Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil des Servicevertrages zwischen der Delivando UG (haftungsbeschränkt) („Auftragsverarbeiter“) und dem Kunden („Verantwortlicher“), der die SaaS-Plattform von Delivando nutzt.

Dieser AVV wird gem. Art. 28 der EU-Datenschutz-Grundverordnung (DSGVO) geschlossen und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

1. Begriffsbestimmungen

• „Verantwortlicher“— der Kunde (Restaurant, Café, Einzelhandel), der die Delivando-Plattform nutzt und die Zwecke und Mittel der Verarbeitung personenbezogener Daten seiner Kunden bestimmt.
• „Auftragsverarbeiter“— Delivando UG (haftungsbeschränkt), Kattenbrookstrift 51A, 30539 Hannover, Deutschland, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• „Personenbezogene Daten“— alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und unter diesem AVV verarbeitet werden.
• „Unterauftragsverarbeiter“— ein Dritter, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.
• „Betroffene Personen“— die Kunden und Endnutzer des Verantwortlichen, deren personenbezogene Daten über die Plattform verarbeitet werden.

2. Gegenstand und Dauer

2.1 Gegenstand

Der Auftragsverarbeiter stellt dem Verantwortlichen eine cloudbasierte POS-, Liefer- und Online-Bestellplattform zur Verfügung. Im Rahmen dieser Dienstleistung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

2.2 Dauer

Dieser AVV gilt für die Dauer des Servicevertrages zwischen den Parteien. Nach Beendigung des Servicevertrages gelten die Bestimmungen von Abschnitt 10 (Rückgabe und Löschung von Daten).

3. Kategorien betroffener Personen

Folgende Kategorien betroffener Personen sind von der Verarbeitung betroffen:

• Kunden des Verantwortlichen (Endverbraucher, die Bestellungen aufgeben)
• Mitarbeiter und Personal des Verantwortlichen (bei Nutzung der Personalverwaltung)
• Lieferpersonal

4. Arten personenbezogener Daten

Folgende Arten personenbezogener Daten können verarbeitet werden:

• Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer, Lieferadresse
• Bestelldaten: Bestelldetails, Bestellhistorie, Präferenzen, Anmerkungen
• Zahlungsdaten: Zahlungsmethode, Transaktionsreferenzen (vollständige Kartendaten werden ausschließlich von PCI-konformen Zahlungsanbietern verarbeitet und nie von Delivando gespeichert)
• Geräte- und Zugriffsdaten: IP-Adresse, Gerätekennungen, Sitzungstoken
• Personaldaten (falls zutreffend): Name, Rolle, Arbeitszeiten, Zugangsdaten
• Fiskaldaten: TSE-Transaktionsdatensätze, Belegdaten gem. KassenSichV

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine Verarbeitung ist nach EU- oder nationalem Recht erforderlich (Art. 28 Abs. 3 lit. a DSGVO)
• Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO)
• Geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 28 Abs. 3 lit. c, Art. 32 DSGVO)
• Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
• Den Verantwortlichen bei der Einhaltung der Pflichten in Bezug auf Datensicherheit, Meldung von Verstößen, Datenschutz-Folgenabschätzungen und vorherige Konsultation zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO)
• Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienste zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
• Dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung zur Verfügung zu stellen und Prüfungen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO)

6. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

• Sicherzustellen, dass eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorliegt
• Dem Auftragsverarbeiter dokumentierte Weisungen hinsichtlich der Verarbeitung personenbezogener Daten zu erteilen
• Den Auftragsverarbeiter unverzüglich zu informieren, wenn Fehler oder Unregelmäßigkeiten bei Datenschutzbestimmungen festgestellt werden
• Seinen Kunden eine eigene Datenschutzerklärung bereitzustellen
• Alle geltenden Datenschutzgesetze einzuhalten, einschließlich der Information betroffener Personen über die Verarbeitung

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt folgende Maßnahmen gem. Art. 32 DSGVO um und pflegt diese:

7.1 Vertraulichkeit

• Rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung
• Multi-Faktor-Authentifizierung für administrativen Zugang
• Verschlüsselung der Daten bei der Übertragung (TLS 1.2+)
• Verschlüsselung der Daten im Ruhezustand (AES-256)
• Vertraulichkeitsvereinbarungen mit allen Mitarbeitern und Auftragnehmern

7.2 Integrität

• Eingabevalidierung und -bereinigung
• Audit-Protokollierung von Datenzugriffen und -änderungen
• Change-Management-Verfahren für Systemaktualisierungen

