Auftragsverarbeitungsvertrag (DPA)
Zuletzt aktualisiert: 5. Mai 2026
Gültig ab: 5. Mai 2026
Dieser Auftragsverarbeitungsvertrag („DPA“) ist Bestandteil der Nutzungsbedingungen und des Dienstleistungsvertrags zwischen:
| Auftragsverarbeiter: | Cherry Crow sp. z o.o., ul. Domaniewska 37/2.43, 02-672 Warschau, Polen („QLIO“, „Auftragsverarbeiter“) |
| Verantwortlicher: | Die juristische Person, die einen Dienstleistungsvertrag mit QLIO abgeschlossen hat („Kunde“, „Verantwortlicher“) |
1. Zweck und Anwendungsbereich
1.1 Dieser DPA regelt die Verarbeitung personenbezogener Daten durch QLIO im Auftrag des Kunden im Zusammenhang mit der Bereitstellung des QLIO-Reservierungssystems.
1.2 Dieser DPA gilt ausschließlich für personenbezogene Daten der Endkunden des Kunden (Gäste des Veranstaltungsortes), die über das Buchungssystem verarbeitet werden.
1.3 Dieser DPA unterliegt Artikel 28 der Datenschutz-Grundverordnung (DSGVO) der EU (Verordnung 2016/679) und gegebenenfalls der britischen UK GDPR.
2. Definitionen
| Personenbezogene Daten | Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Abs. 1 DSGVO) |
|---|---|
| Verarbeitung | Jeder mit personenbezogenen Daten ausgeführte Vorgang (Art. 4 Abs. 2 DSGVO) |
| Betroffene Person | Der Gast des Veranstaltungsortes, dessen personenbezogene Daten verarbeitet werden |
| Unterauftragsverarbeiter | Jeder Dritte, der von QLIO zur Verarbeitung personenbezogener Daten im Auftrag des Kunden eingesetzt wird |
| Sicherheitsvorfall | Jede unbeabsichtigte oder unrechtmäßige Zerstörung, jeder Verlust, jede Veränderung, unbefugte Offenlegung oder jeder unbefugte Zugriff auf personenbezogene Daten |
3. Einzelheiten der Verarbeitung
| Element | Details |
|---|---|
| Gegenstand | Betrieb des Online-Reservierungssystems für die/den Standort(e) des Kunden |
| Dauer | Für die Laufzeit des Dienstleistungsvertrags sowie die in Abschnitt 7 genannte Aufbewahrungsfrist |
| Art der Verarbeitung | Erhebung, Speicherung, Übermittlung, Abruf und Löschung von Reservierungsdaten |
| Zweck | Ermöglichung von Buchungen, Verwaltung von Reservierungen und Zahlungen für die Standorte des Kunden durch Endkunden |
| Kategorien personenbezogener Daten | Name, E-Mail-Adresse, Telefonnummer, Zahlungsdaten (tokenisiert), Buchungshistorie, IP-Adresse |
| Kategorien betroffener Personen | Endkunden (Gäste des Veranstaltungsortes), die Reservierungen über das Buchungssystem des Kunden vornehmen |
4. Pflichten des Auftragsverarbeiters
QLIO verpflichtet sich zu:
4.1 Dokumentierte Anweisungen
Personenbezogene Daten ausschließlich auf dokumentierte Anweisung des Kunden zu verarbeiten, wie in diesem DPA und dem Dienstleistungsvertrag festgelegt.
4.2 Vertraulichkeit
Sicherzustellen, dass alle zur Verarbeitung personenbezogener Daten befugten Mitarbeiter zur Vertraulichkeit verpflichtet sind.
4.3 Sicherheit
Geeignete technische und organisatorische Maßnahmen umzusetzen, einschließlich:
- Verschlüsselung personenbezogener Daten während der Übertragung (TLS/HTTPS) und im Ruhezustand
- Zugriffskontrollen, die den Zugriff von Mitarbeitern auf personenbezogene Daten auf das erforderliche Maß beschränken
- Regelmäßige Prüfung und Bewertung der Sicherheitsmaßnahmen
- Verfahren zur Erkennung, Meldung und Untersuchung von Sicherheitsvorfällen
4.4 Unterauftragsverarbeiter
Keine neuen Unterauftragsverarbeiter ohne vorherige Information des Kunden einzusetzen (14 Tage Vorankündigung). Siehe Abschnitt 6 für die aktuelle Liste der Unterauftragsverarbeiter.
4.5 Rechte der betroffenen Personen
Den Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen, die ihre Rechte gemäß der DSGVO ausüben. QLIO leitet alle direkt erhaltenen Anfragen unverzüglich an den Kunden weiter.
