TAAP Online-Vereinbarung – Vereinbarung über Übermittlung von Verantwortlichen an Verantwortliche (Controller to Controller – „C2C“) (einschließlich der Standardvertragsklauseln)

Die englische Originalfassung der vorliegenden C2C-Vereinbarung kann in andere Sprachen übersetzt worden sein.  Bei Widersprüchen oder Abweichungen zwischen der englischen Fassung und anderen Sprachfassungen dieser Vereinbarung ist die englische Sprachfassung maßgebend.

ANWENDUNGSBEREICH: Wenn sowohl Expedia als auch Sie personenbezogene Daten im Rahmen einer mit der anderen Partei (eventuell in Form einer Online-Clickwrap-Vereinbarung) geschlossenen Vereinbarung (gemäß der Sie zum Marketingpartner im Rahmen von TAAP ernannt wurden, sowie alle relevanten Aktivitäten im Zusammenhang mit dieser Aktivität, in dieser Vereinbarung als „ relevante Aktivitäten“ bezeichnet) verarbeiten, dann ergänzt die vorliegende globale Vereinbarung für die Datenübermittlung von Verantwortlichen an Verantwortliche („C2C-Vereinbarung“) eine solche zwischen den Parteien im Zusammenhang mit den relevanten Aktivitäten geschlossene Vereinbarung (die „ Vereinbarung“) und ist auf diese anwendbar, und legt zusätzliche Bedingungen, Anforderungen und Voraussetzungen fest, die für die jeweilige Verarbeitung personenbezogener Daten im Zusammenhang mit der Vereinbarung durch Expedia und Sie gelten. In dieser C2C-Vereinbarung beziehen sich „ Expedia“, „ wir“ und „ uns“ auf Expedia, Inc. und/oder jedes andere Unternehmen der Expedia Group, das Vertragspartei der Vereinbarung ist. „Sie“ bezieht sich auf die in der Mitgliedschaftsregistrierung genannte juristische Person, wie in der Vereinbarung beschrieben (und alle Verweise auf Expedia oder Sie werden als Pluralbegriffe ausgelegt, soweit dies in der Vereinbarung erforderlich ist).

1. DEFINITIONEN UND AUSLEGUNG

1.1 Diese C2C-Vereinbarung unterliegt den Bestimmungen der Vereinbarung und wird durch Bezugnahme in die Vereinbarung aufgenommen. Die in der Vereinbarung festgelegten Auslegungen und definierten Begriffe gelten für die Auslegung dieser C2C-Vereinbarung, sofern in dieser C2C-Vereinbarung nichts anderes definiert ist; und:

