Auftragsverarbeitungsvertrag
nach Art. 28 Datenschutz-Grundverordnung (DSGVO)
Stand: März 2026
zwischen
dem Restaurantbetreiber/der Betreiberin (nachfolgend „Verantwortlicher“)
und
Alchemista Rituals OÜ
Sven Schneider
Ahtri tn 12, 10151 Tallinn, Estland
(nachfolgend „Auftragsverarbeiter“)
§ 1 Gegenstand und Dauer
(1) Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten von Gästen und Personal der Restaurant-Betriebsstätten des Verantwortlichen im Zusammenhang mit dem Betrieb der „Loyalty Club Plattform“-Plattform. Die Verarbeitung umfasst die Verwaltung und den Betrieb einer mobilen Anwendung und eines Backend-Systems zur Verwaltung eines digitalen Prämiensystems (Stempelkarte, Voucher, Feedback, Newsletter, Benachrichtigungen).
(2) Die Dauer dieser Vereinbarung ist an die Laufzeit des Leistungsvertrags zwischen den Parteien gebunden. Mit Beendigung des Leistungsvertrags endet auch die Verarbeitung personenbezogener Daten, spätestens jedoch 30 Tage nach Kündigungsmitteilung.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten für folgende Zwecke im Auftrag des Verantwortlichen:
- Betrieb und Verwaltung der Loyalty-Club-Plattform
- Verwaltung digitaler Stempelkarten und Prämiensysteme
- Verwaltung und Auszahlung von Gutscheinen und Rabatten
- Erfassung und Verarbeitung von Kundenfeedback und Bewertungen
- Versand von Pushbenachrichtigungen und Newsletters
- Newsletter und Marketing-Kommunikation (sofern Einwilligung vorliegt)
- Aggregierte und pseudonymisierte Datenanalyse (KI-basierte Markenanalyse)
- Authentifizierung und Zugriffsverwaltung
- Sicherheitsüberwachung, Fehlerbehandlung und Audit-Logging
(2) Die Verarbeitung erfolgt ausschließlich auf schriftliche Anweisung des Verantwortlichen und nur für die in dieser Vereinbarung und dem Leistungsvertrag beschriebenen Zwecke.
§ 3 Art der personenbezogenen Daten
(1) Der Auftragsverarbeiter verarbeitet die folgenden Kategorien personenbezogener Daten:
- Nutzer-Stammdaten: User-ID, Tenant-ID, E-Mail-Adresse, Vorname, Nachname, Geburtsdatum, bevorzugte Restaurantstandort(e), Diätische Vorlieben, Referral-Code, Registrierungsdatum, Aktivitätsstatus
- Prämiendaten: Aktuelle Stempel, kumulierte Stempel (Lifetime), Sorpresa-Tier, Sorpresa-Besuche, Sorpresa-Fenster, eingelöste Gutscheine, Transaktionsverlauf
- Kommunikationsdaten: Expo-Push-Token, bevorzugte Sprache, E-Mail-Bounce-Count, Marketing-Consent-Status, DSGVO-Consent-Zeitstempel
- Wallet-Daten: Wallet-Pass-Seriennummer
- Transaktionsdaten: Stempel-Transaktionen, Moment-Aktivitäten, Feedback-Einträge, Umfrage-Antworten, E-Mail-Versände, Besuchsverlauf (Datum und Uhrzeit letzte Besuche)
- Personal-Daten: Mitarbeiter-Benutzerkonten mit Rollen (Service, Manager, Admin), Login-Aktivitäten
(2) Eine detaillierte Übersicht aller verarbeiteten Datenkategorien ist in Anlage 3 dargestellt.
§ 4 Kreis der betroffenen Personen
(1) Die Verarbeitung bezieht sich auf folgende Kategorien betroffener Personen:
- Gäste und Nutzer der Loyalty-Club-App
- Mitarbeitende des Verantwortlichen (Service-Personal, Manager, Admin-User)
(2) Die ungefähre Anzahl betroffener Personen ist abhängig von der Betriebsgröße des Verantwortlichen und wird in Jahresberichten dokumentiert.
