Vereinbarung zur Auftragsdatenverarbeitung
Vertrag über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DSGVO
zwischen
Kunde, der die Fastlane GmbH beauftragt, um im Rahmen seiner gastronomischen Tätigkeit
zur Durchführung seiner Geschäftsprozesse und der Kommunikation mit den Gästen der
Gastronomie, die Standardsoftware-Anwendung Fast Dine zu nutzen.
– nachfolgend „Auftraggeber“ genannt –
und
Fastlane GmbH, Universität des Saarlandes Geb.A1.1,
66123 Saarbrücken, Deutschland  
– nachfolgend „Auftragnehmer“ genannt –
1. Vertragsgegenstand
Im Rahmen der Leistungserbringung nach dem Vertrag vom {{Datum}} (nachfolgend „Hauptvertrag“ genannt) ist es
erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als
verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend
„Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der
Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des
Hauptvertrags.
2. Umfang der Beauftragung
2.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des
Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im
datenschutzrechtlichen Sinn.
2.2 Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt in der Art, dem
Umfang und zu dem Zweck wie in Anlage 1 zu diesem Vertrag spezifiziert; die Verarbeitung betrifft die darin
bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der
Verarbeitung entspricht der Laufzeit des Hauptvertrages, sofern im Hauptvertrag nichts anderes geregelt ist.
2.3 Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu
aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser
Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der
Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien
stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht
mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.
2.4 Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen
für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche
Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche
Datenverarbeitungen findet dieser Vertrag keine Anwendung.
2.5 Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb
der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter
Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den
Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 - 48
DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.
3. Weisungsbefugnisse des Auftraggebers
3.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten gemäß den Weisungen des Auftraggebers,
sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem
Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit,
sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
verbietet.
3.2 Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses
Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags
abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des
Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in
dem die Weisung zu dokumentieren und die Übernahme etwa dadurch bedingter Mehrkosten des
Auftragnehmers durch den Auftraggeber zu regeln ist.
3.3 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen
des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers
gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden
Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung
durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung
für die weisungsgemäße Verarbeitung der Auftraggeber-Daten beim Auftraggeber liegt.
4. Verantwortlichkeit des Auftraggebers
4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für
die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten
Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses
Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen
Ansprüchen auf erstes Anfordern freistellen.
4.2 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur
Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die
Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu
informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder
Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
4.3 Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten
Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.
4.4 Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte
über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig
zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der
Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu
unterstützen.
5. Anforderungen an Personal
Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von
Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.

 

6. Sicherheit der Verarbeitung
6.1 Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und
organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der
Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die
Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes
Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
6.2 Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der
Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen
genügen.
7. Inanspruchnahme weiterer Auftragsverarbeiter
7.1 Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere
Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt
des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 2. Generell
nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von
Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum
Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann,
solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der
Auftraggeber-Daten trifft.
7.2 Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die
Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im
Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters
zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden
Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der
Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden
Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und
diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.
7.3 Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem
dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien
stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes
Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten
Pflichten auferlegt sind.
7.4 Unter Einhaltung der Anforderungen der Ziffer 2.5 dieses Vertrags gelten die Regelungen in dieser
Ziffer 7 auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird. Der Auftraggeber
bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem weiteren
Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung
personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010 zu schließen. Der
Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen
Maße mitzuwirken.
8. Rechte der betroffenen Personen
8.1 Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im
Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf
Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

 

8.2 Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte
unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah
an den Auftraggeber weiterleiten.
8.3 Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten
Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß
weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht
selbst vorliegen oder er sie sich selbst beschaffen kann.
8.4 Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und
Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden
Aufwände und Kosten, Auftraggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung
einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der
weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
8.5 Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit
bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im
Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch
entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in
einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht
anderweitig beschaffen kann.
9. Mitteilungs- und Unterstützungspflichten des Auftragnehmers
9.1 Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer
Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der
Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem
Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Meldeund Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen
Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten
unterstützen.
9.2 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen
Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei
etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls
anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
10. Datenlöschung
10.1 Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages löschen, sofern
nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten
besteht.
10.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von
Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.
11. Nachweise und Überprüfungen
11.1 Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim
Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem
Vertrag zur Verfügung stellen.
11.2 Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses
Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen;
einschließlich durch Inspektionen.

