Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO
Anlage 3 zu den Allgemeinen Geschäftsbedingungen für Partner-Restaurants Version: 1.0 Stand: 09.05.2026
Vertragsparteien
Verantwortlicher (Auftraggeber): das jeweilige Partner-Restaurant entsprechend dem Hauptvertrag (Allgemeine Geschäftsbedingungen für Partner-Restaurants)
Auftragsverarbeiter (Auftragnehmer): Ömür Chatzi – Digital Honey, Schneiderberg 5, 30167 Hannover nachfolgend „Auftragnehmer" oder „Anbieter"
— gemeinsam nachfolgend „Parteien" —
Präambel
Die Parteien haben einen Hauptvertrag über die Nutzung der Plattform „Zovra" geschlossen. Im Rahmen der Leistungserbringung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers. Diese Vereinbarung konkretisiert die Pflichten der Parteien gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
(1) Gegenstand, Art, Zweck, Kategorien personenbezogener Daten und Kategorien betroffener Personen ergeben sich aus Anlage 1 zu diesem Vertrag.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags.
(3) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im räumlichen Geltungsbereich der DSGVO sowie in Drittländern auf Basis der nach Art. 44 ff. DSGVO erforderlichen Garantien (Anlage 3).
§ 2 Konkretisierung der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrags und auf dokumentierte Weisung des Auftraggebers, sofern die Verarbeitung nicht durch Unionsrecht oder das Recht eines Mitgliedstaats vorgeschrieben ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Weisungen des Auftraggebers werden in Textform erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Erscheinen einzelne Weisungen rechtswidrig, hat der Auftragnehmer den Auftraggeber unverzüglich darauf hinzuweisen und kann die Befolgung bis zur Bestätigung oder Anpassung der Weisung aussetzen.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer wird die personenbezogenen Daten ausschließlich zu den im Hauptvertrag vereinbarten Zwecken verarbeiten.
(2) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 2 dokumentiert. Der Auftragnehmer ist berechtigt und verpflichtet, die TOMs an den Stand der Technik anzupassen; das Schutzniveau darf hierdurch nicht unterschritten werden.
(4) Der Auftragnehmer unterstützt den Auftraggeber, soweit dieser nicht selbst in der Lage ist, mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten nach den Art. 32 bis 36 DSGVO.
(5) Der Auftragnehmer benennt einen Datenschutzbeauftragten, sofern die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) vorliegen, und teilt dessen Kontaktdaten dem Auftraggeber mit.
(6) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer Aufsichtsbehörde, soweit sie sich auf den Vertragsgegenstand beziehen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber ist im Rahmen dieses Vertrags „Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO. Er trägt die Verantwortung für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.
(2) Der Auftraggeber verpflichtet sich, alle für die Verarbeitung erforderlichen Informationen rechtzeitig bereitzustellen und Weisungen rechtzeitig in Textform zu erteilen.
(3) Der Auftraggeber benennt dem Auftragnehmer eine zur Erteilung von Weisungen befugte Person und informiert über Veränderungen.
§ 5 Rechte der betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Anträge betroffener Personen nach Kapitel III DSGVO (insb. Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.
(2) Wenden sich betroffene Personen direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
§ 6 Datenschutz-Folgenabschätzung und vorherige Konsultation
Der Auftragnehmer unterstützt den Auftraggeber bei einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und einer ggf. erforderlichen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) im jeweils erforderlichen Umfang.
§ 7 Mitteilungen bei Verstößen
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über: a) Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO); b) Anhaltspunkte für schwerwiegende Störungen des Betriebsablaufs; c) Anfragen oder Maßnahmen einer Aufsichtsbehörde.
(2) Die Meldung umfasst eine Beschreibung der Art der Verletzung, die Kategorien und ungefähren Zahlen der betroffenen Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Risikominderung. Soweit Informationen nicht sofort verfügbar sind, werden sie in zumutbar kurzer Zeit nachgereicht.
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Pflichten nach Art. 33 und Art. 34 DSGVO (Meldung bzw. Benachrichtigung).
§ 8 Subunternehmer
(1) Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Hinzuziehung von Subunternehmern im Sinne des Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subunternehmer sind in Anlage 3 aufgelistet.
(2) Der Auftragnehmer informiert den Auftraggeber mindestens 14 Tage vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Subunternehmer in Textform und gibt damit dem Auftraggeber die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.
(3) Erhebt der Auftraggeber innerhalb der Frist nach Absatz 2 begründeten Einspruch, sind die Parteien zur einvernehmlichen Lösung verpflichtet. Kommt eine Einigung nicht zustande, ist jede Partei berechtigt, den Hauptvertrag mit angemessener Frist außerordentlich zu kündigen.
(4) Der Auftragnehmer wird mit jedem Subunternehmer einen Vertrag schließen, der die Anforderungen des Art. 28 Abs. 4 DSGVO erfüllt.
