EasyZahl

Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Stand: 2026

Präambel

Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Allgemeinen Geschäftsbedingungen zwischen der Nirmla Labs UG (haftungsbeschränkt), Rathausstr. 15, 10367 Berlin („Auftragsverarbeiter") und dem jeweiligen Gastronomiebetrieb („Verantwortlicher", zusammen „Parteien"). Er konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO für alle Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen über die Software EasyZahl durchführt.

§ 1 Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung und des Betriebs der Software EasyZahl gemäß den AGB. Die Dauer entspricht der Laufzeit des Hauptvertrags; die Regelungen zur Löschung und Rückgabe (§ 8) gelten über das Vertragsende hinaus.

§ 2 Art, Zweck und Umfang der Verarbeitung

Art und Zweck der Verarbeitung: Speicherung, Anzeige, Übermittlung und Auswertung von Daten zur Abwicklung von Bestellungen und Zahlungen der Gäste, zur Verwaltung von Speisekarten, Tischen, Reservierungen und Küche sowie zur Organisation des Personals des Verantwortlichen (Zeiterfassung, Urlaubsverwaltung, Personaldokumente).

Kategorien betroffener Personen: Gäste des Verantwortlichen sowie Mitarbeiter und sonstige Beschäftigte des Verantwortlichen.

Kategorien personenbezogener Daten: Bestell- und Transaktionsdaten (Artikel, Beträge, Zahlungsstatus, Trinkgelder), optionale Angaben der Gäste (Anzeigename, E-Mail-Adresse für Belegversand, gerätebezogene Zufallskennung), Reservierungs- und Abholdaten sowie Beschäftigtendaten (Stammdaten, Rollen und Berechtigungen, Arbeits- und Pausenzeiten, Urlaubsdaten, Vertrags- und Personaldokumente). Zahlungsinstrumentdaten (z. B. Kartendaten) werden ausschließlich vom Zahlungsdienstleister verarbeitet und sind nicht Gegenstand dieses AVV.

§ 3 Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht verbietet. Die Nutzung der Software und ihrer Einstellungen durch den Verantwortlichen gilt als Weisung. Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtswidrig, informiert er den Verantwortlichen unverzüglich.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Er trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (Anlage 1) und passt diese dem Stand der Technik fortlaufend an, ohne das vereinbarte Schutzniveau zu unterschreiten.

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12 bis 23 DSGVO), bei der Sicherheit der Verarbeitung, bei der Meldung von Verletzungen des Schutzes personenbezogener Daten sowie bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen (Art. 32 bis 36 DSGVO).

Verletzungen des Schutzes personenbezogener Daten im Verantwortungsbereich des Auftragsverarbeiters meldet dieser dem Verantwortlichen unverzüglich, damit der Verantwortliche seine Meldepflichten (Art. 33, 34 DSGVO) fristgerecht erfüllen kann. Die Meldung enthält die in Art. 33 Abs. 3 DSGVO vorgesehenen Informationen, soweit verfügbar.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) in Textform mit einer Frist von mindestens 30 Tagen. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen; im Fall des Widerspruchs steht beiden Parteien ein Kündigungsrecht des Hauptvertrags zu. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter vertraglich im Wesentlichen dieselben Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind.

Übermittlungen in Drittländer erfolgen nur bei Vorliegen geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere Angemessenheitsbeschlüsse oder EU-Standardvertragsklauseln einschließlich erforderlicher zusätzlicher Maßnahmen).

§ 6 Betroffenenrechte

Macht eine betroffene Person Rechte unmittelbar gegenüber dem Auftragsverarbeiter geltend, leitet dieser das Ersuchen unverzüglich an den Verantwortlichen weiter, soweit eine Zuordnung möglich ist. Die Beantwortung obliegt dem Verantwortlichen; der Auftragsverarbeiter unterstützt ihn hierbei im erforderlichen Umfang, insbesondere durch die in der Software vorhandenen Export-, Berichtigungs- und Löschfunktionen.

§ 7 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind, und ermöglicht Überprüfungen einschließlich Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer. Kontrollen erfolgen nach angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs. Der Nachweis kann vorrangig durch aussagekräftige Dokumentation (z. B. Beschreibungen der technischen und organisatorischen Maßnahmen, Prüfberichte) erbracht werden.

§ 8 Löschung und Rückgabe

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Es gelten die Export- und Löschfristen der AGB (Exportmöglichkeit für 90 Tage nach Vertragsende). Die Verantwortung für die Einhaltung gesetzlicher Aufbewahrungsfristen (insbesondere HGB, AO) liegt beim Verantwortlichen.

§ 9 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor. Im Übrigen gelten die Schlussbestimmungen der AGB (Rechtswahl, Gerichtsstand, salvatorische Klausel) entsprechend. Maßgeblich ist die deutsche Fassung.

Anlage 1: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Zutritts-, Zugangs- und Zugriffskontrolle: Betrieb in gesicherten Rechenzentren in Deutschland bzw. der EU; Authentifizierung über individuelle Konten mit httpOnly-Cookies; rollen- und berechtigungsbasierte Zugriffssteuerung je Restaurant und Mitarbeiter; mandantengetrennte Datenhaltung je Restaurant.

Übertragungs- und Eingabekontrolle: Verschlüsselte Übertragung (TLS) für sämtliche Verbindungen; Dateien werden unter zufälligen, nicht erratbaren Kennungen gespeichert und nur über zugriffsgeprüfte, kurzlebige Links ausgeliefert; Protokollierung sicherheitsrelevanter Vorgänge.

Verfügbarkeits- und Trennungskontrolle: Regelmäßige Datensicherungen; Trennung von Entwicklungs- und Produktivumgebung; Pseudonymisierung, wo möglich (z. B. zufällige Gerätekennung statt Personenbezug bei Gästen).

Organisatorische Maßnahmen: Vertraulichkeitsverpflichtung der mit der Verarbeitung befassten Personen; Prinzip der Datenminimierung (Gäste bestellen ohne Konto; nur für Bestellung und Zahlung erforderliche Daten); regelmäßige Überprüfung und Anpassung der Maßnahmen.

Anlage 2: Genehmigte Unterauftragsverarbeiter

Hetzner Online GmbH, Deutschland: Hosting der Anwendung und Datenbank sowie Objektspeicher für Dateien (Rechenzentren in Deutschland/EU).

Stripe Payments Europe, Ltd., Irland: Zahlungsabwicklung. Für die Verarbeitung der Zahlungsdaten ist Stripe (mit-)verantwortlich; eine etwaige Drittlandübermittlung stützt Stripe auf geeignete Garantien gemäß Art. 44 ff. DSGVO.

Zoho Corporation B.V. (ZeptoMail, EU-Versand): Versand transaktionaler E-Mails (z. B. digitale Belege).

KI-Dienstleister für Speisekartenübersetzung und Bilderzeugung: An diese werden ausschließlich Speisekarteninhalte übermittelt, keine personenbezogenen Daten von Gästen oder Beschäftigten; sie sind daher regelmäßig keine Unterauftragsverarbeiter im engeren Sinne und hier nur der Transparenz halber genannt.