Digitable Rechtliche Dokumente

AUFTRAGSVERARBEITUNGSVERTRAG

Letzte Aktualisierung: 2026-04-01 Version: 2026.04

1. VERTRAGSPARTEIEN

Dieser Auftragsverarbeitungsvertrag („AVV") wird zwischen den folgenden Parteien geschlossen:

Verantwortlicher: Die natürliche oder juristische Person, die den SaaS-Dienstleistungsvertrag akzeptiert hat und die Digitable-Plattform zur Verwaltung digitaler Speisekarten und zur Verarbeitung von Endnutzerdaten nutzt.

Auftragsverarbeiter: MERS YAZILIM VE TEKNOLOJİ HİZMETLERİ LİMİTED ŞİRKETİ

Adresse: Karaman Mah. Ceylan(170) Sk. No: 1 İç Kapı No: 1 Nilüfer/Bursa Türkei

MERSIS-Nr.: 0618090558600001

E-Mail: privacy@digitable.ai

Dieser AVV ist Bestandteil des SaaS-Dienstleistungsvertrags („Hauptvertrag") zwischen den Parteien.

2. BEGRIFFSBESTIMMUNGEN

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemäß Art. 4 Nr. 1 DSGVO.
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten gemäß Art. 4 Nr. 2 DSGVO.
  • Betroffene Person: Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • Unterauftragsverarbeiter: Jeder Dritte, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.
  • Datenschutzverletzung: Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt.
  • DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
  • SCC: Von der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO angenommene Standardvertragsklauseln.

3. GEGENSTAND UND DAUER DER VERARBEITUNG

3.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der digitalen Speisekartenplattform Digitable, einschließlich:

  • Hosting und Bereitstellung digitaler Speisekarten, die über QR-Codes zugänglich sind
  • Erfassung und Verarbeitung von Kundenfeedback
  • Erstellung von Analysen zu Speisekartenaufrufen und QR-Code-Scans
  • KI-gestützte Inhaltserstellung (Speisekartenbeschreibungen, Übersetzungen, Bilder)
  • Unterstützung bei der Zahlungsabwicklung
  • E-Mail-Kommunikation im Auftrag des Verantwortlichen

3.2 Dauer

Die Verarbeitung erfolgt für die Dauer des Hauptvertrags und bis alle personenbezogenen Daten gemäß Abschnitt 11 dieses AVV gelöscht oder zurückgegeben wurden.

4. ART UND ZWECK DER VERARBEITUNG

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der im Hauptvertrag beschriebenen Dienstleistungen:

  • Speicherung und Hosting: Speicherung von Speisekartendaten, Produktinformationen und hochgeladenen Medien
  • Analysen: Aggregierung und Berichterstattung über QR-Code-Scans und Speisekartenaufrufe
  • Feedbackerfassung: Verarbeitung von Kundenbewertungen und -rezensionen
  • KI-Dienste: Inhaltserstellung über Drittanbieter von KI-Diensten
  • Kommunikation: Versand von transaktionalen und Marketing-E-Mails

5. KATEGORIEN BETROFFENER PERSONEN UND PERSONENBEZOGENER DATEN

5.1 Kategorien betroffener Personen

Kategorie Beschreibung
Mitarbeiter des Verantwortlichen Personal, das auf die Plattform zugreift und diese verwaltet
Endnutzer (Speisekartenbesucher) Personen, die QR-Codes scannen und digitale Speisekarten ansehen
Feedbackgeber Personen, die Feedback über die Plattform abgeben

5.2 Kategorien personenbezogener Daten

Kategorie Beispiele
Kontodaten Name, E-Mail-Adresse, Telefonnummer, Firmenname
Geräte- und Zugriffsdaten IP-Adresse, Browsertyp, Gerätetyp, Betriebssystem
Analysedaten QR-Scan-Zeitstempel, Speisekarten-Anzeigedauer, Seiteninteraktionen
Feedbackdaten Bewertungen, Kommentare, Sitzungskennungen
Zahlungsdaten Rechnungsinformationen, Rechnungsadresse (über Zahlungs-Unterauftragsverarbeiter)

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht absichtlich erhoben oder verarbeitet.

6. PFLICHTEN DES VERANTWORTLICHEN

Der Verantwortliche:

  1. Stellt sicher, dass eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten und die Beauftragung des Auftragsverarbeiters vorliegt.
  2. Erteilt dem Auftragsverarbeiter dokumentierte Weisungen bezüglich der Verarbeitung personenbezogener Daten.
  3. Stellt die Einhaltung geltender Datenschutzgesetze sicher, einschließlich angemessener Datenschutzhinweise für betroffene Personen.
  4. Benachrichtigt den Auftragsverarbeiter unverzüglich über Änderungen anwendbarer Datenschutzgesetze.
  5. Beantwortet Anträge betroffener Personen gemäß Abschnitt 9.