7.3 Verfügbarkeit

• Redundante Infrastruktur und Failover-Mechanismen
• Regelmäßige Backups mit getesteten Wiederherstellungsverfahren
• DDoS-Schutz und Intrusion Detection
• Disaster-Recovery-Plan mit definierten Wiederherstellungszielen

7.4 Belastbarkeit

• Regelmäßige Sicherheitsbewertungen und Penetrationstests
• Patch-Management und Schwachstellenscans
• Sicherheitsbewusstsein-Schulungen für Mitarbeiter

8. Unterauftragsverarbeiter

8.1 Allgemeine Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter für die Erfüllung dieses AVV einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, innerhalb von 14 Tagen Einspruch zu erheben.

8.2 Aktuelle Unterauftragsverarbeiter

8.3 Pflichten der Unterauftragsverarbeiter

Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten wie in diesem AVV festgelegt. Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters.

9. Datenübermittlung in Drittländer

Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht in ein Land außerhalb der EU/des EWR, es sei denn:

• Die Europäische Kommission hat einen Angemessenheitsbeschluss für das Empfangsland erlassen (Art. 45 DSGVO), oder
• Geeignete Garantien bestehen, insbesondere Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO, oder
• Eine Ausnahme nach Art. 49 DSGVO vorliegt

Der Auftragsverarbeiter informiert den Verantwortlichen über geplante internationale Übermittlungen und die angewandten Schutzmaßnahmen.

10. Rückgabe und Löschung von Daten

10.1 Datenexport

Nach Beendigung des Servicevertrages stellt der Auftragsverarbeiter alle Daten des Verantwortlichen in einem gängigen, maschinenlesbaren Format (CSV/JSON) für einen Zeitraum von 30 Kalendertagen nach dem Beendigungsdatum zum Export bereit.

10.2 Löschung

Nach Ablauf der 30-tägigen Exportfrist löscht der Auftragsverarbeiter alle personenbezogenen Daten und bestätigt die Löschung dem Verantwortlichen schriftlich (E-Mail ist ausreichend), sofern keine gesetzliche Aufbewahrungspflicht besteht (siehe Abschnitt 10.3).

10.3 Gesetzliche Aufbewahrungspflichten

Folgende Daten müssen über die Vertragslaufzeit hinaus aufgrund gesetzlicher Verpflichtungen aufbewahrt werden. Diese Daten werden separat gespeichert, zugriffsbeschränkt und nach Ablauf der Aufbewahrungsfrist automatisch gelöscht:

Personenbezogene Daten innerhalb aufbewahrter Datensätze (z.B. Kundennamen, Adressen) werden anonymisiert, soweit dies rechtlich zulässig ist. Der Verantwortliche wird über die konkreten Kategorien aufbewahrter Daten und die geltenden Aufbewahrungsfristen informiert.

11. Meldung von Datenschutzverstößen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich (und in jedem Fall innerhalb von 24 Stunden), nachdem er Kenntnis von einer Verletzung personenbezogener Daten des Verantwortlichen erlangt hat. Die Benachrichtigung umfasst:

• Eine Beschreibung der Art der Verletzung, einschließlich der Kategorien und der unge-fähren Anzahl der betroffenen Personen und Datensätze
• Den Namen und die Kontaktdaten der Ansprechperson des Auftragsverarbeiters
• Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
• Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Minderung möglicher nachteiliger Auswirkungen

Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und ergreift angemessene Maßnahmen zur Unterstützung bei der Untersuchung, Eindämmung und Behebung der Verletzung.

12. Prüfungsrechte

Der Verantwortliche hat das Recht, Prüfungen einschließlich Inspektionen durchzuführen, um die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter wird:

• Alle zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung stellen
• Prüfungen des Verantwortlichen oder eines von ihm beauftragten Prüfers ermöglichen und unterstützen
• Den Verantwortlichen unverzüglich informieren, falls eine Weisung nach Auffassung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzvorschriften verstößt

Prüfungen sind mit angemessener Vorankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten durchzuführen. Der Verantwortliche trägt die eigenen Kosten für Prüfungen, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß des Auftragsverarbeiters.

13. Haftung

Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den Beschränkungen und Ausschlüssen des Hauptservicevertrages (Nutzungsbedingungen). Jede Partei haftet für Schäden, die durch eine gegen die DSGVO verstoßende Verarbeitung verursacht werden, gem. Art. 82 DSGVO.

14. Kontakt