Xentra

    Auftragsverarbeitungsvereinbarung (AVV)

    Diese Datenschutz-Folgenabschätzung („DPA“) ist Bestandteil des Dienstleistungsvertrags zwischen Stellar Tourism Innovations GmbH („Auftragsverarbeiter“) und seinen Kunden („Verantwortlicher“) und regelt die Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

    1. Parteien

    Auftragsverarbeiter:

    Stellar Tourism Innovations GmbH
    Torstrasse 105-107
    10119 Berlin, Germany
    Email: hello@myxentra.com
    Commercial Register: HRB 259754 B (Amtsgericht Charlottenburg)

    Verantwortlicher: Der Kunde, der einen Dienstleistungsvertrag mit dem Auftragsverarbeiter zur Nutzung von Xentra abgeschlossen hat.

    2. Gegenstand und Dauer

    2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Xentra Ferienunterkunftsverwaltungsplattform („Dienste“).

    2.2 Die Dauer dieser DPA entspricht der Dauer des zugrunde liegenden Dienstleistungsvertrags. Die Verarbeitung beginnt mit der Aktivierung der Dienste und endet mit der Beendigung des Dienstleistungsvertrags und der Löschung oder Rückgabe aller personenbezogenen Daten.

    2.3 Gegenstand der Verarbeitung ist der Betrieb der Xentra SaaS-Plattform, einschließlich, aber nicht beschränkt auf Immobilienverwaltung, Gästekommunikation, Buchungsverwaltung, Zugangskontrolle, Check-in-Dienste und Finanzberichterstattung.

    3. Art und Zweck der Verarbeitung

    Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der im Dienstleistungsvertrag beschriebenen Dienste. Dies beinhaltet:

    • Speicherung und Verwaltung von Buchungs- und Reservierungsdaten
    • Gästekommunikation (E-Mail, SMS, WhatsApp) über integrierte Messaging-Dienste
    • Gästeregistrierung und Check-in-Abwicklung, einschließlich Identitätsprüfung
    • Synchronisierung von Daten mit verbundenen Property Management Systemen (PMS)
    • Erzeugung und Übermittlung von Zugangscodes für Smart Locks
    • Finanzberichterstattung, Rechnungsstellung und Buchhaltung
    • Einhaltung gesetzlicher Gästeregistrierungspflichten (z.B. Meldepflicht)
    • Dynamische Preisoptimierung

    4. Kategorien betroffener Personen

    Folgende Kategorien betroffener Personen sind von der Verarbeitung betroffen:

    • Gäste von Ferienunterkünften, die vom Verantwortlichen verwaltet werden
    • Mitarbeiter und Personal des Verantwortlichen
    • Geschäftskontakte des Verantwortlichen (Eigentümer, Dienstleister)

    5. Typen personenbezogener Daten

    Folgende Arten personenbezogener Daten können verarbeitet werden:

    • Name, Geburtsdatum, Nationalität
    • Kontaktdaten (E-Mail, Telefonnummer, Adresse)
    • Daten von Ausweisdokumenten (Pass-/Personalausweisnummer, Ausstellungsdatum, ausstellende Behörde)
    • Buchungsdaten (Check-in-/Check-out-Daten, Anzahl der Gäste, Preise)
    • Zahlungsdaten (über Stripe verarbeitet - nicht vom Auftragsverarbeiter gespeichert)
    • Kommunikationsdaten (Nachrichten, Zeitstempel)
    • Zugriffsprotokolle (Zugriffsereignisse Smart Lock, PIN-Codes)
    • Biometrische Daten zur Identitätsprüfung (verarbeitet über Stripe Identity)
    • IP-Adressen und Nutzungsdaten (Plattformanalysen)

    6. Pflichten des Auftragsverarbeiters

    6.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen, es sei denn, dies ist nach geltendem EU- oder Mitgliedstaatenrecht erforderlich.

    6.2 Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

    6.3 Der Auftragsverarbeiter wird geeignete technische und organisatorische Maßnahmen implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:

    • Verschlüsselung personenbezogener Daten während der Übertragung (TLS) und im Ruhezustand
    • Rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung
    • Regelmäßige Sicherheitsbewertungen und Schwachstellentests
    • Automatisierte Backups mit verschlüsselter Speicherung
    • Protokollierung und Überwachung des Datenzugriffs
    • Verfahren zur Reaktion auf Vorfälle

    6.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

    6.5 Nach Beendigung der Erbringung der Dienste wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten löschen oder zurückgeben und bestehende Kopien löschen, es sei denn, eine weitere Speicherung ist gesetzlich vorgeschrieben.

    6.6 Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlich sind, und ermöglicht und trägt zu Audits und Inspektionen bei.

    7. Unterauftragsverarbeiter

    7.1 Der Verantwortliche erteilt eine allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung bezüglich der Hinzuziehung oder des Ersatzes von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, Widerspruch einzulegen.

