Sojern Inc.
Nachtrag zur Datenverarbeitung

Letzte Aktualisierung 1. Juni 2021

Dieser Nachtrag zur Datenverarbeitung, einschließlich Anhang 1 („Nachtrag“), enthält die wesentlichen Bedingungen, die Sojern, Inc., einer Gesellschaft nach dem Recht des US-Bundesstaates Delaware mit Hauptgeschäftssitz unter der Anschrift 255 California Street, 10th Floor, San Francisco, CA 94111 USA („Sojern“), erfordert. Für die Zwecke dieses Nachtrags wird das Unternehmen, das eine Partei des Vertrags (wie unten definiert) ist, in den dieser Nachtrag eingebunden ist, als „Unternehmen“ bezeichnet.

1. Definitionen

„Vertrag“ bezeichnet alle Vereinbarungen zwischen den Parteien, aufgrund derer Sojern personenbezogene Daten für die Zwecke gemäß dem jeweiligen Datenanbieter- oder Dienstleistungsvertrag erhält, erfasst, darauf zugreift oder anderweitig verarbeitet. Dieser Nachtrag beinhaltet die Bedingungen des Vertrags und wie unten dargelegt. Bei einem Konflikt zwischen dem Nachtrag und dem Vertrag sind die Bestimmungen dieses Nachtrags maßgeblich. Alle in Großbuchstaben geschriebenen Begriffe, die in dem vorliegenden Dokument verwendet, aber nicht definiert werden, haben ihre jeweilige Bedeutung, wie sie im Vertrag festgelegt ist.

Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die direkt oder indirekt identifiziert werden kann.

Dienstleistung“ bezeichnet die von Sojern bzw. der Gesellschaft im Rahmen des Vertrags erbrachten Dienstleistungen.

2. Anwendung des Nachtrags

Für die Zwecke der von Sojern gemäß dem Vertrag durchgeführten Verarbeitung wird die Rolle von Sojern als Datenverarbeiter oder Datenverantwortlicher in Bezug auf die von Sojern verarbeiteten personenbezogenen Daten im jeweiligen Vertrag festgelegt.

3. Verwendung personenbezogener Daten

Sofern nicht ausdrücklich in dem vorliegenden Dokument oder schriftlich durch das Unternehmen gestattet, wird Sojern weder direkt noch indirekt (a) personenbezogene Daten an Dritte offenlegen, verkaufen, verteilen oder übermitteln oder (b) personenbezogene Daten für andere Zwecke verwenden als für die Erbringung der Dienstleistung für das Unternehmen im Rahmen des Vertrags und in Übereinstimmung mit allen geltenden Datenschutzgesetzen.

4. Einhaltung von Gesetzen; andere Anweisungen

Jede Partei bestätigt, dass sie ihre Verpflichtungen gemäß den geltenden Datenschutzgesetzen kennt und personenbezogene Daten in Übereinstimmung mit allen geltenden Datenschutzgesetzen verarbeitet. Wenn Sojern als Datenverarbeiter handelt, führt Sojern die Verarbeitung so durch, wie sie vom Unternehmen im Vertrag dokumentiert und angewiesen wurde, es sei denn, eine Aufsichtsbehörde teilt mit, dass diese Verarbeitung nicht mit den geltenden Gesetzen zum Schutz der Privatsphäre und zum Datenschutz übereinstimmt; in diesem Fall wird Sojern das Unternehmen unverzüglich schriftlich über diese behördliche Mitteilung informieren und kann die Verarbeitung personenbezogener Daten einstellen, bis das behördliche Anliegen geklärt ist.

5. Aufzeichnungen; Zusammenarbeit für Compliance

Jede Partei führt ein schriftliches oder elektronisches Protokoll über die Verarbeitung von personenbezogenen Daten. Jede Partei wird in angemessener Weise mit der anderen Partei bei der Einhaltung der geltenden Datenschutzgesetze in Bezug auf Datenfolgenabschätzungen, Aufzeichnungen über die Verarbeitung, damit zusammenhängende Anfragen oder Konsultationen mit Datenschutzbehörden und Audits in Übereinstimmung mit dem geltenden Vertrag zusammenarbeiten, damit das Unternehmen bestätigen kann, dass Sojern seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen und dem Vertrag erfüllt hat.