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich auf dokumentierte Anweisung des Verantwortlichen zu verarbeiten.
(2) Der Auftragsverarbeiter und alle Personen, die unter seiner Aufsicht tätig sind, insbesondere seine Mitarbeitenden und Unterauftragsverarbeiter, sind zur Vertraulichkeit verpflichtet.
(3) Der Auftragsverarbeiter implementiert und erhält angemessene technische und organisatorische Maßnahmen (TOMs) aufrecht, wie in § 8 und Anlage 1 beschrieben.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenportabilität, Einspruch).
(5) Der Auftragsverarbeiter löscht oder retourniert alle personenbezogenen Daten des Verantwortlichen nach Beendigung dieser Vereinbarung, sofern nicht durch gesetzliche Vorschriften Aufbewahrungspflichten bestehen.
(6) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen (einschließlich Verdacht auf unbefugte Zugriffe oder Offenlegungen), insbesondere wenn diese Verträge oder diese Vereinbarung berühren.
(7) Der Auftragsverarbeiter erfüllt alle Anforderungen des Art. 28 Abs. 3 DSGVO und stellt sicher, dass seine Unterauftragsverarbeiter entsprechende Garantien bieten.
§ 6 Pflichten des Verantwortlichen
(1) Der Verantwortliche trägt die Verantwortung dafür, dass die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO (Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) erfolgt.
(2) Der Verantwortliche ist verpflichtet, alle erforderlichen Einwilligungen von betroffenen Personen einzuholen, insbesondere für:
- Marketing-Kommunikation und Newsletter-Versand
- Geolocation und Geofencing-Funktionen (mit Betriebssystem-Berechtigung)
- Pseudonymisierte Analytik und KI-basierte Analyse
Die Geofencing-Funktion erfordert die aktive Erteilung der Standortberechtigung durch den Endkunden auf Betriebssystemebene (iOS/Android). Diese Berechtigung gilt als Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
(3) Der Verantwortliche ist Ansprechpartner für alle Anfragen und Betroffenenrechte. Er stellt sicher, dass eine datenschutzgerechte Datenschutzerklärung in der App verfügbar ist.
(4) Der Verantwortliche trägt die Verantwortung für die Rechtmäßigkeit der Verarbeitung, die Dokumentation von Einwilligungen und die Einhaltung aller datenschutzrechtlichen Anforderungen.
§ 7 Unterauftragsverarbeiter
(1) Der Auftragsverarbeiter ist grundsätzlich berechtigt, Unterauftragsverarbeiter zu beauftragen. Eine detaillierte aktuelle Liste ist in Anlage 2 aufgeführt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen vor Beauftragung neuer Unterauftragsverarbeiter und gibt ihm die Möglichkeit, Einwände zu erheben (Hinweis mindestens 30 Tage im Voraus).
(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter durch Verträge die gleichen Datenschutzpflichten erfüllen wie der Auftragsverarbeiter selbst (Art. 28 Abs. 4 DSGVO).
(4) Der Auftragsverarbeiter trägt die volle Verantwortung gegenüber dem Verantwortlichen für die Erfüllung der Pflichten durch Unterauftragsverarbeiter.
