kunden-Personendaten bleiben den in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen unterworfen;
Tumodo hat die erforderlichen Aufzeichnungen zu führen, um die Einhaltung seiner Verpflichtungen (wie im anwendbaren Vertrag festgelegt) bei der Verarbeitung von Kunden-Personendaten im Auftrag des Kunden nachzuweisen; und
Dem Kunden alle Informationen zur Verfügung zu stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieses Zusatzes nachzuweisen, und Audits, einschließlich Prüfungen, durch den Kunden oder einen vom Kunden beauftragten unabhängigen Dritten in angemessener Weise zu ermöglichen und dazu beizutragen, sofern der Kunde Tumodo eine angemessene Vorankündigung seiner Prüfungsabsicht macht, das Audit während der normalen Geschäftszeiten von Tumodo durchführt und alle zumutbaren Maßnahmen ergreift, um unnötige Unterbrechungen des Geschäftsbetriebs von Tumodo zu vermeiden. Zum Zweck des Nachweises der Einhaltung dieses Zusatzes gemäß diesem Abschnitt 4.2(i) vereinbaren die Parteien, dass Tumodo dem Kunden zunächst einmal jährlich während der Laufzeit der Vereinbarung Antworten auf Cybersicherheits- und andere Bewertungen übermittelt (außer wenn dies durch Anweisung einer zuständigen Aufsichtsbehörde erforderlich ist oder wenn der Kunde vernünftigerweise davon ausgeht, dass aufgrund einer von Tumodo erlittenen Verletzung des Schutzes personenbezogener Daten ein weiteres Audit notwendig ist), und der Kunde kann die Prüfung der Verarbeitungstätigkeiten von Tumodo erst dann beantragen, wenn er die Einhaltung dieses Zusatzes durch Tumodo aus dessen Antworten nicht vernünftigerweise feststellen kann. Der Kunde erklärt sich bereit, Tumodo für den Zeitaufwand und die Auslagen zu vergüten, die Tumodo im Zusammenhang mit der Unterstützung bei solchen Audits und der Beantwortung von Cybersicherheits- und anderen Bewertungen entstehen.
Beschränkte Übermittlungen
Die Parteien vereinbaren, dass wenn die Übertragung von Kunden-Personendaten vom Kunden und/oder einem seiner verbundenen Unternehmen (als Exporteur) an Tumodo (als Importeur) eine beschränkte Übermittlung darstellt und EU-Gebietsrecht gilt, unterliegt die Übermittlung den entsprechenden Standardvertragsklauseln Verantwortlicher-Auftragsverarbeiter, die als in diesen Zusatz aufgenommen und Teil desselben gelten, wie folgt:
In Bezug auf Kunden-Personendaten, die durch die EU-DSGVO geschützt und von Tumodo im Auftrag und nach Weisung des Kunden verarbeitet werden, gelten die EU-SVK wie folgt ergänzt:
Modul Zwei findet Anwendung (Übermittlungen von Verantwortlichen an Auftragsverarbeiter) und wird hiermit durch Verweis in diesen Zusatz aufgenommen und ist integraler Bestandteil desselben;
In Klausel 7 der EU-SVK findet die optionale Beitrittsklausel Anwendung;
In Klausel 9 der EU-SVK gilt Option 2, und die Frist für die Vorankkündigung von Änderungen bei Unterauftragsverarbeitern entspricht der in Abschnitt 4.2(d) dieses Zusatzes festgelegten;
In Klausel 11 findet der optionale Wortlaut keine Anwendung;
In Klausel 17 gilt Option 1, und die EU-SVK unterliegen deutschem Recht;
In Klausel 18(b) sind Streitigkeiten vor den Gerichten der Bundesrepublik Deutschland beizulegen;
Anlage I der EU-SVK gilt als ausgefüllt mit den in Anhang 1 dieses Zusatzes enthaltenen Informationen; und
Anlage II der EU-SVK gilt als ausgefüllt mit den in Abschnitt 4 von Anhang 1 dieses Zusatzes enthaltenen Informationen.