6. Datenschutzrichtlinie von Sojern

Die Parteien erkennen an, dass Sojern keine direkte Beziehung zu Personen unterhält, deren personenbezogene Daten Sojern zur Verfügung gestellt werden. In diesem Sinne wird das Unternehmen, sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist, den Personen, deren personenbezogene Daten von Sojern verarbeitet werden, die Sojern-Datenschutzrichtlinie unter https://www.sojern.com/privacy/privacy-policy/ zur Verfügung stellen.

7. Kündigung, Einwilligung und Rücktritt

Das Unternehmen informiert Personen über die Erfassung, Verwendung und Offenlegung personenbezogener Daten durch das Unternehmen und holt deren Einwilligung ein, wie es die geltenden Datenschutzgesetze vorschreiben. Wenn geltende Datenschutzgesetze Mechanismen vorschreiben, mit denen Einzelpersonen Rechte ausüben können, insbesondere Rücktrittsrechte, muss das Unternehmen (oder eine andere Partei, die im Namen des Unternehmens für die Erfassung von personenbezogenen Daten verantwortlich ist) den Einzelpersonen solche Mechanismen zur Verfügung stellen. Es wird davon ausgegangen, dass das Unternehmen die Personen, deren personenbezogene Daten Sojern zur Verfügung gestellt werden, entsprechend informiert und, falls erforderlich, die entsprechenden Einwilligungen eingeholt hat.

8. Individuelle Datenschutzrechte

Jede Partei wird in angemessener Weise mit der anderen Partei zusammenarbeiten, um auf Anfragen oder Beschwerden von Einzelpersonen zu reagieren, die sich auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags beziehen und die Datenschutzrechte nach den geltenden Datenschutzgesetzen betreffen. Wenn Sojern eine Anfrage von einer Einzelperson erhält, wird Sojern umgehend: (a) die Anfrage an das Unternehmen weiterleiten, um die Anfrage zu bearbeiten; und (b) wenn Sojern ein Datenverarbeiter ist, die Entscheidung des Unternehmens umsetzen, wie die Anfrage bearbeitet werden soll.

9. Personenbezogene Daten von EU-Bürgern

Soweit personenbezogene Daten, von außerhalb der USA (einschließlich des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs oder der Schweiz) an Sojern übermittelt werden, vereinbaren die Parteien, dass dieser Nachtrag durch Verweis, soweit zutreffend, die Standardvertragsklauseln der Europäischen Kommission für Datenübermittlungen von EU-Verantwortlichen an Nicht-EU- oder Nicht-EWR-Verarbeiter (2010/87/EU) („C2P-Musterklauseln“) umfasst und/oder die Standardvertragsklauseln der Europäischen Kommission für Datenübermittlungen von EU-Verantwortlichen an Nicht-EU- oder Nicht-EWR-Verantwortliche (2004/915/EG) („C2C-Musterklauseln“), und zwar in der jeweils von der Europäischen Kommission geänderten oder ersetzten Fassung (zusammenfassend die „Klauseln“). Für die Zwecke solcher Datenübermittlungen ist das Unternehmen der „Datenexporteur“ und Sojern der „Datenimporteur“ (auch wenn das Unternehmen ein Unternehmen mit Sitz außerhalb des EWR ist). Wenn die Klauseln Anwendung finden, wird davon ausgegangen, dass das Unternehmen und Sojern die Klauseln in ihrem jeweiligen Namen und auf eigene Verantwortung vereinbart haben, und die Unterzeichnung des Vertrages gilt als Unterzeichnung der Klauseln. Sofern es einen Konflikt zwischen den Bedingungen dieses Nachtrags und den Klauseln gibt, sind die anwendbaren Klauseln maßgeblich.

