Bokrez

Bokrez

Datenverarbeitungsvereinbarung

Zuletzt aktualisiert: 1. April 2026. | Anwendbar gemäß GDPR-Artikel 28

Hinweis: Diese Datenverarbeitungsvereinbarung (“DPA”) gilt automatisch zwischen jedem Geschäftsnutzer (“Verantwortlichem”) und 360 tour obrt (“Auftragsverarbeiter”, betreibt Bokrez) ab dem Zeitpunkt der Registrierung und Akzeptierung der Nutzungsbedingungen. Keine separate Unterschrift erforderlich.

1. Parteien und Definitionen

Diese Datenverarbeitungsvereinbarung wird geschlossen zwischen:

Verantwortlicher:

Der Geschäftsnutzer, der auf der Bokrez-Plattform registriert ist und personenbezogene Daten seiner Endkunden über die Plattform verarbeitet.

Auftragsverarbeiter:

360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Kroatien, OIB: 59456273095 — Betreiber der Bokrez-Plattform (bokrez.com).

In dieser Vereinbarung:

  • “DSGVO” bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016.
  • “Personenbezogene Daten” hat die Bedeutung gemäß Artikel 4 Absatz 1 DSGVO.
  • “Verarbeitung” hat die Bedeutung gemäß Artikel 4 Absatz 2 DSGVO.
  • “Plattform” bezeichnet den Bokrez-SaaS-Dienst unter bokrez.com.
  • “Betroffene” bezeichnet die Endkunden des Verantwortlichen, deren personenbezogene Daten über die Plattform verarbeitet werden.
  • “Unterbeauftragte” bezeichnet Dritte, die vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten im Namen des Verantwortlichen beauftragt werden.

2. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Namen des Verantwortlichen ausschließlich zum Zweck der Erbringung des Bokrez-Dienstes wie in den Nutzungsbedingungen beschrieben.

Gegenstand der VerarbeitungVerwaltung von Terminbuchungen, Kundendaten (CRM), Kommunikation und zugehörige Funktionen innerhalb der Bokrez-Plattform
DauerFür den gesamten Zeitraum der aktiven Abonnement des Verantwortlichen bei Bokrez
Art der VerarbeitungSpeicherung, Organisation, Abfrage, Anzeige, Benachrichtigungsversand, Datensicherung
Zweck der VerarbeitungBereitstellung der Bokrez-Plattformfunktionen für den Verantwortlichen und dessen Endnutzer

3. Arten personenbezogener Daten und Kategorien Betroffener

3.1 Arten der verarbeiteten personenbezogenen Daten

  • Identitätsdaten: Vorname, Nachname
  • Kontaktdaten: E-Mail-Adresse, Mobiltelefonnummer
  • Buchungsdaten: Termine, Dienstleistungen, Terminnotizen
  • CRM-Notizen und Tags, die der Verantwortliche über Betroffene eingibt
  • Treueprogrammdaten: Punkte/Stempelstand, Transaktionsverlauf
  • Bewertungs- und Beurteilungsdaten
  • Plattforminterne Nachrichten zwischen Betroffenen und dem Verantwortlichen

Bokrez verarbeitet im Rahmen der Standarddienstleistung keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), es sei denn, der Verantwortliche gibt solche Daten ausdrücklich in Freitextfelder ein, wofür der Verantwortliche die volle Verantwortung trägt.

3.2 Kategorien Betroffener

Endkunden des Verantwortlichen (natürliche Personen, die Termine buchen oder über die Plattform mit dem Verantwortlichen kommunizieren).

