ENTWURF — rechtlich zu prüfen (Stand: 25.06.2026, v1)

Dieser Auftragsverarbeitungsvertrag ist ein vorläufiger Entwurf und wurde noch nicht abschließend rechtlich geprüft. Die enthaltenen Angaben — insbesondere zu Unterauftragsverarbeitern, technischen und organisatorischen Maßnahmen (TOMs) sowie zur Benennung eines Datenschutzbeauftragten — sind beispielhaft und dienen nur der internen Vorbereitung. Bitte vor jeder Verwendung gegenüber Kunden durch eine fachkundige Stelle (Rechtsanwalt / Datenschutzbeauftragter) final prüfen lassen.

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: 25.06.2026 (Entwurf, v1)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Zusammenhang mit der Nutzung der Software- und Cloud-Dienste „GetMeGastro“. Er kommt zwischen dem nutzenden Gastronomiebetrieb als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO (nachfolgend „Kunde“ oder „Auftraggeber“) und der

Friday Innovations GmbH
Leopoldstraße 31
80802 München
Deutschland

Geschäftsführer: Robert Dotzauer
Handelsregister: HRB 294606, Amtsgericht München
USt-IdNr.: DE369203599
E-Mail: connect@365tax.de

als Auftragsverarbeiterin im Sinne von Art. 4 Nr. 8 DSGVO (nachfolgend „Auftragnehmerin“) zustande. Er gilt ergänzend zum jeweiligen Hauptvertrag (Nutzungs- bzw. Lizenzvertrag) über die Nutzung von GetMeGastro.

1. Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch die Auftragnehmerin im Rahmen der Bereitstellung und des Betriebs der GetMeGastro-Plattform für den Kunden. Dies umfasst insbesondere das Betreiben des Kassen-/POS-Systems, der Personal- und Lohnverwaltung sowie der buchhalterischen Funktionen als Software-as-a-Service.

Die Verarbeitung erfolgt ausschließlich für die im Hauptvertrag vereinbarten Zwecke und im Rahmen der dokumentierten Weisungen des Kunden. Die Dauer des Auftrags entspricht der Laufzeit des Hauptvertrags. Der AVV endet automatisch mit dessen Beendigung, unbeschadet fortbestehender Lösch- und Rückgabepflichten gemäß Ziffer 8.

2. Art und Zweck der vorgesehenen Verarbeitung

Die Auftragnehmerin verarbeitet personenbezogene Daten zum Zweck der vertragsgemäßen Erbringung der GetMeGastro-Dienste. Im Einzelnen umfasst dies unter anderem:

  • POS-/Kassendaten: Erfassung, Speicherung und Auswertung von Verkaufs-, Bon- und Umsatzdaten, Zahlungsbelegen sowie Trinkgeld- und Storno-Vorgängen.
  • Mitarbeiter- und Lohndaten: Verwaltung von Stammdaten, Arbeitszeiten, Schichtplänen, Gehalts- und Lohnabrechnungsdaten sowie sozialversicherungs- und steuerrelevanten Angaben.
  • Kundendaten des Gastronomiebetriebs: Verarbeitung von Kontakt-, Reservierungs-, Rechnungs- und ggf. Treue-/ Bonusprogramm-Daten der Gäste und Geschäftskunden des Kunden.
  • Technische Verarbeitung zur Bereitstellung, Wartung, Fehlerbehebung, Datensicherung und Weiterentwicklung der Plattform.

Eine Verarbeitung der Daten für eigene Zwecke der Auftragnehmerin findet nicht statt.

3. Kategorien betroffener Personen und Datenarten

a) Kategorien betroffener Personen

  • Mitarbeiterinnen und Mitarbeiter des Kunden
  • Bewerberinnen und Bewerber (sofern erfasst)
  • Gäste und Endkunden des Gastronomiebetriebs
  • Geschäfts-, Liefer- und Vertragspartner des Kunden
  • Ansprechpartner und Nutzerkonten des Kunden

b) Arten der verarbeiteten Daten

  • Stamm- und Kontaktdaten (Name, Anschrift, E-Mail, Telefon)
  • Vertrags- und Abrechnungsdaten, Rechnungs- und Zahlungsinformationen
  • Personal- und Lohndaten (Arbeitszeiten, Gehalt, Steuer-Identifikationsnummer, Sozialversicherungsnummer, Bankverbindung)
  • Kassen- und Transaktionsdaten (Bons, Umsätze, Zahlungsarten)
  • Nutzungs-, Log- und Protokolldaten der Plattform
  • Ggf. besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten im Rahmen von Krankmeldungen), soweit der Kunde solche im System erfasst — hierfür sind erhöhte Schutzanforderungen zu beachten.

