DSGVO - Fragen & Antworten

1. Muss ein AV-Vertrag nicht schriftlich auf Papier geschlossen werden?

Früher war das so, richtig. Der Vertrag für die Auftragsverarbeitung kann nach der neuen DSGVO jetzt allerdings auch elektronisch geschlossen werden (siehe Art. 28 Abs. 9 DSGVO).

Die DSGVO ist erst ab 25.05.2018 anzuwenden, d.h. ein elektronisch geschlossener AV-Vertrag gilt streng genommen auch erst ab diesem Tag. Allerdings hindert Sie niemand daran, den Vertrag auch vor dem 25.5. schon auszudrucken und somit eine schriftliche Version in der Hand zu halten.

2. Auf welcher rechtlichen Grundlage basiert der AV-Vertrag?

Maßgeblich für diese Auftragsverarbeitung sind derzeit der § 11 BDSG, Artikel 17 der EU-Datenschutzrichtlinie, sowie ab dem 25.5.2018 die etwas detaillierteren Regelungen aus Artikel 28 DSGVO.

3. Mein Datenschutzbeauftragter oder Rechtsanwalt hat Änderungswünsche am Vertrag. Können Sie die einfließen lassen?

Das Abschließen von AV/ADV-Verträgen ist für uns ein Massengeschäft. Wir bitten um Verständnis dafür, dass wir keine individuellen Änderungen oder Anpassungen an dem Vertrag umsetzen können.

4. Wieso nutzen Sie einen Google-Dienst zur Erstellung der AV-Vereinbarung? Ist eine DSGVO-konforme Datenverarbeitung gewährleistet?

Wir haben sowohl eine AVV als auch die Standardklauseln mit Google abgeschlossen und gehen daher davon aus, dass eine zulässige und DSGVO-konforme Datenverarbeitung vorliegt. In Kürze wird diese Datenverarbeitung auch in die Datenschutzerklärung der sipgate GmbH aufgenommen.

5. Muss ein AV-Vertrag nicht in PDF-Form, fälschungssicher und/oder digital signiert sein?

Die Zusendung des Vertrages per Email hält die Formerfordernisse ein. Das „elektronische Format“, das die DSGVO fordert, wird so ausgelegt, dass es den Anforderungen des § 126b BGB (die sog. Textform) entsprechen muss. Bei der Textform geht es im Kern darum, dass die abgegebene Erklärung zur „dauerhaften Wiedergabe“ geeignet sein muss. Das ist durch eine Email gewährleistet (wie z.B. auch nachzulesen bei Palandt/Ellenberger, § 126b, Rn. 3).

Der Ihnen von uns per Email zugesendete Vertragstext ist zur dauerhaften Wiedergabe geeignet, es besteht nämlich seitens der sipgate GmbH keinerlei Möglichkeit, diesen nachträglich zu ändern. Die E-Mail können Sie zunächst dauerhaft abspeichern, den Vertragstext können Sie zudem problemlos zur Aufbewahrung in Papierform ausdrucken. Wir gehen daher davon aus, dass die Zusendung des Vertragstextes per Email (natürlich unter Angabe der vollständigen Kontaktdaten beider Vertragsparteien im Vertragstext) die Formvorschrift des Art. 28 Abs. 9 DSGVO in Verbindung mit § 126b BGB wahrt.

6. Ich habe meinen AV-Vertrag verlegt. Können Sie mir diesen nochmal zuschicken?

Gerne. Bitte füllen Sie einfach das oben genannte Formular kurz erneut aus. Sie bekommen dann den Vertrag von einem unserer Mitarbeiter erneut per E-Mail zugeschickt.

7. Bekomme ich eine unterschriebene Kopie für meine Unterlagen?

Nein. Angesichts der hohen Anzahl an Kunden und der entsprechend hohen Anzahl an Verträgen, die wir schließen müssen, bitten wir um Verständnis dafür, dass ein Vertragsschluss ausschließlich elektronisch erfolgen kann.

8. Wie bekomme ich meinen AV-Vertrag?

Ihren AV-Vertrag können Sie jetzt direkt online mit uns abschließen. Sie bekommen Ihren AV-Vertrag innerhalb weniger Minuten von einem unserer Mitarbeiter per E-Mail zugestellt. Den AV-Vertrag können Sie vorab hier einsehen.