7. PFLICHTEN DES AUFTRAGSVERARBEITERS

Der Auftragsverarbeiter:

  1. Verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, die Verarbeitung ist gesetzlich vorgeschrieben.
  2. Stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
  3. Implementiert und pflegt geeignete technische und organisatorische Maßnahmen gemäß Anlage A.
  4. Hält die Bedingungen für die Beauftragung von Unterauftragsverarbeitern gemäß Abschnitt 8 ein.
  5. Unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Abschnitt 9).
  6. Unterstützt den Verantwortlichen bei der Erfüllung der Pflichten in Bezug auf Sicherheit, Meldung von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen.
  7. Löscht oder gibt alle personenbezogenen Daten bei Beendigung des Hauptvertrags zurück (Abschnitt 11).
  8. Stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung und ermöglicht Überprüfungen (Abschnitt 12).

8. UNTERAUFTRAGSVERARBEITER

8.1 Allgemeine Genehmigung

Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung für die in Anlage B aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor der Beauftragung eines neuen Unterauftragsverarbeiters per E-Mail.

8.2 Widerspruchsrecht

Der Verantwortliche kann innerhalb von 14 Tagen nach Erhalt der Mitteilung Widerspruch einlegen. Bei berechtigtem Widerspruch erörtern die Parteien eine wirtschaftlich angemessene Alternative. Wird keine Alternative gefunden, kann jede Partei die betroffenen Dienste ohne Vertragsstrafe kündigen.

8.3 Pflichten der Unterauftragsverarbeiter

Der Auftragsverarbeiter:

  1. Verpflichtet jeden Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten wie in diesem AVV.
  2. Bleibt gegenüber dem Verantwortlichen für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters voll verantwortlich.

9. RECHTE BETROFFENER PERSONEN

9.1 Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflicht, auf Anträge betroffener Personen gemäß Kapitel III der DSGVO zu reagieren, einschließlich:

  • Recht auf Auskunft (Art. 15)
  • Recht auf Berichtigung (Art. 16)
  • Recht auf Löschung (Art. 17)
  • Recht auf Einschränkung der Verarbeitung (Art. 18)
  • Recht auf Datenübertragbarkeit (Art. 20)
  • Widerspruchsrecht (Art. 21)

9.2 Direkte Anfragen

Erhält der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person, leitet er diese unverzüglich an den Verantwortlichen weiter.

10. MELDUNG VON DATENSCHUTZVERLETZUNGEN

10.1 Meldung an den Verantwortlichen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von einer Datenschutzverletzung Kenntnis erlangt hat.

10.2 Inhalt der Meldung

Die Meldung umfasst:

  1. Eine Beschreibung der Art der Datenschutzverletzung, einschließlich der Kategorien und der ungefähren Zahl betroffener Personen und Datensätze.
  2. Name und Kontaktdaten der Datenschutz-Kontaktstelle des Auftragsverarbeiters.
  3. Eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung.
  4. Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.

10.3 Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden zu benachrichtigen (Art. 33 DSGVO) und betroffene Personen zu informieren, soweit erforderlich (Art. 34 DSGVO).

11. DATENLÖSCHUNG UND RÜCKGABE

11.1 Bei Vertragsende

Bei Beendigung des Hauptvertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:

  1. Alle personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zurückgeben; oder
  2. Alle personenbezogenen Daten löschen und die Löschung schriftlich bestätigen.

11.2 Aufbewahrungsfrist

Der Verantwortliche teilt seine Wahl innerhalb von 30 Tagen nach Vertragsende mit. Ohne Weisung löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 90 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

11.3 Gesetzliche Aufbewahrung

Soweit gesetzliche Aufbewahrungspflichten bestehen, isoliert und schützt der Auftragsverarbeiter die betreffenden Daten und beschränkt die Verarbeitung auf den gesetzlich vorgeschriebenen Zweck.

12. PRÜFUNGSRECHTE

12.1 Information und Prüfung

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung. Der Verantwortliche oder ein beauftragter Drittprüfer kann unter folgenden Bedingungen Prüfungen durchführen:

  1. Schriftliche Ankündigung mindestens 30 Tage im Voraus.
  2. Prüfungen während der üblichen Geschäftszeiten ohne unangemessene Störung.
  3. Der Prüfer unterliegt Vertraulichkeitspflichten.
  4. Beschränkung auf einmal pro Kalenderjahr, außer bei Datenschutzverletzungen oder behördlichen Untersuchungen.

12.2 Kosten

Die Prüfungskosten trägt der Verantwortliche. Der Auftragsverarbeiter trägt seine eigenen internen Kosten.

