Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO)

Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Vereinbarung zwischen der Reiseagentur, die die Ziyara.io-Plattform abonniert (die „Agentur", als Verantwortlicher), und Ziyara.io (als Auftragsverarbeiter) über die Bereitstellung des Ziyara.io-Agenturverwaltungsdienstes (der „Dienst"). Er gilt automatisch für jedes Agentur-Abonnement. Eine gegengezeichnete Ausfertigung ist auf Anfrage unter info@ziyara.io erhältlich. Auch verfügbar auf Englisch.

1. Gegenstand und Dauer

Ziyara.io verarbeitet personenbezogene Daten im Auftrag der Agentur, soweit dies zur Bereitstellung des Dienstes erforderlich ist: Verwaltung von Pilgerdatensätzen, Gruppen, Zimmerbelegung, Flügen, Zahlungen, Dokumenten, Kommunikation (E-Mail/SMS/WhatsApp) und verwandten Funktionen. Dieser AVV gilt für die Dauer des Abonnements der Agentur und bis alle personenbezogenen Daten gemäß Ziffer 10 gelöscht oder zurückgegeben wurden.

2. Art und Zweck der Verarbeitung

Speicherung, Organisation, Strukturierung, Abfrage, Verwendung, Übermittlung (z. B. Versand der von der Agentur veranlassten Mitteilungen, Erstellung von Manifesten und Zimmerlisten) und Löschung personenbezogener Daten, ausschließlich zum Zweck des Betriebs der Umrah-/Hadsch-Reiseverwaltung der Agentur innerhalb des Dienstes.

3. Kategorien betroffener Personen und personenbezogener Daten

4. Pflichten des Auftragsverarbeiters (Ziyara.io)

Ziyara.io wird:

5. Unterauftragsverarbeiter

Die Agentur erteilt Ziyara.io die allgemeine Genehmigung zur Einschaltung der unter ziyara.io/subprocessors aufgeführten Unterauftragsverarbeiter. Über beabsichtigte Hinzufügungen oder Ersetzungen von Unterauftragsverarbeitern, die Pilgerdaten verarbeiten, informiert Ziyara.io die Agentur mindestens 14 Tage im Voraus (per E-Mail oder In-App-Hinweis) und gibt ihr Gelegenheit zum Widerspruch. Ziyara.io erlegt jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die den Pflichten aus diesem AVV entsprechen, und haftet der Agentur gegenüber vollumfänglich für die Erfüllung der Pflichten des jeweiligen Unterauftragsverarbeiters.

6. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

7. Internationale Datenübermittlungen

Die zentralen Dienstdaten werden in der EU gespeichert. Soweit ein Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR/UK verarbeitet, ist die Übermittlung durch eine geeignete Garantie nach Kapitel V DSGVO geschützt: EU-Standardvertragsklauseln, ein Angemessenheitsbeschluss oder eine Zertifizierung nach dem EU-US Data Privacy Framework, wie in der Unterauftragsverarbeiter-Liste angegeben.

8. Meldung von Verletzungen des Schutzes personenbezogener Daten

Ziyara.io benachrichtigt die Agentur unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die Daten der Agentur betrifft, und stellt die Informationen bereit, die die Agentur vernünftigerweise benötigt, um ihre eigenen Meldepflichten nach Art. 33 und 34 DSGVO zu erfüllen (Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen).

9. Überprüfungen und Informationen

Auf schriftliche Anfrage (höchstens einmal jährlich, sofern nicht eine Aufsichtsbehörde anderes verlangt oder eine Verletzung eingetreten ist) stellt Ziyara.io der Agentur die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen bereit, einschließlich Zusammenfassungen der Sicherheitsmaßnahmen und der Unterauftragsverarbeiter-Vereinbarungen. Reicht dies nicht aus, kann die Agentur — auf eigene Kosten, mit mindestens 30 Tagen Vorankündigung, während der Geschäftszeiten und ohne Betriebsstörung — eine auf die Verarbeitung ihrer eigenen Daten beschränkte Überprüfung durchführen.

10. Löschung und Rückgabe der Daten

Während des Abonnements kann die Agentur ihre vollständigen Daten (ZIP-Archiv mit strukturiertem JSON/CSV und Dateien) im Self-Service aus dem Agentur-Panel exportieren und einzelne Datensätze jederzeit löschen. Nach Beendigung des Dienstes wird Ziyara.io nach Wahl der Agentur alle personenbezogenen Daten löschen oder zurückgeben: Live-Daten werden innerhalb von 30 Tagen nach der bestätigten Kontolöschung gelöscht; Restkopien in verschlüsselten Backups laufen danach mit der Backup-Rotation ab, sofern nicht EU-Recht oder das Recht eines Mitgliedstaats eine längere Speicherung verlangt.

11. Pflichten des Verantwortlichen (Agentur)

Die Agentur ist verantwortlich für die Rechtmäßigkeit der Verarbeitung (einschließlich einer Rechtsgrundlage für Daten besonderer Kategorien nach Art. 9 DSGVO, in der Regel die bei der Buchung eingeholte ausdrückliche Einwilligung), für die Richtigkeit der eingegebenen Daten, für die Information ihrer Kunden (Art. 13/14 DSGVO), für die Bearbeitung der an sie gerichteten Betroffenenanfragen sowie für die rechtskonforme Nutzung der Kommunikationsfunktionen des Dienstes (E-Mail/SMS/WhatsApp) nach geltendem Marketing- und Datenschutzrecht.

12. Sonstiges

Bei Widersprüchen zwischen diesem AVV und den Nutzungsbedingungen hat dieser AVV in Datenschutzfragen Vorrang. Die Haftung richtet sich nach den Nutzungsbedingungen und Art. 82 DSGVO. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt der Rest unberührt. Dieser AVV wird auf Englisch und Deutsch bereitgestellt; bei Abweichungen hat die englische Fassung Vorrang.

Version 1.0 — 12. Juli 2026. Fragen und unterzeichnete Ausfertigungen: info@ziyara.io


Siehe auch: Unterauftragsverarbeiter · DSGVO & Datenschutz · Datenschutzerklärung