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter (Bokrez) verpflichtet sich zu:

Verarbeitung nur nach Weisung: Personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen zu verarbeiten, wie in dieser Vereinbarung und den Nutzungsbedingungen festgelegt, und den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach seiner Auffassung gegen die DSGVO oder geltendes Recht verstößt.
Vertraulichkeit: Sicherzustellen, dass alle Personen und Unterbeauftragten, die personenbezogene Daten verarbeiten, angemessene Vertraulichkeitsverpflichtungen eingegangen sind.
Sicherheit: Technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO zu implementieren, unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
Unterbeauftragte: Unterbeauftragte nur mit vorheriger schriftlicher Genehmigung (allgemein oder spezifisch) des Verantwortlichen zu beauftragen, wie in Artikel 6 dieser Vereinbarung geregelt.
Unterstützung bei Rechten: Unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen zu unterstützen, soweit dies reasonably möglich ist, um dessen Pflicht zur Beantwortung von Anträgen Betroffener auf Wahrnehmung ihrer Rechte zu erfüllen.
Compliance-Unterstützung: Den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO zu unterstützen (Sicherheit, Datenverletzungen, Folgenabschätzungen, Vorabkonsultationen).
Löschung oder Rückgabe von Daten: Nach Beendigung der Dienstleistung auf Wahl des Verantwortlichen alle personenbezogenen Daten zu löschen oder zurückzugeben und sicherzustellen, dass Unterbeauftragte gleiches tun.
Zusammenarbeit und Audit: Dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die notwendig sind, um die Compliance mit diesem Artikel nachzuweisen, und Audits oder Inspektionen durch den Verantwortlichen oder dessen Prüfer zu zulassen.

5. Sicherheitsmaßnahmen

Bokrez setzt folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten Betroffener ein:

MaßnahmeImplementierungsdetail
Verschlüsselung bei ÜbertragungTLS 1.2+ für gesamten Datenverkehr zwischen Client und Server
Verschlüsselung im RuhezustandVerschlüsselte Festplatte für Datenbank und Dateisystem
ZugriffsverwaltungRollenbasierte Zugriffskontrolle (RBAC); alle Zugriffe werden authentifiziert und protokolliert
PasswörterNiemals im Klartext gespeichert; bcrypt-Hashing mit Kostenfaktor 12
DatensicherungenTägliche automatisierte verschlüsselte Datenbanksicherungen
Überwachung und ProtokollierungAudit-Protokolle von Zugriffen und Änderungen; 90 Tage Aufbewahrung
Verwaltung von UnterbeauftragtenAlle Dritten mit Datenzugriff sind durch DPA-Vereinbarungen gebunden
VorfallreaktionDokumentiertes Verfahren zur Reaktion auf Datenverletzungen mit 72-Stunden-AZOP-Melde Deadlines

6. Unterbeauftragte

Der Verantwortliche ermächtigt Bokrez hiermit allgemein zur Beauftragung von Unterbeauftragten. Bokrez stellt sicher, dass alle Unterbeauftragten durch Vertragspflichten gebunden sind, die denen in dieser Vereinbarung gleichwertig sind.

Aktuelle Unterbeauftragte:

UnterbeauftragterZweckStandortÜbermittlungsbasis
Resend Inc.Versand transaktionaler E-MailsUSAEU-US DPF + SCC
Hosting-Anbieter (EU-Server)DatenspeicherungEUInnerhalb des EWR

Bokrez wird den Verantwortlichen über geplante Änderungen bei Unterbeauftragten mindestens 14 Tage im Voraus informieren. Der Verantwortliche kann innerhalb von 10 Tagen Widerspruch einlegen. Kann der Widerspruch nicht beigelegt werden, hat der Verantwortliche das Recht, die Vereinbarung ohne Strafe zu kündigen.

7. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

Bokrez wird ohne ungerechtfertigte Verzögerung, in jedem Fall jedoch innerhalb von 48 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten, die Daten betreffen, die im Namen des Verantwortlichen verarbeitet werden, den Verantwortlichen benachrichtigen.

Die Benachrichtigung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung, einschließlich Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
  • Kontaktdaten der für weitere Informationen verfügbaren Person
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung

Der Verantwortliche behält die Verantwortung für eigene Meldepflichten gegenüber AZOP (innerhalb von 72 Stunden gemäß Art. 33 DSGVO) und die Unterrichtung Betroffener (gemäß Art. 34 DSGVO).