  1. a. geeignete technische und organisatorische Maßnahmen, Verantwortlicher, personenbezogene Daten, Verletzung des Schutzes personenbezogener Daten, Verarbeitung/verarbeiten und Aufsichtsbehörde (oder hinreichend gleichwertige Begriffe) haben jeweils die Bedeutung, die diesen Begriffen in den anwendbaren Datenschutzgesetzen zugeschrieben ist;
  2. b. Anwendbare Datenschutzgesetze bezeichnet alle anwendbaren Gesetze und Vorschriften in jeder relevanten Rechtsordnung, die für die Verarbeitung personenbezogener Daten gelten;
  3. c. Erlaubter Zweck bezeichnet folgende Zwecke: (i) Erfüllung von Buchungen, (ii) Bereitstellung von Unterstützung bei Buchungen, (iii) TAAP-Registrierung und -Kontoverwaltung, (iv) Zahlung von Vergütungen und anderen Beträgen nach der Vereinbarung, (v) Erstellung von Berichten für Sie sowie jede weitere Verarbeitung, die für den Abgleich, die Reklamationsbearbeitung und ähnliche Aktivitäten in Verbindung mit der Bedienung der Vereinbarung erforderlich ist, (vi) TAAP-Kontounterstützung, (vii) Mitteilungen an TAAP-Mitglieder und Unternutzer, (viii) Verbesserung unserer Dienste, einschließlich Optimierung des Buchungsvorgangs, (ix) Erstellung von Berichten für Analysen, Business Intelligence und Geschäftsberichterstattung, (x) Betrugsprävention, (xi) Beantwortung von Anfragen von Strafverfolgungsbehörden und Prüfungsanfragen von Steuerbehörden, (xii) Erleichterung von Transaktionen des Betriebsvermögens (dies kann sich auch auf Fusionen, Übernahmen oder den Verkauf von Vermögenswerten erstrecken) und (xiii) anderweitige Erfüllung unserer Pflichten aus der Vereinbarung, der Datenschutzrichtlinie von Expedia und den geltenden Rechtsvorschriften sowie (xiv) Ermittlung, Berechnung und Meldung von Reisesteuern sowie andere anwendbare Besteuerungszwecke, wie dies von Zeit zu Zeit erforderlich sein kann.
  4. d. DPF bezeichnet eine Zertifizierung unter dem EU-US-Datenschutzrahmen durch das US-Handelsministerium oder unter einem Ersatz- oder Ergänzungszertifizierungsmechanismus, der von Zeit zu Zeit von der Europäischen Kommission (oder einer anderen einschlägigen nationalen Behörde) genehmigt wird, und schließt alle ergänzenden Angemessenheitsbeschlüsse jedes anderen Landes ein, die die Ausdehnung des DPF zwischen den USA und diesem Drittland (z. B. unter anderem das Vereinigte Königreich und die Schweiz) erlauben;
  5. e. Land mit Datenübermittlungseinschränkung bezeichnet jedes Land des Europäischen Wirtschaftsraums, die Schweiz, das Vereinigte Königreich und Brasilien;
  6. f. Daten mit Übermittlungseinschränkung bezeichnet Kundendaten im Zusammenhang mit einer Buchung, die über einen Point of Sale vorgenommen wurde, der von uns für den Zugriff durch Kunden in einem Land mit Datenübermittlungseinschränkung vorgesehen ist;
  7. g. Standardvertragsklauseln/SCC (Standard Contractual Clauses) bezeichnet die genehmigten Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten aus der Europäischen Union in Drittländer, herausgegeben am 4. Juni 2021 (in der jeweils gültigen Fassung, wie von Zeit zu Zeit ersetzt, ergänzt oder abgelöst), deren vollständige aktuelle Version unter folgendem Link abrufbar ist: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de; und
  8. h. Personenbezogene TAAP-Daten bezeichnet personenbezogene Daten, die Sie uns über die TAAP-Website oder anderweitig in Verbindung mit TAAP selbst oder der Durchführung von Buchungen über die TAAP-Website bereitstellen.
Rechtsverhältnis der Parteien
  1. 1.2 Sowohl Sie als auch wir erheben und verarbeiten personenbezogene Daten, um unsere jeweiligen Rechte und Pflichten aus der vorliegenden Vereinbarung sowie Ihre und unsere jeweiligen Verantwortlichkeiten im Rahmen des geltenden Rechts zu erfüllen. Somit wird jede der Parteien: (i) personenbezogene Daten als unabhängiger und autonomer Verantwortlicher verarbeiten, (ii) die anwendbaren Datenschutzgesetze einhalten, und (iii) die Verantwortung für alle ihre Handlungen oder Unterlassungen tragen, durch die die anwendbaren Datenschutzgesetze verletzt werden.
Ihre Verantwortlichkeiten

1.3 Sie müssen: 

  1. a. sich auf eine Rechtgrundlage stützen können, um personenbezogene TAAP-Daten an uns zur Verarbeitung für die erlaubten Zwecke weitergeben zu dürfen;
  2. b. sicherstellen, dass Kunden mittels Ihrer Datenschutzrichtlinie und auf andere geeignete Weise darauf aufmerksam gemacht werden, dass ihre personenbezogenen Daten für die erlaubten Zwecke an uns weitergegeben werden;
  3. c. Kunden auf unsere Datenschutzrichtlinie verweisen, wo sie weitere Informationen über unseren Umgang mit ihren personenbezogenen Daten finden; und
  4. d. mit uns zusammenarbeiten und uns in zumutbarer Weise dabei unterstützen, dass wir die anwendbaren Datenschutzgesetze im Zuge der Verarbeitung personenbezogener TAAP-Daten in Verbindung mit der vorliegenden Vereinbarung einhalten können.
Unsere Verantwortlichkeiten

1.4 Wir (und ggf. unsere Konzerngesellschaften) werden: 

  1. a. personenbezogene Daten ausschließlich in Verbindung mit dem erlaubten Zweck verarbeiten;
  2. b. die personenbezogenen TAAP-Daten weder ganz noch teilweise an eine andere Person weitergeben, ausgenommen im Zusammenhang mit einem erlaubten Zweck; und
  3. c. mit Ihnen zusammenarbeiten und Sie in zumutbarer Weise dabei unterstützen, dass Sie die anwendbaren Datenschutzgesetze im Zuge der Verarbeitung personenbezogener Daten im Rahmen von TAAP in Verbindung mit der vorliegenden Vereinbarung einhalten können; und
  4. d. einen rechtmäßigen und aktuellen Cookie-Hinweis (falls erforderlich) und unsere Datenschutzrichtlinie auf der TAAP-Website anzeigen und einhalten.
Kunden und Dritte

