Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO)
Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Vereinbarung zwischen der Reiseagentur, die die Ziyara.io-Plattform abonniert (die „Agentur", als Verantwortlicher), und Ziyara.io (als Auftragsverarbeiter) über die Bereitstellung des Ziyara.io-Agenturverwaltungsdienstes (der „Dienst"). Er gilt automatisch für jedes Agentur-Abonnement. Eine gegengezeichnete Ausfertigung ist auf Anfrage unter info@ziyara.io erhältlich. Auch verfügbar auf Englisch.
1. Gegenstand und Dauer
Ziyara.io verarbeitet personenbezogene Daten im Auftrag der Agentur, soweit dies zur Bereitstellung des Dienstes erforderlich ist: Verwaltung von Pilgerdatensätzen, Gruppen, Zimmerbelegung, Flügen, Zahlungen, Dokumenten, Kommunikation (E-Mail/SMS/WhatsApp) und verwandten Funktionen. Dieser AVV gilt für die Dauer des Abonnements der Agentur und bis alle personenbezogenen Daten gemäß Ziffer 10 gelöscht oder zurückgegeben wurden.
2. Art und Zweck der Verarbeitung
Speicherung, Organisation, Strukturierung, Abfrage, Verwendung, Übermittlung (z. B. Versand der von der Agentur veranlassten Mitteilungen, Erstellung von Manifesten und Zimmerlisten) und Löschung personenbezogener Daten, ausschließlich zum Zweck des Betriebs der Umrah-/Hadsch-Reiseverwaltung der Agentur innerhalb des Dienstes.
3. Kategorien betroffener Personen und personenbezogener Daten
- Betroffene Personen: die Pilger (Kunden) der Agentur, Interessenten (Anfragen) sowie Mitarbeiter, Reiseleiter und Dienstleistungspartner der Agentur.
- Personenbezogene Daten: Identitätsdaten (Name, Geburtsdatum, Passnummer, nationale ID, Pass-Scans und Fotos), Kontaktdaten (Telefon, E-Mail, Adresse), Reisedaten (Gruppe, Flüge, Zimmerbelegung, Visastatus, Impfdaten), Zahlungsübersichten (Beträge, Daten, Salden — keine Kartendaten) und Kommunikationsinhalte.
- Besondere Kategorien (Art. 9 DSGVO): Die Teilnahme an Umrah-/Hadsch-Reisen kann mittelbar die religiöse Überzeugung offenbaren; in begrenztem Umfang können gesundheitsbezogene Daten erfasst werden (z. B. Impfdaten). Die Agentur sichert zu, dass sie über eine gültige Rechtsgrundlage verfügt (in der Regel die ausdrückliche Einwilligung der betroffenen Person).
4. Pflichten des Auftragsverarbeiters (Ziyara.io)
Ziyara.io wird:
- personenbezogene Daten nur auf dokumentierte Weisung der Agentur verarbeiten, einschließlich der über die Funktionen des Dienstes erteilten Weisungen, sofern nicht EU-Recht oder das Recht eines Mitgliedstaats etwas anderes verlangt;
- gewährleisten, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind;
- geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umsetzen (Ziffer 6);
- die Bedingungen für die Einschaltung von Unterauftragsverarbeitern einhalten (Ziffer 5);
- die Agentur unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten unterstützen (Art. 12–23 DSGVO);
- die Agentur bei der Einhaltung der Art. 32–36 DSGVO unterstützen (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen), unter Berücksichtigung der Ziyara.io verfügbaren Informationen;
- nach Wahl der Agentur alle personenbezogenen Daten nach Ende der Erbringung des Dienstes löschen oder zurückgeben (Ziffer 10);
- alle zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung stellen und Überprüfungen ermöglichen und dazu beitragen (Ziffer 9).
5. Unterauftragsverarbeiter
Die Agentur erteilt Ziyara.io die allgemeine Genehmigung zur Einschaltung der unter ziyara.io/subprocessors aufgeführten Unterauftragsverarbeiter. Über beabsichtigte Hinzufügungen oder Ersetzungen von Unterauftragsverarbeitern, die Pilgerdaten verarbeiten, informiert Ziyara.io die Agentur mindestens 14 Tage im Voraus (per E-Mail oder In-App-Hinweis) und gibt ihr Gelegenheit zum Widerspruch. Ziyara.io erlegt jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die den Pflichten aus diesem AVV entsprechen, und haftet der Agentur gegenüber vollumfänglich für die Erfüllung der Pflichten des jeweiligen Unterauftragsverarbeiters.
6. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Hosting von Anwendung und Datenbank in der EU (Hetzner, Deutschland); Dateispeicherung auf AWS S3 in der EU (Frankfurt, eu-central-1).
