Vertrag über die Auftragsverarbeitung (AVV)

Vertragsparteien

Zwischen
dem Nutzer der SaaS-Anwendung „Schwundbuch“ (nachfolgend Verantwortlicher)
und

Karina Peters
Im Krähwinkel 10, 52441 Linnich
USt-IdNr.: DE323878495 · Steuernummer: 213/5078/2938
E-Mail: info@schwundbuch.app
(nachfolgend Auftragsverarbeiter)

§ 1 Gegenstand, Zweck und Dauer der Verarbeitung

Gegenstand & Zweck: Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Webanwendung „Schwundbuch“ zur Erfassung und Auswertung von Lebensmittelabfällen und Schwundbuchungen bereit. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen, um die Funktionen der App (Terminal-Erfassung, Chef-Bereich, Datenexporte und technischen Support) bereitzustellen.

Dauer: Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages (Nutzungsverhältnis/Abonnement).

§ 2 Spezifikation der Daten und Betroffenen

Art der personenbezogenen Daten:

• Stammdaten (Namen von Mitarbeitern/Nutzern, Betriebsstammdaten, E-Mail-Adressen)
• Protokoll- und Autorisierungsdaten (Zugangscodes, Chef-PINs, Session-Cookies, Zeitstempel)
• Spezifische Anwendungsdaten (Schwundbuchungen mit optionaler Personenzuordnung, optionale Fotos zu Buchungen, generierte Exporte in den Formaten PDF, CSV, XML und DATEV)

Kategorien betroffener Personen: Beschäftigte des Verantwortlichen (Mitarbeiter des Gastronomiebetriebes) sowie Personen, die Zugriff auf das Terminal oder den Chef-Bereich erhalten.

§ 3 Pflichten des Auftragsverarbeiters

Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet Daten nur im Rahmen dieses Vertrages und nach dokumentierten Weisungen des Verantwortlichen. Die Nutzung der App durch den Verantwortlichen gilt als grundlegende Weisung.

Vertraulichkeit: Der Auftragsverarbeiter sichert zu, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet und mit den Datenschutzbestimmungen vertraut gemacht wurden.

Datensicherheit: Der Auftragsverarbeiter setzt die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen um (siehe Anlage 1).

Unterstützungspflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) sowie bei der Einhaltung der Pflichten aus den Art. 32 bis 36 DSGVO. Anfragen von betroffenen Mitarbeitern wird der Auftragsverarbeiter unverzüglich an den Verantwortlichen weiterleiten.

Datenlöschung nach Vertragsende: Nach Beendigung des Hauptvertrages werden die Daten grundsätzlich gelöscht. Hiervon ausdrücklich ausgenommen sind Daten, die einer gesetzlichen, insbesondere steuerrechtlichen Aufbewahrungspflicht unterliegen (z. B. nach § 147 AO / GoBD für steuerlich relevante Buchungsdaten). Diese Daten werden für die Dauer von 10 Jahren gesperrt aufbewahrt und nach Ablauf dieser Frist endgültig gelöscht.

§ 4 Unterauftragsverhältnisse (Subunternehmer)

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter hinzuzuziehen. Die genehmigten Subunternehmer zum Zeitpunkt des Vertragsschlusses sind in Anlage 2 aufgeführt.

Beabsichtigt der Auftragsverarbeiter, einen Subunternehmer zu wechseln oder neu hinzuzuziehen, wird er den Verantwortlichen mindestens 14 Tage vorab per E-Mail oder über die Plattform informieren. Der Verantwortliche kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund widersprechen.

§ 5 Kontrollrechte und Datenschutzansprechpartner

Der Verantwortliche hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen (z. B. durch Anforderung von Nachweisen und Zertifikaten).

Direkter Ansprechpartner für alle datenschutzrechtlichen Fragen beim Auftragsverarbeiter ist: Karina Peters (info@schwundbuch.app).

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Mandantentrennung: Alle Datenstrukturen sind über eine strikte logische Mandantentrennung mittels betrieb_id voneinander isoliert. Ein systemübergreifender Zugriff oder Einblick durch andere Mandanten ist technisch ausgeschlossen.

Zugangs- und Zugriffskontrolle:

• Der Zugriff auf administrative Backend-Infrastrukturen ist durch starke Passwörter und Zwei-Faktor-Authentifizierung (2FA) geschützt.
• Die Absicherung des Terminals erfolgt über spezifische Betrieb-Zugangscodes und kryptografisch signierte Session-Cookies; der Chef-Bereich ist durch eine zusätzliche Chef-PIN geschützt.
• Kein direkter Datenbankzugriff von Client-Seite (strikte Steuerung über API-Endpunkte und Row Level Security).

Verschlüsselung: Sämtliche Datenverbindungen erfolgen verschlüsselt über TLS/HTTPS. Die Speicherung der Produktivdatenbank erfolgt verschlüsselt auf Servern innerhalb der Europäischen Union. Backups werden mittels AES-Verschlüsselung gesichert.

Verfügbarkeit & Integrität: Es werden tägliche, automatisierte Backups der Anwendungsdaten erstellt. Buchungen werden als unveränderliche Snapshots festgehalten. Relevante administrative Aktionen im Chef-Bereich werden in einem internen Audit-Protokoll erfasst.

Anlage 2: Zugelassene Subauftragsverarbeiter