§ 8 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen (TOMs) implementiert und erhält diese aufrecht:
- Verschlüsselung: TLS/HTTPS für alle Datenübertragungen, AES-256 Verschlüsselung für Daten im Ruhezustand, bcrypt für PIN- und Passwort-Hashing, JWT-Signing für sichere Authentifizierung
- Zugriffskontrolle: Row-Level-Security (RLS) auf allen Datenbankabfragen, rollenbasierte Zugriffsverwaltung (Service, Manager, Admin), Loginversuch-Limitierung (5 Versuche = 5 Min Blockade), API-Rate-Limiting
- Sicherheitsheader: Helmet.js für Security-Header (CSP, X-Frame-Options, HSTS), CORS-Whitelist für autorisierte Domains, Input-Validierung (Zod-Schema-Validierung)
- Injection-Schutz: SQL-Injection-Prevention durch Prepared Statements, HTML-Sanitization für Benutzereingaben
- Audit-Logging: Umfassendes Protokoll aller Datenverarbeitungsaktivitäten, Authentifizierung bei Cron-Job-Ausführung, Aufbewahrungsfrist: 24 Monate
- Validierung: Startup-Secret-Validierung für Backend-Initialisierung
- Support-Chat-Datenlöschung: Support-Chat-Nachrichten (AI-Partner) werden nach 90 Tagen automatisch gelöscht
(2) Eine detaillierte Übersicht der TOMs ist in Anlage 1 dokumentiert.
§ 9 Betroffenenrechte
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung folgender Betroffenenrechte:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Datenportabilität (Art. 20 DSGVO)
- Recht auf Widerspruch (Art. 21 DSGVO)
(2) Der Auftragsverarbeiter hat ein Selbstservice-Deletionssystem implementiert: Nutzer können ihr Konto unter dem Endpoint DELETE /api/users/me selbst löschen. Dies führt zu einer Hard-Delete mit vollständigem Cascade-Löschen aller verknüpften Daten (ausgenommen anonymisierte Aggregatdaten).
(3) Der Auftragsverarbeiter hat einen Self-Service-Datenexport implementiert (GET /api/users/me/export). Betroffene Personen können ihre Daten jederzeit in einem maschinenlesbaren Format (JSON) herunterladen.
§ 10 Datenschutz-Folgenabschätzung
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DPIA) gemäß Art. 35 DSGVO, insbesondere durch:
- Bereitstellung detaillierter Informationen über Verarbeitungsvorgänge
- Beschreibung implementierter Sicherheitsmaßnahmen
- Identifizierung von Risiken und Mittigationsmechanismen
(2) Eine DPIA ist insbesondere erforderlich bei großflächiger Nutzung von Geolocation, umfassenden Analysedaten oder KI-basierten Verarbeitungsvorgängen.
§ 11 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Feststellung einer Datenschutzverletzung (Art. 33 Abs. 1 DSGVO).
(2) Die Mitteilung enthält mindestens folgende Informationen gemäß Art. 33 Abs. 3 DSGVO:
- Art der Verletzung und betroffene Daten
- Wahrscheinliche Folgen
- Ergriffene oder geplante Abhilfemaßnahmen
- Name und Kontakt des Datenschutzbeauftragten oder Ansprechpartners
(3) Der Auftragsverarbeiter dokumentiert alle Datenschutzverletzungen und stellt Nachweise für die Einhaltung dieser Verpflichtung zur Verfügung.
§ 12 Löschung und Rückgabe nach Vertragsende
(1) Mit Beendigung dieser Vereinbarung verpflichtet sich der Auftragsverarbeiter, alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen zu löschen, sofern nicht durch Gesetze (z.B. Steuern, Handelsrecht) Aufbewahrungspflichten bestehen.
(2) Der Auftragsverarbeiter bietet dem Verantwortlichen die Möglichkeit, alle Daten vor Löschung zu exportieren (sofern technisch machbar).
(3) Anonymisierte und aggregierte Daten (z.B. Network Insights, pseudonymisierte Analytikdaten) können nach Vertragsende weiterhin vom Auftragsverarbeiter gespeichert und verwendet werden, da diese keinen Bezug zu identifizierten Personen mehr aufweisen.
(4) Der Auftragsverarbeiter erteilt schriftliche Bestätigung der vollständigen Löschung personenbezogener Daten.
§ 13 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, Audits und Inspektionen durchzuführen, um die Einhaltung dieser Vereinbarung und der Datenschutzgesetze zu überprüfen (Art. 28 Abs. 3 h DSGVO).
