Auftragsverarbeitungsvertrag

Dieser AVV wird geschlossen zwischen:

Auftragsverarbeiter:
Leon Velten
Liebigstraße 19
80538 München
Deutschland
E-Mail: info@stampro.de
– nachfolgend „Stampro" oder „Auftragsverarbeiter" –

und

dem Geschäftskunden („Merchant"), dessen Identität und Kontaktdaten sich aus dem Stampro-Konto sowie dem zwischen den Parteien geschlossenen Hauptvertrag ergeben
– nachfolgend „Verantwortlicher" –

– jeweils auch „Partei", gemeinsam „Parteien".

Im Rahmen der Nutzung der Stampro-Plattform verarbeitet Stampro personenbezogene Daten der Endkunden des Verantwortlichen ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Dieser AVV regelt die Rechte und Pflichten der Parteien im Sinne von Art. 28 DSGVO.

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten von Endkunden des Verantwortlichen durch Stampro im Rahmen der Bereitstellung der Stampro-Plattform.

(2) Art und Zweck der Verarbeitung, die Kategorien betroffener Personen sowie die Datenarten ergeben sich aus Anlage 1 dieses Vertrags.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zwischen den Parteien zuzüglich der in § 13 geregelten Daten-Aufbewahrungs- und Löschphase.

(1) Stampro verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern Stampro nicht durch das Recht der Europäischen Union oder das Recht eines Mitgliedstaats, dem Stampro unterliegt, zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt Stampro dem Verantwortlichen die rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Allgemeine Weisungen ergeben sich aus diesem Vertrag und dem Hauptvertrag. Einzelweisungen können durch den Verantwortlichen in Textform (insbesondere per E-Mail) erteilt werden.

(3) Stampro informiert den Verantwortlichen unverzüglich, wenn nach Auffassung von Stampro eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Stampro ist berechtigt, die Durchführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

Stampro verpflichtet sich:

• personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen zu verarbeiten;
• die Anforderungen der DSGVO sowie weiterer anwendbarer datenschutzrechtlicher Vorschriften einzuhalten;
• geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe Anlage 2);
• Personen, die zur Verarbeitung der Daten befugt sind, zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
• den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen zu unterstützen;
• den Verantwortlichen bei der Erfüllung der Anfragen betroffener Personen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen;
• nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen zu löschen oder zurückzugeben (siehe § 13);
• dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (siehe § 11).

(1) Der Verantwortliche ist im Verhältnis zu den betroffenen Personen für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Betroffenenrechte verantwortlich.

(2) Der Verantwortliche stellt insbesondere sicher, dass:

• für die Verarbeitung personenbezogener Daten der Endkunden eine ausreichende Rechtsgrundlage besteht (z. B. Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO);
• die betroffenen Endkunden in geeigneter Form über die Verarbeitung ihrer Daten informiert werden (Art. 13, 14 DSGVO), insbesondere durch eine eigene Datenschutzerklärung gegenüber den Endkunden;
• Anfragen betroffener Personen unverzüglich beantwortet werden;
• die Vorgaben dieses Vertrags eingehalten werden.

(3) Der Verantwortliche benennt Stampro gegenüber einen Ansprechpartner für datenschutzrechtliche Fragen. Standardmäßig dient hierfür die im Stampro-Konto hinterlegte E-Mail-Adresse.

(1) Stampro verpflichtet alle mit der Verarbeitung der Daten betrauten Personen schriftlich zur Vertraulichkeit oder stellt deren Bindung an eine entsprechende gesetzliche Verschwiegenheitspflicht sicher.

(2) Die Vertraulichkeitspflicht besteht über das Vertragsende hinaus fort.

(1) Stampro setzt geeignete technische und organisatorische Maßnahmen zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus gemäß Art. 32 DSGVO um. Die zum Zeitpunkt des Vertragsschlusses geltenden Maßnahmen sind in Anlage 2 beschrieben.

(2) Stampro ist berechtigt, die Maßnahmen weiterzuentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und dem Verantwortlichen auf Anfrage mitgeteilt.

(1) Der Verantwortliche erteilt mit Abschluss dieses Vertrags eine allgemeine Genehmigung im Sinne von Art. 28 Abs. 2 DSGVO zur Hinzuziehung der in Anlage 3 aufgeführten Sub-Auftragsverarbeiter.

(2) Stampro informiert den Verantwortlichen über jede beabsichtigte Änderung der Sub-Auftragsverarbeiter (Hinzuziehung oder Ersetzung) mit einer Vorlauffrist von mindestens 30 Tagen vor Wirksamwerden der Änderung. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund widersprechen.

(3) Im Falle eines berechtigten Widerspruchs sind die Parteien verpflichtet, eine einvernehmliche Lösung zu suchen. Kann eine solche nicht gefunden werden, ist der Verantwortliche zur außerordentlichen Kündigung des Hauptvertrags berechtigt.

(4) Stampro stellt durch geeignete vertragliche Vereinbarungen sicher, dass die hinzugezogenen Sub-Auftragsverarbeiter die gleichen Datenschutzpflichten einhalten wie Stampro selbst, insbesondere die Verpflichtungen aus Art. 28 Abs. 3 DSGVO.

