Hinweis: Dieser AVV gilt, soweit kein individuell unterzeichneter Auftragsverarbeitungsvertrag zwischen dem Kunden und der JUDIGO UG (haftungsbeschränkt) besteht. Bei Widersprüchen geht eine individuell vereinbarte Fassung vor.
1. Parteien und Rollen
Auftraggeber: der jeweilige Geschäftskunde, der MenuStern nutzt und über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Auftragnehmerin: JUDIGO UG (haftungsbeschränkt), Poststraße 18, 99610 Sömmerda, Deutschland, vertreten durch den Geschäftsführer Igor Larionov.
Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Die Auftragnehmerin verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.
2. Gegenstand, Dauer und Zweck der Verarbeitung
Gegenstand der Verarbeitung ist die Bereitstellung, Wartung, Sicherung und Unterstützung der MenuStern Software-as-a-Service-Lösung für digitale Speisekarten, Hotel & Resort-Websites, QR-Code-Menüs, Reservierungen, Bestellungen, CRM- und Kommunikationsfunktionen.
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags einschließlich gesetzlicher Aufbewahrungs-, Nachweis- und Löschfristen.
3. Arten personenbezogener Daten und Kategorien betroffener Personen
| Datenarten | Stammdaten, Kontaktdaten, Reservierungsdaten, Bestelldaten, Kommunikationsdaten, technische Nutzungsdaten, Login- und Berechtigungsdaten, Zahlungs- und Rechnungsdaten, Supportdaten sowie vom Auftraggeber eingestellte Inhalte. |
|---|---|
| Betroffene Personen | Gäste, Kunden und Interessenten des Auftraggebers, Mitarbeitende und Beauftragte des Auftraggebers, Ansprechpartner von Lieferanten oder Partnern sowie Nutzer der vom Auftraggeber bereitgestellten MenuStern-Angebote. |
| Besondere Kategorien | Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist nicht Gegenstand der Leistungen, sofern sie nicht ausnahmsweise durch Inhalte des Auftraggebers eingebracht werden. Der Auftraggeber hat solche Daten nur einzustellen, wenn hierfür eine rechtliche Grundlage besteht. |
4. Weisungen und Pflichten der Auftragnehmerin
Die Auftragnehmerin verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zu einer anderen Verarbeitung besteht. Der Hauptvertrag, diese AVV-Regelungen und die Nutzungskonfiguration gelten als dokumentierte Weisungen.
Die Auftragnehmerin verpflichtet zur Vertraulichkeit, setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden, unterstützt den Auftraggeber angemessen bei der Erfüllung datenschutzrechtlicher Pflichten und informiert den Auftraggeber unverzüglich, wenn eine Weisung nach ihrer Auffassung gegen Datenschutzrecht verstößt.
5. Pflichten des Auftraggebers
Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung, die Wahrung der Betroffenenrechte, die Erteilung rechtmäßiger Weisungen, Informationspflichten gegenüber betroffenen Personen und die Prüfung der Zulässigkeit der eingesetzten Funktionen verantwortlich.
6. Technische und organisatorische Maßnahmen
Die Auftragnehmerin trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Dazu gehören, soweit einschlägig, Zugangskontrollen, Zugriffsbeschränkungen, Rollen- und Berechtigungskonzepte, Transportverschlüsselung, Datensicherung, Protokollierung, Verfügbarkeitsmaßnahmen, Mandantentrennung, Vertraulichkeitsverpflichtungen und Verfahren zur regelmäßigen Überprüfung der Sicherheit.
Die Maßnahmen werden unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere möglicher Risiken weiterentwickelt.
7. Unterauftragsverarbeiter
Die Auftragnehmerin darf Unterauftragsverarbeiter einsetzen, soweit diese sorgfältig ausgewählt und datenschutzrechtlich verpflichtet werden. Der Auftraggeber erteilt hierzu eine allgemeine Genehmigung. Über wesentliche Änderungen beim Einsatz von Unterauftragsverarbeitern wird der Auftraggeber informiert; ihm steht aus wichtigem datenschutzrechtlichem Grund ein Widerspruchsrecht zu.
8. Betroffenenrechte, Datenschutzverletzungen und Nachweise
Gehen Anfragen betroffener Personen unmittelbar bei der Auftragnehmerin ein und betreffen sie Verarbeitungen des Auftraggebers, leitet die Auftragnehmerin die Anfrage nach Möglichkeit an den Auftraggeber weiter. Die Auftragnehmerin unterstützt den Auftraggeber im erforderlichen und zumutbaren Umfang bei Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.
Die Auftragnehmerin informiert den Auftraggeber unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten, soweit Daten des Auftraggebers betroffen sind. Die Auftragnehmerin stellt dem Auftraggeber die zur Prüfung und Meldung erforderlichen Informationen bereit, soweit diese verfügbar sind.
Der Auftraggeber ist berechtigt, die Einhaltung der vereinbarten Maßnahmen angemessen zu kontrollieren. Kontrollen sind rechtzeitig anzukündigen, auf ein erforderliches Maß zu beschränken und dürfen Betriebs- und Geschäftsgeheimnisse sowie die Sicherheit anderer Kunden nicht gefährden.
9. Rückgabe und Löschung nach Vertragsende
Nach Ende des Hauptvertrags löscht oder gibt die Auftragnehmerin personenbezogene Daten des Auftraggebers nach dessen Wahl zurück, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen. Sicherungskopien werden nach Ablauf der üblichen Backup-Zyklen gelöscht oder überschrieben.
10. Schlussbestimmungen
Im Übrigen gelten die AGB und der Hauptvertrag. Bei Widersprüchen zwischen diesem AVV und den AGB gehen datenschutzrechtliche Regelungen dieses AVV vor, soweit sie die Auftragsverarbeitung betreffen.