Tumodo nimmt an keinen anderen beschränkten Übermittlungen von Kunden-Personendaten teil (weder als Importeur noch als Exporteur der Kunden-Personendaten), es sei denn, die beschränkte Übermittlung erfolgt in Übereinstimmung mit dem anwendbaren Datenschutzrecht und gemäß den einschlägigen Standardvertragsklauseln, die zwischen dem jeweiligen Exporteur und Importeur der Kunden-Personendaten abgeschlossen wurden, soweit dies zur Einhaltung des anwendbaren Datenschutzrechts erforderlich ist
Vorrang
Die Bestimmungen dieses Zusatzes ergänzen die Bestimmungen der Vereinbarung. Im Falle von Widersprüchen zwischen den Bestimmungen dieses Zusatzes und den Bestimmungen der Vereinbarung haben die Bestimmungen dieses Zusatzes Vorrang. Soweit eine Bestimmung dieses Zusatzes und/oder der Vereinbarung den Standardvertragsklauseln Verantwortlicher-Auftragsverarbeiter direkt oder indirekt widerspricht, haben die Standardvertragsklauseln Verantwortlicher-Auftragsverarbeiter hinsichtlich dieses Widerspruchs Vorrang.
Freistellung
Soweit gesetzlich zulässig, hat der Kunde (a) Tumodo und seine verbundenen Unternehmen (zusammen „Freigestellte Parteien“) gegen alle Ansprüche, Forderungen, Klagen oder Verfahren zu verteidigen, die von Dritten gegen eine der freigestellten Parteien erhoben oder eingeleitet werden (jeweils ein „Anspruch“), und (b) die freigestellten Parteien von allen Verlusten, Schäden, Verbindlichkeiten, Bußgeldern und Verwaltungssanktionen, Vertragsstrafen, Vergleichen sowie Kosten und Ausgaben jeder Art (einschließlich, ohne Einschränkung, angemessener Rechts-, Ermittlungs- und Beratungshonorare und -ausgaben) freizustellen und schadlos zu halten, die eine der freigestellten Parteien erlitten hat oder ihr entstanden sind, und zwar in jedem Fall aufgrund eines Verstoßes des Kunden gegen diesen Zusatz oder gegen seine Verpflichtungen aus den anwendbaren Datenschutz gesetzen. Tumodo kann sich an der Verteidigung und/oder Beilegung eines Anspruchs gemäß diesem Abschnitt 7.1 mit einem Anwalt seiner Wahl auf eigene Kosten beteiligen.
Salvatorische Klausel
Die Parteien vereinbaren, dass, wenn ein Abschnitt oder Unterabschnitt dieses Zusatzes von einem Gericht oder einer zuständigen Behörde für rechtswidrig oder nicht durchsetzbar befunden wird, dies keinen anderen Abschnitt dieses Zusatzes ungültig macht oder für nicht durchsetzbar erklärt.
Sonstiges.
Der Zusatz berücksichtigt Folgendes und richtet sich danach:
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Gewährleistung der Sicherheit der Verarbeitung
Meldung von Datenpannen mit Kunden-Personendaten an die zuständige Aufsichtsbehörde
Benachrichtigung des Kunden über Datenpannen mit Kunden-Personendaten
Durchführung von Datenschutz-Folgenabschätzungen, soweit angemessen und nach anwendbarem Datenschutzrecht erforderlich
Zusicherung der Unterstützung durch Tumodo, falls vorherige Konsultationen mit den zuständigen Aufsichtsbehörden nach anwendbarem Datenschutzrecht erforderlich sind.
Tumodo hat alle anwendbaren gesetzlichen und regulatorischen Anforderungen, die ISO 27001:2022 sowie die Anforderungen der EU-DSGVO einzuhalten.
