Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand der Auftragsverarbeitung

(1) Der Tenant ist als Restaurant-Betreiber Verantwortlicher iSd Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten seiner Endkunden (Restaurant-Gäste).

(2) DRIFT Order ist Auftragsverarbeiter iSd Art. 4 Nr. 8 DSGVO und verarbeitet personenbezogene Daten der Endkunden des Tenants ausschließlich im Auftrag und nach Weisung des Tenants im Rahmen der Bereitstellung der DRIFT-Order-Plattform.

(3) Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der Daten und Kategorien betroffener Personen ergeben sich aus Anlage 2 zu diesem AVV.

§ 2 Weisungsrecht des Tenants

(1) Der Tenant bleibt im Rahmen dieses AVV alleiniger Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung. Er ist insbesondere verantwortlich für die Erteilung von Weisungen, die Erfüllung der Informationspflichten nach Art. 13/14 DSGVO gegenüber den Endkunden, die Wahrung der Betroffenenrechte (Art. 15–22 DSGVO) und die Durchführung etwaiger Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).

(2) DRIFT Order verarbeitet die Daten ausschließlich im Rahmen der vereinbarten Plattformfunktionen und auf dokumentierte Weisung des Tenants. Standard-Weisungen sind in Anlage 2 niedergelegt.

(3) Einzelweisungen des Tenants, die über die Standard-Funktionen hinausgehen, sind in Textform an info@driftcontentlab.de zu erteilen. Ihre Umsetzung kann von einer gesonderten Vereinbarung über Vergütung und Zeitplan abhängig gemacht werden.

(4) DRIFT Order informiert den Tenant unverzüglich, wenn eine Weisung nach Auffassung von DRIFT Order gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, und ist berechtigt, die Ausführung auszusetzen, bis sie vom Tenant bestätigt oder abgeändert wird.

§ 3 Pflichten von DRIFT Order

DRIFT Order verpflichtet sich:

• personenbezogene Daten ausschließlich im vereinbarten Rahmen und nach Weisung des Tenants zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• sicherzustellen, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 lit. b DSGVO);
• die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen („TOMs") gemäß Anlage 2 zu treffen und während der gesamten Vertragslaufzeit aufrechtzuerhalten;
• den Tenant bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen Betroffener (Art. 12–22 DSGVO) zu unterstützen — etwa durch Bereitstellung von Datenexport- und Lösch-Funktionen;
• den Tenant bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen;
• den Tenant unverzüglich (spätestens innerhalb von 48 Stunden nach Kenntnis) über Verletzungen des Schutzes personenbezogener Daten zu informieren, damit der Tenant seinen Meldepflichten nach Art. 33/34 DSGVO nachkommen kann;
• dem Tenant alle erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen (siehe § 5);
• nach Beendigung der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Tenants zu löschen oder zurückzugeben (siehe § 8).

§ 4 Subunternehmer (Sub-Auftragsverarbeiter)

(1) Der Tenant erteilt DRIFT Order eine allgemeine schriftliche Genehmigung zur Hinzuziehung von Subunternehmern iSd Art. 28 Abs. 2 Satz 2 DSGVO.

(2) Eine aktuelle Liste der eingesetzten Subunternehmer ist als Anlage 1 beigefügt und unter driftorder.de/subunternehmer jederzeit abrufbar.

(3) DRIFT Order informiert den Tenant über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern mindestens 30 Kalendertage vor Wirksamkeit in Textform.

(4) Der Tenant kann der Änderung innerhalb von 30 Kalendertagen aus wichtigem Grund widersprechen. Bei Widerspruch sind beide Parteien zur außerordentlichen Kündigung berechtigt.

(5) Wenn ein Subunternehmer Daten außerhalb des EU/EWR verarbeitet (Drittland-Transfer), stellt DRIFT Order sicher, dass geeignete Garantien iSd Art. 44 ff. DSGVO bestehen, insbesondere durch EU-Standardvertragsklauseln (SCC) oder einen Angemessenheitsbeschluss der EU-Kommission. Drittland-Subunternehmer sind in Anlage 1 ausdrücklich gekennzeichnet.