13. INTERNATIONALE DATENÜBERMITTLUNGEN

13.1 Übermittlungsmechanismen

Bei Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) stellt der Auftragsverarbeiter angemessene Garantien sicher:

  1. Standardvertragsklauseln (SCC) der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914).
  2. Angemessenheitsbeschlüsse der Europäischen Kommission.
  3. Sonstige gesetzlich anerkannte Übermittlungsmechanismen.

13.2 Transfer-Folgenabschätzung

Der Auftragsverarbeiter stellt auf Anfrage Informationen für eine Transfer-Folgenabschätzung zur Verfügung.

14. HAFTUNG

Die Haftung unter diesem AVV unterliegt den Beschränkungen des Hauptvertrags, sofern die Haftung für Verstöße gegen Datenschutzrecht nicht in einem Maße beschränkt wird, das nach geltendem Recht unzulässig ist.

15. ANWENDBARES RECHT UND GERICHTSSTAND

Dieser AVV unterliegt dem auf den Hauptvertrag anwendbaren Recht. Streitigkeiten werden den im Hauptvertrag benannten Gerichten vorgelegt.

16. ÄNDERUNGEN

Dieser AVV kann nur schriftlich geändert werden. Der Auftragsverarbeiter kann die Anlagen aktualisieren, um Änderungen bei Unterauftragsverarbeitern (gemäß Abschnitt 8) oder technischen Maßnahmen widerzuspiegeln, sofern das Gesamtschutzniveau nicht verringert wird.

ANLAGE A: TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Der Auftragsverarbeiter implementiert folgende Maßnahmen zur Sicherheit personenbezogener Daten:

Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC) für alle Plattformnutzer
  • Multi-Faktor-Authentifizierung für administrativen Zugriff
  • Prinzip der geringsten Berechtigung für internes Personal

Verschlüsselung

  • Daten bei Übertragung: TLS 1.2+ für alle Verbindungen
  • Daten im Ruhezustand: AES-256-Verschlüsselung
  • SSL-verschlüsselte Datenbankverbindungen

Infrastruktursicherheit

  • Hosting auf dedizierten Hetzner-Servern in Deutschland (EU)
  • Cloudflare CDN und DDoS-Schutz
  • Automatische Sicherheitspatches und Updates
  • Netzwerk-Firewalls und Einbruchserkennung

Anwendungssicherheit

  • Regelmäßige Überprüfung von Abhängigkeiten auf Sicherheitslücken
  • Statische Codeanalyse (DeepSource)
  • Container-Image-Scanning (Trivy) vor der Bereitstellung
  • Signierte Container-Images (Sigstore/cosign)

Datentrennung

  • Logische Mandantenisolierung auf Anwendungsebene
  • Datenbankzugriffskontrolle pro Unternehmen

Sicherung und Wiederherstellung

  • Automatische tägliche Sicherungen mit Punkt-in-Zeit-Wiederherstellung
  • Verschlüsselung gesicherter Daten im Ruhezustand
  • Getestete Notfallwiederherstellungsverfahren

Überwachung und Protokollierung

  • Zentralisierte Protokollierung mit Aufbewahrungsrichtlinien
  • Echtzeitüberwachung und Alarmierung
  • Prüfpfad für administrative Aktionen

Personal

  • Vertraulichkeitsvereinbarungen für alle Mitarbeiter
  • Datenschutzschulung für Mitarbeiter, die personenbezogene Daten verarbeiten
  • Sicherheitsüberprüfung für Personal mit erhöhten Zugriffsrechten

ANLAGE B: LISTE DER UNTERAUFTRAGSVERARBEITER

Unterauftragsverarbeiter Land Zweck Datenkategorien
OpenRouter, Inc. Vereinigte Staaten KI-Modell-Routing für Texterstellung, Übersetzung und Inhaltsmoderation Speisekartentexte, Produktbeschreibungen
fal.ai, Inc. Vereinigte Staaten KI-gestützte Bild- und Videoerzeugung Produktbilder, Speisekartenvisualisierungen
Paddle.com Market Ltd. Vereinigtes Königreich Internationale Zahlungsabwicklung (Eingetragener Händler) Rechnungsinformationen, E-Mail-Adresse, Rechnungsadresse
iyzico Ödeme Hizmetleri A.Ş. Türkei Inländische Zahlungsabwicklung Tokenisierte Karteninformationen, Rechnungsinformationen
Hetzner Online GmbH Deutschland Cloud-Hosting und Objektspeicherung Alle Plattformdaten
Cloudflare, Inc. Vereinigte Staaten CDN, DNS und DDoS-Schutz IP-Adressen, Anfrage-Metadaten

Der Auftragsverarbeiter pflegt eine aktuelle Liste der Unterauftragsverarbeiter und benachrichtigt den Verantwortlichen über Änderungen gemäß Abschnitt 8 dieses AVV.

Dieser Auftragsverarbeitungsvertrag tritt mit der Annahme durch den Verantwortlichen auf der Digitable-Plattform in Kraft.