← caterduck

Vertrag zur Auftragsverarbeitung (AVV)

nach Art. 28 DSGVO · caterduck als Auftragsverarbeiter · Version 1.0

Rolle: caterduck ist Auftragsverarbeiter, der nutzende Catering-Betrieb ist Verantwortlicher. Dieser Vertrag wird bei der Registrierung mit der Zustimmung zu den Nutzungsbedingungen einbezogen (§ 12).

Präambel

Dieser Vertrag zur Auftragsverarbeitung („AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der Software-as-a-Service-Anwendung „caterduck“ (der „Dienst“) gemäß den Nutzungsbedingungen (dem „Hauptvertrag“) zwischen:

Auftragsverarbeiter („Auftragnehmer“)
Daniel Beser (Inhaber), Zum Möhnewehr 4, 59755 Arnsberg, Deutschland
E-Mail Datenschutz: hallo@danielbeser.de

Verantwortlicher („Auftraggeber“)
der bei Registrierung angegebene Catering-Betrieb (die Organisation), mit den im Kundenkonto hinterlegten Stammdaten.

Soweit der Auftraggeber personenbezogene Daten seinerseits im Auftrag eines Dritten verarbeitet, handelt der Auftragnehmer als Unterauftragsverarbeiter; die Regelungen dieses AVV gelten in diesem Fall sinngemäß.

§ 1 Gegenstand und Dauer

  1. Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung des Dienstes (u. a. CRM, Katalog, Angebote mit Online-Unterschrift, Auftrags- und Eventplanung, Rechnungen, Einkaufslisten, öffentlicher Konfigurator).
  2. Die Dauer dieses Auftrags entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit dessen Beendigung und der abschließenden Löschung bzw. Rückgabe der Daten nach § 10.

§ 2 Art, Umfang, Zweck; Datenarten; Betroffene

Art, Umfang, Zweck der Verarbeitung, die Arten personenbezogener Daten sowie die Kategorien betroffener Personen ergeben sich abschließend aus Anlage 1.

§ 3 Weisungsrecht des Auftraggebers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
  2. Dieser AVV und die Konfigurationsmöglichkeiten innerhalb des Dienstes bilden die Weisungen des Auftraggebers ab. Weitergehende Einzelweisungen sind in Textform (E-Mail genügt) zu erteilen.
  3. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 4 Pflichten des Auftragnehmers

  1. Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO): Der Auftragnehmer verpflichtet die zur Verarbeitung befugten Personen auf Vertraulichkeit und beschränkt den Zugriff auf Personen mit Erforderlichkeit.
  2. Technische und organisatorische Maßnahmen (Art. 32 DSGVO): Der Auftragnehmer setzt die in Anlage 2 beschriebenen Maßnahmen um und hält sie auf einem dem Stand der Technik entsprechenden Niveau. Änderungen dürfen das Schutzniveau nicht unterschreiten.
  3. Unterstützung (Art. 28 Abs. 3 lit. e–f DSGVO): Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Möglichen bei der Erfüllung der Betroffenenrechte (§ 6), bei der Sicherheit der Verarbeitung, bei Meldungen von Datenschutzverletzungen (§ 7) sowie bei etwaigen Datenschutz-Folgenabschätzungen.
  4. Ansprechpartner Datenschutz: hallo@danielbeser.de. Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht vorliegen.
  5. Nachweis / Kontrolle: Der Auftragnehmer stellt die zum Nachweis der Einhaltung erforderlichen Informationen bereit und ermöglicht Überprüfungen nach § 8.

§ 5 Unterauftragsverhältnisse (Sub-Prozessoren)

  1. Der Auftraggeber erteilt die allgemeine Genehmigung zur Beauftragung der in Anlage 3 genannten Unterauftragsverarbeiter (aktuelle Liste).
  2. Der Auftragnehmer schließt mit jedem Unterauftragsverarbeiter einen Vertrag ab, der ein im Wesentlichen gleichwertiges Datenschutzniveau wie dieser AVV sicherstellt, und bleibt für deren Einhaltung verantwortlich.
  3. Beabsichtigt der Auftragnehmer, einen Unterauftragsverarbeiter hinzuzuziehen oder zu ersetzen, informiert er den Auftraggeber mindestens 30 Tage vorab in Textform. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem, datenschutzrechtlichem Grund widersprechen. Im Widerspruchsfall suchen die Parteien einvernehmlich eine Lösung; gelingt dies nicht, kann der Auftraggeber den betroffenen Teil des Hauptvertrags kündigen.
  4. Drittlandbezug: Soweit ein Unterauftragsverarbeiter Daten außerhalb der EU/des EWR verarbeitet, stellt der Auftragnehmer geeignete Garantien nach Kap. V DSGVO sicher (insbesondere EU-Standardvertragsklauseln). Der Dienst ist so konfiguriert, dass die Primärverarbeitung und -speicherung in der EU (Region Frankfurt) erfolgt.

§ 6 Betroffenenrechte

  1. Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu erfüllen (Art. 12–23 DSGVO). Der Dienst stellt hierfür u. a. Export- und Löschfunktionen je Kunde/Organisation bereit.
  2. Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter und beantwortet es nicht selbst (außer zur Bestätigung der Weiterleitung).

§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten

  1. Der Auftragnehmer meldet dem Auftraggeber jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, nach Möglichkeit innerhalb von 48 Stunden nach Kenntnis, in Textform.
  2. Die Meldung enthält, soweit verfügbar, die Art der Verletzung, die betroffenen Datenkategorien, wahrscheinliche Folgen und ergriffene bzw. vorgeschlagene Maßnahmen. Der Auftragnehmer unterstützt den Auftraggeber bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).

