1. Gegenstand und Geltungsbereich

Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Verarbeitung personenbezogener Daten durch die Arnezeder GmbH & Co KG („Auftragsverarbeiter“) im Auftrag der Kunden („Verantwortliche“) im Zusammenhang mit der Nutzung der Softwareplattform Raitify.

Dieser AVV gilt für alle Kunden, die die Dienste von Raitify nutzen und personenbezogene Daten im Rahmen der Nutzung der Plattform verarbeiten lassen.

Die Nutzung der Raitify-Dienste gemäß den jeweils gültigen Allgemeinen Geschäftsbedingungen (AGB) gilt gleichzeitig als Abschluss dieses Auftragsverarbeitungsvertrags.

2. Gegenstand der Verarbeitung

Raitify stellt eine Softwarelösung zur Verwaltung und Beantwortung von Onlinebewertungen sowie zur Analyse von Gästefeedback bereit.

Im Rahmen der Nutzung der Plattform kann der Auftragsverarbeiter im Auftrag des Kunden personenbezogene Daten verarbeiten.

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung und Durchführung der folgenden Funktionen:

• Aggregation und Darstellung von Bewertungen aus öffentlichen Bewertungsplattformen
• Erstellung von Antwortvorschlägen auf Bewertungen mittels KI-Unterstützung
• Veröffentlichung von Antworten auf Bewertungen im Namen des Kunden
• Nutzung eines Bewertungsgenerators zur Einholung von Gästefeedback
• Analyse und Auswertung von Bewertungen (Analytics)
• Bereitstellung von Reporting- und Managementfunktionen

Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht.

3. Art der personenbezogenen Daten

Im Rahmen der Nutzung können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Name oder Benutzername von Gästen auf Bewertungsplattformen
• Inhalte von Bewertungen und Kommentaren
• ggf. Profilbilder von Bewertungsplattformen
• Gästefeedback, das über den Bewertungsgenerator abgegeben wird
• Metadaten im Zusammenhang mit Bewertungen (z.B. Bewertungsdatum, Plattform)

Die Daten stammen in der Regel aus öffentlich zugänglichen Bewertungsplattformen oder werden vom Gast freiwillig über Feedbackformulare übermittelt.

4. Kategorien betroffener Personen

Von der Verarbeitung können insbesondere folgende Personengruppen betroffen sein:

• Gäste des Kunden
• Nutzer von Bewertungsplattformen
• Personen, die Feedback über den Bewertungsgenerator abgeben

5. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der Nutzung der Raitify-Plattform durch den Kunden.

Nach Beendigung der Nutzung werden gespeicherte Daten im Rahmen der gesetzlichen Aufbewahrungspflichten gelöscht oder anonymisiert.

6. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den Weisungen des Verantwortlichen sowie im Rahmen der Nutzung der Plattform.

Die Konfiguration der Plattform durch den Kunden (z.B. Aktivierung bestimmter Funktionen oder Autopilot-Antworten) gilt als Weisung im Sinne der DSGVO.

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

Dazu gehören insbesondere:

• Zugriffsbeschränkungen auf Systeme und Daten
• Verschlüsselte Datenübertragung
• Zugriffskontrollen und Authentifizierungssysteme
• regelmäßige Sicherheitsupdates und Systemüberwachung

Diese Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.

8. Unterauftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, zur Erbringung seiner Dienstleistungen weitere Dienstleister („Unterauftragsverarbeiter“) einzusetzen, insbesondere Anbieter von Hosting-, Cloud- oder technischen Infrastrukturleistungen.

Dabei stellt der Auftragsverarbeiter sicher, dass diese Dienstleister ebenfalls geeignete Datenschutz- und Sicherheitsmaßnahmen gemäß DSGVO einhalten.

9. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei:

• Anfragen betroffener Personen
• datenschutzrechtlichen Auskunftsersuchen
• Sicherheitsvorfällen oder Datenschutzverletzungen

10. Vertraulichkeit

Alle Personen, die beim Auftragsverarbeiter Zugriff auf personenbezogene Daten haben, sind zur Vertraulichkeit verpflichtet.