Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen Christian Marscheider, Baltenweg 4, 32339 Espelkamp (nachfolgend „Auftragsverarbeiter") und dem jeweiligen Inhaber, der ReturnLoop nutzt (nachfolgend „Verantwortlicher"). Er ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und gilt für alle Verarbeitungstätigkeiten, bei denen der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten von Gästen verarbeitet.

§ 1 Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen des Dienstes „ReturnLoop" — einer QR-basierten Feedback- und Treueplattform — auf Weisung des Verantwortlichen. Die Laufzeit entspricht der Laufzeit des Hauptvertrags (AGB); bei Beendigung des Hauptvertrags endet dieser AVV automatisch.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet im Rahmen des Dienstes folgende Kategorien personenbezogener Daten:

  • Feedback-Daten: Bewertungen (positiv/negativ), Freitexteingaben, optional hinterlegte Kontaktdaten (E-Mail-Adresse) des Gastes.
  • Treueprogramm-Daten: Konto-ID des Gastes (bei registrierten Gästen), Stempelanzahl, Zeitpunkt von Stempelvorgängen und Gutschein-Einlösungen.
  • Technische Metadaten: Zeitstempel von Seitenaufrufen und Interaktionsereignissen (ohne IP-Adresse in Reinform).

Zweck der Verarbeitung ist die Bereitstellung der in den AGB beschriebenen Dienste (Feedback-Erfassung, Gäste-Routing, Stempelkarte, Prämien, Analytics) zugunsten des Verantwortlichen.

Betroffene Personen sind Gäste des Restaurants des Verantwortlichen, die den QR-Code scannen und die Dienste nutzen.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten — einschließlich der in diesem AVV geregelten Übermittlungen;
  • sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen („TOMs", siehe § 7) zu ergreifen;
  • keine weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen hinzuzuziehen (Ausnahme: die in § 6 genannten Unterauftragsverarbeiter);
  • den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder — auf Wunsch — zurückzugeben, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht;
  • dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der in diesem Artikel niedergelegten Pflichten nachzuweisen.

§ 4 Pflichten des Verantwortlichen

  • Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich, insbesondere für die Einholung erforderlicher Einwilligungen und die Information der betroffenen Personen.
  • Der Verantwortliche erteilt Weisungen zur Verarbeitung ausschließlich schriftlich oder in Textform (E-Mail genügt). Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
  • Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Verarbeitungsergebnisse festgestellt hat.

§ 5 Anfragen betroffener Personen

Soweit betroffene Personen Rechte nach Art. 15–22 DSGVO (Auskunft, Löschung, Berichtigung usw.) gegenüber dem Auftragsverarbeiter geltend machen, wird dieser die anfragende Person an den Verantwortlichen verweisen und ihn unverzüglich benachrichtigen. Der Auftragsverarbeiter unterstützt den Verantwortlichen technisch bei der Bearbeitung derartiger Anfragen.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zur Hinzuziehung folgender Unterauftragsverarbeiter:

  • Supabase, Inc. (USA) — Datenbankinfrastruktur, Authentifizierung und Datenspeicherung. Daten werden in der EU (Frankfurt, eu-central-1) gespeichert. DPA und Standardvertragsklauseln (SCC) sind vereinbart.
  • Vercel, Inc. (USA) — Hosting und Bereitstellung der Webanwendung. Serverless-Funktionen in der EU. DPA und SCC sind vereinbart.

Über geplante Änderungen (Hinzufügung oder Austausch) wird der Verantwortliche rechtzeitig informiert. Er hat das Recht, Änderungen zu widersprechen; in diesem Fall kann der Auftragsverarbeiter den Hauptvertrag mit angemessener Frist kündigen.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft mindestens folgende Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit

  • Zugriffskontrolle: Rollenbasierter Zugriff (RLS in Supabase), Grundsatz der minimalen Rechtevergabe.
  • Verschlüsselung im Transit: TLS 1.2+ für alle Verbindungen.
  • Verschlüsselung at Rest: AES-256 auf Datenbankebene (Supabase-Standard).
  • Authentifizierung: Starke Passwörter, optionale Passkey-Unterstützung.

Integrität

  • Row-Level-Security (RLS) verhindert mandantenübergreifende Datenzugriffe.
  • Strukturierte Trennnung von Kunden- und Restaurantdaten auf Datenbankebene.

Verfügbarkeit und Belastbarkeit

  • Automatische tägliche Backups durch Supabase (Point-in-Time-Recovery).
  • Hochverfügbarkeit der Infrastruktur durch Supabase und Vercel (SLA ≥ 99,9 %).

Verfahren zur Überprüfung

  • Regelmäßige Überprüfung von Zugriffsrechten.
  • Monitoring auf verdächtige Zugriffsmuster.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich — spätestens binnen 24 Stunden nach Bekanntwerden — über Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält mindestens: Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen sowie ergriffene oder geplante Maßnahmen. Kontakt: info@returnloop.de.

§ 9 Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV durch geeignete Maßnahmen zu kontrollieren. Audits vor Ort sind nach angemessener Vorankündigung (mindestens 14 Tage) und zu Geschäftszeiten möglich. Der Auftragsverarbeiter stellt die erforderlichen Informationen und Mitwirkung bereit. Der Auftragsverarbeiter kann eine Kontrolle durch Vorlage aktueller Zertifikate oder Prüfberichte anerkannter Stellen erfüllen.

§ 10 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen aus seinen Systemen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Wunsch stellt der Auftragsverarbeiter dem Verantwortlichen die Daten in maschinenlesbarem Format (JSON/CSV) zur Verfügung. Der Löschnachweis wird auf Anforderung bereitgestellt.

§ 11 Haftung

Für Schäden, die einer betroffenen Person durch eine Verarbeitung entstehen, die nicht dieser Vereinbarung entspricht oder die gegen geltendes Datenschutzrecht verstößt, haften Verantwortlicher und Auftragsverarbeiter nach Maßgabe von Art. 82 DSGVO. Im Innenverhältnis haftet derjenige, der den Schaden verursacht hat.

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, Espelkamp. Mündliche Nebenabreden bestehen nicht. Änderungen bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.