§ 8 Kontrollrechte

  1. Der Auftraggeber ist berechtigt, sich von der Einhaltung dieses AVV zu überzeugen. Der Auftragnehmer weist die Einhaltung vorrangig durch geeignete Nachweise nach (z. B. aktuelle Zertifikate, Testate oder Berichte anerkannter Stellen zu ihm oder seinen Unterauftragsverarbeitern).
  2. Reichen diese Nachweise nicht aus, ermöglicht der Auftragnehmer nach rechtzeitiger Vorankündigung (mind. 30 Tage), während der üblichen Geschäftszeiten und ohne unverhältnismäßige Betriebsstörung Kontrollen, ggf. durch einen zur Verschwiegenheit verpflichteten Dritten.

§ 9 Mitteilungs- und Unterstützungspflichten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich mit, wenn er der Auffassung ist, seine datenschutzrechtlichen Pflichten nicht mehr erfüllen zu können, sowie bei behördlichen Kontrollmaßnahmen mit Bezug zur Verarbeitung.

§ 10 Löschung und Rückgabe nach Vertragsende

  1. Nach Abschluss der Verarbeitungstätigkeiten löscht der Auftragnehmer nach Wahl des Auftraggebers sämtliche personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  2. Der Auftraggeber kann innerhalb von 30 Tagen nach Vertragsende einen Export der Daten in einem gängigen Format anfordern oder eine Self-Service-Exportfunktion nutzen. Nach Ablauf dieser Frist werden die Daten einschließlich etwaiger Kopien bei Unterauftragsverarbeitern gelöscht.
  3. Gesetzliche Aufbewahrungspflichten (insb. GoBD / § 147 AO für Rechnungen, grds. 10 Jahre) bleiben unberührt; für diese Zeit werden die Daten zugriffsbeschränkt aufbewahrt und danach gelöscht.

§ 11 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO und den Regelungen des Hauptvertrags, soweit gesetzlich zulässig.

§ 12 Einbeziehung, Rangfolge, Schlussbestimmungen

  1. Dieser AVV wird mit der Zustimmung des Auftraggebers zu den Nutzungsbedingungen bei der Registrierung wirksam einbezogen. Zeitpunkt und Version werden im Kundenkonto protokolliert.
  2. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV in datenschutzrechtlichen Fragen vor.
  3. Änderungen bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit im Übrigen unberührt.
  4. Es gilt deutsches Recht.

Anlage 1 — Gegenstand und Details der Verarbeitung

Art und Zweck der Verarbeitung

Bereitstellung einer SaaS-Anwendung zur Abbildung des operativen Catering-Workflows: Speicherung, Organisation, Anzeige, Änderung, Übermittlung (E-Mail/PDF) und Löschung der vom Auftraggeber eingegebenen bzw. über den öffentlichen Konfigurator erhobenen Daten.

Art der personenbezogenen Daten

  • Stammdaten von Kunden/Interessenten des Auftraggebers (Name, Anschrift, E-Mail, Telefon, Firma)
  • Vorgangs-/Vertragsdaten (Anfragen, Angebote, Aufträge, Rechnungen, Zahlungseingänge, Freitext-Notizen)
  • Nutzungs- und Zugangsdaten der Mitarbeiter des Auftraggebers (Login, Rolle, Protokolldaten)
  • Signaturdaten bei Online-Angebotsannahme (Name, Zeitpunkt, ggf. IP)

Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) sind Gegenstand der Verarbeitung. Der Auftraggeber verpflichtet sich, keine solchen Daten (z. B. Gesundheits- oder Religionsdaten einzelner Personen) in Freitextfelder einzugeben; andernfalls hat er hierfür eine eigene Rechtsgrundlage sicherzustellen.

Kategorien betroffener Personen

Kunden, Interessenten und deren Ansprechpartner des Auftraggebers; Nutzer/Mitarbeiter des Auftraggebers; Endkunden, die den öffentlichen Konfigurator nutzen.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Hosting / Standort. Verarbeitung und Speicherung erfolgen in Rechenzentren innerhalb der EU (Supabase, Frankfurt; ggf. Hetzner, Deutschland). Physische Zutrittskontrolle ist an die zertifizierten Rechenzentrumsbetreiber delegiert.

Vertraulichkeit

  • Zugangskontrolle: Authentifizierung über Supabase Auth (JWT), starke Passwortrichtlinien, 2FA für administrative Zugänge.
  • Zugriffskontrolle / Mandantentrennung: explizite Filterung auf die Organisations-ID im Anwendungslayer, zusätzlich Row Level Security in PostgreSQL als Defense-in-Depth; Rollenkonzept.
  • Verschlüsselung: TLS 1.2+ im Transport; Verschlüsselung gespeicherter Daten und Backups at-rest (AES-256, providerseitig).

Integrität, Verfügbarkeit, Überprüfung

  • Audit-Trail sicherheits- und GoBD-relevanter Aktionen; Soft-Delete statt Hard-Delete für unveränderbare Belege.
  • Tägliche verschlüsselte Backups, getrennt von den Produktivressourcen; Monitoring und Incident-Response-Prozess.
  • Datenschutz-Management, AVVs mit allen Unterauftragsverarbeitern, statische Prüfungen der Mandantentrennung im CI.

Anlage 3 — Genehmigte Unterauftragsverarbeiter

Die jeweils aktuelle Liste ist unter /legal/subprozessoren abrufbar. Änderungen werden gemäß § 5 Abs. 3 mitgeteilt.

Version 1.0