Datenverarbeitungsvereinbarung (DPA)

Diese Datenverarbeitungsvereinbarung („DPA") wird geschlossen zwischen: (a) der Entität, die den Nutzungsbedingungen von Filoxenos.gr zugestimmt hat („Verantwortlicher" oder „Kunde"), und (b) Filoxenos.gr („Auftragsverarbeiter" oder „Filoxenos").

Diese DPA gilt für die Dauer unserer Geschäftsbeziehung und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Sie endet automatisch bei Ablauf oder Kündigung des Hauptvertrags.

• Datenarten: Gästenamen, E-Mail-Adressen, Check-in/Check-out-Daten, Buchungsbeträge, Provisionen, Steuernummern.
• Kategorien betroffener Personen: Gäste von Kurzzeitunterkünften.
• Zweck: Erstellung von Berichten zur Steuereinhaltung bei der AADE und automatisierte Zustellung an Steuerberater.
• Speicherdauer: 10 Jahre gemäß griechischem Steuerrecht.

Der Auftragsverarbeiter verpflichtet sich: (a) Daten nur gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten. (b) Sicherzustellen, dass Personal mit Datenzugang einer Verschwiegenheitspflicht unterliegt. (c) Alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen. (d) Keine Weiterverarbeitung über den Rahmen dieser Vereinbarung hinaus. (e) Den Verantwortlichen bei der Einhaltung seiner DSGVO-Pflichten zu unterstützen.

Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen zum Schutz der Daten ein, einschließlich: AES-256-GCM-Verschlüsselung ruhender Daten, TLS 1.2+ bei Übertragung, rollenbasierte Zugriffskontrollen, Überwachung und Protokollierung, Backup-Verfahren und Sicherheitstests.

Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Verantwortlichen einsetzen. Die aktuelle Liste der Unterauftragsverarbeiter ist auf der Seite Unterauftragsverarbeiter verfügbar. Der Auftragsverarbeiter informiert den Verantwortlichen über jede Hinzufügung oder Ersetzung.

Der Auftragsverarbeiter übermittelt keine Daten außerhalb des Europäischen Wirtschaftsraums (EWR) ohne angemessene Garantien gemäß Kapitel V der DSGVO.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch, Einschränkung).

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung und innerhalb von 48 Stunden nach Entdeckung einer Datenschutzverletzung, die ein Risiko für die Rechte betroffener Personen darstellen könnte.

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für die Demonstration der Einhaltung erforderlich sind, und ermöglicht Audits durch den Verantwortlichen oder eine beauftragte Drittpartei.

Nach Beendigung des Vertrags löscht oder zurückgibt der Auftragsverarbeiter alle Daten an den Verantwortlichen, sofern die Speicherung nicht nach geltendem Recht erforderlich ist.

Diese DPA unterliegt deutschem Recht. Gerichtsstand ist Berlin.

• Verschlüsselung: AES-256-GCM für ruhende Daten, TLS 1.2+ für Datenübertragung.
• Zugriffskontrollen: Rollenbasiert (RBAC), Minimalprinzip, Multi-Faktor-Authentifizierung.
• Schlüsselverwaltung: Verschlüsselungsschlüssel separat gespeichert, regelmäßige Rotation.
• Überwachung: Protokollierung und Analyse von Sicherheitsereignissen.
• Backups: Tägliche verschlüsselte Backups, Wiederherstellungstests.
• Gegenmaßnahmen: Kontinuierliche Updates, Penetrationstests, Vorfallreaktionsplan.
• Schulung: Regelmäßige Datenschutzschulungen des Personals.
• Physische Sicherheit: Rechenzentren mit ISO 27001 Zertifizierung.