(2) Der Auftragsverarbeiter unterstützt solche Audits durch:
- Bereitstellung von Dokumentation und Nachweisen über TOMs
- Ermöglichung von Remote-Audits oder Vor-Ort-Inspektionen (nach angemessener Vorlaufzeit)
- Vorlage von Zertifikaten und unabhängigen Sicherheitsberichten (z.B. SOC 2, ISO 27001)
(3) Für umfassende Vor-Ort-Audits oder Penetrationstests können angemessene Gebühren erhoben werden (Kosten für reisende Fachkräfte). Routineaudits per Remote sind kostenlos.
(4) Der Auftragsverarbeiter und der Verantwortliche können sich auf alternative Nachweismechanismen (Zertifikate, regelmäßige Audit-Reports) einigen.
§ 14 Drittlandtransfer
(1) Der Auftragsverarbeiter verarbeitet Daten in den folgenden Jurisdiktionen:
- EU/EWR: Primär: Frankfurt (Supabase EU hosting), Deutschland (Hetzner), EU-Hosting via PostHog (eu.posthog.com)
- USA: San Francisco (Supabase, Expo, Anthropic, Sentry, Resend) — gesichert durch SCCs
(2) Für alle Transfers in Drittländer (insbesondere USA) sind folgende Rechtsgrundlagen vorhanden:
- Standardvertragsklauseln (SCCs): Für Supabase Inc., Anthropic PBC, Expo / 650 Industries, Functional Software (Sentry), Resend Inc.
- Data Privacy Framework (DPF) oder SCCs: Für Stripe Inc., Apple Inc., Google LLC
(3) Der Auftragsverarbeiter gewährleistet, dass sämtliche Drittlandtransfers gemäß Art. 44-49 DSGVO und insbesondere Art. 46 DSGVO rechtmäßig erfolgen.
(4) Der Verantwortliche wird unverzüglich über Änderungen in Drittlandtransfermechanismen informiert.
§ 15 Haftung
(1) Jede Partei ist für Schäden haftbar, die in ihrem Verantwortungsbereich entstehen. Dies wird durch die Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters geregelt.
(2) Der Auftragsverarbeiter ist nicht haftbar für Schäden, die durch mangelhaft erteilte Anweisungen des Verantwortlichen entstehen.
(3) Alle Haftungsgrenzen und Exklusionen der AGB bleiben gültig und sind Bestandteil dieser Vereinbarung.
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
| Maßnahmenkategorie | Beschreibung | Status |
|---|---|---|
| Verschlüsselung in Transit | TLS 1.3 / HTTPS für alle Datenübertragungen | Implementiert |
| Verschlüsselung im Ruhezustand | AES-256 für sensible Daten in der Datenbank | Implementiert |
| Passwort-Hashing | bcrypt mit angemessenen Salt-Runden (12+) | Implementiert |
| JWT-Signing | Signierte JWT-Token für sichere Authentifizierung | Implementiert |
| Row-Level-Security (RLS) | RLS-Policies auf allen Datenbankabfragen | Implementiert |
| Rollenbasierte Zugriffskontrolle (RBAC) | Service, Manager, Admin-Rollen mit granularen Permissions | Implementiert |
| Login-Sicherheit | Lockout nach 5 fehlgeschlagenen Versuchen (5 Min Blockade) | Implementiert |
| Rate-Limiting | API-Rate-Limiting auf kritischen Endpoints | Implementiert |
| Security-Header | Helmet.js: CSP, X-Frame-Options, HSTS, X-XSS-Protection | Implementiert |
| CORS-Whitelist | Nur autorisierte Domains erlaubt | Implementiert |
| Input-Validierung | Zod-Schema-Validierung für alle API-Eingaben | Implementiert |
| SQL-Injection-Schutz | Prepared Statements, parametrisierte Queries | Implementiert |
| HTML-Sanitization | Sanitization von Benutzereingaben | Implementiert |
