← Zurück

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO · Stand: Juni 2026

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch Tapbell (Auftragsverarbeiter) im Auftrag des Restaurants (Verantwortlicher) und ist Bestandteil des Hauptvertrags (AGB). Er gilt mit Vertragsschluss zwischen Elias Belke, Klausdorfer Straße 184, 24161 Altenholz („Auftragsverarbeiter") und dem Kunden („Verantwortlicher").

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Erbringung des Tapbell-Dienstes (NFC-Tischservice-System). Die Dauer entspricht der Laufzeit des Hauptvertrags; der Vertrag endet automatisch mit dessen Beendigung.

§ 2 Art, Zweck und Umfang

Zweck: Entgegennahme und Weiterleitung von Tischanfragen, Benachrichtigung des Service-Teams, Bereitstellung von Dashboard und Statistiken.

Art der Daten: Tischnummer, Art der Anfrage, Zeitstempel, optionale Kommentare der Gäste; Telegram-Name und -ID von Mitarbeitern im Dienst; ggf. Inhalte hochgeladener Speisekarten.

Kategorien betroffener Personen: Gäste des Verantwortlichen, Mitarbeiter des Verantwortlichen.

§ 3 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (inkl. dieses Vertrags und der Nutzung des Dienstes).
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO, siehe Anlage 1).
  • Unterstützung des Verantwortlichen bei Betroffenenrechten und Sicherheitspflichten (Art. 32–36 DSGVO), soweit möglich.
  • Information des Verantwortlichen, wenn eine Weisung gegen Datenschutzrecht zu verstoßen scheint.
  • Keine Verarbeitung der Daten für eigene Zwecke; keine Weitergabe an Dritte außer den genannten Unterauftragsverarbeitern.

§ 4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen Maßnahmen gemäß Art. 32 DSGVO und hält diese während der Vertragslaufzeit auf dem Stand der Technik.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert über beabsichtigte Änderungen; der Verantwortliche kann begründet widersprechen.

§ 6 Betroffenenrechte und Meldepflichten

Anfragen betroffener Personen, die beim Auftragsverarbeiter eingehen, werden an den Verantwortlichen weitergeleitet. Der Auftragsverarbeiter unterstützt bei deren Erfüllung.

Verletzungen des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich nach Bekanntwerden, damit dieser seine Fristen (Art. 33 DSGVO) wahren kann.

§ 7 Löschung und Rückgabe

Nach Beendigung des Vertrags werden die verarbeiteten Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung des Kontos im Dashboard löst die vollständige Löschung der zugehörigen Daten aus.

§ 8 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen auf Anfrage zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

Anlage 1 — Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

  • Verschlüsselung: Alle Verbindungen per TLS/HTTPS; Passwörter ausschließlich als bcrypt-Hash (12 Runden) gespeichert.
  • Zugriffskontrolle: Authentifizierung über signierte Session-Tokens (JWT, HttpOnly/Secure-Cookie); Admin-Funktionen gesondert geschützt.
  • Mandantentrennung: Jeder Restaurant-Account ist logisch vollständig von anderen Accounts isoliert.
  • Zahlungsdaten: Werden ausschließlich von Stripe verarbeitet; es werden keine Karten-/Bankdaten auf Systemen des Auftragsverarbeiters gespeichert.
  • Sicherheits-Header & Schutz: Content-Security-Policy, Schutz vor Missbrauch (Rate-Limiting), signaturgeprüfte Webhooks.
  • Datensparsamkeit: Von Gästen werden keine Namen, E-Mails oder Profile erhoben; nur Tisch, Anfrageart, Zeit, optionaler Kommentar.
  • Speicherbegrenzung: Tagesanfragen 48 Stunden, aggregierte Statistiken 400 Tage, Kontodaten bis zur Löschung.
  • Verfügbarkeit: Gehostete, redundante Infrastruktur (Vercel, Upstash) mit automatischen Backups durch die Anbieter.

Anlage 2 — Unterauftragsverarbeiter

AnbieterZweckOrt / Grundlage
Vercel Inc.HostingUSA · DPF / SCC
Upstash Inc.DatenbankEU (Frankfurt)
Stripe Inc.ZahlungenUSA · DPF / SCC
Telegram FZ-LLCBenachrichtigungenVAE / EU
Google Ireland Ltd.E-Mail-VersandEU · DPF / SCC

Fragen zu diesem Vertrag oder Anforderung einer unterzeichneten Fassung: info@tapbell-page.com

ImpressumDatenschutzAGB