Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch

Auftragsverarbeiter: Detlef Heits, Perkuhl 27, 26446 Reepsholt (Betreiber von Cambu)

im Auftrag des

Verantwortlichen: des jeweiligen Campingplatzbetreibers (Kunde von Cambu, nachfolgend „Verantwortlicher“)

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (AGB). Er endet automatisch mit Beendigung des Nutzungsvertrags.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der Cambu-Software und der darin enthaltenen Funktionen.

Betroffene Personen: Gäste des Campingplatzes

Kategorien personenbezogener Daten:

• Name, Vorname
• E-Mail-Adresse
• Telefonnummer (optional)
• Adresse (optional)
• Buchungsdaten (An-/Abreise, Stellplatz, Preis, Notizen)

Eine Verarbeitung zu anderen als den vereinbarten Zwecken findet nicht statt. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht verarbeitet.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (diese AGB und der Nutzungsvertrag stellen die Ausgangsweisung dar), es sei denn, er ist rechtlich zur Verarbeitung verpflichtet. In diesem Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht verbietet.

Weisungen können per E-Mail an [email protected] erteilt werden.

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, insbesondere:

• Verschlüsselung: Alle Datenübertragungen erfolgen über TLS/HTTPS. Passwörter werden gehasht gespeichert (bcrypt).
• Zugriffskontrolle: Mandantentrennung — jeder Betreiber sieht ausschließlich seine eigenen Daten. Authentifizierung über sichere Session-Tokens.
• Datensparsamkeit: Es werden nur die für den Betrieb notwendigen Daten erhoben. Keine Tracking-Skripte oder Werbe-Cookies.
• Verfügbarkeit: Betrieb auf einem dedizierten Server in Deutschland mit regelmäßigen Backups.
• Logs: Server-Logs werden nach 14 Tagen automatisch gelöscht.

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

Der Einsatz weiterer Unterauftragsverarbeiter bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen. Bei geplanten Änderungen informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig, sodass dieser Einspruch erheben kann.

Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit). Betroffenenanfragen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO. Datenpannen, die Daten des Verantwortlichen betreffen, werden diesem unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, gemeldet.

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Verantwortliche kann vor der Löschung einen Datenexport anfordern.

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO festgelegten Pflichten nachweisen zu können, und ermöglicht Überprüfungen — auch Inspektionen — durch den Verantwortlichen oder einen von ihm beauftragten Prüfer.