| Audit-Logging | Umfassendes Protokoll aller Verarbeitungsaktivitäten | Implementiert |
| Cron-Job-Authentifizierung | Secret-basierte Authentifizierung bei Cron-Ausführung | Implementiert |
| Fehlerbehandlung & Monitoring | Sentry-Integration für Exception-Tracking und Monitoring | Implementiert |
Anlage 2: Liste der Unterauftragsverarbeiter
| Nr. | Service / Funktion | Provider | Standort |
|---|---|---|---|
| 1 | Datenbank, Authentifizierung, Storage, Edge Functions | Supabase Inc. | San Francisco, EU-Hosting Frankfurt |
| 2 | Zahlungsverarbeitung | Stripe Inc. | San Francisco (DPF) |
| 3 | KI-basierte Markenanalyse, Support-Chat, Agenten | Anthropic PBC | San Francisco (SCCs erforderlich) |
| 4 | Push-Benachrichtigungen, App-Builds | Expo / 650 Industries | San Francisco (SCCs erforderlich) |
| 5 | Produkt-Analytik | PostHog Inc. | EU-Hosting (eu.posthog.com, Frankfurt) |
| 6 | Fehler-Monitoring, Exception-Tracking | Functional Software (Sentry) | San Francisco (SCCs erforderlich) |
| 7 | E-Mail-Versand | Resend Inc. | San Francisco (SCCs erforderlich) |
| 8 | Server-Hosting, Infrastruktur | Hetzner Online GmbH | Deutschland (keine Drittlandübertragung) |
| 9 | App Store, APNs (Apple Push Notifications), Wallet | Apple Inc. | San Francisco (DPF) |
| 10 | Play Store, Google Wallet, Maps | Google LLC | San Francisco (DPF) |
Übertragungsmechanismen:
- SCCs (Standardvertragsklauseln): Supabase, Anthropic, Expo, Sentry, Resend
- DPF (Data Privacy Framework): Stripe, Apple, Google
- EU-Hosting: Supabase (Frankfurt), PostHog (eu.posthog.com), Hetzner (Deutschland)
Anlage 3: Übersicht der verarbeiteten Datenkategorien
| Datenkategorie | Spezifische Felder | Verarbeitungszweck |
|---|---|---|
| Nutzer-IDs | user_id, tenant_id, referral_code | Eindeutige Identifizierung, Tenant-Isolation |
| Persönliche Informationen | Email, first_name, last_name, birthdate | Authentifizierung, Kommunikation, Personalisierung |
| Prämiendaten | total_stamps, lifetime_stamps, sorpresa_level, sorpresa_visits, sorpresa_window | Prämienverwaltung, Tier-System |
| Vorlieben & Profilangaben | preferred_location, dietary_preferences, language | Personalisierung, Kommunikation |
| Kommunikationsdaten | expo_push_token, email_bounce_count, marketing_consent, gdpr_consent_timestamp | Push-Benachrichtigungen, Newsletter, Compliance |
| Wallet-Daten | wallet_pass_serial_number | Apple Wallet Integration |
| Aktivitätsverlauf | last_visit_date, registration_date, is_active | Analytik, Engagement-Tracking |
| Transaktionsdaten | Stamp transactions, Redemptions, Moments, Feedback, Survey answers | Geschäftsbetrieb, Analytik, KI-Analyse |
| Feedback & Bewertungen | Feedback text, survey_answers, ratings | Qualitätssicherung, KI-basierte Markenanalyse |
| Authentifizierungsdaten | Hashed passwords, JWT tokens, Login logs | Sicherheit, Zugriffskontrolle |
| Audit-Logs | Alle Verarbeitungsaktivitäten mit Timestamp | Compliance, Sicherheitsüberwachung |
| Personal-Daten (Staff) | Staff email, roles (service/manager/admin), login activities | Betriebsbetrieb, Zugriffskontrolle |
Alle genannten Datenkategorien werden gemäß dieser Vereinbarung und den technischen/organisatorischen Maßnahmen verarbeitet und geschützt.