Falls eine betroffene Person ihre Betroffenenrechte nach dem anwendbaren Datenschutzrecht wahrnehmen möchte, einschließlich, aber nicht beschränkt auf das Recht auf Auskunft, Berichtigung und/oder Löschung ihrer personenbezogenen Daten, die der Kontrolle von Tumodo unterliegen, können betroffene Personen einen entsprechenden Antrag stellen, indem sie den unten genannten Datenschutzbeauftragten (DSB) von Tumodo kontaktieren. Bedenken und/oder Beschwerden im Zusammenhang mit Kunden-Personendaten können ebenfalls durch Kontaktaufnahme mit dem unten genannten Datenschutzbeauftragten eingereicht werden:
Manish Kishore
E-Mail: dpo@tumodo.io
Anhang 1 zum Datenverarbeitungszusatz
Beschreibung der Verarbeitungstätigkeiten für Kunden-Personendaten
Dieser Anhang enthält bestimmte Details zur Verarbeitung von Kunden-Personendaten durch Tumodo im Zusammenhang mit den Dienstleistungen.
Liste der Parteien
Datenexporteur
| Datenexporteur | Datenexporteur |
|---|---|
| Name: | Kunde (wie in der Vereinbarung definiert) |
| Adresse: | Wie in der Vereinbarung festgelegt. |
| Name, Position und Kontaktdaten der Kontaktperson: | Wie in der Vereinbarung festgelegt. |
| Relevante Aktivitäten in Bezug auf die gemäß diesen Klauseln übermittelten Daten: | Empfang der von Tumodo gemäß der Vereinbarung erbrachten Dienstleistungen. |
| Rolle (Verantwortlicher/Auftragsverarbeiter): | Verantwortlicher |
Datenimporteur
| Datenimporteur | Datenimporteur |
|---|---|
| Name: | TUMODO TRAVEL TECHNOLOGIES DMCC |
| Adresse: | Saba Tower 1 - Einheit Nr. 101 Jumeirah Lake Towers, Parzelle Nr.: JLT-PH1-E3A, Dubai, Vereinigte Arabische Emirate |
| Name, Position und Kontaktdaten der Kontaktperson: | dpo@tumodo.io |
| Relevante Aktivitäten in Bezug auf die gemäß diesen Klauseln übermittelten Daten: | Erbringung der Dienstleistungen an den Kunden gemäß der Vereinbarung. |
| Rolle (Verantwortlicher/Auftragsverarbeiter): | Auftragsverarbeiter |
Zuständige Aufsichtsbehörde
Benennung der zuständigen Aufsichtsbehörde(n) (z. B. gemäß Klausel 13 der SVK)
Wie durch Anwendung von Klausel 13 der EU-SVK bestimmt.
Verarbeitungsinformationen
Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden
Autorisierte Nutzer der Dienstleistungen des Kunden
Kategorien der übermittelten personenbezogenen Daten
Automatisch durch die Dienstleistungen verarbeitet:
Namen
E-Mail-Adressen
Geburtsdatum
Herkunftsland
Reisepassdaten
Visuminformationen
Ticket-/Hotelreservierungscode
Reisedaten
Zahlungsbezogene Daten
Bitte beachten Sie die Datenschutzrichtlinie von Tumodo unter https://tumodo.io/policy für detaillierte Informationen zu den verarbeiteten personenbezogenen Daten.
Übermittelte sensible personenbezogene Daten
Keine
Häufigkeit der Übermittlung
Kontinuierlich
Art der Verarbeitung
Die Art der Verarbeitung ist in der Datenschutzrichtlinie unter https://tumodo.io/policy näher beschrieben und umfasst die folgenden grundlegenden Verarbeitungstätigkeiten: Die Erbringung von Dienstleistungen für den Kunden. Um die Dienstleistungen erbringen zu können, erhält Tumodo identifizierende Kunden-Personendaten, damit Tumodo diese abfragen, bereinigen, standardisieren, anreichern, (soweit erforderlich) an zusätzliche Datenfeed-Anbieter senden und die Abfrageinformationen speichern kann.
Der Zweck der Übermittlung ist die Unterstützung der Erbringung der Dienstleistungen, wie in der Vereinbarung und den begleitenden Bestellformularen näher beschrieben.
