Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") regelt die Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Stempely Admin Portals.

§ 1 Vertragsparteien

Auftraggeber (Verantwortlicher)

Der Geschäftskunde, der sich bei Stempely Admin registriert hat (nachfolgend "Auftraggeber" oder "Sie").

Auftragnehmer (Auftragsverarbeiter)

§ 2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zur Bereitstellung des Stempely Admin Portals, insbesondere:

• Speicherung und Verwaltung von Kundendaten in Cloud Firestore
• Versand von Push-Benachrichtigungen über Firebase Cloud Messaging
• Erfassung und Auswertung von Stempelaktivitäten
• Bereitstellung von Statistiken und Auswertungen

2.2 Dauer

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses. Nach Beendigung werden die Daten gemäß § 10 dieses AVV behandelt.

§ 3 Art und Zweck der Verarbeitung

3.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Erheben (bei Stempelerfassung durch QR/NFC-Scan)
• Speichern (in Cloud Firestore)
• Ordnen und Strukturieren (Zuordnung zu Kunden und Shops)
• Abfragen und Auslesen (für Statistiken und Dashboard)
• Übermitteln (Push-Nachrichten über FCM)
• Löschen (bei Kontolöschung oder auf Anfrage)

3.2 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich der Erfüllung des Hauptvertrags (Bereitstellung des Stempely Admin Portals) und umfasst:

• Verwaltung des digitalen Treueprogramms
• Kommunikation mit Ihren Kunden (Push-Nachrichten)
• Bereitstellung von Statistiken und Auswertungen
• Technischer Support

§ 4 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Datenkategorie	Konkrete Daten
Identifikationsdaten	Kunden-UUID (pseudonymisiert)
Nutzungsdaten	Stempelstand, Belohnungen, letzte Aktivität
Technische Daten	FCM-Token, Geräte-ID (anonymisiert)
Kommunikationsdaten	Push-Nachrichten-Verlauf

Hinweis: Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet.

§ 5 Kategorien betroffener Personen

Die betroffenen Personen sind:

• Kunden des Auftraggebers (Nutzer der Stempely Consumer-App)

§ 6 Pflichten des Auftragnehmers

6.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers (einschließlich der in diesem AVV und den AGB erteilten Weisungen), es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaates zur Verarbeitung verpflichtet.

6.2 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Die aktuellen technischen und organisatorischen Maßnahmen sind in Anlage 1 beschrieben.

6.4 Unterauftragnehmer

Der Auftragnehmer setzt folgende Unterauftragnehmer ein, denen der Auftraggeber mit Abschluss dieses AVV zustimmt:

Unterauftragnehmer	Leistung	Standort
Google LLC (Firebase)	Cloud-Datenbank, Push-Nachrichten	EU (Belgien) / USA
Stripe, Inc.	Zahlungsabwicklung	USA
Vercel Inc.	Web-Hosting	EU / USA

Änderungen bei Unterauftragnehmern werden dem Auftraggeber mindestens 30 Tage vor Wirksamwerden mitgeteilt. Der Auftraggeber kann der Änderung widersprechen.

6.5 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber:

• Bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO)
• Bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO
• Bei Datenschutz-Folgenabschätzungen
• Bei Konsultationen mit Aufsichtsbehörden

6.6 Meldepflichten

Der Auftragnehmer informiert den Auftraggeber unverzüglich über:

• Verletzungen des Schutzes personenbezogener Daten (innerhalb von 24 Stunden)
• Anfragen von Aufsichtsbehörden
• Anfragen betroffener Personen (sofern vom Auftraggeber nicht selbst bearbeitet)

§ 7 Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich für:

• Die Rechtmäßigkeit der Datenverarbeitung gegenüber seinen Kunden
• Die Information seiner Kunden über die Datenverarbeitung
• Die Einholung erforderlicher Einwilligungen (z.B. für Push-Nachrichten)
• Die Wahrung der Betroffenenrechte seiner Kunden
• Die rechtzeitige Erteilung von Weisungen

§ 8 Kontrollrechte

8.1 Nachweispflicht

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.

8.2 Überprüfungen

Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV zu überprüfen:

• Durch Einholung von Auskünften
• Durch Einsichtnahme in relevante Unterlagen
• Durch Vor-Ort-Prüfungen (mit angemessener Vorankündigung und unter Wahrung von Geschäftsgeheimnissen)

§ 9 Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO (Art. 82) sowie den Regelungen in den AGB.

§ 10 Beendigung

10.1 Rückgabe und Löschung

Nach Beendigung des Vertragsverhältnisses:

• Ermöglicht der Auftragnehmer dem Auftraggeber den Export seiner Daten (30 Tage)
• Löscht der Auftragnehmer alle personenbezogenen Daten nach Ablauf der Exportfrist
• Ausgenommen sind Daten, die aufgrund gesetzlicher Aufbewahrungspflichten aufzubewahren sind

10.2 Nachweis der Löschung

Auf Anfrage bestätigt der Auftragnehmer die ordnungsgemäße Löschung schriftlich.

§ 11 Schlussbestimmungen

11.1 Änderungen

Änderungen dieses AVV bedürfen der Textform. Dies gilt auch für diese Klausel.

11.2 Rangfolge

Im Falle von Widersprüchen zwischen diesem AVV und anderen Vereinbarungen gehen die Regelungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.

11.3 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland.

---

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

• Keine physischen Server - ausschließlich Cloud-Infrastruktur
• Physische Sicherheit durch Google Cloud (SOC 2, ISO 27001 zertifiziert)

Zugangskontrolle

• Passwort-Hashing mit bcrypt
• JWT-basierte Authentifizierung mit 30-Tage-Ablauf
• HTTPS/TLS 1.3 für alle Verbindungen

Zugriffskontrolle

• Firestore Security Rules für Datenisolierung
• Jeder Shop hat nur Zugriff auf seine eigenen Kundendaten
• Rollenbasierte Zugriffskontrolle

Trennungskontrolle

• Logische Datentrennung durch Shop-ID
• Separate Firestore-Collections pro Shop

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

• TLS 1.3 Verschlüsselung für alle Datenübertragungen
• Keine unverschlüsselte Datenübertragung

Eingabekontrolle

• Audit-Logs für kritische Aktionen
• Zeitstempel für alle Datenbankänderungen

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Google Cloud Firestore mit automatischer Replikation
• 99.95% SLA durch Google Cloud
• Automatische Backups
• Disaster Recovery durch Multi-Region-Deployment

4. Verfahren zur Wiederherstellung (Art. 32 Abs. 1 lit. c DSGVO)

• Automatische Backups durch Firebase
• Point-in-Time Recovery möglich
• Dokumentierte Wiederherstellungsverfahren

5. Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung der Security Rules
• Monitoring von Zugriffsmustern
• Zeitnahe Installation von Sicherheitsupdates