Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer

1.1 Auftraggeber (Verantwortlicher): Der jeweilige Shop-Betreiber, der ein Ordium-Abonnement abgeschlossen hat.

1.2 Auftragnehmer (Auftragsverarbeiter):Sebastian Mies (Ordium System), Wiesenstraße 6, 56645 Nickenich, E-Mail: info@ordium.de

1.3 Gegenstand: Der Auftragnehmer stellt dem Auftraggeber eine digitale Bestellplattform (SaaS) bereit, über die Endkunden des Auftraggebers Speisen und Getränke bestellen können. Im Rahmen dieses Betriebs verarbeitet der Auftragnehmer personenbezogene Daten der Endkunden des Auftraggebers.

1.4 Dauer: Der AVV gilt für die Dauer des Abonnementverhältnisses zwischen Auftraggeber und Auftragnehmer.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung und zum Betrieb der Ordium-Plattform im Auftrag des Auftraggebers. Dies umfasst:

• Entgegennahme, Speicherung und Weiterleitung von Bestellungen
• Verarbeitung und Vermittlung von Online-Zahlungen (über den Unterauftragsverarbeiter Stripe)
• Berechnung von Lieferentfernungen (über serverseitigen Google Maps API-Proxy, kein Drittland-Transfer durch Endkunden)
• Versand von Bestellbestätigungen per E-Mail (nur bei ausdrücklicher Einwilligung des Endkunden)
• Technischer Betrieb, Hosting und Fehlerbehebung

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Kontaktdaten: Telefonnummer (bei Lieferung), E-Mail-Adresse (optional, nur bei Opt-in)
• Adressdaten: Lieferadresse (nur bei Lieferbestellungen)
• Bestelldaten: Bestellte Artikel, Anmerkungen, Gesamtbetrag
• Zahlungsdaten: Zahlungsart; Kreditkartendaten werden ausschließlich durch Stripe verarbeitet und nicht beim Auftragnehmer gespeichert
• Technische Daten: IP-Adresse, Zeitstempel (für Sicherheit und Fehlerbehebung)

§ 4 Betroffene Personengruppen

Endkunden des Auftraggebers, die über die Ordium-Plattform Bestellungen aufgeben.

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (der Betrieb der Plattform gilt als solche Weisung)
• Die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
• Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (§ 6)
• Den Auftraggeber bei der Erfüllung von Betroffenenrechtsanfragen zu unterstützen
• Den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen
• Nach Abschluss der Auftragsverarbeitung alle personenbezogenen Daten des Auftraggebers und seiner Endkunden gemäß Weisung des Auftraggebers zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
• Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung dieses Vertrags nachweisen zu können

§ 6 Unterauftragsverarbeiter

Der Auftraggeber erteilt seine allgemeine schriftliche Genehmigung für den Einsatz der folgenden Unterauftragsverarbeiter. Der Auftragnehmer informiert den Auftraggeber über etwaige Änderungen durch Abrufen dieser Seite oder per E-Mail:

§ 7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat folgende TOM gemäß Art. 32 DSGVO implementiert:

• Verschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über HTTPS/TLS 1.2+. Passwörter werden mit bcrypt gehashed.
• Authentifizierung: JWT-basierte Authentifizierung mit sicherer Token-Verwaltung; Admin-Zugang geschützt durch E-Mail/Passwort-Login.
• Zugriffskontrolle: Least-Privilege-Prinzip; Shop-Betreiber können nur auf ihre eigenen Daten zugreifen.
• Pseudonymisierung: Bestellverfolgung durch geheime Tokens (kein Name des Kunden in der URL).
• Datensparsamkeit: E-Mail-Adressen von Endkunden werden nur bei ausdrücklichem Opt-in gespeichert.
• Einwilligungssteuerung: Gemini AI wird erst nach Cookie-Einwilligung des Endkunden aktiviert (§ 25 TDDDG).
• Verfügbarkeit: Regelmäßige Datensicherungen durch Hetzner; Server in deutschen Rechenzentren.
• Ratenlimiting: API-Endpunkte sind durch Rate-Limiting gegen Missbrauch geschützt.

§ 8 Pflichten des Auftraggebers

Der Auftraggeber verpflichtet sich:

• Eine eigene, rechtskonforme Datenschutzerklärung für seine Endkunden bereitzustellen
• Die Verarbeitung der Endkunden-Daten auf einer geeigneten Rechtsgrundlage zu stützen (i.d.R. Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
• Betroffenenrechtsanfragen seiner Endkunden eigenverantwortlich zu beantworten (mit Unterstützung des Auftragnehmers wenn nötig)
• Den Auftragnehmer unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt

§ 9 Datenpannen und Meldepflicht

Der Auftragnehmer meldet dem Auftraggeber Datenschutzverletzungen nach Art. 33 DSGVO unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, per E-Mail. Der Auftraggeber ist für die Meldung an die zuständige Datenschutzaufsichtsbehörde verantwortlich, sofern eine Meldepflicht besteht.

§ 10 Löschung und Rückgabe

Nach Beendigung des Abonnements werden alle personenbezogenen Daten des Auftraggebers und seiner Endkunden innerhalb von 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht (z.B. § 257 HGB: 10 Jahre für Buchungsbelege) entgegensteht. Auf Anfrage kann der Auftraggeber vor der Löschung einen Datenexport anfordern.

§ 11 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Koblenz.