Rezaro

Rechtliches

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO zwischen dem Restaurantbetreiber (im Folgenden „Verantwortlicher") und der Rezaro (im Folgenden „Auftragsverarbeiter"). Mit dem Abschluss eines Rezaro-Vertrags wird dieser AVV automatisch Bestandteil des Vertrags.

§ 1 Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Gegenstand sind:

  • Speicherung und Verwaltung von Reservierungsdaten (Endgastdaten)
  • Versand von Buchungsbestätigungen und Erinnerungen
  • Speicherung und Verwaltung von Bestelldaten
  • Bereitstellung der Reservierungs- und Bestellsoftware Rezaro

Die Dauer entspricht der Laufzeit des Hauptvertrags zwischen Verantwortlichem und Rezaro.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt elektronisch (Cloud-Hosting in Frankfurt am Main, Deutschland, bei Supabase EU). Zweck ist die Bereitstellung der vereinbarten SaaS-Funktionalitäten.

§ 3 Art der personenbezogenen Daten

  • Stammdaten: Vor- und Nachname der Endgäste
  • Kontaktdaten: E-Mail, Telefon
  • Reservierungsdaten: Datum, Uhrzeit, Personenzahl, Tischzuordnung, Notizen
  • Optional: Allergien (Art. 9 DSGVO besondere Kategorie — nur sofern vom Endgast freiwillig angegeben)
  • Bestellhistorie und Zahlungsstatus (Zahlungsdaten werden ausschließlich von Stripe verarbeitet)

§ 4 Kategorien betroffener Personen

  • Endgäste des Restaurants (Reservierende, Bestellende)
  • Mitarbeiter:innen des Restaurants (sofern in der Personalplanung eingetragen)

§ 5 Pflichten des Auftragsverarbeiters

  1. Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
  2. Vertraulichkeitsverpflichtung aller Mitarbeitenden gemäß Art. 28 Abs. 3 lit. b DSGVO.
  3. Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 DSGVO. Siehe Anhang TOMs.
  4. Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO).
  5. Unverzügliche Meldung von Datenschutzverletzungen gemäß Art. 33 DSGVO (innerhalb von 24 Stunden nach Kenntnis).
  6. Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende — Wahlrecht beim Verantwortlichen, Frist 30 Tage.

§ 6 Unterauftragsverarbeiter (Subprocessors)

Der Auftragsverarbeiter setzt folgende geprüfte Unterauftragsverarbeiter ein:

AnbieterZweckStandort
Supabase Inc.Datenbank, Auth, StorageFrankfurt am Main (EU)
Netcup GmbHVPS-HostingNürnberg (Deutschland)
Stripe Payments Europe Ltd.Zahlungsabwicklung (Abonnements, Anzahlungen)Irland (EU)
Brevo (Sendinblue) SASTransaktionale E-MailsParis (EU)

Änderungen werden dem Verantwortlichen mit einer Frist von 30 Tagen vorab per E-Mail mitgeteilt; ein Widerspruchsrecht besteht.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

  • Vertraulichkeit: Verschlüsselte Verbindungen (TLS 1.3), Row-Level-Security pro Restaurant in der Datenbank.
  • Integrität: Audit-Logs in Supabase, Versionierung aller Code-Änderungen via Git.
  • Verfügbarkeit: Tägliche Backups, automatische SSL-Zertifikat-Erneuerung, Health-Checks.
  • Belastbarkeit: Hochverfügbare Cloud-Infrastruktur, Failover-Strategie für DB.
  • Wiederherstellung: Point-in-Time-Recovery der Datenbank (bis zu 7 Tage).
  • Zutrittskontrolle: SSH-Key-only-Zugriff zum Server, Multi-Faktor-Authentifizierung für Admin-Konten.
  • Pseudonymisierung & Verschlüsselung: Alle Daten at-rest verschlüsselt; Passwörter mit bcrypt gehasht.

§ 8 Drittlandtransfer

Eine Verarbeitung in Drittländern außerhalb der EU/EWR findet nicht primär statt. Stripe Payments Europe Ltd. und Brevo SAS sind in der EU ansässig. Sollten in Ausnahmefällen Daten in die USA übermittelt werden (z. B. durch US-Mutterunternehmen), erfolgt dies ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC) und ggf. unter Heranziehung des EU-US Data Privacy Frameworks.

§ 9 Kontroll- und Auskunftsrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu überprüfen (z. B. durch Audit-Berichte oder Zertifizierungen). Eine Vor-Ort-Kontrolle ist mit 14 Tagen Vorlauf möglich und wird nicht häufiger als einmal jährlich verlangt.

§ 10 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Im Innenverhältnis zwischen den Parteien gelten die im Hauptvertrag (AGB) vereinbarten Haftungsbegrenzungen.

§ 11 Beendigung

Mit Beendigung des Hauptvertrags werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgegeben (Export im JSON/CSV-Format) oder unwiderruflich gelöscht. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende und wird auf Wunsch schriftlich bestätigt.

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Dieser AVV wird mit Vertragsabschluss (Anmeldung im Rezaro-Konto und Aktivierung eines kostenpflichtigen Plans) automatisch wirksam. Eine separate Unterzeichnung ist nicht erforderlich; die Annahme erfolgt durch elektronische Bestätigung beim Onboarding. Bei Bedarf stellen wir eine PDF-Version zur Verfügung — per E-Mail anfordern.