bestello.← Zur Startseite

Vertrag zur Auftragsverarbeitung (AVV)

Stand: Mai 2026

Vorlage des Anbieters. Dieser Vertrag zur Auftragsverarbeitung (AVV) wird zwischen dem Anbieter (Auftragnehmer) und jedem Restaurant (Kunde / Verantwortlicher) geschlossen, das bestello nutzt. Er ist nach Art. 28 Abs. 3 DSGVO Pflicht. Vor dem produktiven Einsatz juristisch prüfen lassen; [Platzhalter] ausfüllen.

Präambel

Dieser Vertrag zur Auftragsverarbeitung („AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien bei der Nutzung des Dienstes bestello und gilt ergänzend zu den AGB („Hauptvertrag").

Verantwortlicher (Auftraggeber): das den Dienst nutzende Restaurant gemäß den im Hauptvertrag hinterlegten Stammdaten („Kunde").

Auftragsverarbeiter (Auftragnehmer):
Zukunft.digital
Inhaber: Daniel Petzke
Schumannstr. 46
48480 Spelle, Deutschland
E-Mail: hallo@bestello.online
[ggf. USt-IdNr. / Steuernummer]

Der Verantwortliche bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 24 DSGVO). Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen.

§ 1 Gegenstand, Art und Zweck

Gegenstand ist die Bereitstellung und der Betrieb des Online-Bestell-Shops (Software-as-a-Service) gemäß Hauptvertrag: Entgegennahme, Speicherung, Anzeige und Verwaltung von Bestellungen der Gäste (Abholung und Lieferung); Verwaltungsoberfläche für den Kunden und dessen Personal; technischer Betrieb (Hosting, Datenbank, Sicherung, Wartung).

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Anzeigen, Verwenden, Löschen – automatisiert auf der Infrastruktur des Auftragnehmers.

Zweck: ausschließlich die Erfüllung des Hauptvertrags. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.

Ort der Verarbeitung: Europäische Union (Server der Hetzner Online GmbH, Deutschland). Eine Verarbeitung in Drittländern findet nur durch die in Anlage 2 genannten Unterauftragnehmer und nur auf zulässiger Grundlage (Art. 44 ff. DSGVO) statt.

§ 2 Art der Daten und Kreis der Betroffenen

Kategorien personenbezogener Daten:

  • Bestelldaten der Gäste: Name, Telefonnummer, ggf. E-Mail-Adresse, bei Lieferung Lieferanschrift, Bestellinhalt, gewünschte Zeit, Freitext-Notizen, Bestellnummer, Zahlungsart und -status, ggf. PayPal-Vorgangs-ID.
  • Account-Daten des Kunden/Personals: Anmeldedaten der Verwaltungs-Zugänge (E-Mail/Benutzername, Passwort-Hash).

Kreise betroffener Personen: Gäste / Besteller des Kunden; Mitarbeitende mit Verwaltungs-Zugang.

Besondere Kategorien (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; der Kunde wird angehalten, keine solchen Daten (z. B. in Freitextfeldern) zu erheben.

§ 3 Dauer

Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Mit Beendigung gelten die Regelungen zu Löschung und Rückgabe (§ 9).

§ 4 Weisungsrecht des Verantwortlichen

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). Weisungen erfolgen in Textform (z. B. per E-Mail an hallo@bestello.online); die Konfiguration des Dienstes durch den Kunden gilt als Weisung. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Verantwortlichen und darf die Durchführung bis zur Klärung aussetzen.

§ 5 Pflichten des Auftragnehmers

  • weisungsgebundene Verarbeitung (§ 4);
  • Verpflichtung der befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO);
  • technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Anlage 1);
  • Einhaltung der Bedingungen für weitere Auftragsverarbeiter (§ 7);
  • Unterstützung bei Anträgen betroffener Personen (Art. 12–23 DSGVO, § 6);
  • Unterstützung bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung);
  • Löschung oder Rückgabe der Daten nach Auftragsende (§ 9);
  • Bereitstellung der Nachweise und Ermöglichung von Überprüfungen (§ 8);
  • Kontaktstelle für Datenschutzfragen: hallo@bestello.online.

§ 6 Unterstützung bei Betroffenenrechten

Wendet sich eine betroffene Person mit einem Antrag direkt an den Auftragnehmer, leitet dieser ihn unverzüglich an den Verantwortlichen weiter und beantwortet ihn nicht selbst. Er unterstützt den Verantwortlichen mit geeigneten technischen Maßnahmen (z. B. Bereitstellung, Berichtigung oder Löschung der betreffenden Datensätze).