4.6 Unterstützung bei der Einhaltung der Vorschriften
Den Kunden bei der Einhaltung der DSGVO-Pflichten in Bezug auf Sicherheit, Meldung von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen zu unterstützen.
4.7 Löschung oder Rückgabe
Nach Beendigung des Vertrags sind alle personenbezogenen Daten zu löschen oder an den Kunden zurückzugeben. Die Daten stehen für einen Zeitraum von 30 Tagen nach Vertragsende zum Export zur Verfügung.
4.8 Audit-Rechte
Alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung dieses DPA nachzuweisen, und Audits nach angemessener Vorankündigung zu ermöglichen.
5. Pflichten des Verantwortlichen
Der Kunde verpflichtet sich zu:
- Sicherzustellen, dass eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht, bevor QLIO mit der Verarbeitung beauftragt wird
- Bereitstellung klarer und ausreichender Datenschutzhinweise für betroffene Personen darüber, wie ihre Daten verarbeitet werden, einschließlich der Rolle von QLIO als Auftragsverarbeiter
- Sicherzustellen, dass alle an QLIO erteilten Anweisungen den geltenden Datenschutzgesetzen entsprechen
6. Unterauftragsverarbeiter
6.1 Der Kunde erteilt QLIO eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, vorbehaltlich der Bedingungen dieses Abschnitts.
6.2 Aktuelle Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Przelewy24 (PayPro S.A.) | Zahlungsabwicklung | Polen (EU) |
| [HOSTING-ANBIETER EU] | Cloud-Hosting – EU-Kunden | Polen / EU |
| [HOSTING-ANBIETER US] | Cloud-Hosting – US-Kunden | Vereinigte Staaten |
| [E-MAIL-DIENSTLEISTER] | Transaktionale E-Mails | [zu definieren] |
6.3 QLIO informiert den Kunden über geplante Änderungen (Hinzufügungen oder Ersetzungen) mit einer Frist von mindestens 14 Tagen. Der Kunde kann innerhalb dieser Frist aus berechtigten Gründen Widerspruch einlegen.
6.4 Alle Unterauftragsverarbeiter sind durch Datenverarbeitungsverträge gebunden, die gleichwertige Verpflichtungen wie dieser DPA auferlegen.
7. Datenaufbewahrung und Löschung
7.1 Personenbezogene Daten von Gästen des Veranstaltungsortes werden so lange gespeichert, wie es zur Durchführung der Buchung erforderlich ist, sowie für weitere 12 Monate danach.
7.2 Der Kunde kann eine frühere Löschung beantragen, indem er sich an support@qliopanel.com wendet.
7.3 Nach Ablauf der Aufbewahrungsfrist werden personenbezogene Daten sicher und endgültig gelöscht.
8. Sicherheitsvorfälle
8.1 QLIO benachrichtigt den Kunden unverzüglich und in jedem Fall innerhalb von 72 Stunden, nachdem es von einem Sicherheitsvorfall Kenntnis erlangt hat.
8.2 Die Benachrichtigung umfasst: Art des Vorfalls, Kategorien und Anzahl der betroffenen Personen, wahrscheinliche Folgen sowie ergriffene Maßnahmen.
8.3 Der Kunde ist verantwortlich für die Meldung an die zuständige Aufsichtsbehörde sowie die Information der betroffenen Personen, sofern dies nach der DSGVO erforderlich ist.
9. Internationale Datenübermittlungen
9.1 EU-/UK-Kunden: Personenbezogene Daten werden auf Servern in der EU (Polen) verarbeitet. Jede Übermittlung außerhalb des EWR/UK erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs) oder der UK IDTA.
9.2 US-Kunden: Personenbezogene Daten werden auf Servern in den Vereinigten Staaten verarbeitet. Übermittlungen aus der EU in die USA unterliegen den EU-Standardvertragsklauseln.
10. Anwendbares Recht
Dieser DPA unterliegt dem Recht der Republik Polen und ist in Übereinstimmung mit der DSGVO auszulegen.
11. Laufzeit und Kündigung
Dieser DPA tritt mit dem Datum der Annahme des Dienstleistungsvertrags in Kraft und endet automatisch mit der Beendigung des Dienstleistungsvertrags, vorbehaltlich der in Abschnitt 7 festgelegten Löschpflichten.
12. Kontakt
| Unternehmen: | Cherry Crow sp. z o.o. |
| Adresse: | ul. Domaniewska 37/2.43, 02-672 Warschau, Polen |
| E-Mail: | privacy@qliopanel.com |