  1. Verantwortlicher an Verarbeiter Für die Zwecke der C2P-Musterklauseln (i) ersetzt der Anhang 1 zu diesem Nachtrag den Anhang 1 der C2P-Musterklauseln; und (ii) ersetzen die Bestimmungen zur Informationssicherheit in Abschnitt 10 dieses Nachtrags den Anhang 2 der C2P-Musterklauseln.
  2. Verantwortlicher an Verantwortlichen Für die Zwecke der C2C-Musterklauseln gilt (i) unter Klausel II der C2C-Musterklauseln die Option h(iii) (Datenimporteur wählt die in Anhang A aufgeführten Datenverarbeitungsgrundsätze) als gewählt; (ii) tritt Anhang 1 dieses Nachtrags an die Stelle von Anhang B der C2C-Musterklauseln; und (iii) gelten die optionalen illustrativen Handelsklauseln als gelöscht.
  3. Abschnitt 702 des FISA und Durchführungsverordnung 12333. Sojern wird das Unternehmen unverzüglich benachrichtigen und die Annahme personenbezogener Daten einstellen, wenn Sojern Kenntnis davon erlangt, dass es der Verpflichtung zur gemeinsamen Nutzung oder Weitergabe von Daten unterliegt, wie sie in Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) und/oder in der Durchführungsverordnung 12333 der Vereinigten Staaten vorgesehen ist. Wenn der Europäischer Datenschutzausschuss oder eine andere Aufsichtsbehörde, der das Unternehmen unterliegt, weitere Leitlinien dazu veröffentlicht, welche weiteren angemessenen Maßnahmen für den internationalen Export personenbezogener Daten erforderlich sind, wird Sojern diese weiteren angemessenen Maßnahmen unverzüglich umsetzen.

10. Sicherheitsmaßnahmen

Jede Partei muss angemessene technische, physische und organisatorische Maßnahmen ergreifen und aufrechterhalten, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung und versehentlichem Verlust, versehentlicher Zerstörung oder versehentlicher Beschädigung zu schützen.

  1. Verletzung des Schutzes personenbezogener Daten. Sobald eine Partei von einer Verletzung des Schutzes personenbezogener Daten gemäß den geltenden Datenschutzgesetzen Kenntnis erlangt, wird sie die andere Partei unverzüglich und innerhalb des nach den geltenden Datenschutzgesetzen erforderlichen Zeitrahmens schriftlich benachrichtigen. Jede Partei wird in angemessener Weise mit der anderen Partei zusammenarbeiten, um die nachteiligen Auswirkungen einer Verletzung des Schutzes personenbezogener Daten, soweit möglich, zu mindern.
  2. Datenspeicherung; Löschung von personenbezogenen Daten nach Kündigung. Sojern setzt technische Sicherheitsmaßnahmen ein, um den unbefugten Zugriff auf personenbezogene Daten zu verhindern, einschließlich der Verschlüsselung personenbezogener Daten in elektronischer Form während der Übermittlung und während der Speicherung in den Netzwerken oder Systemen von Sojern. Die Verpflichtungen von Sojern in Bezug auf personenbezogene Daten im Falle einer Kündigung des Vertrages sind im Abschnitt „Laufzeit und Kündigung“ des Vertrages dargelegt, vorbehaltlich etwaiger Datenaufbewahrungsbestimmungen des jeweiligen Vertrages.

11. Unterauftragsverarbeiter

Das Unternehmen erteilt Sojern eine spezifische Erlaubnis, andere Datenverarbeiter für die Verarbeitung personenbezogener Daten einzusetzen („Unterauftragsverarbeiter“), die an Vertraulichkeits- und Datenschutzverpflichtungen gebunden sind, die mit diesem Nachtrag übereinstimmen und unter https://www.sojern.com/legal/partner-list/ aufgeführt sind. Wenn es der Vertrag erfordert oder wenn Sojern als Datenverarbeiter handelt, informiert Sojern das Unternehmen über alle Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern, indem es die oben genannte Liste aktualisiert und dem Unternehmen so die Möglichkeit gibt, gegen diese Änderungen Einspruch zu erheben; eine Anleitung für den Einspruch ist unter der gleichen URL zu finden. Wenn das Unternehmen begründete Einwände gegen eine Änderung erhebt und Sojern nicht in der Lage ist, diese Einwände auszuräumen, kann das Unternehmen den Vertrag und den Nachtrag kündigen.