(5) Nicht als Subunternehmer im Sinne dieser Vorschrift gelten Dienstleistungen, die der Auftragnehmer als reine Nebenleistung in Anspruch nimmt (Telekommunikationsdienste, Reinigung, Wartung, Entsorgung).
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der Pflichten aus diesem Vertrag durch geeignete Mittel nach, insbesondere durch: a) aktuelle Testate, Berichte oder Auszüge aus Berichten unabhängiger Stellen (z. B. Wirtschaftsprüfer, Auditoren, Datenschutzbeauftragte); b) Zertifizierungen nach genehmigtem Zertifizierungsverfahren (Art. 42 DSGVO).
(2) Soweit im Einzelfall erforderlich und mit angemessener Vorankündigung (mindestens 14 Tage) hat der Auftraggeber das Recht, eigene Kontrollen oder durch unabhängige Prüfer durchzuführen oder durchführen zu lassen. Eine Inspektion vor Ort wird auf das absolute Mindestmaß beschränkt; sie erfolgt während der üblichen Geschäftszeiten und in einer Weise, die den laufenden Betrieb des Auftragnehmers möglichst wenig beeinträchtigt.
(3) Etwaige Kosten der Kontrolle trägt der Auftraggeber, sofern nicht ein wesentlicher Verstoß des Auftragnehmers nachgewiesen wird.
§ 10 Vertraulichkeit
Der Auftragnehmer verpflichtet seine zur Verarbeitung befugten Personen auf die Vertraulichkeit personenbezogener Daten und auf die Einhaltung der Datenschutz-Vorgaben. Diese Verpflichtung besteht über das Ende der Tätigkeit hinaus fort.
§ 11 Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer auf Weisung des Auftraggebers alle personenbezogenen Daten oder gibt sie an den Auftraggeber zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Der Auftraggeber hat dem Auftragnehmer innerhalb der in der Hauptvertrags-Klausel zur Beendigung vorgesehenen Frist (regelmäßig 30 Tage ab Vertragsende) eine Weisung zur Rückgabe oder Löschung in Textform zu erteilen. Erfolgt keine Weisung innerhalb dieser Frist, ist der Auftragnehmer berechtigt, die Daten zu löschen.
(3) Daten, die der Auftragnehmer aus gesetzlichen Aufbewahrungspflichten weiter aufbewahrt, sind durch geeignete Maßnahmen vor unbefugtem Zugriff zu schützen und werden ausschließlich zu Zwecken der Erfüllung dieser Pflichten verarbeitet.
§ 12 Vergütung
Soweit dieser Vertrag keine ausdrücklich abweichende Regelung trifft, sind die Leistungen des Auftragnehmers nach diesem Vertrag mit der Vergütung aus dem Hauptvertrag abgegolten. Außergewöhnliche Mitwirkungsleistungen (z. B. ausführliche Vor-Ort-Audits, Bearbeitung umfangreicher Anträge betroffener Personen) werden gegen angemessenes Entgelt nach gesondertem Aufwand abgerechnet.
§ 13 Haftung
Die Parteien haften gegenüber den betroffenen Personen jeweils im Umfang von Art. 82 DSGVO. Im Innenverhältnis gilt für vertragliche Schadensersatzansprüche die Haftungsregelung des Hauptvertrags entsprechend.
§ 14 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden eine wirksame Bestimmung vereinbaren, die dem wirtschaftlichen Zweck am nächsten kommt.
(2) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hannover.
(3) Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags vor, soweit es um datenschutzrechtliche Pflichten geht.
Anlage 1 — Konkretisierung der Verarbeitung
a) Gegenstand der Verarbeitung
Bereitstellung der Plattform „Zovra" für die Abwicklung von Bestellungen, Bestellverwaltung, Speisekarten-Verwaltung, Reports und Buchhaltungs-Schnittstellen.
b) Art der Verarbeitung
Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten.
c) Zweck der Verarbeitung
Erfüllung des Hauptvertrags, insbesondere Bereitstellung der Plattform-Funktionen, Bestellabwicklung, Buchhaltung, Reports.
d) Kategorien personenbezogener Daten
- Kontaktdaten der Endkunden des Restaurants (Name, E-Mail-Adresse, Telefonnummer, Anschrift)
- Bestelldaten (Bestellinhalt, Zeitpunkt, Verzehrform, Hinweise)
- Zahlungs- und Belegdaten (Tokenisiert über Stripe)
- Geräte- und technische Daten (IP-Adresse gekürzt, Geräte-Information)
- Mitarbeiter-Daten der Operator-App (Name, geschäftliche E-Mail, Rolle, Login-Logs)
- Inhaber-Daten und KYC-Daten des Restaurants
- ggf. Bewertungsdaten
e) Kategorien betroffener Personen
- Endkunden / Gäste des Restaurants
- Mitarbeitende des Restaurants (Operator-App-Nutzer)
- Inhaber:innen, Vertretungsberechtigte und wirtschaftlich Berechtigte des Restaurants
f) Speicherort
Hosting in Rechenzentren in der Europäischen Union (Deutschland: Hetzner, Netcup; ggf. weitere EU-Standorte). Drittlandtransfer ausschließlich auf Basis der Garantien gemäß § 1 Abs. 3 dieses Vertrags und Anlage 3.