(5) Sofern Sub-Auftragsverarbeiter ihren Sitz außerhalb der EU/EWR haben oder Daten dorthin übermitteln, stellt Stampro die Einhaltung der Anforderungen der Art. 44 ff. DSGVO sicher (insbesondere Angemessenheitsbeschluss, EU-Standardvertragsklauseln, EU-US Data Privacy Framework).

(1) Wenden sich betroffene Personen mit Anliegen zur Wahrnehmung ihrer Rechte (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) direkt an Stampro, leitet Stampro die Anfrage unverzüglich an den Verantwortlichen weiter.

(2) Stampro unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Betroffenenrechte. Soweit der Aufwand außergewöhnlich hoch ist und nicht bereits durch die regelmäßige Vergütung gemäß Hauptvertrag abgegolten wird, kann Stampro eine angemessene Vergütung verlangen.

(1) Stampro unterrichtet den Verantwortlichen unverzüglich, in der Regel innerhalb von 48 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten („Datenschutzverletzung"), die im Rahmen der Verarbeitung im Auftrag eintritt.

(2) Die Mitteilung enthält insbesondere:

• eine Beschreibung der Art der Verletzung;
• die Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze;
• die Beschreibung der wahrscheinlichen Folgen;
• die ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung und Behebung.

(3) Stampro unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO im erforderlichen und zumutbaren Umfang.

Stampro unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie bei einer ggf. erforderlichen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO), soweit dies unter Berücksichtigung der Art der Verarbeitung und der bei Stampro vorliegenden Informationen erforderlich und zumutbar ist.

(1) Stampro stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Hierzu zählen insbesondere die jeweils aktuelle Fassung der TOMs sowie geeignete Zertifizierungen oder Prüfberichte unabhängiger Dritter, sofern vorhanden.

(2) Der Verantwortliche oder ein von ihm beauftragter Prüfer kann die Einhaltung dieses Vertrags durch Stampro überprüfen lassen. Vor-Ort-Prüfungen sind mit einer Vorlauffrist von mindestens 30 Tagen schriftlich anzukündigen und dürfen den Geschäftsbetrieb von Stampro nicht unverhältnismäßig beeinträchtigen. Sie sind in der Regel auf eine Prüfung pro Kalenderjahr begrenzt; eine häufigere Prüfung ist nur bei konkreten Anhaltspunkten für Datenschutzverstöße zulässig.

(3) Stampro kann verlangen, dass mit der Prüfung beauftragte Dritte vorab eine Vertraulichkeitsvereinbarung unterzeichnen.

(4) Stampro kann für den mit Prüfungen verbundenen Aufwand eine angemessene Vergütung verlangen, sofern dieser nicht bereits durch die regelmäßige Vergütung gemäß Hauptvertrag abgegolten ist.

(1) Eine Verarbeitung der personenbezogenen Daten in Ländern außerhalb der EU/EWR findet ausschließlich im Rahmen der in Anlage 3 beschriebenen Sub-Auftragsverarbeiter statt.

(2) Stampro stellt sicher, dass solche Übermittlungen nur unter Einhaltung der Anforderungen der Art. 44 ff. DSGVO erfolgen, insbesondere auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO) oder durch Abschluss von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

(1) Nach Beendigung des Hauptvertrags stellt Stampro dem Verantwortlichen die personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (insb. CSV) für einen Zeitraum von 30 Tagen zum Export bereit.

(2) Nach Ablauf dieses Zeitraums werden alle im Auftrag verarbeiteten personenbezogenen Daten unwiderruflich gelöscht. Die Löschung umfasst auch bestehende Sicherungskopien, sobald diese im normalen Betriebsablauf überschrieben werden.

(3) Gesetzliche Aufbewahrungspflichten bleiben unberührt. Soweit Stampro Daten aufgrund gesetzlicher Verpflichtungen weiterhin speichern muss, gelten die Pflichten dieses Vertrags für diese Daten fort.

(4) Stampro bestätigt dem Verantwortlichen auf Anfrage die ordnungsgemäße Löschung in Textform.

(1) Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrags (Stampro-AGB, § 10) und den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.

(2) Die Parteien stellen sich gegenseitig von Ansprüchen Dritter frei, soweit diese auf einer Verletzung der jeweils eigenen Pflichten aus diesem Vertrag oder der DSGVO durch die jeweilige Partei beruhen.

(1) Dieser AVV beginnt mit der Annahme durch beide Parteien und endet automatisch mit der Beendigung des Hauptvertrags.

(2) Die in § 13 geregelten Verpflichtungen zu Aufbewahrung und Löschung gelten nach Vertragsende fort, bis die Löschung vollständig durchgeführt ist.

(3) Eine Kündigung dieses AVV unabhängig vom Hauptvertrag ist nicht möglich.

(1) Im Konflikt zwischen den Regelungen dieses Vertrags und denen des Hauptvertrags gehen die Regelungen dieses Vertrags vor, soweit es um datenschutzrechtliche Verpflichtungen geht.

