Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: Juni 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von Tischio. Er wird mit Annahme der Allgemeinen Geschäftsbedingungen bzw. mit der Registrierung Bestandteil des Hauptvertrags zwischen dem Kunden (Verantwortlicher) und Baran Karadag (Auftragsverarbeiter, nachfolgend „Tischio").
1. Gegenstand, Dauer, Art und Zweck
Der Kunde (Restaurant) ist Verantwortlicher, Tischio ist Auftragsverarbeiter. Gegenstand ist die Verarbeitung personenbezogener Daten zur Bereitstellung und zum Betrieb der vertraglich vereinbarten Leistungen (digitale Speisekarte, Tischreservierung, Ankündigungen/Newsletter, digitale Treuekarte). Die Verarbeitung erfolgt für die Dauer des Hauptvertrags und ausschließlich zu dessen Zweck.
2. Art der Daten & Kategorien betroffener Personen
Verarbeitet werden insbesondere: Name, E-Mail-Adresse, Telefonnummer und Reservierungsdetails (Datum, Uhrzeit, Personenzahl, Hinweise) von Gästen, E-Mail-Adressen von Newsletter-Abonnenten und Interessenten sowie technische bzw. anonyme Nutzungsdaten. Betroffene Personen sind Gäste, Abonnenten und Interessenten des Verantwortlichen.
3. Weisungsgebundene Verarbeitung
Tischio verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen in Drittländer, sofern Tischio nicht durch Unionsrecht oder das Recht eines Mitgliedstaats verpflichtet ist. Die Nutzung der Funktionen der Plattform gilt als Weisung; ergänzende Einzelweisungen erfolgen in Textform. Tischio informiert den Verantwortlichen, wenn eine Weisung nach seiner Auffassung gegen geltendes Datenschutzrecht verstößt.
4. Vertraulichkeit
Tischio verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zugriff auf personenbezogene Daten erhalten nur berechtigte Personen und nur, soweit dies zur Leistungserbringung erforderlich ist.
5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Tischio trifft geeignete technische und organisatorische Maßnahmen, insbesondere: verschlüsselte Datenübertragung (TLS), Verschlüsselung im Ruhezustand, Zugriffskontrolle über Row-Level-Security und Authentifizierung, mandantengetrennte Datenhaltung, Hosting in der EU (Frankfurt), regelmäßige Sicherheitsupdates sowie Datensicherung beim Infrastruktur-Anbieter. Weitere Details und Speicherorte ergeben sich aus der Liste der Subprozessoren.
6. Weitere Auftragsverarbeiter (Subunternehmer)
Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der unter Subprozessoren aufgeführten weiteren Auftragsverarbeiter. Tischio informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Ersetzung) und gibt ihm die Möglichkeit, der Änderung zu widersprechen. Tischio verpflichtet jeden Subunternehmer auf gleichwertige Datenschutzpflichten, wie sie in diesem AVV vereinbart sind.
7. Unterstützung des Verantwortlichen
Tischio unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), soweit dies nach Art der Verarbeitung möglich ist. Zentrale Funktionen (z. B. Datenexport, Löschung) stehen dem Verantwortlichen im Dashboard zur Verfügung.
8. Meldung von Datenschutzverletzungen (Art. 33 DSGVO)
Tischio meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die erforderlichen Informationen bereit, um den Verantwortlichen bei seinen Melde- und Benachrichtigungspflichten zu unterstützen.
9. Löschung und Rückgabe nach Vertragsende
Nach Abschluss der Leistungen löscht Tischio nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück (ein Datenexport ist im Konto verfügbar) und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Standardmäßig werden die Daten nach einer Karenzzeit von 30 Tagen unwiderruflich gelöscht.
10. Nachweise und Kontrollen (Art. 28 Abs. 3 lit. h DSGVO)
Tischio stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht angemessene Überprüfungen, etwa durch Bereitstellung von Dokumentation zu den technischen und organisatorischen Maßnahmen sowie der Auftragsverarbeitungsverträge der eingesetzten Subunternehmer.
11. Übermittlungen in Drittländer
Die Verarbeitung findet primär in der Europäischen Union statt. Soweit eingesetzte Subunternehmer personenbezogene Daten in Drittländer übermitteln, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln). Einzelheiten ergeben sich aus der Liste der Subprozessoren.
12. Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Dieser AVV gilt mit Annahme der AGB bzw. der Registrierung als zwischen den Parteien geschlossen.