(6) DRIFT Order verpflichtet den Subunternehmer in einem schriftlichen Vertrag zu denselben Pflichten, die DRIFT Order aus diesem AVV gegenüber dem Tenant übernommen hat (Art. 28 Abs. 4 DSGVO).

§ 5 Kontroll-, Audit- und Mitwirkungsrechte

(1) Der Tenant ist berechtigt, sich von der Einhaltung der vertraglichen Pflichten und der gesetzlichen Datenschutzvorschriften vor Beginn der Datenverarbeitung und sodann höchstens einmal pro Kalenderjahr durch geeignete Maßnahmen zu überzeugen.

(2) DRIFT Order erbringt diese Mitwirkung primär durch Bereitstellung der TOMs (Anlage 2), aktueller Zertifikate / Audit-Berichte der eingesetzten Subunternehmer und schriftlicher Auskünfte.

(3) Soweit dies nicht ausreicht und der Tenant gleichwohl eine Vor-Ort-Inspektion durchführen will, ist diese mit angemessener Vorankündigung (mindestens 30 Tage), während der üblichen Geschäftszeiten und unter Wahrung des Geschäftsbetriebs durchzuführen. Etwaige Aufwände von DRIFT Order sind dem Tenant gesondert zu vergüten zu einem Tagessatz von 950 € netto pro angefangenem Personentag.

(4) Der Tenant ist verpflichtet, alle im Zusammenhang mit der Inspektion bekannt werdenden vertraulichen Informationen geheim zu halten.

§ 6 Datenschutzbeauftragter

(1) DRIFT Order ist als Einzelunternehmer derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (§ 38 BDSG).

(2) Falls eine Bestellung Pflicht wird, informiert DRIFT Order den Tenant unverzüglich über Name und Kontaktdaten des Datenschutzbeauftragten.

(3) Datenschutz-Anfragen sind an info@driftcontentlab.de zu richten.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Die von DRIFT Order getroffenen TOMs sind in Anlage 2 beschrieben. DRIFT Order ist berechtigt, diese Maßnahmen weiterzuentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dem Tenant mitgeteilt.

§ 8 Datenrückgabe und -löschung

(1) Nach Beendigung des Vertragsverhältnisses oder auf Verlangen des Tenants gibt DRIFT Order alle ihm zur Verarbeitung überlassenen personenbezogenen Daten in einem maschinenlesbaren Format (CSV oder JSON) zurück oder löscht sie nach Wahl des Tenants.

(2) Die Datenrückgabe erfolgt über die Export-Funktion im Tenant-Dashboard.

(3) Nach erfolgter Rückgabe oder nach Ablauf der Aufbewahrungsfrist von 30 Tagen nach Vertragsende löscht DRIFT Order alle personenbezogenen Daten unwiederbringlich aus dem Live-System. Backups werden im Rahmen der regulären Backup-Rotation überschrieben (maximal binnen 35 Tagen).

(4) Soweit gesetzliche Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB) der Löschung entgegenstehen, bleiben die betroffenen Daten gesperrt und werden ausschließlich zur Erfüllung der Aufbewahrungspflicht aufbewahrt.

§ 9 Haftung

Die Haftung der Parteien aus diesem AVV richtet sich nach Art. 82 DSGVO und nach den Haftungsbestimmungen der zugrundeliegenden AGB. Die Haftungsregelungen der AGB (insbesondere § 10) gelten entsprechend, soweit Art. 82 DSGVO nicht zwingend etwas anderes vorsieht.

§ 10 Schlussbestimmungen

(1) Dieser AVV gilt für die Laufzeit des Hauptvertrags (AGB) und endet automatisch mit dessen Beendigung.