9. Wozu brauche ich das?

Die Europäische Union hat mit der „General Data Protection Regulation“ (GDPR, oder auf deutsch DSGVO) die Speicherung und die Verarbeitung von Daten neu geregelt. Daraus ergeben sich wichtige neue Rechte für Konsumenten, wie z.B. das Recht auf Information, Zugang, Fehlerkorrektur, Löschung, Beschränkung der Verwendung und zur Mitnahme („data portability“).

Die GDPR/DSGVO betrifft derzeit nur Firmen und Organisationen und ganz besonders solche mit mehr als 250 Mitarbeitern. Privatpersonen sind explizit ausgenommen. Wenn Sie aber beispielsweise als Freelancer Daten erheben, speichern und weiterverarbeiten, sind Sie betroffen, selbst wenn das „Daten erheben“ nur im Anlegen eines Adressbucheintrages bei einem Online-Service wie sipgate basic oder sipgate team besteht.

Seit der Neuregelung sind Unternehmen dazu verpflichtet, alle Ihre Daten-verarbeitenden Dienstleister (wie z.B. sipgate) auf die Einhaltung der GDPR/DSGVO zu überprüfen und entsprechende Verträge mit ihnen zu schließen (wie unsere Auftragsverarbeitung).

10. Ich bin außerhalb der EU, gilt für mich die DSGVO?

Ja und zwar nach Artikel 3. Räumlicher Anwendungsbereich:

(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

11. Was hat das mit meinem Reisebüro zu tun?

Sehr viel, denn das neue Bürokratie-Monster betrifft jedes Unternehmen, und zwar unabhängig vom Umsatz oder der Anzahl der Beschäftigten. Auch ein Drei-Mann-Reisebüro muss also dafür sorgen, dass Unbefugte nicht an Kundenoder Mitarbeiterdaten herankommen – und dass mit den Daten auch intern nichts angestellt wird, dem die Kunden vorher nicht ausdrücklich zugestimmt haben.

12. Ich lasse Daten außerhalb der EU verarbeiten, wer ist verantwortlich?

Wer Daten in Länder außerhalb der EU übermittelt, muss sicherstellen, dass die Informationen dort nach den Standards der EU-DSGVO behandelt werden. Bei Verstößen des Dienstleisters kann das Reisebüro in Haftung genommen werden.

13. Wer sorgt für die Sicherheit?

Der oder die Datenschutzbeauftragte (DSB). Eine solche Person muss jedes Unternehmen mit zehn Mitarbeitern oder mehr benennen. Zu den Beschäftigten zählen neben den Expedienten alle Personen, die in irgendeiner Weise mit Kunden- oder Mitarbeiterdaten in Kontakt kommen können – im Zweifelsfall also auch das externe Reinigungspersonal, das die Mülleimer leert.

Da Verstöße gegen die DSGVO sehr teuer werden können (siehe unten), empfiehlt sich nach Ansicht von Experten für jeden Betrieb unabhängig von der Größe ein DSB. Dieser kann entweder ein Mitarbeiter des Reisebüros oder ein externer Dienstleister (ähnlich wie ein Steuerberater) sein.

Die Datenschutz-Aufsichtsbehörde Niedersachsen prüft derzeit, ob Reisebüros nicht sowieso zu den Unternehmen gehören, die ständig Daten an Dritte (Veranstalter, Hotels, Airlines und so weiter) übermitteln und deshalb in jedem Fall unabhängig von ihrer Größe einen DSB brauchen.

14. Aufsichtsbehörde der SemiTimeS?

Für die SemiTimeS ist die Aufsichtsbehörde des Bundeslandes zuständig, in dem der Sitz des Unternehmens liegt. Der Sitz der SemiTimeS ist im Freistaat Bayern.

Maßgeblicher Anknüpfungspunkt ist dabei der Sitz des Unternehmens, nicht hingegen die ggf. handelnde Geschäftsstelle, Zweigstelle oder Filiale.

15. Daten Weitergabe an Drittländer?

Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet und vor der Übermittlung die aufgrund der anderen Bestimmungen der Richtlinie erlassenen Vorschriften der Mitgliedstaaten beachtet werden.

Weitere detaillierte Informationen hierfür finden Sie in der EU-Mustervertragsklauseln zur Datenübermittlung in Drittstaaten, Variante 1 und in der EU-Mustervertragsklauseln zur Datenübermittlung in Drittstaaten, Variante 2 .

16. Gibt die SemiTimeS Fahrgastdaten an Serbien weiter?

Wir haben Partnerunternehmen in Serbien für welche wir Fahrscheine verkaufen. Ab dem 25.05.2018 stellen wir für alle Passagieren nach Serbien oder aus Serbien keine Fahrscheine mehr mit Vor- und Nachname aus. Die Fahrscheine enthalten nur folgende Daten: 1. Ausgangsort, 2. Zielort, 3. Abfahrtsdatum, 4. Abfahrtszeit, 5. ca. Ankunftszeit, 6. Beförderungsentgelt und 7. Name des Beförderungsunternehmens.