1.5 Sie nehmen zur Kenntnis, dass wir:

  1. a. in Bezug auf Buchungen E-Mails an den Kunden senden können;
  2. b. personenbezogene TAAP-Daten (einschließlich Bankverbindungsdaten) an unsere Drittdienstleister für folgende Zwecke weitergeben können:
    1. i. Verwaltung, Management und Unterstützung für Ihr TAAP-Konto, das Ihrer Mitarbeiter und Ihrer Unternutzer;
    2. ii. Erbringung von Unterstützung für Buchungen; und
    3. iii. Bezahlung von Vergütungen und anderen Beträgen gemäß der vorliegenden Vereinbarung.
Datensicherheit

1.6 Beide Parteien werden in ihrer Eigenschaft als Verantwortliche:

  1. a. geeignete technische und organisatorische Maßnahmen aufrechterhalten, um die von ihnen jeweils verarbeiteten personenbezogenen Daten vor einer Verletzung des Schutzes personenbezogener Daten zu schützen; und
  2. b. im Falle einer bestätigten Verletzung des Schutzes personenbezogener Daten in Systemen, die Eigentum der jeweiligen Partei sind oder von ihr kontrolliert werden, ist die jeweils andere Partei umgehend in Kenntnis zu setzen, falls eine solche Verletzung des Schutzes personenbezogener Daten sowohl (i) Auswirkungen auf personenbezogene TAAP-Daten hat, die auch durch die andere Partei im Rahmen des vorliegenden Vertrages verarbeitet werden; als auch (ii) an eine Aufsichtsbehörde gemeldet werden muss, wobei die jeweilige Partei alle Details dieser Verletzung angibt. In einem solchen Fall arbeiten die Parteien in angemessener Weise in gutem Glauben zusammen, um die Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu beheben oder zu mindern, und die vertretbaren Kosten dieser Zusammenarbeit werden durch die Partei getragen, die die Verletzung des Schutzes personenbezogener Daten erlitten hat.
Grenzüberschreitende Übermittlungen 

1.7 Datenschutzrahmen (Data Privacy Framework – DPF): Sie und wir vereinbaren, dass in Bezug auf die Übermittlung von Daten mit Übermittlungseinschränkung zwischen Ihnen und uns in die USA oder in ein Land, das gemäß den geltenden Datenschutzgesetzen des Herkunftslandes mit Datenübermittlungseinschränkung nicht als „angemessen“ eingestuft wurde, (a) dass das DPF, soweit und solange das DPF eine von einer zuständigen Behörde anerkannte Übermittlungsmethode ist, der vereinbarte Mechanismus für grenzüberschreitende Übermittlungen von Daten aus einem Land mit Datenübermittlungseinschränkung an uns die USA ist, und (b) dass, soweit und solange das DPF keine gültige Übermittlungsmethode ist (einschließlich für Übermittlungen von Daten mit Übermittlungseinschränkung in ein Land, das gemäß den geltenden Datenschutzgesetzen des Herkunftslandes mit Datenübermittlungseinschränkung nicht als „angemessen“ eingestuft wurde), die Standardvertragsklauseln für solche Übermittlungen gelten und wir diese auf der in Klausel 1.11 unten dargelegten Grundlage abschließen. Wenn Sie auch über eine aktuelle DPF-Zertifizierung verfügen, können Übermittlungen von Daten mit Übermittlungseinschränkung an Sie in gleicher Weise im Rahmen des DPF mit Standardvertragsklauseln als Ausweichlösung erfolgen, wie oben beschrieben.

1.8 DPF-Flowdown-Verpflichtungen: Sie verpflichten sich, mindestens das gleiche Schutzniveau für Daten mit Übermittlungseinschränkung gemäß den Anforderungen des DPF zu bieten, und Sie müssen uns umgehend in Kenntnis setzen, wenn Sie zu dem Schluss kommen, dass Sie dieses Schutzniveau nicht mehr gewährleisten können. In einem solchen Fall oder wenn wir aus anderen Gründen der begründeten Annahme sind, dass Sie die Daten mit Übermittlungseinschränkung nicht entsprechend dem gemäß dem DPF geforderten Standard schützen, können wir entweder: (a) Sie anweisen, angemessene und geeignete Maßnahmen zu ergreifen, um jede unbefugte Verarbeitung zu unterbinden und für Abhilfe zu sorgen, wobei Sie in diesem Fall unverzüglich in gutem Glauben mit uns zusammenarbeiten, um solche Maßnahmen zu ermitteln, zu vereinbaren und umzusetzen; (b) eine alternative Schutzmaßnahme vereinbaren, die für die Verarbeitung gemäß den anwendbaren Datenschutzgesetzen gelten kann; oder (c) diese C2C-Vereinbarung und die Vereinbarung (oder, nach unserer Wahl, jeden betroffenen Teil davon) ohne Vertragsstrafe durch Mitteilung an Sie kündigen. Wenn Sie auch über eine aktuelle DPF-Zertifizierung verfügen, gelten die oben genannten Bestimmungen und die Bestimmungen der nachstehenden Klausel 1.9 derart, dass die Verpflichtungen wechselseitig sind.

