Auftragsverarbeitungsvertrag (AVV / DPA)

Letzte Aktualisierung: 28. Mai 2026 · Version 1.1

Vereinbarung zur Verarbeitung personenbezogener Daten gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO), zwischen dem Verto-Kunden („Verantwortlicher") und Diciassette S.r.l.s. („Auftragsverarbeiter").

§ 1 — Begriffsbestimmungen

Für diese Vereinbarung gelten die folgenden Definitionen:

  • DSGVO: Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung: jeder Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten ausgeführt wird.
  • Betroffene Person: die natürliche Person, auf die sich die personenbezogenen Daten beziehen (im vorliegenden Kontext die Gäste des Kunden).
  • Unterauftragsverarbeiter: Dritter, dem der Auftragsverarbeiter spezifische Verarbeitungsvorgänge überträgt.
  • Datenpanne (Data Breach): Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugang zu personenbezogenen Daten führt.
  • Hauptvertrag: der Servicevertrag zwischen dem Kunden und Diciassette S.r.l.s. zur Nutzung der Verto-Plattform.

§ 2 — Gegenstand und Laufzeit

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Erbringung der Verto-Dienste. Die Vereinbarung tritt zeitgleich mit dem Hauptvertrag in Kraft und bleibt für dessen gesamte Laufzeit wirksam, bis zur vollständigen Rückgabe oder Löschung der personenbezogenen Daten.

§ 3 — Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für die folgenden Zwecke, auf dokumentierte Weisung des Verantwortlichen:

  • Import und Synchronisation der Buchungen
  • Identifikation der Gäste und Zuordnung zur Buchung
  • Erstellung und Versand automatischer Nachrichten (Check-in, Check-out, Willkommen)
  • Verwaltung der WhatsApp-Kommunikation mit Gästen
  • Verarbeitung der Nachrichten durch KI-Modelle zur Generierung kontextbezogener Antworten
  • Aufbewahrung der Konversationshistorie
  • Erstellung aggregierter Berichte und Statistiken
  • Technischer Support für den Kunden

§ 4 — Datenkategorien und Kategorien betroffener Personen

Kategorien betroffener Personen

Gäste der vom Kunden über die Verto-Plattform verwalteten Beherbergungseinrichtungen.

Kategorien personenbezogener Daten

  • Identifikationsdaten: Vorname, Nachname, bevorzugte Sprache
  • Kontaktdaten: Telefonnummer, E-Mail-Adresse
  • Buchungsdaten: Aufenthaltsdaten, Gästezahl, Betrag, Herkunftskanal, Sonderwünsche
  • Standortdaten: Herkunftsland
  • Inhalt der Kommunikation: zwischen Gast und System ausgetauschte WhatsApp-Nachrichten

§ 5 — Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen zu verarbeiten
  • sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
  • alle gemäß Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen zu ergreifen
  • die Bedingungen für den Einsatz von Unterauftragsverarbeitern einzuhalten (§ 6 dieser Vereinbarung)
  • den Verantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf die Rechte der betroffenen Personen zu unterstützen
  • den Verantwortlichen bei Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen zu unterstützen
  • die Daten am Ende des Dienstes nach Weisung des Verantwortlichen zurückzugeben oder zu löschen
  • dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Pflichten nachzuweisen und Audits zu ermöglichen

§ 6 — Unterauftragsverarbeiter

Der Verantwortliche genehmigt allgemein den Einsatz folgender Unterauftragsverarbeiter:

  • Meta Platforms Ireland Ltd — WhatsApp Business API, Messaging
  • Twilio Inc. — Telefon-Infrastruktur und WhatsApp Business Nummern
  • Anthropic PBC — Claude KI, Verarbeitung natürlicher Sprache
  • OpenAI, LLC — GPT, Verarbeitung natürlicher Sprache
  • Stripe, Inc. — Zahlungsverarbeitung
  • Hosting/Cloud-Anbieter — Infrastruktur und Storage

Die aktualisierte Liste der Unterauftragsverarbeiter ist auf der Seite Unterauftragsverarbeiter verfügbar. Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen mit einer Vorankündigung von mindestens 15 Tagen. Der Verantwortliche hat das Recht, der Ernennung eines neuen Unterauftragsverarbeiters innerhalb von 15 Tagen nach Mitteilung zu widersprechen.

§ 7 — Sicherheitsmaßnahmen

Technische Maßnahmen

  • Verschlüsselung der Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256)
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Mehr-Faktor-Authentifizierung (MFA) für den Zugriff auf Systeme

Organisatorische Maßnahmen

  • Regelmäßige Schulung des Personals zum Datenschutz
  • Dokumentierte Verfahren zum Vorfallsmanagement
  • Regelmäßige Überprüfung der Zugriffsberechtigungen

§ 8 — Internationale Übermittlungen

Übermittlungen personenbezogener Daten in Drittländer (insbesondere in die Vereinigten Staaten) erfolgen auf Grundlage des EU-US Data Privacy Framework und/oder der von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (SCCs).

Personenbezogene Daten der Gäste werden nicht für das Training der KI-Modelle verwendet. Eventuell anonymisierte und aggregierte Daten können zur Verbesserung des Dienstes verwendet werden.

§ 9 — Datenpanne

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen ohne unangemessene Verzögerung und in jedem Fall innerhalb von 48 Stunden nach Kenntniserlangung und stellt alle Informationen zur Verfügung, die erforderlich sind, damit der Verantwortliche seinen Meldepflichten gemäß Art. 33 und 34 DSGVO nachkommen kann.

§ 10 — Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht, Anfragen betroffener Personen zur Ausübung ihrer in Kapitel III der DSGVO vorgesehenen Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nachzukommen.

§ 11 — Audit

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in dieser Vereinbarung festgelegten Pflichten nachzuweisen, und ermöglicht Audits und Inspektionen mit einer Vorankündigung von mindestens 30 Tagen. Der Verantwortliche akzeptiert, dass unabhängige Zertifizierungsberichte (SOC 2, ISO 27001) als Konformitätsnachweis verwendet werden können.

§ 12 — Rückgabe und Löschung der Daten

Nach Beendigung des Hauptvertrags kann der Verantwortliche die Rückgabe der Daten innerhalb von 30 Tagen verlangen. Ohne entsprechendes Verlangen werden die Daten innerhalb von 60 Tagen nach Beendigung des Dienstes gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

§ 13 — Haftung

Die Gesamthaftung des Auftragsverarbeiters aus oder im Zusammenhang mit diesem AVV ist auf die Beträge begrenzt, die der Verantwortliche in den 12 Monaten vor dem haftungsauslösenden Ereignis tatsächlich entrichtet hat.

§ 14 — Pflichten des Verantwortlichen

Der Verantwortliche garantiert, alle erforderlichen Einwilligungen eingeholt zu haben und über eine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Gäste zu verfügen. Der Verantwortliche verpflichtet sich, der geltenden Rechtslage entsprechende Weisungen zu erteilen.

§ 15 — Schlussbestimmungen

Dieser AVV unterliegt italienischem Recht. Für sämtliche Streitigkeiten aus dieser Vereinbarung ist ausschließlich der Gerichtsstand Modena (Italien) zuständig, soweit zwingendes Recht nichts anderes vorsieht.