Auftragsverarbeitungsvertrag

  1. Home
  2. Pages
  3. Auftragsverarbeitungsvertrag
Pages

Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO für MenuStern.

Stand: 2026-05-27-3

Dieser Vertrag regelt die Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen JUDIGO UG (haftungsbeschränkt) als Auftragnehmer und dem registrierten Nutzer der MenuStern-Plattform als Auftraggeber.

1. Parteien

Auftragnehmer / Auftragsverarbeiter:
JUDIGO UG (haftungsbeschränkt)
Poststraße 18
99610 Sömmerda
Deutschland
Vertreten durch: Igor Larionov

Auftraggeber / Verantwortlicher:
Der registrierte Nutzer der MenuStern-Plattform, insbesondere der jeweilige Restaurant-, Hotel-, Café-, Camping-, Catering-, Agentur- oder sonstige Geschäftskunde.

2. Gegenstand und Dauer

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der MenuStern-Plattform. Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags, soweit nichts anderes vereinbart wird.

3. Art und Zweck der Verarbeitung

  • Hosting und technische Bereitstellung von Websites, CRM, digitalen Speisekarten und QR-Menüs.
  • Speicherung, Anzeige und Verwaltung von Reservierungen, Kontaktanfragen, Gästedaten und CRM-Daten.
  • Verarbeitung von Uploads, Speisekartenquellen, Medien, Bildern, Dateien und mehrsprachigen Inhalten.
  • Import, OCR/Erkennung, Übersetzung, KI-gestützte Strukturierung und Inhaltsbearbeitung, soweit vom Auftraggeber genutzt.
  • Benachrichtigung, Support, Fehleranalyse, Wartung und Sicherheitsmaßnahmen.
  • Datenexport, Sicherung und Löschung nach Weisung oder Vertragsende.

4. Kategorien betroffener Personen

  • Gäste und Kunden des Auftraggebers.
  • Website-Besucher der vom Auftraggeber betriebenen Seiten.
  • Reservierungs-, Anfrage- und Kontaktpersonen.
  • Mitarbeiter, Ansprechpartner, Teammitglieder, Agenturen und Dienstleister des Auftraggebers.
  • Lieferanten oder sonstige Personen, sofern deren Daten in der Plattform gespeichert werden.

5. Kategorien personenbezogener Daten

  • Stammdaten: Name, Kontaktdaten, E-Mail, Telefonnummer, Unternehmens- oder Objektbezug.
  • Reservierungsdaten: Datum, Uhrzeit, Personenanzahl, Nachricht, Status, interne Notizen, Präferenzen und organisatorische Angaben.
  • Kommunikationsdaten: Anfragen, Nachrichten, Formularinhalte, Support-Kommunikation.
  • Technische Daten: IP-Adresse, Browserdaten, Logfiles, Consent-, Audit- und Sicherheitsprotokolle.
  • Inhaltsdaten in Uploads, Bildern, Dateien oder Speisekartenquellen, soweit diese personenbezogene Daten enthalten.
  • Integrationsdaten: technische Kennungen, Token oder Konfigurationen, soweit vom Auftraggeber hinterlegt.

6. Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO ist nicht Zweck der Plattform. Der Auftraggeber darf solche Daten nur einstellen, wenn hierfür eine ausreichende Rechtsgrundlage besteht und dies mit dem Auftragnehmer abgestimmt ist. Angaben zu Allergien oder Essenswünschen können im Einzelfall sensible Rückschlüsse ermöglichen; der Auftraggeber ist für eine datensparsame Konfiguration verantwortlich.

7. Weisungen

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich dokumentiert nach Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zu einer anderen Verarbeitung besteht. Weisungen können sich aus dem Hauptvertrag, Plattformkonfigurationen, Support-Anfragen oder schriftlichen Anweisungen ergeben. Der Auftragnehmer informiert den Auftraggeber, wenn eine Weisung offensichtlich gegen Datenschutzrecht verstößt.

8. Vertraulichkeit

Der Auftragnehmer stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

9. Support- und Administrationszugriffe

Support- und Administrationszugriffe erfolgen nur, soweit sie zur Einrichtung, Fehlerbehebung, Wartung, Sicherheit, Missbrauchsvermeidung oder Vertragserfüllung erforderlich sind. Solche Zugriffe werden organisatorisch beschränkt und können technisch protokolliert werden.