4. Pflichten der Auftragnehmerin (Auftragsverarbeiter)

Die Auftragnehmerin verpflichtet sich insbesondere zu Folgendem:

a) Weisungsbindung

Die Auftragnehmerin verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Kunden (Art. 28 Abs. 3 lit. a, Art. 29 DSGVO), es sei denn, sie ist gesetzlich zu einer anderweitigen Verarbeitung verpflichtet. Ist sie der Auffassung, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, informiert sie den Kunden unverzüglich.

b) Vertraulichkeit

Die Auftragnehmerin stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).

c) Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Die Auftragnehmerin trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen — allgemein und beispielhaft:

  • Verschlüsselung der Datenübertragung (TLS) und Verschlüsselung ruhender Daten, soweit angemessen
  • Zugriffs- und Berechtigungskonzepte (rollenbasierte Zugriffskontrolle, Mandantentrennung / Row-Level-Security)
  • Authentifizierungs- und Protokollierungsmechanismen, regelmäßige Datensicherungen
  • Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

Hinweis (ENTWURF): Eine detaillierte TOM-Anlage ist noch zu erstellen und diesem Vertrag als verbindliche Anlage beizufügen.

d) Meldung von Verletzungen

Die Auftragnehmerin unterstützt den Kunden bei der Einhaltung der Pflichten nach Art. 33 und 34 DSGVO und meldet ihm Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden.

5. Unterauftragsverarbeiter

Der Kunde erteilt der Auftragnehmerin die allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter) gemäß Art. 28 Abs. 2 und 4 DSGVO. Die Auftragnehmerin verpflichtet die Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau und informiert den Kunden über beabsichtigte Änderungen, sodass dieser die Möglichkeit zum Widerspruch hat.

Zum Einsatz kommen voraussichtlich unter anderem die folgenden Unterauftragsverarbeiter (beispielhaft, ENTWURF — abschließende Liste folgt):

  • Hosting / Infrastruktur: z. B. Vercel Inc. (Bereitstellung der Web-Anwendung)
  • Backend, Datenbank & Storage: z. B. Supabase (Datenhaltung, Authentifizierung, Datei-Storage; Server in der EU)
  • Zahlungsabwicklung: z. B. Stripe Payments Europe Ltd. (Karten- und SEPA-Zahlungen)
  • E-Mail-Versand: z. B. Resend (transaktionale E-Mails)

Hinweis (ENTWURF): Die konkreten Unterauftragsverarbeiter, Verarbeitungsorte und etwaige Drittlandtransfers (inkl. Standardvertragsklauseln) sind noch verbindlich festzulegen und als Anlage zu führen.

6. Unterstützung bei Betroffenenrechten

Die Auftragnehmerin unterstützt den Kunden im Rahmen ihrer Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen dabei, seinen Pflichten zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nachzukommen (Art. 28 Abs. 3 lit. e DSGVO). Dies umfasst insbesondere die Unterstützung bei Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).

Wendet sich eine betroffene Person unmittelbar an die Auftragnehmerin, leitet diese das Anliegen unverzüglich an den Kunden weiter.

7. Kontrollrechte und Nachweise

Die Auftragnehmerin stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Kunden oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).

Der Nachweis der technischen und organisatorischen Maßnahmen kann auch durch die Vorlage geeigneter, aktueller Zertifikate, Berichte oder Berichtsauszüge unabhängiger Stellen erfolgen. Vor-Ort-Prüfungen werden mit angemessener Vorankündigung und ohne Beeinträchtigung des Betriebsablaufs durchgeführt.

8. Löschung und Rückgabe von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht die Auftragnehmerin nach Wahl des Kunden alle personenbezogenen Daten oder gibt diese zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).

Gesetzliche Aufbewahrungspflichten — insbesondere steuer- und handelsrechtliche Fristen von bis zu 10 Jahren (§ 147 AO, § 257 HGB) — bleiben hiervon unberührt. Für die Dauer solcher Pflichten werden die betreffenden Daten in der Verarbeitung eingeschränkt.

9. Datenschutzbeauftragter

Ein Datenschutzbeauftragter der Auftragnehmerin ist derzeit noch nicht benannt. Bis zur Benennung erreichen Sie Anfragen zum Datenschutz unter connect@365tax.de. Nach Benennung wird dieser Abschnitt um die Kontaktdaten ergänzt: [DSB – falls benannt].

10. Schlussbestimmungen

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Es gilt deutsches Recht.

ENTWURF — rechtlich zu prüfen. Dieser Vertragstext ist noch nicht rechtlich freigegeben und ersetzt keine individualvertragliche oder anwaltliche Prüfung. Vor dem Einsatz im Kundenverhältnis ist eine abschließende rechtliche Prüfung erforderlich.

Auftragsverarbeitungsvertrag (AVV) | GetMeGastro