Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen des zwischen ihnen geschlossenen Hauptvertrags über die Nutzung der Taverno-Plattform. Verantwortlicher im Sinne der DSGVO ist der Kunde (das Restaurant); Auftragsverarbeiter ist Simon Pöhn, Taverno · Restaurantmanagement, Dürnharter Straße 5, 94369 Rain (nachfolgend "Auftragsverarbeiter").
§ 1 Gegenstand und Dauer
Gegenstand der Verarbeitung ist die Bereitstellung der Taverno-Plattform und der damit verbundenen Funktionen. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung dieser Leistungen. Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags.
§ 2 Art, Zweck und betroffene Daten
Art und Zweck: Speicherung, Verwaltung und Anzeige von Daten zur Führung eines Restaurantbetriebs (z. B. Reservierungen, Speisekarte, Mitarbeiter- und Dienstplanverwaltung, Bestell- und Betriebsdaten).
Kategorien betroffener Personen: Gäste des Kunden (z. B. bei Reservierungen), Mitarbeitende des Kunden sowie Ansprechpartner des Kunden.
Kategorien personenbezogener Daten: Stammdaten (Name, Kontaktdaten), Reservierungs- und Kommunikationsdaten, Beschäftigungs- und Dienstplandaten sowie weitere vom Kunden in die Plattform eingegebene Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand dieses Vertrags, soweit nicht gesondert vereinbart.
§ 3 Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Der Abschluss des Hauptvertrags und die Nutzung der Plattform gelten als Erstweisung; weitere Weisungen erfolgen in Textform. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.
§ 4 Pflichten des Auftragsverarbeiters
- Verarbeitung nur im Rahmen des Auftrags und der Weisungen;
- Verpflichtung der eingesetzten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO);
- Umsetzung der technischen und organisatorischen Maßnahmen nach § 5;
- Unterstützung des Verantwortlichen bei Betroffenenrechten (§ 7) sowie bei Pflichten nach Art. 32–36 DSGVO;
- Meldung von Verletzungen des Schutzes personenbezogener Daten nach § 8;
- Löschung oder Rückgabe der Daten nach Beendigung (§ 9);
- Bereitstellung der zum Nachweis erforderlichen Informationen (§ 10).
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen:
- Verschlüsselung der Übertragung: ausschließlich TLS-verschlüsselte Verbindungen (HTTPS);
- Verschlüsselung sensibler Daten: hinterlegte Zugangsdaten werden mit AES-256-GCM verschlüsselt gespeichert;
- Mandantentrennung: Kundendaten werden in voneinander isolierten Datenbanken gespeichert (ein Datenbank-Projekt je Restaurant);
- Zugriffskontrolle: Zugriff nur für berechtigte Personen über persönliche, authentifizierte Zugänge; passwortlose Anmeldung per Einmal-Link;
- Belastbarkeit und Wiederherstellbarkeit: regelmäßige Sicherungen der Datenbanken;
- Hosting innerhalb der EU für die Datenbank-Speicherung.
Die Maßnahmen unterliegen dem technischen Fortschritt; der Auftragsverarbeiter darf sie fortentwickeln, sofern das Schutzniveau nicht unterschritten wird.
§ 6 Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter zu. Der Auftragsverarbeiter stellt durch vertragliche Vereinbarungen sicher, dass diese ein angemessenes Datenschutzniveau einhalten:
- Supabase Inc.: Datenbank- und Datei-Hosting (EU-Region)
- Vercel Inc.: Anwendungs-Hosting
- Stripe Payments Europe Ltd.: Zahlungsabwicklung / SEPA-Mandat
- Resend Inc.: Versand von System- und Benachrichtigungs-E-Mails
Beabsichtigt der Auftragsverarbeiter einen Wechsel oder die Hinzunahme weiterer Unterauftragsverarbeiter, informiert er den Verantwortlichen vorab in Textform. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen. Bei Übermittlungen in Drittländer stellt der Auftragsverarbeiter geeignete Garantien nach Kapitel V DSGVO sicher (z. B. EU-Standardvertragsklauseln).
§ 7 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–22 DSGVO). Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter.
§ 8 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, und unterstützt ihn bei dessen Pflichten nach Art. 33 und 34 DSGVO. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar.
§ 9 Löschung und Rückgabe
Nach Beendigung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Pflicht zur Speicherung besteht. Bestehende gesetzliche Aufbewahrungspflichten bleiben unberührt.
§ 10 Nachweise und Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die in angemessenem Umfang und nach vorheriger Ankündigung durchgeführt werden. Kontrollen vor Ort sind so durchzuführen, dass der Betrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigt wird.
§ 11 Haftung und Schlussbestimmungen
Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Regelungen des Hauptvertrags entsprechend. Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
Stand: Juni 2026. Dieser AVV ist ein Entwurf und sollte vor dem Einsatz anwaltlich geprüft werden. Die Liste der Unterauftragsverarbeiter und die technischen Maßnahmen sind bei Änderungen zu aktualisieren.