Anlage 2 — Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO
Diese Liste beschreibt die zum 09.05.2026 implementierten Maßnahmen. Sie ist regelmäßig zu aktualisieren. Die konkrete Beschreibung ist anhand der tatsächlichen Implementierung zu validieren.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
- Server-Hosting in zertifizierten Rechenzentren der Subunternehmer (Hetzner: ISO 27001; Netcup: ISO 27001).
- Mitarbeiter des Auftragnehmers haben keinen physischen Zugriff auf die Hardware der Subunternehmer.
Zugangskontrolle
- Authentifizierung mit Benutzerkennung und Passwort, Mindestkomplexität gemäß Stand der Technik.
- Multi-Faktor-Authentifizierung für administrative Zugänge.
- Sperrung nach Fehlversuchen, automatisches Logout nach Inaktivität.
Zugriffskontrolle
- Rollenbasiertes Berechtigungskonzept (RBAC) auf Anwendungs- und Datenbankebene.
- Mandantentrennung durch Row-Level-Security (RLS) und Tenant-spezifische Filter auf Application-Level.
- Regelmäßige Überprüfung der Berechtigungen.
- Protokollierung administrativer Zugriffe (Audit-Trail).
Trennungskontrolle
- Logische Mandantentrennung pro Restaurant.
- Trennung von Produktiv-, Staging- und Testumgebungen.
- Trennung von Verarbeitungszwecken (Bestellung, Zahlung, Buchhaltung).
Pseudonymisierung und Verschlüsselung
- Verschlüsselte Speicherung sensitiver Daten (at rest).
- Transport-Verschlüsselung (TLS 1.2 oder höher) für alle Verbindungen.
- Tokenisierte Übermittlung von Zahlungsdaten an den Zahlungsdienstleister.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Eingabekontrolle
- Logging und Auditierung von Datenänderungen, insbesondere bei steuer- und buchhaltungsrelevanten Daten (GoBD-konforme unveränderbare Belege).
- Rollenspezifische Eingabeberechtigungen.
Weitergabekontrolle
- Verschlüsselte Übertragung an Subunternehmer und Schnittstellen.
- Dokumentation aller Übermittlungswege im Verzeichnis von Verarbeitungstätigkeiten.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Backup-Strategie mit regelmäßigen Sicherungen (Frequenz und Aufbewahrung gemäß interner Richtlinie).
- Notfall- und Wiederanlauf-Konzept (Disaster Recovery).
- Hochverfügbarkeits-Architektur mit Redundanz auf Datenbank- und Anwendungsebene.
- Monitoring und Alarmierung bei Sicherheits- oder Verfügbarkeits-Vorfällen.
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige interne Datenschutz- und Sicherheits-Reviews.
- Penetrationstests und Schwachstellen-Scans nach Plan.
- Schulung der Mitarbeitenden zu Datenschutz und Informationssicherheit.
- Aktualisierung der TOMs bei Stand-der-Technik-Veränderungen.
5. Auftragskontrolle (Art. 28 DSGVO)
- Schriftliche bzw. textförmliche Auftragsverarbeitungsverträge mit allen Subunternehmern.
- Liste der Subunternehmer in Anlage 3, inkl. Sitz und Drittland-Garantien.
- Vorabprüfung neuer Subunternehmer nach Datenschutz- und Sicherheits-Standard.
Anlage 3 — Subprozessoren
| Subprozessor | Sitz | Verarbeitete Daten | Zweck | Drittland / Garantie |
|---|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Server-Logs, Bestelldaten, Stammdaten | Hosting | — (EU) |
| Netcup GmbH | Deutschland | Server-Logs, Backups | Hosting (sekundär) | — (EU) |
| Supabase Inc. / Supabase Pte Ltd | EU/IRL bzw. SGP/USA | Datenbank, Authentifizierung | Datenhaltung, Auth | SCC, ggf. DPF |
| Stripe Payments Europe Ltd. | Irland (Konzern: USA) | Zahlungs-, KYC-Daten | Zahlung, KYC | DPF, SCC |
| Google Ireland Limited (Firebase Cloud Messaging) | Irland (Konzern: USA) | Geräte-Token, Inhalte | Push-Notifications | DPF, SCC |
| haufe-lexware GmbH (lexoffice) | Deutschland | Belege, Stammdaten | Buchhaltungs-Schnittstelle | — (EU) |
| OpenAI, L.L.C. | USA | ausschließlich nicht personenbezogene Daten | KI-Funktionen | entfällt (keine personenbezogenen Daten) |
| ALL-INKL.COM – Neue Medien Münnich | Deutschland | E-Mail-Adressen, Inhalte | Transaktions- und B2B-Mails | — (EU) |