§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Odenwald IT Service UG, nachfolgend „Auftragsverarbeiter“) im Auftrag des Verantwortlichen (der Now2Wallet nutzende Händler, nachfolgend „Verantwortlicher“) innerhalb des Now2Wallet-Dienstes.
(2) Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags (Now2Wallet-Abonnement). Er endet automatisch mit dem Ende des Hauptvertrags.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Erbringung des Now2Wallet-Dienstes:
- Erstellung signierter Apple-Wallet- und Google-Wallet-Pässe aus den vom Shop des Verantwortlichen übermittelten Ticketdaten
- Erstellung und Aktualisierung der entsprechenden Wallet-Pass-Klassen / -Objekte
- Auslieferung der „Zur Wallet hinzufügen“-Links / -Pässe an den Ticketinhaber
- Audit-Protokollierung der durchgeführten Vorgänge
(2) Eine Verarbeitung zu anderen Zwecken (z. B. Profilbildung, Werbung, Verkauf an Dritte) findet nicht statt.
§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Folgende Datenkategorien werden verarbeitet:
- Verantwortlicher- / Kontodaten: Name, E-Mail, Unternehmen, Rechnungsanschrift, IP-Adresse, User-Agent
- Ticketinhaberdaten: Name des Teilnehmers, Ticket-/Bestellnummer, Veranstaltungsdaten (Name, Datum, Veranstaltungsort, Sitzplatz/Block) sowie der QR-/Barcode-Wert
- Audit-Daten: Zeitstempel der Pass-Erstellung, IP-Adressen bei sicherheitsrelevanten Vorgängen
(2) Nicht verarbeitet werden: die vollständigen Inhalte der WooCommerce-Datenbank des Verantwortlichen (Artikel, Zahlungsdaten, Kundenpasswörter) sowie FTP-/SSH-/Datenbank-Zugangsdaten. Die Kommunikation erfolgt ausschließlich über das Now2Wallet-Plugin über eine signierte HTTPS-API.
(3) Kategorien betroffener Personen: der Verantwortliche und seine Mitarbeiter (Kontonutzer) sowie die Ticketinhaber, deren Pässe erstellt werden.
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich,
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- die Vertraulichkeit aller zur Verarbeitung der Daten befugten Personen zu gewährleisten
- geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu treffen (siehe § 7)
- den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten zu informieren
- nach Beendigung der Beauftragung alle personenbezogenen Daten zu löschen oder zurückzugeben (mit Ausnahme gesetzlicher Aufbewahrungspflichten, z. B. Rechnungen nach GoBD / AO für 10 Jahre)
- dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der DSGVO-Pflichten erforderlich sind
§ 5 Unterauftragsverarbeiter
(1) Der Auftragsverarbeiter ist berechtigt, die folgenden Unterauftragsverarbeiter einzusetzen:
| Anbieter | Zweck | Ort |
|---|---|---|
| Mittwald CM Service GmbH & Co. KG | Hosting der Now2Wallet-Plattform | Espelkamp, Deutschland |
| Apple Inc. | Auslieferung der Apple-Wallet-Pässe | USA (EU-Standardvertragsklauseln) |
| Google Ireland Ltd. | Auslieferung der Google-Wallet-Pässe | Irland, EU |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | Zahlungsabwicklung (Abrechnung) | Luxemburg |
(2) Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Änderungen werden mindestens 30 Tage im Voraus angekündigt; dem Verantwortlichen steht ein Widerspruchsrecht zu.
§ 6 Rechte der betroffenen Personen
(1) Soweit der Verantwortliche hierzu gesetzlich verpflichtet ist, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch).
(2) Der Auftragsverarbeiter leitet entsprechende, direkt bei ihm eingehende Anfragen unverzüglich an den Verantwortlichen weiter.
§ 7 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt die folgenden Maßnahmen gemäß Art. 32 DSGVO um:
Vertraulichkeit
- Zutrittskontrolle: Server in einem zertifizierten Rechenzentrum (Mittwald, ISO 27001)
- Zugangskontrolle: verpflichtende Anmeldung, Zwei-Faktor-Authentifizierung, Passwort-Hashing (bcrypt)
- Zugriffskontrolle: rollenbasiertes Berechtigungssystem (Admin / Kunde)
- Trennungskontrolle: Mandantentrennung, kontobezogene Filterung bei allen Datenbankabfragen
Integrität
- Weitergabekontrolle: HTTPS mit HSTS für alle Verbindungen; HMAC-SHA256-signierte API-Aufrufe an das Plugin
- Eingabekontrolle: Audit-Protokollierung sicherheitsrelevanter Vorgänge
Verfügbarkeit & Belastbarkeit
- Regelmäßige Backups; Verschlüsselung von Secrets im Ruhezustand
- Soweit möglich zustandslose Pass-Erstellung, um gespeicherte personenbezogene Daten zu minimieren
§ 8 Löschung und Rückgabe
Nach Beendigung der Beauftragung löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzlichen Aufbewahrungspflichten eine weitere Speicherung erfordern.