Zweck der Datenübermittlung und weiteren Verarbeitung
Aufbewahrungszeitraum für personenbezogene Daten oder die zur Bestimmung dieses Zeitraums verwendeten Kriterien
Personenbezogene Daten werden für die Laufzeit der Vereinbarung aufbewahrt. Wenn Daten, einschließlich, aber nicht beschränkt auf zahlungsbezogene Daten, für längere Zeiträume aufbewahrt werden müssen, um einem auf die erbrachten Dienstleistungen anwendbaren Gesetz zu entsprechen, können diese Daten für die nach diesem Gesetz erforderlichen zusätzlichen Zeiträume aufbewahrt werden.
Unterauftragsverarbeiter-Übermittlungen – Gegenstand, Art und Dauer der Verarbeitung
Gegenstand, Art und Dauer der Verarbeitung sind in der Datenschutzrichtlinie unter https://tumodo.io/policy näher beschrieben.
Technische und organisatorische Sicherheitsmaßnahmen
Beschreibung der von Tumodo als Datenverarbeiter/Datenimporteur implementierten technischen und organisatorischen Sicherheitsmaßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
Sicherheit
Sicherheitsmanagementsystem.
Organisation. Tumodo benennt qualifiziertes Sicherheitspersonal, zu dessen Aufgaben die Entwicklung, Implementierung und laufende Pflege des Informationssicherheitsprogramms gehören.
Richtlinien. Das Management prüft und unterstützt alle sicherheitsrelevanten Richtlinien, um die Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit von Kunden-Personendaten zu gewährleisten. Diese Richtlinien werden mindestens einmal jährlich aktualisiert.
Bewertungen. Tumodo beauftragt mindestens einmal jährlich eine angesehene unabhängige dritte Partei mit der Durchführung von Risikobewertungen aller Systeme, die Kunden-Personendaten enthalten.
Risikobehandlung. Tumodo unterhält ein formales und wirksames Risikobehandlungsprogramm, das Penetrationstests, Schwachstellenmanagement und Patch-Management umfasst, um potenzielle Bedrohungen für die Sicherheit, Integrität oder Vertraulichkeit von Kunden-Personendaten zu identifizieren und abzuwehren.
Lieferantenmanagement. Tumodo unterhält ein wirksames Lieferantenmanagementprogramm
Vorfallmanagement. Tumodo überprüft Sicherheitsvorfälle regelmäßig, einschließlich der effektiven Ursachenermittlung und der Einleitung von Korrekturmaßnahmen.
Standards. Tumodo betreibt ein Informationssicherheitsmanagementsystem, das den Anforderungen der Norm ISO/IEC 27001:2022 entspricht.
Personalsicherheit.
Tumodo-Mitarbeiter sind verpflichtet, sich in einer Weise zu verhalten, die den Unternehmensrichtlinien zu Vertraulichkeit, Geschäftsethik, angemessener Nutzung und professionellen Standards entspricht. Tumodo führt angemessene Hintergrundprüfungen für alle Mitarbeiter durch, die im Rahmen dieser Vereinbarung Zugang zu Kundendaten erhalten, einschließlich in Bezug auf Beschäftigungsgeschichte und Vorstrafenregister, soweit dies rechtlich zulässig ist und im Einklang mit dem anwendbaren lokalen Arbeitsrecht, den üblichen Praktiken und den gesetzlichen Vorschriften steht.
Mitarbeiter sind verpflichtet, bei der Einstellung eine schriftliche Vertraulichkeitsvereinbarung zu unterzeichnen und Kunden-Personendaten jederzeit zu schützen. Mitarbeiter müssen den Erhalt und die Einhaltung der Vertraulichkeits-, Datenschutz- und Sicherheitsrichtlinien von Tumodo bestätigen. Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen zur Umsetzung und Einhaltung des Informationssicherheitsprogramms. Mitarbeiter, die mit Kunden-Personendaten umgehen, müssen zusätzliche, ihrer Rolle entsprechende Anforderungen erfüllen (z. B. Zertifizierungen). Tumodo-Mitarbeiter werden Kunden-Personendaten nicht ohne Genehmigung verarbeiten.