 

11.3 Zur Durchführung von Inspektionen nach Ziffer 11.2 ist der Auftraggeber berechtigt, im Rahmen der
üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung gemäß
Ziffer 11.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von
Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu
betreten, in denen Auftraggeber-Daten verarbeitet werden.
11.4 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen
Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die
Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen
gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt,
Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich
Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen
vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten
Überprüfungszwecke sind, zu erhalten.
11.5 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher)
über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der
Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen
Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.
11.6 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber
den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11 dieses
Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf
Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen
Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die
Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen
Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.
11.7 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage
anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer
unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung,
Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheitsoder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der
Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der
Vertragspflichten zu überzeugen.
12. Vertragsdauer und Kündigung
12.1 Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und
Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung
dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
13. Haftung
13.1 Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüsse und
-begrenzungen gemäß dem Hauptvertrag. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend
machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen
eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber den
Auftragnehmer von diesen Ansprüchen auf erstes Anfordern frei.
13.2 Der Auftraggeber verpflichtet sich, den Auftragnehmer auch von allen etwaigen Geldbußen, die gegen
den Auftragnehmer verhängt werden, in dem Umfang auf erstes Anfordern freizustellen, in dem der
Auftraggeber Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

 

14. Schlussbestimmungen
14.1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke
enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle
der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der
unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.
14.2 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den
Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

 

Anlagen:
Anlage 1: Zweck, Art und Umfang der Datenverarbeitung
I. Grundsätzliche Maßnahmen zum Datenschutz, insb. der Wahrung der Betroffenenrechte
natürlicher Personen
Die IT-Sicherheit arbeitet zur Erreichung eines angemessenen Schutzniveaus für das allgemeine
Persönlichkeitsrecht des Einzelnen eng mit dem Datenschutz zusammen. Dabei orientieren sich die
organisatorischen und technischen Maßnahmen an den Eckpfeilern des Sicherheitskonzepts Vertraulichkeit,
Integrität und Verfügbarkeit der Daten. Die organisatorischen und technischen Maßnahmen (TOM) dienen in
Verbindung mit dem Sicherheitskonzept der Sicherstellung eines angemessenen Schutzniveaus nach dem
aktuellen Stand der Technik.
1. Internes Datenschutz-Management (TOMs zum Schutz der personenbezogenen Daten, Zuständigkeiten
zum Datenschutz [Verantwortlicher zum Datenschutz, Verantwortlicher für IT-Sicherheit], Vorgehen bei
Datenpannen [Risikoanalyse & standardisierter Ablaufprozess])
2. Formulare zur Wahrung der Betroffenenrechte & Benennung der Verantwortlichkeiten zur Umsetzung der
Betroffenenrechte
3. Berücksichtigung der Schutzmaßnahmen unter Gesichtspunkten des aktuellen Stands der Technik
4. Schulung der Mitarbeiter
II. Technische und organisatorische Maßnahmen (TOMs) zum Schutz der
personenbezogenen Daten der Fastlane GmbH
1. Zutritts- & Zugangskontrollen
Sicherheitsschlösser
Zutrittsregelung für nicht betriebszugehörige Personen
Schließsystem
Firewalls (Hard und Software)
aktueller Virenschutz
aktuelle Softwareversionen
Passwortschutz
Berechtigungs- und Authentifizierungskonzept
Vergabe von Zugangsberechtigungen nach Verantwortungsbereich
Mindestpasswortlängen
2. Kontrollen der Datenweitergabe/ Auftragskontrolle
Protokollierung von Zugriffen und Erstellen von Änderungshistorien
Dedizierte Weitergabeberechtigungen
Auswahl von Auftragsverarbeitung nach Sorgfaltsgesichtspunkten
Schriftliche und vertragliche Fixierung von Rechten, Pflichten und Weisungen
3. Sicherheit der Dateneingabe
Datenübermittlung an Auftragsverarbeiter über gesicherte Verbindung (TLS-Verschlüsselung und
AES-Verschlüsselung [vgl. Schloss im Browser neben URL])
Anonymisierung von Daten beim Auftragsverarbeiter
4. Verfügbarkeitskontrollen, Löschung der Daten
Sicherstellung der Vernichtung von Daten nach regulatorischen Vorgaben der Länder/ des Bundes
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftragsverhältnisses
Ständiges Backup- und Recoverymanagement

