Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO — Stand: März 2026
Zwischen dem Kunden als Verantwortlichen im Sinne der DSGVO (nachfolgend „Auftraggeber") und MenuVibe, Gent Uka, Postfach, Kommandantenstr. 43-51, 47057 Duisburg, als Auftragsverarbeiter (nachfolgend „Auftragnehmer") wird folgender Auftragsverarbeitungsvertrag geschlossen:
§1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „MenuVibe" zur Erstellung und Verwaltung digitaler Speisekarten.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags (SaaS-Abonnement). Der AVV endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten aus §9 dieses Vertrags.
§2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Anzeige von Speisekarten-Inhalten (Gerichte, Kategorien, Preise, Allergene, Herkunftsangaben)
- Bereitstellung der öffentlichen Speisekarte für Restaurantgäste
- Verarbeitung von Merkzettel-Bestellungen (optional, wenn vom Auftraggeber aktiviert)
- Bereitstellung anonymisierter Statistiken (Seitenaufrufe, QR-Scans)
- Optionale KI-gestützte Digitalisierung und Übersetzung von Speisekarten
- Zahlungsabwicklung über den Drittanbieter Stripe
§3 Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:
Daten des Auftraggebers (Restaurant-Betreiber)
- Name, Vorname
- E-Mail-Adresse
- Telefonnummer (optional)
- Geschäftsadresse
- Zahlungsdaten (verarbeitet durch Stripe, nicht durch den Auftragnehmer gespeichert)
- Login-Daten (E-Mail, Passwort-Hash)
Daten der Restaurantgäste
Im Regelfall werden keine personenbezogenen Daten der Restaurantgäste verarbeitet. Die öffentliche Speisekarte ist ohne Registrierung oder Login zugänglich. Ausnahme:
- Merkzettel-Bestellungen: Optional kann ein Gast einen Namen oder eine Tischnummer angeben. Diese Angabe ist freiwillig und wird nur für die Dauer der Bestellabwicklung im Restaurant gespeichert.
§4 Kategorien betroffener Personen
- Restaurant-Betreiber und deren Mitarbeiter (als Nutzer der Plattform)
- Restaurantgäste (nur bei optionaler Nutzung der Merkzettel-Funktion mit Namensangabe)
§5 Pflichten des Auftragsverarbeiters
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldepflichten bei Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
(4) Der Auftragnehmer teilt dem Auftraggeber unverzüglich mit, wenn nach seiner Auffassung eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).
(5) Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
§6 Technische und organisatorische Maßnahmen (TOM)
Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
Vertraulichkeit
- Verschlüsselte Datenübertragung (TLS/SSL via Let's Encrypt)
- Verschlüsselte Passwortspeicherung (bcrypt-Hashing)
- Zugriffskontrolle durch Authentifizierung und rollenbasierte Autorisierung
- Logische Mandantentrennung durch restaurant_id-Scoping
- Firewall und Zugriffsbeschränkung auf Server-Infrastruktur
Integrität
- CSRF-Schutz für alle Formulare
- Input-Validierung und Prepared Statements (SQL-Injection-Schutz)
- Regelmäßige Software-Updates und Sicherheitspatches
Verfügbarkeit und Belastbarkeit
- Hosting auf Laravel Cloud (EU-Server) mit Hetzner Object Storage (Deutschland)
- Regelmäßige automatisierte Backups der Datenbank
- Überwachung der Server-Infrastruktur
Verfahren zur regelmäßigen Überprüfung
- Regelmäßige Überprüfung und Aktualisierung der TOM
- Incident-Response-Prozesse
§7 Unterauftragnehmer (Subunternehmer)
(1) Der Auftraggeber stimmt dem Einsatz der folgenden Unterauftragnehmer zu:
| Unterauftragnehmer | Zweck | Standort | Garantie |
|---|---|---|---|
| Laravel Holdings Inc. | Anwendungs-Hosting (Webserver, Datenbank, Queue) | USA (EU-Server) | Terms / Privacy |
| Hetzner Online GmbH | Object Storage (Dateispeicherung) | Deutschland | AVV / Datenschutz |
| Stripe Inc. | Zahlungsabwicklung | USA (EU-US DPF) | Datenschutz |
| Cloudflare, Inc. | DNS, CDN, Email Routing | USA (EU-US DPF) | Datenschutz |
| OpenAI, L.L.C. | KI-Funktionen (Texterkennung, Übersetzung) | USA (DPA) | Datenschutz |
(2) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragnehmers informieren und dem Auftraggeber die Möglichkeit geben, gegen die Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO).
(3) Der Auftragnehmer stellt sicher, dass den Unterauftragnehmern dieselben Datenschutzpflichten auferlegt werden, wie sie in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).
§8 Rechte der betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit bei der Erfüllung der Anfragen betroffener Personen gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird dieser die Anfrage unverzüglich an den Auftraggeber weiterleiten.
§9 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).
(2) Der Auftraggeber hat die Möglichkeit, vor der Löschung einen Export seiner Daten über das Dashboard anzufordern.
(3) Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Bestehende Backups werden innerhalb des regulären Backup-Rotationszyklus überschrieben (maximal 90 Tage).
(4) Der Auftragnehmer bestätigt die Löschung auf Anfrage schriftlich.
§10 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV getroffenen Vereinbarungen und der datenschutzrechtlichen Vorschriften durch den Auftragnehmer zu überprüfen. Dies kann durch Einsichtnahme in die TOM, Einholung von Auskünften oder in begründeten Fällen durch Vor-Ort-Inspektionen erfolgen (Art. 28 Abs. 3 lit. h DSGVO).
(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(3) Inspektionen durch den Auftraggeber oder einen von ihm beauftragten Prüfer sind nach angemessener Vorankündigung und unter Wahrung der Betriebsgeheimnisse des Auftragnehmers zulässig.