§ 7 Unterauftragsverhältnisse

Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung der in Anlage 2 aufgeführten Unterauftragnehmer (Art. 28 Abs. 2 DSGVO). Der Auftragnehmer verpflichtet diese auf im Wesentlichen entsprechende Pflichten (Art. 28 Abs. 4 DSGVO). Einen Wechsel oder die Hinzunahme teilt er vorab in Textform mit; der Verantwortliche kann binnen 14 Tagen aus wichtigem Grund widersprechen (mit beiderseitigem Sonderkündigungsrecht bei berechtigtem Widerspruch).

§ 8 Nachweise und Kontrollen

Der Auftragnehmer weist die Einhaltung der TOM auf Anforderung in geeigneter Weise nach (Beschreibung gemäß Anlage 1, ggf. Testate der Unterauftragnehmer). Der Verantwortliche darf sich von der Einhaltung überzeugen; Vor-Ort-Kontrollen erfolgen mit angemessener Vorankündigung zu üblichen Geschäftszeiten.

§ 9 Löschung und Rückgabe nach Beendigung

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer die verarbeiteten Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Rückgabe (Export) kann innerhalb von 30 Tagen nach Vertragsende verlangt werden; danach werden die Daten gelöscht. Sicherungskopien werden im regulären Rotationszyklus (derzeit 7 Tage) überschrieben.

§ 10 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet eine bekannt gewordene Verletzung des Schutzes der vom Auftrag umfassten Daten unverzüglich (in der Regel innerhalb von 48 Stunden) in Textform und unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).

§ 11 Haftung

Es gelten die Regelungen des Hauptvertrags (AGB) sowie Art. 82 DSGVO. Im Außenverhältnis gegenüber betroffenen Personen bleibt die gesetzliche Haftung unberührt.

§ 12 Schlussbestimmungen

Bei Widersprüchen gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Der AVV ist an die Laufzeit des Hauptvertrags gekoppelt. Es gilt das Recht der Bundesrepublik Deutschland; sind einzelne Bestimmungen unwirksam, bleibt der Rest wirksam. Änderungen bedürfen der Textform.

Anlage 1 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit: Server in einem zertifizierten Rechenzentrum (Hetzner Online GmbH, Deutschland); administrativer Zugang ausschließlich per SSH-Schlüssel (Passwort-Login deaktiviert), gehärtete Konfiguration, Rate-Limit auf Login-/Auth-Endpunkte; passwortgeschützte Verwaltungs-Zugänge; serverseitig erzwungene Mandantentrennung (Daten eines Restaurants sind für andere nicht zugänglich); rollenbasierte Berechtigungen.

Integrität: verschlüsselte Übertragung ausschließlich über TLS/HTTPS; Server- und Anwendungs-Logs; nachvollziehbare Statuswechsel von Bestellungen.

Verfügbarkeit und Belastbarkeit: automatisierte tägliche Datenbank-Sicherung (Vorhaltung 7 Tage); aktive Firewall (nur Ports 22/80/443); Wiederherstellbarkeit aus Backups.

Regelmäßige Überprüfung: laufende Aktualisierung der eingesetzten Software/Abhängigkeiten; Überprüfung der Maßnahmen bei wesentlichen Änderungen.

Trennung: logische Mandantentrennung; Trennung von Produktiv- und Test-/Demo-Daten.

Anlage 2 – Genehmigte Unterauftragnehmer

  • Hetzner Online GmbH (Gunzenhausen): Hosting / Server / Rechenzentrum – sämtliche im Auftrag verarbeitete Daten – Deutschland (EU).
  • AhaSend B.V. (Amsterdam, Niederlande): Versand transaktionaler E-Mails (z. B. Bestellbestätigungen, Passwort-Zurücksetzen) – E-Mail-Adresse und Inhalt der System-Mail – EU/EWR (Infrastruktur Niederlande/Deutschland/Finnland; AVV nach Art. 28 DSGVO).
  • Mistral AI: KI-gestützter Speisekarten-Import (OCR/Strukturierung hochgeladener Speisekarten) – Inhalte der hochgeladenen Dokumente – EU (Frankreich).
  • Telegram (Telegram FZ-LLC): Zustellung von Support-/Hilfe-Benachrichtigungen an den Plattform-Betreiber – eingegebene Support-Nachricht inkl. Restaurant-Bezeichnung – Drittland, nur sofern die Support-Funktion genutzt wird.

Hinweis zu PayPal: Nutzt der Kunde die optionale Online-Zahlung, hinterlegt er seine eigenen PayPal-Zugangsdaten. PayPal ist insoweit eigenständig Verantwortlicher bzw. Auftragsverarbeiter des Kunden, nicht Unterauftragnehmer von bestello. bestello speichert lediglich die Zahlungs-Vorgangs-ID und den Zahlungsstatus zur Bestellzuordnung.

Dies ist eine Vorlage des Anbieters und ersetzt keine individuelle Rechtsberatung.