Stand: 17. März 2026

gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)

Zwischen

dem Nutzer der SaaS-Plattform abhol.bar
(nachfolgend „Verantwortlicher“ genannt)

und

Robin Riesenbeck
Neuenhausgasse 61
51375 Leverkusen
E-Mail: kontakt@abhol.bar
(nachfolgend „Auftragsverarbeiter“ genannt)

Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Nutzung der vom Auftragsverarbeiter bereitgestellten SaaS-Lösung „abhol.bar“ zur Verwaltung von Vorbestellungen (nachfolgend „Software“), deren Nutzungsbedingungen im Hauptvertrag (AGB) geregelt sind. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen.

In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der DSGVO zu verstehen.

§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

  1. Gegenstand: Die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung der Software zur Abwicklung von Online-Vorbestellungen.
  2. Dauer: Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages über die Nutzung der Software. Sie beginnt mit der Registrierung des Verantwortlichen und endet mit der Kündigung des Hauptvertrages oder der Löschung des Kontos.
  3. Art und Zweck: Die Verarbeitung dient dem Zweck, dem Verantwortlichen die Entgegennahme, Verwaltung und Abwicklung von Vorbestellungen seiner Endkunden zu ermöglichen. Dies umfasst die Erhebung, Speicherung, Bereitstellung, Übermittlung und Löschung der Bestelldaten.

§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen

1. Art der personenbezogenen Daten:

  • Bestands- und Kontaktdaten (Vorname, Nachname, E-Mail-Adresse, Telefonnummer)
  • Bestelldaten (bestellte Produkte, Mengen, Abholzeitpunkt, sonstige Anmerkungen zur Bestellung)
  • Nutzungsdaten (IP-Adressen, technische Protokolldaten)
  • Kommunikationsdaten (E-Mail-Adressen für Bestell- und Systembenachrichtigungen)

2. Kategorien betroffener Personen:

  • Endkunden des Verantwortlichen, die eine Vorbestellung über die Software aufgeben
  • Mitarbeiter des Verantwortlichen, die die Software nutzen

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, der Auftragsverarbeiter ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. In diesem Fall teilt er dem Verantwortlichen diese Verpflichtung vor der Verarbeitung mit, sofern dies gesetzlich nicht untersagt ist.
  2. Sicherzustellen, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die zur Verarbeitung eingesetzten Personen werden vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht.
  3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zu treffen, um die Sicherheit der Verarbeitung zu gewährleisten. Diese sind in Anlage 1 zu diesem Vertrag dokumentiert.
  4. Die Bedingungen für die Inanspruchnahme von weiteren Auftragsverarbeitern (Unterauftragsverarbeitern) gemäß § 6 dieses Vertrages einzuhalten.
  5. Den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachzukommen.
  6. Den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung) zu unterstützen.
  7. Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Verlangen einen Nachweis über die ordnungsgemäße Löschung zur Verfügung.
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen. Kontrollen erfolgen nach angemessener Vorankündigung zu Geschäftszeiten.

§ 4 Pflichten des Verantwortlichen

  1. Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
  2. Der Verantwortliche erteilt alle Weisungen schriftlich oder in einem elektronischen Format (z. B. per E-Mail). Mündliche Weisungen sind unverzüglich schriftlich oder in einem elektronischen Format zu bestätigen.
  3. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

§ 5 Mitteilungspflichten bei Datenschutzverletzungen

  1. Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung erfolgt an die vom Verantwortlichen hinterlegte E-Mail-Adresse.
  2. Die Mitteilung muss mindestens folgende Angaben enthalten:
    • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
    • den Namen und die Kontaktdaten einer Anlaufstelle für weitere Informationen
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung
    • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Auswirkungen
  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Pflichten nach Art. 33 und 34 DSGVO (Meldung an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen) im erforderlichen Umfang.

§ 6 Unterauftragsverarbeiter

  1. Der Verantwortliche erteilt hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) in Anspruch zu nehmen.
  2. Die zum Zeitpunkt des Vertragsschlusses beauftragten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern. Die Information erfolgt mindestens 14 Tage vor der beabsichtigten Änderung per E-Mail. Der Verantwortliche kann gegen solche Änderungen innerhalb von 14 Tagen nach Zugang der Information Einspruch erheben. Legt der Verantwortliche berechtigten Einspruch ein und kann keine einvernehmliche Lösung gefunden werden, steht dem Verantwortlichen ein Sonderkündigungsrecht zu.
  4. Der Auftragsverarbeiter stellt sicher, dass er mit den Unterauftragsverarbeitern vertragliche Vereinbarungen trifft, die denselben Datenschutzpflichten genügen, die in diesem Vertrag festgelegt sind.
  5. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch die Unterauftragsverarbeiter.

