Contrato de Tratamiento de Encargo (AVV) según el Art. 28 del RGPD
Estado: 30 de abril de 2026
Preámbulo
¡Bienvenido a Campcruisers GmbH! Nos alegra mucho que haya elegido Campsite OS y que nos confíe el apoyo en la gestión digital de su camping. La protección de datos y la seguridad de los datos son para nosotros un criterio de calidad central de nuestro software.
Este Contrato de Tratamiento de Encargo (AVV) constituye la base legal transparente y justa para el tratamiento de datos personales por encargo suyo.
Partes del contrato
Responsable (Cliente): Sus datos empresariales se derivan del contrato principal (suscripción para Campsite OS).
Encargado del tratamiento: Campcruisers GmbH, Berliner Str. 21B, 14612 Falkensee, Alemania. Daniel Bosch (CEO), Philipp André Marschall (Procurador). Tribunal de registro de Potsdam, HRB 40180 P. Nº de IVA: DE368000447.
Delegado de protección de datos: No designado (§ 38 BDSG no cumplido).
§ 1 Objeto, duración y especificación
1.1
Este contrato regula el tratamiento de datos personales en el marco de la provisión de Campsite OS. Complemento a las CGV y al contrato principal.
1.2
La duración se rige por el contrato principal. Las obligaciones de confidencialidad y borrado continúan vigentes.
1.3
El tratamiento incluye: recolección, almacenamiento, modificación, lectura, transmisión (p. ej., a Channel Manager), borrado. Servidor: Países Bajos (IP: 34.91.84.25).
§ 2 Responsabilidad
2.1
Usted es el responsable (Art. 4 Nº 7 RGPD). Usted decide sobre los fines y los medios.
2.2
Nosotros somos el encargado del tratamiento (Art. 4 Nº 8 RGPD). Tratamiento solo según sus instrucciones. Sin uso propio, sin venta.
§ 3 Tipo y finalidad del tratamiento
Finalidad: Provisión de Campsite OS. Incluye: reserva y booking, gestión de huéspedes (incl. formulario de registro § 29 BMG), facturación (ZUGFeRD), gestión de canales, envío de correos electrónicos, IoT & Smart Camp.
§ 4 Tipo de datos personales
4.1 Categorías de datos
Datos maestros (nombre, fecha de nacimiento, nacionalidad) | Datos de contacto (dirección, correo electrónico, teléfono) | Datos de reserva (período, categoría, extras) | Datos KYC/registro (números de identificación) | Datos de vehículos (matrículas) | Datos de pago (tokenizados a través de Stripe) | Datos de comunicación (tickets, correos electrónicos) | Datos del sistema (IP, archivos de registro, sesiones)
4.2 Personas afectadas
Huéspedes/clientes finales y sus acompañantes | Sus empleados (usuarios del software) | Proveedores/colaboradores
§ 5 Obligaciones del encargado del tratamiento
5.1 Cumplimiento del RGPD, BDSG, TDDDG. | 5.2 Vinculación a la finalidad y a las instrucciones. | 5.3 Información en caso de instrucciones ilegales. | 5.4 Tratamiento en la UE (Países Bajos). Terceros países solo con Art. 44 ss. RGPD.
§ 6 Facultad de instrucción
6.1 Las instrucciones se establecen mediante contrato y contrato principal. | 6.2 Forma escrita (correo electrónico a support@campsite-os.de) o configuración del software. | 6.3 Documentación de todas las instrucciones.
§ 7 Confidencialidad y personal
7.1 Obligación de confidencialidad de todos los empleados (Art. 28 apartado 3 letra b RGPD). | 7.2 Formación periódica. | 7.3 Principio de necesidad de conocer.
§ 8 Medidas técnico-organizativas (MTO)
8.1 Medidas según el Art. 32 RGPD. | 8.2 Cifrado (TLS, AES-256), MFA, RBAC, registro, SLA del 99%, copias de seguridad, protección DDoS. | 8.3 Adaptación al progreso técnico. Detalles en el Anexo 1.
§ 9 Relaciones de subencargo
9.1 Autorización general (Art. 28 apartado 2 RGPD). | 9.2 Encargados del subtratamiento actuales en el Anexo 2. | 9.3 Información 14 días antes del cambio. Derecho de oposición. | 9.4 Mismas obligaciones para los subencargados del tratamiento.
§ 10 Derechos de las personas afectadas
10.1 Apoyo en los Art. 15-22 RGPD (autoservicio en Campsite OS). | 10.2 Las solicitudes directas se remiten a usted.
§ 11 Obligaciones de notificación
11.1 Notificación de violaciones de datos en un plazo de 48 horas. | 11.2 Contenido: tipo de violación, personas afectadas, consecuencias, medidas adoptadas. | 11.3 Apoyo en la EIPD (Art. 35/36 RGPD).
§ 12 Derechos de control y auditorías
12.1 Derecho a verificación. | 12.2 Documentación/certificados primero; auditoría in situ con 30 días de antelación. | 12.3 Los costes son asumidos por el cliente (excepto en caso de incumplimiento).
§ 13 Borrado y devolución
13.1 Portabilidad de datos: plazo de exportación de 30 días (CSV, XML, JSON). | 13.2 Borrado definitivo después de 30 días. | 13.3 Confirmación a petición.
§ 14 Responsabilidad
14.1 Responsabilidad según el Art. 82 RGPD. En la relación interna solo en caso de incumplimiento de las obligaciones del RGPD o de las instrucciones. | 14.2 Limitación a la cuota anual en caso de negligencia leve.
§ 15 Disposiciones finales
15.1 Forma escrita para modificaciones. | 15.2 Cláusula de salvaguardia. | 15.3 Derecho alemán, fuero de Falkensee.
Anexo 1: Medidas técnico-organizativas (MTO)
1. Confidencialidad
Control de acceso: Servidores en centros de datos en Países Bajos (IP: 34.91.84.25). Servicio de seguridad 24/7, controles de acceso biométricos, videovigilancia.
Control de acceso: Contraseñas complejas, MFA, protección contra ataques de fuerza bruta, VPN.
Control de acceso: RBAC en Campsite OS, principio de necesidad de conocer, destrucción de documentos según DIN 66399.
Control de separación: Separación lógica de clientes. Separación desarrollo/prueba/producción.
2. Integridad
Control de transmisión: TLS 1.2/1.3, AES-256 en reposo, claves API y autenticación por token.
Control de entrada: Registro de auditoría en Campsite OS, registro centralizado en servidores.
3. Disponibilidad
Copias de seguridad diarias (georedundantes, cifradas), SAI, protección DDoS, WAF, SLA del 99%.
4. Evaluación
Auditorías periódicas, escaneos de vulnerabilidades, plan de respuesta a incidentes (notificación en 48h), privacidad por defecto.
Anexo 2: Subencargados del tratamiento autorizados
| Proveedor de servicios | Sede | Finalidad | Transferencia a terceros países |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Irlanda (UE) | Procesamiento de pagos | UE; posiblemente SCC en caso de transferencia interna a EE.UU. |
| Resend, Inc. | EE.UU. | Envío de correos electrónicos transaccionales | Cláusulas contractuales tipo de la UE (SCC) |
| Google Ireland Limited | Irlanda (UE) | Analytics & Ads | Principalmente UE |
| Biscotti CMP | Alemania (UE) | Gestión de cookies/consentimiento | Exclusivamente UE |
| Proveedor de hosting | Países Bajos (UE) | Infraestructura de servidores (IP: 34.91.84.25) | Exclusivamente UE |