 

Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden
sind
Sicherungskopien (Backups- und Dokumentenmanagement)
5. Gewährleistung des Zweckbindungs-/ Trennungsgebots
Trennung von Daten (Produktivumgebungen, Vertragsanbahnung [vorbereitende Tätigkeiten, bspw. CRM]
Mandantentrennung (softwareseitig, wenn Kundendaten bei Google getrennt aufbewahrt werden sollten)
6. Weitere technische und organisatorische Maßnahmen durch Auftragsverarbeiter
grds. Standard Sicherheitsvorkehrungen von Google
III. Datenverarbeitung von Auftraggeberdaten
Ort der Datenspeicherung und
-verarbeitung
Die Datenspeicherung und Verarbeitung erfolgt bei dem Dienstleister
Google über das Produkt Firebase. Die Serverkapazitäten des
Dienstleisters befinden sich in der EU und werden demnach auch
nach der DSGVO behandelt.
Schutz von
personenbezogenen und
vertragsrelevanten Daten
Sämtliche personenbezogene und vertragsrelevante Daten werden
vom Auftragnehmer in verschlüsselter Form gespeichert. (AES bei
inaktivem Status, TLS bei Übertragung)
Neben den oben genannten Sicherheitskonzept der internen
IT-Sicherheit, bestärkt der Dienstleister Google den Schutz der Daten
(https:/cloud.google.com/docs?hl=de#section-22)
Der Auftragnehmer hat lediglich in anonymisierter und/oder
pseudonymisierter Form Informationen auf Auftraggeber-Daten,
sodass die Identifizierung einzelner betroffener Personen nicht mehr
möglich ist.
Art der Daten Wesentlich für die Leistungserbringung werden folgende
personenbezogene Daten verarbeitet:
- Vor- und Nachname
- Anschrift
- E-Mail Adresse
- Telefonnummer
- Besuchszeitraum
Zweck der Daten Um Restaurantbesuchern den Alltag zu erleichtern, ermöglichen wir
das Bestellen und Bezahlen mit einem mobilen Endgerät im
Restaurant.
Kategorien der betroffenen
Personen
Es werden Daten von natürlichen und juristischen Personen
verarbeitet und zwar nur natürliche und juristische Personen, die in
einer Kundenbeziehung zum Auftraggeber stehen.
Weitergabe von Daten Sofern angefordert, ist der Eigentümer der Daten jederzeit unter
Berücksichtigung der DSGVO-Richtilnien dazu berechtigt, die Daten
einzusehen.
Zeitpunkt der Löschung und
Rückgabe von Daten
Nach Artikel 17 Abs. 1 DSGVO sind personenbezogene Daten
unverzüglich zu löschen, sofern der Zweck für die Erfassung und
Verarbeitung der Daten nicht mehr notwendig ist.

 

Anlage 2: Weitere Auftragsverarbeiter
● Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Zweck: Serverhost für die
Datenbank; Art der Daten: Name, Vorname, Telefonnummer, Anschrift, E-Mail-Adresse, Freiwillige
Angeben; Kategorie der betroffenen Personen: Natürliche Personen, Juristische Personen;
Vertragsgrundlage: ADV vom 16.05.2020.
● Stripe, Inc., 510 Townsend Street. San Francisco, CA 94103, USA; Zweck: Zahlungsdienstleister zwischen
Gast und Gastronom; Art der Daten: Name, Vorname, Zahlungsinformationen; Vertragsgrundlage: ADV vom
24.09.2020.
● PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal L-2449, Luxemburg; Zweck:
Zahlungsdienstleister zwischen Gast und Gastronom; Art der Daten: Name, Vorname,
Zahlungsinformationen; Vertragsgrundlage: ADV vom in Bearbeitung.