- Verschlüsselung bei der Übertragung (TLS) für alle Verbindungen; Verschlüsselung im Ruhezustand (AES-256) für sensible Identitätsfelder wie Passnummern und nationale ID-Nummern; kurzlebige signierte URLs für Dateizugriffe.
- Strikte Mandantentrennung: Die Daten jeder Agentur sind auf Anwendungsebene auf diese Agentur beschränkt.
- Rollenbasierte Zugriffskontrolle innerhalb der Agentur; Zwei-Faktor-Authentifizierung; Audit-Protokollierung von Datenänderungen.
- Administrativer Zugriff durch Ziyara.io-Support nur zu Supportzwecken, protokolliert und 2FA-geschützt.
- Verschlüsselte Backups mit definierter Aufbewahrung, getrennt von der Primärinfrastruktur gespeichert; dokumentiertes Wiederherstellungsverfahren.
- Schwachstellenmanagement: Aktualisierung von Abhängigkeiten, Fehlerüberwachung und Sicherheits-Patching der zugrunde liegenden Plattform.
7. Internationale Datenübermittlungen
Die zentralen Dienstdaten werden in der EU gespeichert. Soweit ein Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR/UK verarbeitet, ist die Übermittlung durch eine geeignete Garantie nach Kapitel V DSGVO geschützt: EU-Standardvertragsklauseln, ein Angemessenheitsbeschluss oder eine Zertifizierung nach dem EU-US Data Privacy Framework, wie in der Unterauftragsverarbeiter-Liste angegeben.
8. Meldung von Verletzungen des Schutzes personenbezogener Daten
Ziyara.io benachrichtigt die Agentur unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die Daten der Agentur betrifft, und stellt die Informationen bereit, die die Agentur vernünftigerweise benötigt, um ihre eigenen Meldepflichten nach Art. 33 und 34 DSGVO zu erfüllen (Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen).
9. Überprüfungen und Informationen
Auf schriftliche Anfrage (höchstens einmal jährlich, sofern nicht eine Aufsichtsbehörde anderes verlangt oder eine Verletzung eingetreten ist) stellt Ziyara.io der Agentur die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen bereit, einschließlich Zusammenfassungen der Sicherheitsmaßnahmen und der Unterauftragsverarbeiter-Vereinbarungen. Reicht dies nicht aus, kann die Agentur — auf eigene Kosten, mit mindestens 30 Tagen Vorankündigung, während der Geschäftszeiten und ohne Betriebsstörung — eine auf die Verarbeitung ihrer eigenen Daten beschränkte Überprüfung durchführen.
10. Löschung und Rückgabe der Daten
Während des Abonnements kann die Agentur ihre vollständigen Daten (ZIP-Archiv mit strukturiertem JSON/CSV und Dateien) im Self-Service aus dem Agentur-Panel exportieren und einzelne Datensätze jederzeit löschen. Nach Beendigung des Dienstes wird Ziyara.io nach Wahl der Agentur alle personenbezogenen Daten löschen oder zurückgeben: Live-Daten werden innerhalb von 30 Tagen nach der bestätigten Kontolöschung gelöscht; Restkopien in verschlüsselten Backups laufen danach mit der Backup-Rotation ab, sofern nicht EU-Recht oder das Recht eines Mitgliedstaats eine längere Speicherung verlangt.
11. Pflichten des Verantwortlichen (Agentur)
Die Agentur ist verantwortlich für die Rechtmäßigkeit der Verarbeitung (einschließlich einer Rechtsgrundlage für Daten besonderer Kategorien nach Art. 9 DSGVO, in der Regel die bei der Buchung eingeholte ausdrückliche Einwilligung), für die Richtigkeit der eingegebenen Daten, für die Information ihrer Kunden (Art. 13/14 DSGVO), für die Bearbeitung der an sie gerichteten Betroffenenanfragen sowie für die rechtskonforme Nutzung der Kommunikationsfunktionen des Dienstes (E-Mail/SMS/WhatsApp) nach geltendem Marketing- und Datenschutzrecht.
12. Sonstiges
Bei Widersprüchen zwischen diesem AVV und den Nutzungsbedingungen hat dieser AVV in Datenschutzfragen Vorrang. Die Haftung richtet sich nach den Nutzungsbedingungen und Art. 82 DSGVO. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt der Rest unberührt. Dieser AVV wird auf Englisch und Deutsch bereitgestellt; bei Abweichungen hat die englische Fassung Vorrang.
Version 1.0 — 12. Juli 2026. Fragen und unterzeichnete Ausfertigungen: info@ziyara.io
Siehe auch: Unterauftragsverarbeiter · DSGVO & Datenschutz · Datenschutzerklärung