12. Anwendung des Nachtrags

Dieser Nachtrag bleibt in vollem Umfang wirksam, bis einer der beiden folgenden Fälle eintritt: (a) der bzw. die Verträge bleiben wirksam, und (b) Sojern behält Kopien der personenbezogenen Daten ein. Jede Partei kann diesen Nachtrag mit sofortiger Wirkung kündigen, wenn ein wesentlicher Verstoß gegen diesen Nachtrag vorliegt oder eine Aufsichtsbehörde und/oder ein zuständiges Gericht feststellt, dass die Verarbeitung personenbezogener Daten durch die Parteien wesentlich gegen geltende Datenschutzgesetze verstößt, vorausgesetzt jedoch, dass die Partei, die den Verstoß nicht begangen hat, den mutmaßlichen Verstoß gemeldet hat und dieser Verstoß innerhalb eines Zeitraums von fünfzehn (15) Tagen nach dieser Meldung nicht behoben wurde.

13. Anwendung des Nachtrags

Dieser Nachtrag gilt als gemäß den Gesetzen des Staates Kalifornien, USA, erstellt und ist gemäß diesen Gesetzen auszulegen, ohne Berücksichtigung der kollisionsrechtlichen Bestimmungen.

ANHANG 1

Beschreibung der Datenverarbeitung

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:

Reisende und andere Kunden des Unternehmens.

Zwecke der Übermittlung(en)

Die Übermittlung erfolgt zu den folgenden Zwecken:

Für jeden rechtmäßigen Zweck in Verbindung mit den im Rahmen des Vertrags zwischen Datenexporteur und Datenimporteur erbrachten Dienstleistungen.

Kategorien der Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Daten:

Personenbezogene Daten, die vom Unternehmen übermittelt werden, werden in Übereinstimmung mit dem Vertrag bereitgestellt und können insbesondere Folgendes umfassen:

  • Informationen in Verbindung mit einer eindeutigen Online-Kennung, wie eine Cookie-ID, eine Mobilgeräte-ID, eine gehashten E-Mail-Adresse, eine Werbe-ID und vom Unternehmen zugewiesene Kunden-ID-Nummern.
  • Informationen in Verbindung mit dem Gerät einer Person, wie IP-Adresse, Gerätetyp, Browsertyp, Datum und Zeitstempel von Klicks und Webbesuchen, besuchte URLs und andere technische Informationen.
  • Informationen in Verbindung mit der Reise einer Person, wie Anzahl und Art der Reisenden, Währung/Tarife/Preise/Gebühren, Such- und Buchungsinformationen (z. B. Abreise- und Ankunftsdatum und Zielland oder -stadt), Informationen über Prämien- oder Treueprogramme und Unterkunfts- oder Servicepräferenzen (z. B. Zimmer-, Flugsitz- oder Autotyp sowie Präferenzen für Einrichtungen und Annehmlichkeiten).

Empfänger

Die übermittelten personenbezogenen Daten dürfen nur an die folgenden Empfänger oder Kategorien von Empfängern weitergegeben werden:

Jeder rechtmäßige Empfänger, wie durch den Vertrag erlaubt.

Sensible Daten (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien sensibler Daten:

Keine

Datenschutz-Registrierungsinformationen des Datenexporteurs (falls zutreffend)

Nicht zutreffend.

Zusätzliche nützliche Informationen (Speichergrenzen und andere relevante Informationen)

Die Parteien haben eine Bewertung vorgenommen, um sicherzustellen, dass angemessene Maßnahmen unter Berücksichtigung der Umstände der Übertragungen und möglicher ergänzender Maßnahmen getroffen werden.  Es wurde festgestellt, dass die Maßnahmen unter:

  •       Klausel 4 des Anhangs A der Klauseln; und/oder
  •       Abschnitt 9 des Nachtrags

ausreichend sind, um sicherzustellen, dass Abschnitt 702 des FISA und die Durchführungsverordnung 12333 das angemessene Schutzniveau, das die Klauseln bieten, nicht beeinträchtigen.

Ansprechpartner für Datenschutzbehörden

Datenimporteur

Kontaktieren Sie privacy@sojern.com für Details zum Ansprechpartner.

Datenexporteur

Kontaktieren Sie privacy@sojern.com für Details zum Ansprechpartner.