(2) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung des Textformerfordernisses.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt diejenige wirksame und durchführbare Regelung, die dem wirtschaftlich Gewollten am nächsten kommt.

(4) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist – soweit gesetzlich zulässig – München.

Gegenstand der Verarbeitung

Bereitstellung einer SaaS-Plattform zur Erstellung, Verteilung und Verwaltung digitaler Stempel- und Treuekarten für die Endkunden des Verantwortlichen über Apple Wallet und Google Wallet.

Art der Verarbeitung

Erhebung, Speicherung, Strukturierung, Anpassung, Auslesen, Übermittlung an Wallet-Anbieter und Push-Benachrichtigungs-Dienste, Löschung.

Zweck der Verarbeitung

Erstellung digitaler Stempelkarten, Aktualisierung des Stempelstands, Verteilung von Belohnungen sowie Versand wallet-bezogener Push-Benachrichtigungen an Endkunden im Auftrag des Verantwortlichen.

Kategorien betroffener Personen

• Endkunden des Verantwortlichen, die eine digitale Stempelkarte über Stampro erhalten und nutzen.

Kategorien personenbezogener Daten

• Name (sofern vom Verantwortlichen erhoben)
• pseudonyme Wallet-Objekt-Identifikatoren (Apple Wallet, Google Wallet)
• Authentifizierungs-Token zur sicheren Aktualisierung der Wallet-Karte
• pseudonyme Kundennummer (pro Verantwortlichem)
• Stempelstand und Belohnungsstatus
• Geräte-Token für Push-Benachrichtigungen (Apple Push Notification Service, Google Play Services)
• Zeitstempel der Registrierung und der Stempelvorgänge
• technische Verbindungsdaten (IP-Adresse, User-Agent) bei Aufruf der Registrierungsseite und der Wallet-Aktualisierungs-Endpunkte
• weitere Daten, soweit der Verantwortliche diese im Registrierungsformular optional erhebt (z. B. E-Mail-Adresse, Geburtsdatum)

Dauer der Verarbeitung

Für die Dauer des Hauptvertrags zwischen den Parteien zuzüglich der in § 13 geregelten 30-tägigen Daten-Aufbewahrungs- und Löschphase.

Stampro setzt zum Schutz der personenbezogenen Daten gemäß Art. 32 DSGVO insbesondere folgende technische und organisatorische Maßnahmen um:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Verarbeitung erfolgt ausschließlich in zertifizierten Rechenzentren der eingesetzten Cloud-Anbieter (Hosting-Standort der Datenbank: Frankfurt am Main / EU); physischer Zutritt ist auf autorisiertes Personal der Anbieter beschränkt.
• Zugangskontrolle: Authentifizierung über E-Mail und Passwort mit branchenüblichem Hashing; HttpOnly- und Secure-Cookies; Session-Management über Supabase Auth.
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept; Row-Level Security (RLS) auf Datenbank-Ebene zur strikten Trennung von Mandanten; Prinzip der geringsten Berechtigung.
• Trennungskontrolle: Logische Trennung der Daten verschiedener Verantwortlicher durch eindeutige Mandanten-Identifikatoren und RLS-Policies.
• Pseudonymisierung: Wallet-Objekt-Identifikatoren und Kundennummern werden pseudonym vergeben.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: Übertragung sämtlicher Daten ausschließlich über TLS/HTTPS-verschlüsselte Verbindungen.
• Eingabekontrolle: Protokollierung aller verändernden Operationen über Audit-Trails; nachvollziehbare Stempelhistorie pro Endkunde.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verfügbarkeitskontrolle: Cloud-Infrastruktur mit redundanten Systemen und automatischen Backups; Backup-Strategie der eingesetzten Datenbank-Anbieter mit Point-in-Time-Recovery.
• Wiederherstellbarkeit: Wiederherstellung des Datenbestands aus Backups innerhalb betrieblich angemessener Zeit.

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung der Sicherheitsmaßnahmen sowie zeitnahe Einspielung sicherheitsrelevanter Updates;
• Auftrags- und Weisungskontrolle: dokumentierte Prozesse zur Auftragsabwicklung und Weisungsumsetzung.

Die TOMs werden laufend an den Stand der Technik und das identifizierte Risiko angepasst. Die jeweils aktuelle Fassung wird auf Anfrage zur Verfügung gestellt.

Folgende Sub-Auftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt:

Hinweis: Stripe Payments Europe, Limited (Irland) wird im Rahmen der Zahlungsabwicklung für die Vergütung des Hauptvertrags eingesetzt. Stripe handelt insoweit als eigenständiger Verantwortlicher und ist daher nicht Sub-Auftragsverarbeiter im Sinne dieses AVV. Stripe verarbeitet ausschließlich Daten des Verantwortlichen (Merchants), nicht der Endkunden.

Eine Aktualisierung dieser Liste erfolgt gemäß § 7 mit einer Vorlauffrist von mindestens 30 Tagen vor Wirksamwerden einer Änderung.