8. Rechte Betroffener

Bokrez wird unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen mit angemessenen technischen Maßnahmen unterstützen, soweit möglich, um dessen Pflichten zur Beantwortung von Anträgen Betroffener (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) zu erfüllen.

Bokrez ist verpflichtet, ohne Verzögerung, spätestens jedoch innerhalb von 5 Werktagen, alle Anträge Betroffener, die es direkt erhält und die Daten betreffen, die Bokrez im Namen des Verantwortlichen verarbeitet, an den Verantwortlichen weiterzuleiten.

9. Pflichten des Verantwortlichen

Der Verantwortliche erklärt und gewährleistet, dass er:

  • Eine gültige Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten Betroffener über die Plattform hat
  • Betroffene über die Verarbeitung ihrer Daten gemäß Art. 13 und 14 DSGVO informiert hat (z. B. durch eine eigene Datenschutzerklärung)
  • Die Plattform nur für rechtmäßige Zwecke nutzen wird
  • Bokrez unverzüglich über alle Anträge oder Beschwerden Betroffener informieren wird, die die Verarbeitung über die Plattform betreffen
  • Das Recht hat, Bokrez Weisungen zur Verarbeitung zu erteilen, einschließlich Weisungen zur Löschung oder Änderung von Daten

10. Audit und Inspektion

Der Verantwortliche hat das Recht, die Compliance von Bokrez mit dieser Vereinbarung zu überprüfen. Bokrez wird:

  • Auf Anfrage relevante Dokumentation zu Sicherheitsmaßnahmen und Compliance zur Verfügung stellen
  • Einmal jährlich mit 30 Tagen Vorankündigung dem Verantwortlichen oder einem autorisierten unabhängigen Prüfer die Durchführung eines Audits ermöglichen, sofern das Audit den Betrieb von Bokrez nicht beeinträchtigt und die Auditkosten vom Verantwortlichen getragen werden

11. Rückgabe und Löschung von Daten

Nach Ablauf oder Kündigung des Abonnements:

  • Dem Verantwortlichen wird die Möglichkeit gegeben, Daten innerhalb von 30 Tagen in maschinenlesbarem Format (CSV, JSON) zu exportieren
  • Nach Ablauf dieser Frist wird Bokrez alle personenbezogenen Daten Betroffener, die im Namen des Verantwortlichen verarbeitet wurden, löschen, es sei denn, eine gesetzliche Aufbewahrungspflicht greift
  • Auf Anfrage stellt Bokrez eine schriftliche Bestätigung der Löschung zur Verfügung

12. Haftung

Bokrez haftet gegenüber dem Verantwortlichen für direkte Schäden, die aus der Verletzung dieser Vereinbarung oder geltenden Datenschutzrechts durch Bokrez entstehen, vorbehaltlich der in den Nutzungsbedingungen festgelegten Beschränkungen.

Jede Partei ist gegenüber der Aufsichtsbehörde unabhängig für eigene Verstöße gegen Datenschutzvorschriften verantwortlich.

13. Anwendbares Recht

Diese Vereinbarung unterliegt dem Recht der Republik Kroatien und dem anwendbaren EU-Recht, insbesondere der DSGVO. Das Handelsgericht in Zagreb ist für alle Streitigkeiten zuständig.

14. Änderungen

Bokrez kann diese Vereinbarung mit mindestens 30 Tagen schriftlicher Vorankündigung ändern. Die fortgesetzte Nutzung der Plattform nach dem Änderungsdatum gilt als Akzeptanz. Wenn der Verantwortliche nicht zustimmt, kann er das Abonnement ohne Strafe kündigen.

Datenschutz-Kontakt

360 Tour — Obrt za virtualne zapise — Bokrez Datenschutz

Zagrebačka cesta 81, 10000 Zagreb

OIB: 59456273095

E-Mail: privacy@bokrez.com

Web: bokrez.com