Zugriffskontrollen
Zugriffsmanagement. Tumodo unterhält einen formalen Zugriffsmanagementprozess für die Beantragung, Überprüfung, Genehmigung und Bereitstellung des Zugangs aller Mitarbeiter zu Kunden-Personendaten, um den Zugang zu Kunden-Personendaten und Systemen, die Kunden-Personendaten speichern, darauf zugreifen oder diese übertragen, auf ordnungsgemäß autorisierte Personen mit entsprechendem Bedarf zu beschränken. Zugriffsrüberprüfungen werden regelmäßig durchgeführt, um sicherzustellen, dass nur diejenigen Mitarbeiter, die noch Zugang zu Kunden-Personendaten benötigen, diesen auch haben.
Sicherheitspersonal für die Infrastruktur. Tumodo hat eine Sicherheitsrichtlinie für seine Mitarbeiter und pflegt diese, und verlangt Sicherheitsschulungen als Teil des Schulungspakets für seine Mitarbeiter. Das Infrastruktursicherheitspersonal von Tumodo ist verantwortlich für die laufende Überwachung der Sicherheitsinfrastruktur von Tumodo, die Überprüfung der Dienstleistungen und die Reaktion auf Sicherheitsvorfälle.
Zugriffskontrolle und Berechtigungsmanagement. Administratoren und Endnutzer von Tumodo und des Kunden müssen sich über ein Multi-Faktor-Authentifizierungssystem oder ein Single-Sign-On-System authentifizieren, um die Dienstleistungen nutzen zu können
Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinie. Die internen Datenzugriffsprozesse und -richtlinien von Tumodo sind darauf ausgelegt, unbefugten Zugriff, unbefugte Nutzung, Offenlegung, Änderung oder Zerstörung von Kunden-Personendaten zu verhindern. Tumodo gestaltet seine Systeme so, dass nur autorisierte Personen auf die Daten zugreifen können, für die sie berechtigt sind, basierend auf den Grundsätzen des „minimalen Privilegs“ und des „Need-to-know“, und um zu verhindern, dass Personen, die keinen Zugang haben sollten, diesen erlangen. Tumodo verlangt die Verwendung eindeutiger Benutzer-IDs, sicherer Passwörter, einer Zwei-Faktor-Authentifizierung und sorgfältig überwachter Zugriffslisten, um das Risiko der unbefugten Kontonutzung zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den Aufgaben des autorisierten Personals; den zur Erfüllung genehmigter Aufgaben erforderlichen Berufspflichten; dem Need-to-know-Prinzip; und muss im Einklang mit den internen Datenzugriffsrichtlinien und Schulungen von Tumodo stehen. Genehmigungen werden über Workflow-Tools verwaltet, die Prüfaufzeichnungen aller Änderungen führen. Der Zugang zu Systemen wird protokolliert, um eine Prüfspur für die Rechenschaftspflicht zu erstellen. Wenn Passwörter zur Authentifizierung verwendet werden (z. B. bei der Anmeldung an Arbeitsplätzen), entsprechen die Passwortrichtlinien den branchenstandards. Diese Standards umfassen Passwortkomplexität, Passwortablauf, Kontosperrung, Einschränkungen bei der Wiederverwendung von Passwörtern und erneute Passwortabfrage nach einer Inaktivitätsperiode
Rechenzentrum- und Netzwerksicherheit
Rechenzentren.
Infrastruktur. Tumodo nutzt AZURE als sein Rechenzentrum.
Resilienz. Mehrere Verfügbarkeitszonen sind auf AZURE aktiviert, und Tumodo führt regelmäßig Sicherungswiederherstellungstests durch, um die Resilienz sicherzustellen.