1.9 DPF-Offenlegungspflichten: Sie erkennen an, dass wir diese C2C-Vereinbarung und alle relevanten Datenschutzbestimmungen in der Vereinbarung gegenüber dem US-Handelsministerium, der Federal Trade Commission, jeder europäischen Datenschutzbehörde oder jeder anderen Justiz- oder Regulierungsbehörde der USA oder der EU auf deren Anfrage hin offenlegen dürfen und dass eine solche Offenlegung nicht als Verstoß gegen die Vertraulichkeit anzusehen ist.

1.10 Ausdehnung der Standardvertragsklauseln auf Länder mit Datenübermittlungseinschränkung: In Bezug auf die Übermittlung personenbezogener TAAP-Daten zwischen Ihnen und uns, die aus einem Land stammen, das ein Land ohne Datenübermittlungseinschränkung ist, aber ansonsten Schutzmaßnahmen unterliegt, die gemäß den anwendbaren Datenschutzgesetzen angewendet werden müssen, bevor eine Übermittlung dieser personenbezogenen TAAP-Daten in Länder außerhalb des Herkunftslandes erfolgen kann (jeweils ein Land ohne Datenübermittlungseinschränkung), vereinbaren Sie und wir, dass (a) die in Klausel 1.11 unten dargelegten Standardvertragsklauseln als auf solche zusätzlichen Übermittlungen in dem Umfang ausgedehnt angesehen werden, in dem eine solche angenommene Ausdehnung den Schutzmaßnahmen dieses bestimmten Landes Genüge leisten würden; und/oder (b) wenn die in Klausel 1.11 dargelegten Maßnahmen unzureichend sind oder zusätzliche Maßnahmen erfordern, vereinbaren die Parteien, solche weiteren Maßnahmen zu ergreifen (einschließlich unter anderem die Ausfertigung relevanter Dokumente, die Einholung von Einwilligungen, die Erstellung erforderlicher Unterlagen), die von Zeit zu Zeit erforderlich sein können, um den anwendbaren Datenschutzbestimmungen Genüge zu leisten.

1.11 Vorbehaltlich Klausel 1.7 oben stimmen Sie und wir hiermit zu, die Standardvertragsklauseln auf unveränderter Basis abzuschließen, mit folgenden ausgewählten Ausnahmen:

  1. a. Wenn Sie in einem Land mit Datenübermittlungseinschränkung oder anderweitig in einem Land niedergelassen sind, das gemäß Artikel 45 der DSGVO als „angemessen“ betrachtet wird, gilt Modul eins (1) der Standardvertragsklauseln nur einseitig für Übermittlungen von Ihnen an Expedia. Ansonsten gelten die Standardvertragsklauseln des Moduls 1 für Übermittlungen in beide Richtungen und decken sowohl Übermittlungen von uns an Sie als auch von Ihnen an uns ab.
  2. b. Für die Zwecke von Klausel 11 Buchstabe a der Standardvertragsklauseln wird der als Option aufgeführte Text gestrichen.
  3. c. Für die Zwecke von Klausel 13 der Standardvertragsklauseln lautet der relevante Absatz: „Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).“
  4. d. Für die Zwecke von Klausel 17 unterliegen die Standardvertragsklauseln dem irischen Recht.
  5. e. Für die Zwecke von Klausel 18 wird Irland ausgewählt.
  6. f. Den Standardvertragsklauseln wird eine neue Klausel 19 betreffend die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in Länder außerhalb des Vereinigten Königreichs hinzugefügt, die wie folgt lautet:

„Klausel 19

Britische Datenschutz-Grundverordnung (UK GDPR) und DPA von 2018

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich der britischen Datenschutz-Grundverordnung und des DPA von 2018 fallen (eine britische Übermittlung). Für die Zwecke einer solchen britischen Übermittlung gelten die Bestimmungen des Nachtrags zu den Standardvertragsklauseln betreffend Datenübermittlungen in andere Länder Version B1.0 (in der jeweils gültigen Fassung, wie von Zeit zu Zeit ersetzt, ergänzt oder abgelöst), wie in dem als Nachtrag beigefügten Formblatt dargelegt.“

  1. h. Den Standardvertragsklauseln wird eine neue Klausel 20 betreffend die Übermittlung personenbezogener Daten aus der Schweiz in Länder außerhalb der Schweiz hinzugefügt, die wie folgt lautet:

„Klausel 20

Schweiz – BDSG

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich des Bundesgesetzes über den Datenschutz der Schweiz (BDSG) fallen (in dieser Klausel als schweizerische Übermittlung bezeichnet). Für die Zwecke solcher schweizerischen Übermittlungen gilt als anwendbares Recht das Recht des ausgewählten Mitgliedstaates, der Gerichtsstand ist der ausgewählte Mitgliedstaat und die zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Die Parteien vereinbaren weiterhin, dass entsprechende weitere Änderungen an den Klauseln in Bezug auf eine schweizerische Übermittlung als vorgenommen gelten, wenn diese vom EDÖB als notwendig erachtet werden, um die britische Datenschutz-Grundverordnung und das BDSG zu erfüllen, und dass die Klauseln in Übereinstimmung mit den Anforderungen an schweizerische Übermittlungen auszulegen sind, die sich aus diesen Rechtsvorschriften ergeben oder anderweitig in Richtlinien des EDÖB festgelegt sind, ohne dass die Parteien gesonderte Standardvertragsklauseln abschließen müssen, die speziell für ihre schweizerischen Übermittlungen erstellt werden. Die Parteien werden darüber hinaus alle erforderlichen Handlungen und Maßnahmen ergreifen, um die Einhaltung des BDSG bei der Durchführung von schweizerischen Übermittlungen sicherzustellen.“

  1. i. Den Standardvertragsklauseln wird eine neue Klausel 21 betreffend die Übermittlung personenbezogener Daten aus Brasilien in Länder außerhalb Brasiliens hinzugefügt, die wie folgt lautet:

„Klausel 21

Brasilien – LGPD

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich des brasilianischen Allgemeinen Datenschutzgesetzes Nr. 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) fallen (in dieser Klausel als brasilianische Übermittlung bezeichnet). Für die Zwecke solcher brasilianischen Übermittlungen gilt als anwendbares Recht das Recht des ausgewählten Mitgliedstaates, der Gerichtsstand ist der ausgewählte Mitgliedstaat und die zuständige Aufsichtsbehörde ist die Nationale Datenschutzbehörde Brasiliens (ANPD). Die Parteien vereinbaren weiterhin, dass entsprechende weitere Änderungen an den Klauseln in Bezug auf eine brasilianische Übermittlung als vorgenommen gelten, wenn diese von der ANPD als notwendig erachtet werden, um das LGPD zu erfüllen, und dass die Klauseln in Übereinstimmung mit den Anforderungen an brasilianische Übermittlungen ausgelegt werden, die sich aus diesen Rechtsvorschriften ergeben oder anderweitig in Richtlinien der ANPD oder anderer zuständiger brasilianischer Behörden festgelegt sind, ohne dass die Parteien gesonderte Standardvertragsklauseln abschließen müssen, die speziell für ihre brasilianischen Übermittlungen erstellt werden. Die Parteien werden darüber hinaus alle erforderlichen Handlungen und Maßnahmen ergreifen, um die Einhaltung des LGPD bei der Durchführung von brasilianischen Übermittlungen sicherzustellen.“

  1. j. Den Standardvertragsklauseln wird eine neue Klausel 22 zur Abdeckung der Übermittlung personenbezogener Daten aus einem anderen, bisher nicht genannten Land hinzugefügt, gemäß der die Standardvertragsvertragsklauseln ausgedehnt werden können, um angemessene Schutzmaßnahmen für die Übermittlung personenbezogener Daten aus diesem Land an eine Partei außerhalb dieses Landes zu gewährleisten. Diese Klausel lautet wie folgt:

„Klausel 22

Übermittlungen an sonstige Drittländer

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich aller sonstigen anwendbaren Gesetze und Rechtsvorschriften in jeder relevanten Rechtsordnung hinsichtlich der Nutzung oder Verarbeitung personenbezogener Daten (anwendbare Datenschutzgesetze) fallen, gemäß denen mit diesen Klauseln gleichwertige Bestimmungen und Schutzmaßnahmen für die Übermittlung personenbezogener Daten aus diesem Land in ein anderes vorgeschrieben werden (in diesen Klauseln als Drittlandsübermittlungen bezeichnet). Für die Zwecke solcher Drittlandsübermittlungen gilt als anwendbares Recht das Recht des ausgewählten Mitgliedstaates, der Gerichtsstand ist der ausgewählte Mitgliedstaat und die zuständige Aufsichtsbehörde ist die Datenschutzbehörde oder Regulierungsbehörde jenes Landes. Die Parteien vereinbaren weiterhin, dass entsprechende weitere Änderungen an den Klauseln in Bezug auf eine Drittlandsübermittlung als vorgenommen gelten, wenn diese von einer solchen Aufsichtsbehörde als notwendig erachtet werden, um die anwendbaren Datenschutzgesetze dieses Landes zu erfüllen, und dass die Klauseln in Übereinstimmung mit den Anforderungen an Drittlandsübermittlungen ausgelegt werden, die sich aus diesen Gesetzen ergeben oder anderweitig in Richtlinien der zuständigen Aufsichtsbehörde festgelegt sind, ohne dass die Parteien gesonderte Standardvertragsklauseln abschließen müssen, die speziell für ihre Drittlandsübermittlungen erstellt werden. Die Parteien werden darüber hinaus alle erforderlichen Handlungen und Maßnahmen ergreifen, um die Einhaltung der anwendbaren Datenschutzgesetze bei der Durchführung von Drittlandsübermittlungen sicherzustellen.“

