← Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: April 2025

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der SaaS-Plattform KitchenTicket gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

Auftragsverarbeiter im Sinne dieses AVV ist:

Daniel Bürger
St. Colomann 1
84405 Dorfen
Deutschland
E-Mail: info@irrgartn.de

Verantwortlicher im Sinne dieses AVV ist der jeweilige Restaurantbetreiber, der KitchenTicket zur Verwaltung seines Betriebs einsetzt (nachfolgend „Betreiber").

Mit der Registrierung und Nutzung der Plattform akzeptiert der Betreiber diesen AVV als Bestandteil des Vertragsverhältnisses.

§1 Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist der Betrieb der webbasierten Bestellmanagement- und Küchenmonitor-Software KitchenTicket, einschließlich der damit verbundenen Speicherung und Verarbeitung von Daten im Auftrag des Betreibers.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen Betreiber und Anbieter. Mit Beendigung des Vertrags endet auch dieser AVV, vorbehaltlich der Regelungen in §6 zur Löschung und Rückgabe.

§2 Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Mitarbeiter-Konten: E-Mail-Adresse, optionaler Name, Organisationszugehörigkeit, Rolle (z. B. Admin, Servicepersonal)
  • Bestelldaten: Tischnummer, bestellte Artikel, Zeitstempel — ohne Personenbezug zu Gästen
  • Technische Zugangsdaten: gehashte Passwörter (gespeichert bei Supabase Auth), Sitzungstoken

Es werden keine personenbezogenen Gästedaten verarbeitet. Gäste bestellen anonym über QR-Codes; es werden kein Name, keine E-Mail-Adresse und keine weiteren personenbezogenen Daten von Gästen gespeichert.

2.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck des Betriebs des Bestellmanagement- und Küchenmonitor-Systems für den Betreiber, insbesondere:

  • Verwaltung von Mitarbeiterkonten und Berechtigungen
  • Entgegennahme, Weiterleitung und Verwaltung von Tischbestellungen
  • Anzeige von Bestellinformationen auf Küchenmonitoren
  • Erstellung aggregierter, nicht-personenbezogener Statistiken

2.3 Betroffene Personen

Betroffene Personen sind ausschließlich Mitarbeitende des Betreibers, die Konten auf der Plattform besitzen. Gäste sind nicht betroffen.

§3 Pflichten des Auftragsverarbeiters

3.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Betreibers, es sei denn, er ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaats zu einer bestimmten Verarbeitung verpflichtet.

3.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.3 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere:

  • Verschlüsselte Übertragung aller Daten via HTTPS/TLS
  • Verschlüsselte Datenspeicherung in der Datenbank (at rest)
  • Rollenbasierte Zugriffskontrolle (Row-Level Security)
  • Authentifizierung mit gehashten Passwörtern (bcrypt)
  • Regelmäßige Sicherheitsüberprüfungen der eingesetzten Dienste
  • Zugriffsbeschränkung auf das für den jeweiligen Zweck notwendige Minimum

3.4 Meldepflicht bei Datenpannen

Der Auftragsverarbeiter unterrichtet den Betreiber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung erfolgt per E-Mail an die hinterlegte Adresse des Betreibers.

§4 Subauftragsverarbeiter

Der Betreiber erteilt hiermit seine generelle schriftliche Genehmigung für den Einsatz folgender Subauftragsverarbeiter. Der Auftragsverarbeiter informiert den Betreiber über geplante Änderungen hinsichtlich der Hinzuziehung oder des Ersatzes von Subauftragsverarbeitern; der Betreiber hat die Möglichkeit, Einwände zu erheben.

Supabase Inc.

Zweck: Datenbankbetrieb, Authentifizierung, Dateiablage
Serverstandort: EU — Frankfurt (aws-eu-central-1)
Rechtsgrundlage: Eigener AVV gemäß Art. 28 DSGVO abgeschlossen
Weitere Informationen: supabase.com/privacy

Netlify Inc.

Zweck: Hosting und Auslieferung des Frontends
Serverstandort: EU-Region verfügbar
Rechtsgrundlage: Data Processing Agreement (DPA) abgeschlossen
Weitere Informationen: netlify.com/privacy

Resend Inc.

Zweck: Transaktionale E-Mail-Zustellung (z. B. Einladungen, Bestätigungen)
Serverstandort: EU-Region verfügbar
Rechtsgrundlage: Eigener DPA gemäß Art. 28 DSGVO abgeschlossen
Weitere Informationen: resend.com/privacy

§5 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Betreiber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht, Anträge auf Wahrnehmung der Betroffenenrechte gemäß Kapitel III DSGVO zu beantworten. Dazu gehören insbesondere:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Anfragen diesbezüglich richtet der Betreiber per E-Mail an info@irrgartn.de.

§6 Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten des Betreibers, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Der Betreiber kann jederzeit die Löschung seines Accounts und aller zugehörigen Daten per E-Mail an info@irrgartn.de beantragen. Die Löschung erfolgt innerhalb von 30 Tagen nach Eingang des Antrags, sofern keine Aufbewahrungspflichten entgegenstehen.

Ein Datenexport (CSV) kann auf Anfrage durch Betreiber mit Premium-Plan oder im Rahmen der Kontolöschung bereitgestellt werden.

§7 Nachweise und Audits

Der Auftragsverarbeiter stellt dem Betreiber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung.

Der Betreiber ist berechtigt, Überprüfungen — einschließlich Inspektionen — durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen. Audits sind mit einer angemessenen Vorlaufzeit von mindestens 14 Tagen anzukündigen und auf das notwendige Maß zu beschränken. Kosten trägt der Betreiber, sofern keine Pflichtverletzung des Auftragsverarbeiters festgestellt wird.

§8 Haftung

Die Haftung der Parteien bestimmt sich nach den allgemeinen gesetzlichen Regelungen sowie den Haftungsbeschränkungen in den AGB. Jede Partei haftet gegenüber der anderen für Schäden, die durch einen Verstoß gegen die Bestimmungen der DSGVO oder dieses AVV verursacht werden, nach Maßgabe der gesetzlichen Bestimmungen.

Soweit der Auftragsverarbeiter für einen Schaden gegenüber einem Dritten in Anspruch genommen wird, der auf einer Weisung des Betreibers beruht, stellt der Betreiber den Auftragsverarbeiter von dieser Haftung frei.

Hinweis: Diesen AVV können Sie ausdrucken oder als PDF speichern (Strg+P bzw. Cmd+P).