Zuletzt aktualisiert:
Zusammenfassung in einfacher Sprache. Wenn Ihre Kunden über LockMe ein Schließfach buchen, sind Sie (der Betreiber) der Verantwortliche für deren personenbezogene Daten und LockMe ist Ihr Auftragsverarbeiter. Dieser DPA regelt, wie wir diese Daten in Ihrem Auftrag verarbeiten, welche Sicherheitsmaßnahmen wir anwenden, welche Unterauftragsverarbeiter wir einsetzen und was passiert, wenn etwas schiefgeht. Er gilt automatisch für jeden kostenpflichtigen LockMe-Vertrag; Sie müssen keine separate Kopie unterzeichnen.
Hinweis. Dies ist eine KI-gestützte Übersetzung des englischen Originals und steht noch unter dem Vorbehalt der Prüfung durch einen Rechtsanwalt. Bei jeglicher Abweichung hat die englische Fassung unter /legal/dpa Vorrang.
Anmerkung. Diese Seite ist ein Arbeitsentwurf, der vor dem Launch noch durch externe Rechtsberatung geprüft wird. Wenn Sie eine handschriftlich unterzeichnete Ausfertigung auf Firmenpapier für Ihren Einkauf benötigen, schreiben Sie an legal@lock-me.com und wir senden Ihnen eine zu.
1. Rollen
- Verantwortlicher: die Betreiber-Entität (Sie).
- Auftragsverarbeiter: LockMe S.L.
- Betroffene Personen: die Endkunden, die in Ihren Standorten Schließfächer buchen und nutzen.
- Personenbezogene Daten: Name, E-Mail, Telefon (sofern erhoben), Buchungsdetails, Zahlungsmetadaten, Schließfach-Zugangstokens.
2. Gegenstand und Dauer
LockMe verarbeitet personenbezogene Daten im Auftrag des Betreibers für die Dauer des LockMe-Servicevertrags und bis zu 90 Tage nach dessen Beendigung zur Backup-Aufbewahrung.
3. Art und Zweck der Verarbeitung
Erbringung der im Bestellformular des Betreibers beschriebenen Leistungen: Storefront, Dashboard, Zahlungsorchestrierung, Kundenkommunikation und Bewertungs-Prompts nach dem Aufenthalt.
4. Pflichten von LockMe als Auftragsverarbeiter
LockMe verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Betreibers zu verarbeiten, außer wenn gesetzlich anders vorgeschrieben.
- Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind.
- Angemessene technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Offenlegung oder Zugriff zu schützen (siehe Anlage II).
- Den Betreiber bei der Beantwortung von Betroffenenanfragen und bei der Einhaltung der Art. 32–36 DSGVO zu unterstützen.
- Den Betreiber unverzüglich (und in jedem Fall innerhalb von 72 Stunden) nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.
- Nach Beendigung die personenbezogenen Daten nach Wahl des Betreibers zurückzugeben oder zu löschen (vorbehaltlich gesetzlicher Aufbewahrungspflichten).
- Alle Informationen bereitzustellen, die zum Nachweis der Einhaltung erforderlich sind, und Audits zu ermöglichen, vorbehaltlich angemessener Vertraulichkeit und Planung.
5. Unterauftragsverarbeiter
Der Betreiber genehmigt LockMe den Einsatz von Unterauftragsverarbeitern. Die aktuelle Liste (Anlage III) ist unten veröffentlicht, und der Betreiber wird mindestens 30 Tage vor jeder Aufnahme oder Ersetzung eines Unterauftragsverarbeiters benachrichtigt. Der Betreiber kann aus angemessenen Datenschutzgründen widersprechen; können sich die Parteien nicht auf eine Abhilfe einigen, kann der Betreiber den betroffenen Dienst wegen wesentlicher Vertragsverletzung kündigen.
6. Internationale Übermittlungen
Werden personenbezogene Daten außerhalb des EWR übermittelt, stützt sich LockMe auf ein zulässiges Übermittlungsinstrument (Standardvertragsklauseln oder Angemessenheitsbeschluss) und wendet zusätzliche Maßnahmen an, wo dies die Rechtsprechung (insbesondere Schrems II) verlangt.
7. Haftung
Die Haftungsregelungen des Haupt-Dienstleistungsvertrags gelten für diesen DPA, als wären sie hier vollständig wiedergegeben.
Anlage I — Beschreibung der Verarbeitung
| Feld | Details |
|---|---|
| Kategorien betroffener Personen | Endkunden der Betreiber-Standorte |
| Kategorien personenbezogener Daten | Identifikatoren (Name, E-Mail, Telefon), Buchungs-Metadaten, Zahlungsmetadaten (keine vollständige PAN), Schließfach-Zugangstokens, optionaler Bewertungstext |
| Sensible Daten | Keine |
| Häufigkeit | Kontinuierlich |
| Art der Verarbeitung | Speicherung, Übermittlung, Berechnung für Storefront, Dashboard und Kommunikation |
| Zweck | Erbringung des LockMe-Dienstes |
| Dauer | Laufzeit des LockMe-Vertrags + 90 Tage Backup-Aufbewahrung |
Anlage II — Technische und organisatorische Maßnahmen
Nicht abschließende Liste:
- Alle Daten verschlüsselt bei Übertragung (TLS 1.2+) und im Ruhezustand.
- Produktionszugriff über SSO mit Hardware-Schlüssel-MFA; RBAC nach dem Prinzip der minimalen Rechte; vollständiges Audit-Log.
- Quartalsweise Penetrationstests; interne Sicherheitsprüfung bei jedem Release.
- Verschlüsselte Backups, in einer zweiten EU-Region gespeichert, quartalsweise zur Integritätsprüfung wiederhergestellt.
- Lieferanten-Sicherheitsprüfungen für jeden Unterauftragsverarbeiter; jährliche, an SOC 2 angelehnte interne Prüfung.
- Dokumentierter Incident-Response-Plan; 24/7-Bereitschaft bei kostenpflichtigen Plänen.
Anlage III — Unterauftragsverarbeiter (aktuelle Liste)
| Unterauftragsverarbeiter | Rolle | Ort |
|---|---|---|
| Google Cloud Platform | Hosting (Rechenleistung, Speicher, Datenbanken) | EU (europe-west4, Niederlande) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | EU + USA unter SCCs |
| Postmark | Transaktionale E-Mails | EU (Frankfurt) |
| Twilio | SMS für Buchungsbestätigungen | EU/weltweit unter SCCs |
| Sentry | Fehler- und Leistungs-Monitoring | EU (Frankfurt) |
| Plausible Insights | Cookielose Web-Analyse | EU (Deutschland) |
Diese Liste wird unter https://lock-me.com/legal/dpa gepflegt und ersetzt jede zuvor per E-Mail verteilte Liste.
Kontakt
DSB und Datenschutz-Kontakt: privacy@lock-me.com.
Fragen zu diesem Dokument? Schreiben Sie an legal@lock-me.com. Diese Seite wird zur Transparenz veröffentlicht; sie ersetzt keine individuelle Rechtsberatung für Ihren Betrieb.