Die erforderliche Zuordenbarkeit zum Fahrgast ist durch die, auf dem Fahrschein dargestellte Ticket-Nummer und das 3-D Code, gewährleistet.

17. Gibt die SemiTimeS Fahrgastdaten nach Bosnien und Hergegowina weiter?

Wir haben Partnerunternehmen in Bosnien und Herzegowina für welche wir Fahrscheine verkaufen. Ab dem 25.05.2018 stellen wir für alle Passagieren nach Bosnien und Herzegowina oder aus Bosnien und Herzegowina keine Fahrscheine mehr mit Vor- und Nachname aus. Die Fahrscheine enthalten nur folgende Daten: 1. Ausgangsort, 2. Zielort, 3. Abfahrtsdatum, 4. Abfahrtszeit, 5. ca. Ankunftszeit, 6. Beförderungsentgelt und 7. Name des Beförderungsunternehmens.

Die erforderliche Zuordenbarkeit zum Fahrgast ist durch die, auf dem Fahrschein dargestellte Ticket-Nummer und das 3-D Code, gewährleistet.

18. Gibt die SemiTimeS Fahrgastdaten nach Mazedonien weiter?

Wir haben Partnerunternehmen in Mazedonien für welche wir Fahrscheine verkaufen. Ab dem 25.05.2018 stellen wir für alle Passagieren nach Mazedonien oder aus Mazedonien keine Fahrscheine mehr mit Vor- und Nachname aus. Die Fahrscheine enthalten nur folgende Daten: 1. Ausgangsort, 2. Zielort, 3. Abfahrtsdatum, 4. Abfahrtszeit, 5. ca. Ankunftszeit, 6. Beförderungsentgelt und 7. Name des Beförderungsunternehmens.

Die erforderliche Zuordenbarkeit zum Fahrgast ist durch die, auf dem Fahrschein dargestellte Ticket-Nummer und das 3-D Code, gewährleistet.

19. Gibt die SemiTimeS Fahrgastdaten nach Montenegro weiter?

Wir haben Partnerunternehmen in Montenegro für welche wir Fahrscheine verkaufen. Ab dem 25.05.2018 stellen wir für alle Passagieren nach Montenegro oder aus Montenegro keine Fahrscheine mehr mit Vor- und Nachname aus. Die Fahrscheine enthalten nur folgende Daten: 1. Ausgangsort, 2. Zielort, 3. Abfahrtsdatum, 4. Abfahrtszeit, 5. ca. Ankunftszeit, 6. Beförderungsentgelt und 7. Name des Beförderungsunternehmens.

Die erforderliche Zuordenbarkeit zum Fahrgast ist durch die, auf dem Fahrschein dargestellte Ticket-Nummer und das 3-D Code, gewährleistet.

20. Gibt die SemiTimeS Fahrgastdaten nach Albanien weiter?

Wir haben Partnerunternehmen in Albanien für welche wir Fahrscheine verkaufen. Ab dem 25.05.2018 stellen wir für alle Passagieren nach Albanien oder aus Albanien keine Fahrscheine mehr mit Vor- und Nachname aus. Die Fahrscheine enthalten nur folgende Daten: 1. Ausgangsort, 2. Zielort, 3. Abfahrtsdatum, 4. Abfahrtszeit, 5. ca. Ankunftszeit, 6. Beförderungsentgelt und 7. Name des Beförderungsunternehmens.

Die erforderliche Zuordenbarkeit zum Fahrgast ist durch die, auf dem Fahrschein dargestellte Ticket-Nummer und das 3-D Code, gewährleistet.

21. Gibt die SemiTimeS Fahrgastdaten an andere EU-Länder weiter?

An Firmen, welche Ihren Sitz in einem EU-Land haben dürfen wir die Fahrgastdaten an das Beförderungsunternehmen weitergeben vorausgesetzt, das jeweilige Unternehmen hat mit uns einen Auftragsverarbeitungsvertrag abgeschlossen.

Wenn Sie ein Fahrschein kaufen, wobei Sie Ihren Vor- und Nachname als Passagier eingeben müssen, dann ist das DSGVO konform, da wir dann mit dem Unternehmer einen s.g. Auftragsverarbeitungsvertrag abgeschlossen haben.