    7.2 Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:

    • Twilio Inc. (San Francisco, USA) - SMS, WhatsApp, and voice messaging
    • Stripe Inc. (San Francisco, USA) - Payment processing and identity verification
    • Chekin Soluciones Digitales S.L. (Sevilla, Spain) - Guest registration and online check-in
    • Smoobu GmbH (Berlin, Germany) - PMS synchronization
    • Guesty Inc. (New York, USA) - PMS synchronization
    • Hostaway Oy (Helsinki, Finland) - PMS synchronization
    • Beds24 GmbH (Fürstenberg, Germany) - PMS synchronization
    • Octorate S.r.l. (Rome, Italy) - PMS synchronization
    • Lodgify S.L. (Barcelona, Spain) - PMS synchronization
    • Hostfully Inc. (San Francisco, USA) - PMS synchronization
    • Nuki Home Solutions GmbH (Graz, Austria) - Smart lock access control
    • igloohome Pte. Ltd. (Singapore) - Smart lock access control
    • SALTO Systems S.L. (Oiartzun, Spain) - Access control
    • Ring LLC (Amazon) (Santa Monica, USA) - Intercom access control
    • PriceLabs Inc. (Chicago, USA) - Dynamic pricing optimization
    • Google LLC (Mountain View, USA) - AI language model processing (Gemini API) for guest messaging, content generation, invoice scanning, and natural language queries

    7.3 Der Auftragsverarbeiter wird dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, wie sie in dieser DPA festgelegt sind, und zwar durch Vertrag oder ein anderes Rechtsinstrument.

    7.4 Eine aktuelle Liste der Unterauftragsverarbeiter und ihrer Datenschutzrichtlinien finden Sie in unserer Datenschutzerklärung (Abschnitt 10).

    8. Datenübermittlungen in Drittländer

    8.1 Werden personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt, stellt der Auftragsverarbeiter sicher, dass geeignete Schutzmaßnahmen gemäß Kapitel V der DSGVO vorhanden sind.

    8.2 Für Übermittlungen in die Vereinigten Staaten stützt sich der Auftragsverarbeiter gegebenenfalls auf das EU-U.S. Data Privacy Framework (DPF) oder auf von der Europäischen Kommission erlassene Standardvertragsklauseln (SCCs).

    8.3 Übermittlungen an Unterauftragsverarbeiter in Drittländern erfolgen derzeit an: Twilio Inc., Stripe Inc., Guesty Inc., Hostfully Inc., Ring LLC, PriceLabs Inc., Google LLC (alle USA) und igloohome Pte. Ltd. (Singapur).

    9. Benachrichtigung bei Datenschutzverletzungen

    9.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

    9.2 Die Benachrichtigung muss folgende Informationen enthalten:

    • Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
    • Die Kategorien und die ungefähre Anzahl der betroffenen Personen und der betroffenen Datensätze
    • Die voraussichtlichen Folgen der Verletzung
    • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung

    9.3 Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und ergreift angemessene kommerzielle Schritte, um bei der Untersuchung, Minderung und Behebung der Verletzung zu helfen.

    10. Rechte der betroffenen Personen

    10.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflicht, auf Anfragen von betroffenen Personen zu antworten, die ihre Rechte gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) ausüben.

    10.2 Wenn eine betroffene Person den Auftragsverarbeiter direkt kontaktiert, leitet der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiter.

    11. Prüfungsrechte

    11.1 Der Verantwortliche hat das Recht, Audits, einschließlich Inspektionen, durchzuführen, um die Einhaltung dieser DPA durch den Auftragsverarbeiter zu überprüfen. Audits können vom Verantwortlichen oder einem vom Verantwortlichen beauftragten unabhängigen Prüfer durchgeführt werden.

    11.2 Der Auftragsverarbeiter leistet bei solchen Audits angemessene Unterstützung und gewährt Zugang zu relevanten Informationen, Räumlichkeiten und Systemen.

    11.3 Audits werden während der normalen Geschäftszeiten mit einer angemessenen Vorankündigung (mindestens 14 Tage) durchgeführt und dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen.

    12. Haftung

    12.1 Die Haftung jeder Partei unter dieser DPA unterliegt den Haftungsbeschränkungen und -ausschlüssen, die im zugrunde liegenden Dienstleistungsvertrag festgelegt sind.

    12.2 Der Auftragsverarbeiter haftet für Schäden, die durch eine Verarbeitung verursacht werden, die gegen die spezifisch an Auftragsverarbeiter gerichteten Pflichten der DSGVO verstößt oder von den rechtmäßigen Anweisungen des Verantwortlichen abweicht.

    13. Laufzeit und Kündigung

    13.1 Diese DPA bleibt für die Dauer des zugrunde liegenden Dienstleistungsvertrags in Kraft.

    13.2 Nach Beendigung ist der Auftragsverarbeiter verpflichtet, sämtliche personenbezogenen Daten innerhalb von 30 Tagen nach Wahl des Verantwortlichen zurückzugeben oder zu löschen, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

    13.3 Der Auftragsverarbeiter übermittelt dem Verantwortlichen auf Anfrage eine schriftliche Bestätigung der Löschung.

    14. Schlussbestimmungen

    14.1 Diese DPA unterliegt dem Recht der Bundesrepublik Deutschland.

    14.2 Gerichtsstand ist Berlin, Deutschland.

    14.3 Sollte eine Bestimmung dieser DPA ungültig sein, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft und wirksam.

    14.4 Diese DPA kann von Zeit zu Zeit aktualisiert werden, um Änderungen der geltenden Datenschutzgesetze oder unserer Verarbeitungstätigkeiten widerzuspiegeln. Wir werden aktive Verantwortliche über wesentliche Änderungen informieren.

    Benötigen Sie eine unterschriebene Kopie?

    Sollten Sie eine individuell unterschriebene Datenverarbeitungsvereinbarung für Ihre Unterlagen benötigen, kontaktieren Sie uns bitte unter hello@myxentra.com. Wir werden Ihnen innerhalb von 5 Werktagen eine gegengezeichnete Kopie zur Verfügung stellen.

    Wir verwenden Cookies

    Diese Website verwendet Cookies und ähnliche Technologien für Analysen und zur Verbesserung Ihrer Erfahrung. Erfahren Sie mehr in unserer Datenschutzerklärung.