Auftragsverarbeitungs-
vertrag (AVV).

Dieser AVV gilt zwischen Ihnen ("Verantwortlicher") — typischerweise ein Veranstaltungs-Gastgeber, eine Organisation oder ein Hochzeitsplaner, der Vowly Event zur Verwaltung von Gästedaten nutzt — und der CKR Technology Group Ltd ("Auftragsverarbeiter"). Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten; der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung des Vowly Event-Dienstes, einschließlich, aber nicht beschränkt auf die Veranstaltungserstellung, Einladungsverteilung, RSVP-Erfassung, Gästelisten-Verwaltung, Zahlungsabwicklung für Veranstaltungen und Plattform-Analysen.

• Kategorien betroffener Personen: Veranstaltungsgäste, Begleitpersonen, Anbieter und Mitarbeiter des Verantwortlichen
• Kategorien personenbezogener Daten: Namen, Kontaktdaten, Ernährungsanforderungen, RSVP-Antworten, Fotos (sofern von Gästen hochgeladen)
• Dauer: für die Laufzeit des Abonnements des Verantwortlichen sowie jede schriftlich vereinbarte Aufbewahrungsfrist

Gemäß Article 28(3) der UK/EU GDPR verpflichtet sich der Auftragsverarbeiter zu folgenden Pflichten hinsichtlich der im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten.

• Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen
• Sicherstellung, dass alle zur Verarbeitung personenbezogener Daten autorisierten Personen zur Vertraulichkeit verpflichtet sind
• Umsetzung angemessener technischer und organisatorischer Maßnahmen (TOMs) — detailliert auf unserer Sicherheitsseite
• Unterstützung des Verantwortlichen bei Betroffenenrechten, DPIAs und vorherigen Konsultationen mit Aufsichtsbehörden
• Unverzügliche Benachrichtigung des Verantwortlichen bei jeder Verletzung personenbezogener Daten, die dessen Daten betrifft
• Bereitstellung aller Informationen, die zum Nachweis der Einhaltung von Article 28 erforderlich sind

Der Auftragsverarbeiter nutzt eine kuratierte Liste von Unterauftragsverarbeitern zur Erbringung des Dienstes. Mit der Unterzeichnung dieses AVV erteilen Sie eine allgemeine Genehmigung zur Nutzung von Unterauftragsverarbeitern, vorbehaltlich einer 30-tägigen Vorabankündigung von Änderungen, die Ihnen das Recht zum Widerspruch einräumt.

• Google Ireland Limited — Cloud-Infrastruktur (EU/EWR)
• Stripe Payments Europe Ltd — Zahlungsabwicklung (Irland)
• Resend Inc. — transaktionale E-Mail-Zustellung (SCCs, soweit anwendbar)
• Cloudflare Inc. — DDoS-Schutz und CDN (EU/US mit SCCs)
• Aktualisierte Liste verfügbar unter vowly.co/subprocessors (geplant)

Soweit personenbezogene Daten außerhalb des Vereinigten Königreichs oder EWR übermittelt werden, stützt sich der Auftragsverarbeiter auf geeignete Schutzmaßnahmen gemäß Kapitel V der UK/EU GDPR. Die primären Mechanismen sind die EU-Standardvertragsklauseln (SCCs) und das britische International Data Transfer Addendum (IDTA), ergänzt durch zusätzliche technische und organisatorische Maßnahmen, soweit erforderlich.

Der Auftragsverarbeiter gestattet und unterstützt nach angemessener schriftlicher Ankündigung Audits, die vom Verantwortlichen oder einem beauftragten externen Auditor durchgeführt werden (vorbehaltlich Vertraulichkeitsverpflichtungen). Zur Minimierung von Störungen bietet der Auftragsverarbeiter zunächst branchenübliche Auditberichte (z. B. SOC 2 Type II-Berichte von Infrastrukturanbietern) und Sicherheitsfragebögen an.

Nach Beendigung des Abonnements des Verantwortlichen wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten innerhalb von 30 Tagen zurückgeben oder löschen, sofern keine Aufbewahrung nach geltendem Recht erforderlich ist. Backup-Daten werden innerhalb von 35 Tagen nach Löschung in den Primärsystemen aus der Rotation entfernt.

Die Haftung des Auftragsverarbeiters nach diesem AVV unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen. Nichts in diesem AVV begrenzt die Haftung einer Partei für Verstöße gegen die UK GDPR oder EU GDPR, soweit eine solche Haftung gesetzlich nicht ausgeschlossen werden kann.