1. Rollen als Verantwortlicher und Auftragsverarbeiter
Für Daten, die der Kunde in den Arbeitsbereich oder das Projekt über seine Kunden, Gäste, Lieferanten, Teammitglieder und Veranstaltungsteilnehmer eingibt, ist der Kunde in der Regel der Verantwortliche. KRUSPIN verarbeitet diese Daten als Auftragsverarbeiter zum Betrieb der Anwendung.
Für Daten, die für den Dienstbetrieb selbst benötigt werden, wie z. B. Benutzerkonto, Anmeldung, Sicherheit, Support, Betriebsprotokolle und Supportkommunikation, kann KRUSPIN ein unabhängiger Verantwortlicher sein.
2. Pflichten des Kunden
- Eine Rechtsgrundlage für die Eingabe personenbezogener Daten in die Bewerbung haben.
- Informieren Sie Kunden, Gäste, Lieferanten und andere Personen darüber, dass ihre Daten in einem Planungstool verarbeitet werden.
- Minimieren Sie Allergien, Gesundheits-, Familien- und andere sensible Notizen und geben Sie diese nur dort ein, wo sie für die Veranstaltungsorganisation wirklich benötigt werden.
- Legen Sie Zugriff und Rollen fest, sodass Daten nur für Personen sichtbar sind, die sie benötigen.
- Veröffentlichen Sie keine Informationen auf der Gast-Website oder in Exporten, wenn diese nicht öffentlich sein oder geteilt werden sollen.
- Behandeln Sie spezielle Datenvereinbarungen für einen bestimmten Veranstaltungsort oder Kunden außerhalb dieses öffentlichen Dokuments.
3. Umfang der Verarbeitung
Die Verarbeitung umfasst den Betrieb des Arbeitsbereichs, des Projekts, des RSVP, der Gast-Website, der Unterkunft, der Sitzplätze, der Zeitleiste, der Aufgaben, Dateien, Anbieter, Finanzarbeitsansichten, Kundenausgaben und des technischen Supports.
Diese öffentliche Übersicht ersetzt keine individuell vereinbarte Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO. Wenn ein Kunde sie benötigt, wird sie separat im Rahmen der geschäftlichen Vereinbarung geschlossen.
Die Verarbeitung kann auch Produktanalytik, Qualitätskontrolle, Support, Funktionsentwicklung und KI-gestützte Vorgänge umfassen, wenn sie mit der Bereitstellung des Dienstes, Kundeneinstellungen oder dokumentierten Anweisungen zusammenhängen. In solchen Fällen wird der Datenumfang nach Zweck und technischen Möglichkeiten der Funktion begrenzt.
4. Auftragsverarbeiter und externe Dienste
| Dienst | Status | Zweck |
|---|---|---|
| Eisenbahn / Datenbank | Wird für das Hosting verwendet | Anwendungshosting, Datenbank und Betriebsinfrastruktur. |
| Resend | Wird verwendet, wenn der E-Mail-Versand aktiviert ist | Transaktions-E-Mails: Kontobestätigung, Passwort-Zurücksetzung und Einladungen. |
| Objektspeicher | Wird für hochgeladene Dateien verwendet | Speicherung hochgeladener Dateien, Fotos, Veranstaltungsort- und Unterkunftsbilder. |
| Google Maps / Places | Wird nur verwendet, wenn Kartenfunktionen aktiviert sind | Adressvervollständigung und -überprüfung für Veranstaltungsorte und Unterkünfte. |
| OpenAI | Wird nur beim Start einer KI-Funktion, Übersetzung oder vom Kunden freigegebenen Verarbeitung verwendet | Übersetzungen, Textvorschläge, Zusammenfassungen, Importbereinigung, Suche, Qualitätskontrolle, Support und weitere KI-gestützte Funktionen. Projektdaten werden ohne gesonderte Vereinbarung nicht zum Training eines allgemeinen öffentlichen KI-Modells verwendet. |
| Fehlerüberwachung | Wird nur verwendet, wenn die Überwachung aktiviert ist | Erfassen von Fehlern und Vorfällen, ohne absichtlich Gast-, Finanz- oder interne Daten zu benutzerdefinierten Feldern hinzuzufügen. |
| Produktanalyse | Standardmäßig deaktiviert | Messung der Basisdienstnutzung ohne Namen, Kontakte, Adressen, Preise, Notizen oder Freitext. Keine automatische Sitzungsaufzeichnung, Heatmaps oder Anzeigenverfolgung. |
| Stripe | Wird nur verwendet, wenn die Online-Zahlung oder das Zahlungsportal aktiviert ist | Zahlungsabwicklung und Zahlungsportal. Wenn Online-Zahlungen nicht aktiviert sind, erfolgt die Zahlungsabwicklung nach Vereinbarung manuell. |
5. Was die Verarbeitungsvereinbarung enthalten muss
- Gegenstand, Dauer, Art und Zweck der Verarbeitung.
- Arten personenbezogener Daten und Kategorien betroffener Personen.
- Pflichten und Rechte des Kunden als Verantwortlicher.
- Verarbeitung nur auf dokumentierte Weisung des Kunden, einschließlich Übermittlungen außerhalb der EU/des EWR.
- Vertraulichkeit der zur Verarbeitung berechtigten Personen und geeignete technische und organisatorische Maßnahmen.
- Regeln für Unterauftragsverarbeiter, deren Änderungen und das Widerspruchsrecht.
- Unterstützung bei Anfragen betroffener Personen, Vorfällen, Löschung/Rückgabe von Daten und Audits.
6. Sicherheit, Prüfung und Aufbewahrung
Die Verarbeitung erfolgt über Anwendungsrollen, Anmeldecookies, serverseitige Zugriffsprüfungen, die Datenbank und den Objektspeicher. Speicherung und Zugriff sollten auf Betriebs-, Support- und Sicherheitsanforderungen beschränkt sein.
Löschung, Export und Berichtigungen werden über den Support bearbeitet. Einige Daten können für begrenzte Zeit in Backups, Logs oder Audit-Aufzeichnungen verbleiben, soweit dies für Sicherheit, Rechtsverteidigung, Buchhaltung oder Incident-Bearbeitung erforderlich ist.
7. Internationale Überweisungen
Einige Auftragsverarbeiter können Daten außerhalb der EU/des EWR verarbeiten oder globale Infrastruktur nutzen. Die genaue Liste der Auftragsverarbeiter und der Übermittlungsmechanismus richten sich nach der Produktionskonfiguration und einer etwaigen Kundenvereinbarung.