Server-Betriebssysteme. Die Server von Tumodo sind auf die Anwendungsumgebung zugeschnitten und für die Sicherheit der Dienstleistungen gehärtet. Tumodo setzt einen Codeprüfprozess ein, um die Sicherheit des zur Erbringung der Dienstleistungen verwendeten Codes zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.
Notfallwiederherstellung. Tumodo repliziert Daten über mehrere Systeme, um vor versehentlicher Zerstörung oder Verlust zu schützen. Tumodo hat seine Notfallwiederherstellungsprogramme entwickelt und plant und testet diese regelmäßig.
Sicherheitsprotokolle. Die Systeme von Tumodo haben Protokollierung für die jeweilige Systemprotokolleinrichtung aktiviert, um Sicherheitsprüfungen zu unterstützen und tatsächliche und versuchte Angriffe auf oder Einbrüche in die Systeme von Tumodo zu überwachen und zu erkennen.
Schwachstellenmanagement. Tumodo führt regelmäßige Schwachstellenscans an allen Infrastrukturkomponenten seiner Produktions- und Entwicklungsumgebung durch. Schwachstellen werden risikobasiert behoben, wobei kritische, hohe und mittlere Sicherheitspatches für alle Komponenten so bald wie wirtschaftlich möglich installiert werden.
Netzwerke und Übertragung.
Datenübertragung. Übertragungen in der Produktionsumgebung erfolgen über Internet-Standardprotokolle.
Externe Angriffsoberfläche. Eine AZURE-Sicherheitsgruppe, die einem virtuellen Firewall entspricht, ist für die Produktionsumgebung auf AZURE eingerichtet.
Incident Response. Tumodo unterhält Richtlinien und Verfahren für das Vorfallmanagement, einschließlich detaillierter Eskalationsverfahren für Sicherheitsvorfälle. Tumodo überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle, und das Sicherheitspersonal von Tumodo reagiert umgehend auf bekannte oder verdächtige Vorfälle, mindert die schädlichen Auswirkungen solcher Sicherheitsvorfälle und dokumentiert diese sowie ihre Ergebnisse.
Verschlüsselungstechnologien. Tumodo stellt HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) für Daten bei der Übertragung bereit.
Datenspeicherung, -isolierung, -authentifizierung und -vernichtung. Tumodo speichert Daten in einer Mehrmieter-Umgebung auf AZURE-Servern. Daten, die Dienstleistungsdatenbank und die Dateisystemarchitektur werden zwischen mehreren Verfügbarkeitszonen auf AZURE repliziert. Tumodo isoliert die Daten verschiedener Kunden logisch voneinander. Ein zentrales Authentifizierungssystem wird über alle Dienstleistungen hinweg eingesetzt, um eine einheitliche Datensicherheit zu gewährleisten. Tumodo prozessen sicher.
Anhang 2
Unterauftragsverarbeiter von Tumodo
| Firmenname | Zweck | Standort |
|---|---|---|
| Microsoft Azure | Cloud-Hosting und Infrastrukturdienstleistungen, Load Balancer | VAE |
| Microsoft (Office 365) | E-Mail- und Geschäftskollaborationsdienste | VAE |
| Anwendungs- und Infrastrukturüberwachung | Systemmonitoring und Warnmeldungen | VAE |
| Stripe | Zahlungsabwicklungsdienste (PCI-DSS-konform) | VAE |
| Freshdesk | Kundensupport-Ticketsystem (Tickets, SLA, Wissensdatenbank, Kundenkommunikation) | VAE |
| Amadeus | Globaler Distributionsservice für Flugbuchungen | Spanien |
| Sabre | Globaler Distributionsservice für Flugbuchungen | VAE |
| Travelfusion | Flugbuchungen | Vereinigtes Königreich |
| TravelgateX | Verarbeitung von Hotelbuchungen | Spanien |
| ZentrumHub | Verarbeitung von Hotelbuchungen | Indien |
| Expedia | Hotelbuchungen | USA |
| Rail Europe | Verarbeitung von Bahnbuchungen | Europa |