1.12 Anhang 1 (Übersicht über die Verarbeitung im Rahmen von Standardvertragsklauseln) dieser C2C-Vereinbarung stellt Anhang 1 der Standardvertragsklauseln dar. Anhang 2 (Technische und organisatorische Maßnahmen) dieser C2C-Vereinbarung stellt Anhang 2 der Standardvertragsklauseln dar und gilt nur für Expedia, wenn Sie angemessene technische und organisatorische Maßnahmen bereitgestellt haben und wir diese akzeptiert haben, um Ihre Standardvertragsklausel-Anforderungen aus Anhang 2 zu erfüllen, oder wo dies nicht der Fall ist, wird Anhang 2 so ausgelegt, dass er für beide Parteien gilt, und alle Bezugnahmen auf Expedia und die Expedia Group werden so ausgelegt, dass sie sich jeweils auf jede der Parteien beziehen. Der Nachtrag zu dieser C2C-Vereinbarung stellt für die Zwecke der Standardvertragsklauseln den britischen Nachtrag (UK Addendum) dar.

ANHANG I – ÜBERSICHT ÜBER DIE VERARBEITUNG IM RAHMEN VON STANDARDVERTRAGSKLAUSELN
MODUL EINS: Von Verantwortlichen an Verantwortliche (von Ihnen an uns)
A. LISTE DER PARTEIEN

Datenexporteur(e):

Partei

Die Partei(en), bezeichnet als „Sie“, TAAP-Mitglied oder mit einem gleichwertigen Begriff

Adresse

Wie in der Vereinbarung festgelegt

Name, Position und Kontaktdaten für alle Expedia Group-Parteien

Account Manager, der die E-Mail-Adresse verwendet, die dem Expedia-Ansprechpartner von Zeit zu Zeit mitgeteilt wird

Aktivitäten, die für die im Rahmen von Standardvertragsklauseln übertragenen Daten relevant sind

 

Buchungen über die TAAP-Website, die wir Ihnen gemäß der Vereinbarung zur Verfügung stellen

Rolle

Verantwortlicher

Datenimporteur(e): 

Partei

Die Nicht-EU-Parteien, die in der Vereinbarung als „uns“ oder „Expedia“ bezeichnet werden

Adresse

Wie in der Vereinbarung festgelegt

Name, Position und Kontaktdaten der Kontaktperson

Account Manager, der die E-Mail-Adresse verwendet, die dem Ansprechpartner des TAAP-Mitglieds von Zeit zu Zeit mitgeteilt wird

Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind

Buchungen über die TAAP-Website, die wir Ihnen gemäß der Vereinbarung zur Verfügung stellen

Rolle

Verantwortlicher

 

B. BESCHREIBUNG DER DATENÜBERMITTLUNG

 

Kategorien betroffener Personen

Kunden und TAAP-Mitglieder sowie deren Unterbenutzer

Kategorien personenbezogener Daten

Daten zur Identifizierung:

  1. Vor- und Nachnamen (sowohl Reiseberater als auch Reisender)
  2. Geburtsdatum
  3. Geschlecht
  4. Anmeldedaten (Reiseberater)

Kontaktdaten:

  1. Postadresse
  2. E-Mail-Adresse
  3. Telefonnummern (Festnetz und Mobil)
  4. Faxnummer
  5. sonstige Kontaktdaten
  6. Geburtsdatum (für Flüge)
  7. Geschlecht (für Flüge)
  8. Nationalität (aus Reisepass)
  9. TSA-Details

Finanzielle Daten:

  1. Bankkontonummer
  2. Bankdaten
  3. Zahlungskartendaten

Reiseinformationen: Buchungsverlauf und Reisepräferenzen

Nur im Falle von Steuerbevollmächtigten:

  1. Steuernummer

Weitere vom TAAP-Mitglied angeforderte und mit ihm vereinbarte Informationen, einschließlich u. a. personenbezogene Daten, die im Zusammenhang mit Folgendem erforderlich sind:

  1. Berichterstellung, Überwachung und Analyse
  2. Single Sign-On, Treueprogramme

Sensible Daten

Keine, es sei denn, eine Person stellt sie freiwillig zur Erfüllung ihrer Barrierefreiheitsbedürfnisse für Reisen zur Verfügung.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

Kontinuierlich oder auf Ad-hoc-Basis gemäß den Bedürfnissen des Unternehmens des TAAP-Mitglieds

Art der Verarbeitung

Alle Verarbeitungsvorgänge, die zur Erreichung der unten aufgeführten Zwecke erforderlich sind

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Zulässige Zwecke, wie in der Vereinbarung definiert

Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Im Einklang mit der Aufbewahrungsrichtlinie der Expedia Group wird Expedia diese personenbezogenen Daten weiterhin gemäß der Vereinbarung schützen, sofern personenbezogene TAAP-Daten aus Sicherungs- oder rechtlichen Gründen über die Beendigung der Vereinbarung hinaus aufbewahrt werden

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, in der jeweils aktualisierten Fassung

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13 der Standardvertragsklauseln

Irische Datenschutzaufsichtsbehörde

 

MODUL EINS: Von Verantwortlichen an Verantwortliche (von uns an Sie)

A. LISTE DER PARTEIEN

Datenexporteur(e): 

Die in Modul eins (1) (von Ihnen an uns) oben als Datenimporteure identifizierte(n) Partei(en). Weitere Einzelheiten siehe oben.

 

Datenimporteur(e):

Die in Modul eins (1) (von Ihnen an uns) oben als Datenexporteure identifizierte(n) Partei(en). Weitere Einzelheiten siehe oben.

B. BESCHREIBUNG DER DATENÜBERMITTLUNG
  • Kategorien betroffener Personen
  • Kategorien personenbezogener Daten
  • Sensible Daten

Gemäß Modul eins (1)

  • Häufigkeit der Übermittlung
  • Art der Verarbeitung
  • Zwecke

Gemäß Modul eins (1)

  • Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Im Einklang mit der Aufbewahrungsrichtlinie des TAAP-Mitglieds

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

Nicht zutreffend

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Gemäß Modul eins (1)

 

ANHANG II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN 

Nachfolgend sind die technischen und organisatorischen Maßnahmen aufgeführt, die für die Zwecke von Modul eins (1) gelten.

GEGENSTAND

MASSNAHME

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten

  • Die Expedia Group unterstützt branchenübliche Verschlüsselungsprotokolle für die
  • Die Datenverarbeitungsanforderungen basieren auf einer Kategorisierung. Je nach den
  • Personenbezogene Daten des Kunden (und seiner Mitarbeiter) werden von der Expedia Group
  • Kreditkartennummern werden tokenisiert/pseudonymisiert, um die Verarbeitung von
  • Die Expedia Group nutzt verschlüsselte Verbindungen über VPN, SSL usw. und nutzt

Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung 

  • Die Expedia Group unterhält Verantwortlichkeiten und Verfahren für das Management und den
  • Die Überwachung der wichtigsten Verarbeitungseinrichtungen erfolgt anhand eines robusten
  • Auf den Systemen der EG ist eine branchenübliche Protokollierung und Überwachung zur
  • Die Expedia Group gewährleistet die Ausfallsicherheit ihrer Dienste durch redundante

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

  • Die Systeme der Expedia Group sind speziell darauf ausgelegt, gängige Angriffe zu
  • Die Server werden gemäß der robusten Patch-Richtlinie der Expedia Group gepatcht und durch
  • Durch die Überwachung der Verfügbarkeit und Zuverlässigkeit wird sichergestellt, dass die
  • Die Expedia Group unterhält einen Notfallwiederherstellungsplan für Notfälle sowie

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung 

  • Die technischen und organisatorischen Maßnahmen der Expedia Group werden jährlich von
  • Die EG führt jährliche PCI-Bewertungen mithilfe eines externen Gutachters durch und stellt
  • Die umfassende interne Prüffunktion der EG umfasst vierteljährliche Schwachstellentests,

Maßnahmen zur Identifizierung und Autorisierung der Nutzer, Maßnahmen zum Schutz der Daten während der Übermittlung, Maßnahmen zum Schutz der Daten während der Speicherung

  • Die Systeme der Expedia Group sind an die branchenüblichen Best Practices angeglichen und
  • Die Expedia Group hält Anforderungen für die Kontobereitstellung und -überwachung

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

  • Ein Security Operations Center stellt die Abdeckung rund um die Uhr bereit, mit einem
  • Alle Systeme werden regelmäßig von externen Dienstleistungsanbietern kontrolliert und
  • Jeder Kunde der Expedia Group bekommt eine eigene Kunden-ID zugewiesen. Unter dieser ID
  • Zugriff auf personenbezogene Daten haben nur Personen, die ausdrücklich von Expedia

Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

 

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration, Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit, Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten 

  • Das Informationssicherheitsprogramm der Expedia Group (EG) ist an Branchenrahmen und
  • Die Baustandards der Expedia Group lassen nur Systemkomponenten, Dienste und Protokolle
  • Die Expedia Group verfolgt eine mehrschichtige/in die Tiefe gestaffelte
  • Die Systeme von Expedia werden auf Amazon Web Services (AWS) und in Rechenzentren

Maßnahmen zur Gewährleistung der Datenminimierung, Maßnahmen zur Gewährleistung der Datenqualität, Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung, Maßnahmen zur Gewährleistung der Rechenschaftspflicht

  • Minimierung: Die Expedia Group stellt sicher, dass nur die Mindestmenge an Daten erfasst,
  • Speicherung: In der Datenaufbewahrungsrichtlinie der Expedia Group sind unterschiedliche
  • Qualität: Die Expedia Group verfügt über ein formalisiertes Qualitätsmanagementprogramm,
  • Rechenschaftspflicht: Die Expedia Group gewährleistet die Kontrolle der

Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung

  • Die Expedia Group trägt direkte Verantwortung für die Sicherstellung der Einhaltung der
  • In der Datenaufbewahrungsrichtlinie der Expedia Group sind unterschiedliche

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss.

  • Die Expedia Group führt eine Due-Diligence-Prüfung der Informationssicherheitspraktiken ihrer Anbieter durch und verlangt von den Anbietern die Einhaltung umfassender Sicherheitsanforderungen, einschließlich Verpflichtungen, die von den Anbietern verlangen, geeignete technische und organisatorische Maßnahmen einzurichten und aufrechtzuerhalten.
  • Die Expedia Group hat einen detaillierten Security-Impact-Assessment-Prozess („SIA“) formalisiert. Alle neuen Anbieter, die Zugriff auf Daten haben, werden vor der Beauftragung und bei Bedarf auch während der Laufzeit der Geschäftsbeziehungen überprüft. 
  • Darüber hinaus verfügt die Expedia Group auch über robuste Bedingungen für Lieferantenverarbeiter, die allen Anbietern auferlegt werden, um sicherzustellen, dass die Verpflichtungen an jeden ihrer Unterauftragsverarbeiter weitergegeben werden.

 

Nachtrag zu den Standardvertragsklauseln der EU-Kommission betreffend Datenübermittlungen in andere Länder (Nachtrag)

Dieser Nachtrag wurde vom Information Commissioner für Parteien herausgegeben, die eingeschränkte Übermittlungen durchführen Der Information Commissioner ist der Ansicht, dass dieser Nachtrag angemessene Schutzmaßnahmen für eingeschränkte Übermittlungen bietet, wenn dieser Nachtrag als rechtsverbindlicher Vertrag abgeschlossen wird.

Teil 1 Tabellen

Tabelle 1: Parteien

Startdatum

Das Datum der Standardvertragsklauseln, dem dieser Nachtrag beigefügt ist (EU-Standardvertragsklauseln).

Parteien

Hauptansprechpartner

Exporteur: Laut den EU-Standardvertragsklauseln.

 

Importeur: Laut den EU-Standardvertragsklauseln.

 

Tabelle 2: Ausgewählte Standardvertragsklauseln, Module und ausgewählte Klauseln

Nachtrag zu den EU-Standardvertragsklauseln

Die Version der genehmigten EU-Standardvertragsklauseln, denen dieser Nachtrag beigefügt ist.

Tabelle 3: Anhanginformationen

Anhanginformationen“ bezeichnet die Informationen, die für die ausgewählten Module bereitgestellt werden müssen, wie im Anhang der genehmigten EU-Standardvertragsklauseln dargelegt (mit Ausnahme der Vertragsparteien), und für die dieser Nachtrag dargelegt ist in:

Anhang IA: Liste der Parteien

Anhang IB: Beschreibung der Datenübermittlung

Anhang II: Technische und organisatorische Maßnahmen

Laut EU-Standardvertragsklauseln

Tabelle 4: Beendigung dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert

Welche Parteien können diesen Nachtrag gemäß Abschnitt 19 beenden?

Keine der Parteien

Teil 2: Obligatorische Klauseln

Obligatorische Klauseln des genehmigten Nachtrags: Dabei handelt es sich um den vom ICO herausgegebenen Muster-Nachtrag B.1.0, der dem Parlament in Einklang mit Abschnitt 119A des Datenschutzgesetzes von 2018 am 2. Februar 2022 in der gemäß Abschnitt 18 dieser obligatorischen Klauseln überarbeiteten Fassung vorgelegt wurde.