Wir behalten uns das Recht vor, einen Auftragsverarbeitungsvertrag abzuschließen nur mit unternehmen, wo wir die Einhaltung des DSGVO als konform sehen.

22. Mein Unternehmen ist in europäischem Drittland (Serbien, BiH, Kosovo, Mzedonien FYR, Montenegro, Albanien). Muss ich eine Datenschutz-Vertretung in einem EU-Land haben?

Bislang wenig beachtet wird durch die EU-DSGVO auch ein neues Rechtsinstitut eingeführt: der EU-Vertreter bzw. Vertreter in der Union. Seine Existenz hängt eng mit dem durch die EU-DSGVO neu eingeführten Marktortprinzip zusammen. Alle Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, müssen grundsätzlich einen EU-Vertreter bestellen. Dieser soll insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen und stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.

23. EU-Vertreter bzw. Vertreter in der Union?

Gemäß Art. 27 Abs. 1 EU-DSGVO müssen Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, grundsätzlich einen EU-Vertreter bestellen.

Diese Verpflichtung gilt für den Verantwortlichen ebenso wie für den Auftragsverarbeiter. Die Auftragsverarbeitung in einem Drittland kann somit dazu führen, dass der Auftragsverarbeiter zur Einhaltung europäischen Datenschutzrechts verpflichtet wird und einen Vertreter in der Union bestellen muss.

24. Aufgaben des EU-Vertreters?

Der EU-Vertreter hat – wie der Name vermuten lässt – die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten.

Gemäß Art. 27 Abs. 4 EU-DSGVO soll er insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen. Er stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.

Die Benennung eines Vertreters für die Union schließt es gemäß Art. 27 Abs. 5 EU-DSGVO aber nicht aus, dass erforderliche rechtliche Schritte unmittelbar gegen den Verantwortlichen oder Auftragsverarbeiter gerichtet werden. Das Vorhandensein eines EU-Vertreters berührt die Verantwortung und Haftung der datenverarbeitenden Stelle nicht. Betroffene und Aufsichtsbehörden haben bei Datenschutzverletzungen somit die Wahl, ob sie sich an den EU-Vertreter oder den Verantwortlichen oder Auftragsverarbeiter selbst wenden.

DSGVO - Fragen & Antworten

1. Muss ein AV-Vertrag nicht schriftlich auf Papier geschlossen werden?

2. Auf welcher rechtlichen Grundlage basiert der AV-Vertrag?

3. Mein Datenschutzbeauftragter oder Rechtsanwalt hat Änderungswünsche am Vertrag. Können Sie die einfließen lassen?

4. Wieso nutzen Sie einen Google-Dienst zur Erstellung der AV-Vereinbarung? Ist eine DSGVO-konforme Datenverarbeitung gewährleistet?

5. Muss ein AV-Vertrag nicht in PDF-Form, fälschungssicher und/oder digital signiert sein?

6. Ich habe meinen AV-Vertrag verlegt. Können Sie mir diesen nochmal zuschicken?

7. Bekomme ich eine unterschriebene Kopie für meine Unterlagen?

8. Wie bekomme ich meinen AV-Vertrag?

9. Wozu brauche ich das?

10. Ich bin außerhalb der EU, gilt für mich die DSGVO?

11. Was hat das mit meinem Reisebüro zu tun?

12. Ich lasse Daten außerhalb der EU verarbeiten, wer ist verantwortlich?

13. Wer sorgt für die Sicherheit?

14. Aufsichtsbehörde der SemiTimeS?

15. Daten Weitergabe an Drittländer?

16. Gibt die SemiTimeS Fahrgastdaten an Serbien weiter?

17. Gibt die SemiTimeS Fahrgastdaten nach Bosnien und Hergegowina weiter?

18. Gibt die SemiTimeS Fahrgastdaten nach Mazedonien weiter?

19. Gibt die SemiTimeS Fahrgastdaten nach Montenegro weiter?

20. Gibt die SemiTimeS Fahrgastdaten nach Albanien weiter?

21. Gibt die SemiTimeS Fahrgastdaten an andere EU-Länder weiter?

22. Mein Unternehmen ist in europäischem Drittland (Serbien, BiH, Kosovo, Mzedonien FYR, Montenegro, Albanien). Muss ich eine Datenschutz-Vertretung in einem EU-Land haben?

23. EU-Vertreter bzw. Vertreter in der Union?

24. Aufgaben des EU-Vertreters?

Terms & Privacy

PAYMENT

Informationen

Management

Register & Login