10. Technische und organisatorische Maßnahmen

  • Zugriffskontrolle und rollenbasierte Berechtigungen.
  • TLS-/HTTPS-Verschlüsselung bei der Übertragung.
  • Passwort-Hashing und Schutz administrativer Zugänge.
  • Protokollierung sicherheitsrelevanter Ereignisse.
  • Trennung von Kundendaten nach Site/Projekt, soweit technisch vorgesehen.
  • Validierung und Zugriffsschutz für Uploads und Medien.
  • Sicherung, Wiederherstellung und Update-Prozesse nach technischem Konzept.
  • Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen.
  • Beschränkung von Produktivdatenzugriffen auf erforderliche Personen.

11. Subunternehmer

Der Auftragnehmer darf Subunternehmer einsetzen, soweit dies für die Leistungserbringung erforderlich ist. Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz von Subunternehmern. Der Auftragnehmer informiert über wesentliche Änderungen, soweit dies gesetzlich erforderlich ist, und stellt sicher, dass Subunternehmer angemessene Datenschutzpflichten übernehmen.

12. Internationale Übermittlungen

Soweit Subunternehmer oder Dienste in Drittländern eingesetzt werden, stellt der Auftragnehmer sicher, dass geeignete Garantien bestehen, z. B. ein Angemessenheitsbeschluss, EU-Standardvertragsklauseln, zusätzliche Schutzmaßnahmen oder eine andere zulässige Grundlage nach DSGVO.

13. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung von Betroffenenrechten, Meldepflichten bei Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und Nachweisen, soweit dies die Verarbeitung durch den Auftragnehmer betrifft.

14. Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten, soweit Daten des Auftraggebers betroffen sind. Die Meldung enthält, soweit verfügbar, Art der Verletzung, betroffene Datenkategorien, mögliche Folgen und ergriffene oder vorgeschlagene Maßnahmen.

15. Rückgabe, Export, Löschung und Backups

Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe für eine weitere Speicherung bestehen. Backups werden nach dem technischen Backup-Zyklus überschrieben oder gelöscht; eine sofortige Einzel-Löschung aus allen Sicherungskopien kann technisch eingeschränkt sein.

16. Kontrollrechte

Der Auftragnehmer stellt dem Auftraggeber die erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung. Prüfungen sind mit angemessener Frist anzukündigen, auf das erforderliche Maß zu beschränken und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

17. Anlage 1: Verarbeitungsspezifikation

  • Gegenstand: Betrieb von MenuStern-Websites, CRM, Reservierungen, Medienverwaltung, digitalem Menü, Import-, Übersetzungs- und Integrationsfunktionen.
  • Zweck: Technische Bereitstellung, Speicherung, Anzeige, Verwaltung, Kommunikation, Sicherheit, Support und Datenexport.
  • Art der Verarbeitung: Erheben, Speichern, Ordnen, Strukturieren, Anzeigen, Übermitteln, Auslesen, Abgleichen, Löschen und Vernichten.
  • Dauer: Vertragslaufzeit zuzüglich technischer Lösch-, Backup- und gesetzlicher Aufbewahrungsfristen.

18. Anlage 2: Technische und organisatorische Maßnahmen

  • Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle nach technischem und organisatorischem Konzept.
  • Mandanten- und Projekttrennung innerhalb der Plattform.
  • Transportverschlüsselung und sichere Authentifizierungsverfahren.
  • Protokollierung, Monitoring, Fehleranalyse und Sicherheitsupdates.
  • Backup- und Wiederherstellungsprozesse.
  • Datensparsamkeit, rollenbasierte Rechtevergabe und Löschprozesse.
  • Vertraulichkeitsverpflichtung von Personen mit Zugriff auf personenbezogene Daten.

19. Anlage 3: Kategorien von Subunternehmern

  • Hosting-, Server-, Datenbank-, Storage-, CDN-, DNS- und Backup-Dienstleister.
  • E-Mail-, Newsletter-, Benachrichtigungs- und Support-Dienstleister.
  • Zahlungsdienstleister, insbesondere Stripe, soweit kostenpflichtige Leistungen genutzt werden.
  • KI-, OCR-, Übersetzungs-, Bildverarbeitungs- und Content-Dienstleister, soweit entsprechende Funktionen genutzt werden.
  • Analytics- und Marketing-Anbieter wie Google oder Meta, soweit vom Auftraggeber aktiviert und zulässig.
  • Kommunikations- und Messaging-Dienste wie Telegram, soweit vom Auftraggeber konfiguriert.

20. Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die datenschutzrechtlichen Regelungen dieses AVV vor, soweit sie die Auftragsverarbeitung betreffen. Änderungen dieses AVV können elektronisch bereitgestellt werden, sofern sie dem Auftraggeber zugänglich sind und dokumentiert werden können.