(2) Sollten Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Änderungen dieses AVV bedürfen der Textform.

(4) Im Übrigen gelten die Schlussbestimmungen der AGB (§ 15).

Anlage 1 — Subunternehmer-Liste

Die aktuelle Liste der eingesetzten Subunternehmer ist abrufbar unter driftorder.de/subunternehmer mit Drittland-Markierung, Zweck und DPA-Verweis.

Anlage 2 — Verarbeitungsbeschreibung + TOMs

A. Verarbeitungsbeschreibung

Gegenstand: Bereitstellung einer Online-Bestellplattform für Restaurants inkl. optional Voice-Agent.

Zweck: Annahme und Verwaltung von Online- und Telefon-Bestellungen, Übergabe an Kassensystem, Zahlungsabwicklung, Kommunikation mit Endkunden.

Art der Daten (Endkunden des Tenants): Stammdaten (Name, E-Mail, Telefon); Lieferadresse; Bestelldaten (Speisen, Mengen, Preise, Modifikationen, Bestellzeitpunkt); Zahlungsdaten (bei Stripe als Token; bei Saved Payment Methods nur Kartenmarke + letzte 4 Stellen + Mandat-ID); Kommunikationsdaten (E-Mail-Inhalte); bei Voice-Agent-Nutzung: Sprach-Aufzeichnungen + Konversationsprotokolle (sofern Tenant nicht ausgeschaltet); Account-Daten (sofern Endkunde Konto anlegt).

Kategorien betroffener Personen: Endkunden (Restaurant-Gäste), die im Storefront bestellen oder den Voice-Agent anrufen.

Dauer der Verarbeitung: Für die Dauer des Hauptvertrags zwischen Tenant und DRIFT Order, zzgl. 30 Tage Rückgabefrist und maximal 35 Tage Backup-Rotation.

B. Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Hosting bei Hostinger (zertifiziertes Rechenzentrum), kein lokaler Server-Zutritt durch DRIFT Order
• Zugangskontrolle: Login mit E-Mail + Passwort (Mindestlänge 10 Zeichen, bcrypt); Better-Auth Session-Cookies; Admin-Bereich nur über separate Auth
• Zugriffskontrolle: Rollen-basiert (tenant_owner, tenant_staff, customer, admin, partner); serverseitige Tenant-Guards; Audit-Log
• Mandantentrennung: Multi-Tenant über tenant_id-Spalte; Anwendungslogik filtert strikt nach aktivem Tenant
• Pseudonymisierung: Zahlungsdaten als Token (Stripe); Voice-Audio nur per Anruf-ID referenziert
• Verschlüsselung Transport: TLS 1.3 erzwungen; HSTS aktiv
• Verschlüsselung Speicherung: Backups optional GPG-verschlüsselt; Datenbank-Festplatte am VPS verschlüsselt; Passwörter bcrypt-Hash

Integrität

• Eingabekontrolle: Audit-Log für alle administrativen Aktionen
• Weitergabekontrolle: Verschlüsselter Transport (TLS); Webhook-Signaturen werden geprüft (Stripe)

Verfügbarkeit und Belastbarkeit

• Backup: Tägliche automatische Datenbank-Backups, Retention 35 Tage, Failure-Alerts via E-Mail
• Restore-Tests: Monatlicher automatisierter Restore-Drill
• Monitoring: Health-Checks Container-seitig, Alerting bei Restart-Loops
• Notfall-Wiederherstellung: Restore-Prozess dokumentiert

Verfahren zur regelmäßigen Überprüfung

• Datenschutz-Management: Jährliche Überprüfung dieses AVV und der TOMs
• Incident-Response: Dokumentierter Prozess bei Datenpanne (48h-Frist, Tenant-Information, ggf. Behörden-Meldung nach Art. 33 DSGVO)
• Auftragskontrolle: Subunternehmer-Liste wird regelmäßig überprüft, AVV mit jedem Subunternehmer dokumentiert