§ 7 Drittlandtransfers

  1. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU bzw. des EWR. Soweit Unterauftragsverarbeiter mit Sitz außerhalb der EU/des EWR eingesetzt werden (siehe Anlage 2), stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, insbesondere durch:
    • einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO (z. B. EU-US Data Privacy Framework), oder
    • Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, oder
    • sonstige geeignete Garantien gemäß Art. 46 DSGVO.
  2. Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter Informationen über die jeweils eingesetzten Garantien zur Verfügung.

§ 8 Haftung

  1. Für den Ersatz von Schäden, die eine betroffene Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen der Auftragsverarbeitung erleidet, haften Verantwortlicher und Auftragsverarbeiter gegenüber der betroffenen Person gemäß Art. 82 DSGVO als Gesamtschuldner.
  2. Soweit der Auftragsverarbeiter für den Schaden verantwortlich ist, stellt er den Verantwortlichen von Ansprüchen Dritter im Innenverhältnis frei.
  3. Die Haftung des Auftragsverarbeiters ist ausgeschlossen, soweit er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

§ 9 Sonderkündigungsrecht

  1. Der Verantwortliche kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt.
  2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragsverarbeiter die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt hat.
  3. Bei unerheblichen Verstößen setzt der Verantwortliche dem Auftragsverarbeiter eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, ist der Verantwortliche zur außerordentlichen Kündigung berechtigt.

§ 10 Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform oder eines gleichwertigen elektronischen Formats.
  2. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln.
  3. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit des Vertrages im Übrigen unberührt.
  4. Es gilt deutsches Recht. Gerichtsstand ist Leverkusen.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO ein, um die Sicherheit der Verarbeitung zu gewährleisten:

1. Vertraulichkeit

  • Zugangs- und Zugriffskontrolle durch rollenbasierte Rechtevergabe (Row Level Security auf Datenbankebene)
  • Verschlüsselung der Datenübertragung mittels TLS/SSL (HTTPS)
  • Verschlüsselung der Daten at rest (AES-256 auf Datenbankebene)
  • Authentifizierung über sichere Verfahren (Passwort-Hashing mit bcrypt, Session-basierte Authentifizierung)
  • Strikte Mandantentrennung: Jeder Verantwortliche hat ausschließlich Zugriff auf seine eigenen Daten
  • Keine Verarbeitung personenbezogener Daten auf Privatgeräten

2. Integrität

  • Eingabekontrolle: Protokollierung von Dateneingaben, -änderungen und -löschungen
  • Weitergabekontrolle: Verschlüsselte Datenübertragung, keine unverschlüsselten E-Mail-Anhänge mit personenbezogenen Daten
  • Signaturprüfung bei eingehenden Webhooks (HMAC-SHA256)

3. Verfügbarkeit und Belastbarkeit

  • Hosting bei professionellen Infrastrukturanbietern mit Redundanzmechanismen und regelmäßigen Backups
  • Automatische Datenbankbackups (tägliche Sicherungen mit Point-in-Time-Recovery)
  • Monitoring und Alerting für Systemausfälle

4. Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen
  • Regelmäßige Sicherheitsupdates der eingesetzten Software und Abhängigkeiten
  • Versionskontrolle und Code-Reviews bei Änderungen an der Software

Anlage 2: Unterauftragsverarbeiter

Zur Erbringung der Leistungen setzt der Auftragsverarbeiter folgende Unterauftragsverarbeiter ein:

Unternehmen Leistung Standort der Verarbeitung
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, DE		 Server-Hosting der Anwendung Deutschland
Supabase Inc.
970 Toa Payoh North, Singapore 318992		 Datenbank, Authentifizierung, Datenspeicherung Frankfurt (eu-central-1), Deutschland/EU
Lemon Squeezy LLC
2093 Philadelphia Pike #1387, Claymont, DE 19703, USA		 Zahlungsabwicklung, Abo-Verwaltung USA (EU-US Data Privacy Framework)
Resend Inc.
2261 Market Street #4903, San Francisco, CA 94114, USA		 E-Mail-Versand (Transaktions- und Systemmails) USA (EU-US Data Privacy Framework)

Diese Liste wird bei Änderungen aktualisiert. Die jeweils aktuelle Fassung ist auf dieser Seite einsehbar.