Frühzugang offen · Start Q3 2026
Zurück zur Startseite
RECHTLICHES

Auftragsverarbeitungsvertrag (AVV)

gemass Art. 28 DSGVO

Zuletzt aktualisiert · Letzte Aktualisierung: April 2026

Verantwortlicher (Auftraggeber)

Der Kunde, der einen Gastrolie-Account registriert und den Service nutzt (nachfolgend "Auftraggeber" oder "Verantwortlicher").

Auftragsverarbeiter

Gastrolie, Inhaber Timur Aynacı, Krifteler Straße 15, 60326 Frankfurt am Main, Deutschland (nachfolgend "Auftragsverarbeiter" oder "Gastrolie").

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Gastrolie-Plattform. Die Verarbeitung umfasst die Speicherung, Organisation, Abfrage und Bereitstellung von Daten, die der Verantwortliche in die Plattform eingibt.

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung werden die Daten innerhalb von 90 Tagen geloscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient ausschliesslich der Erbringung der vertraglich vereinbarten Dienste:

  • Benutzerverwaltung und Authentifizierung
  • Audit- und Inspektionsdaten
  • Finanz- und Kassendaten
  • Personalverwaltung (Schichten, Attendance)
  • Ticketmanagement und Aufgabenverfolgung
  • Benachrichtigungen und Kommunikation
  • Berichterstattung und Analyse

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Stammdaten: Name, E-Mail-Adresse, Telefonnummer
  • Zugangsdaten: Passwort (gehashed), 2FA-Konfiguration
  • Nutzungsdaten: Login-Zeiten, IP-Adressen, Gerateinformationen
  • Arbeitsdaten: Check-in/Check-out-Zeiten, Schichtplane, Gehaltsabrechnungen
  • Inhaltsdaten: Audit-Ergebnisse, Kommentare, hochgeladene Fotos

§ 4 Kategorien betroffener Personen

  • Mitarbeiter des Verantwortlichen (Benutzer der Plattform)
  • Administratoren und Manager
  • Externe Prufer und Auditoren

§ 5 Pflichten des Auftragsverarbeiters

  • Verarbeitung der Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen
  • Gewahrleistung, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben
  • Ergreifung aller erforderlichen technischen und organisatorischen Massnahmen gemass Art. 32 DSGVO
  • Keine Beauftragung weiterer Auftragsverarbeiter ohne vorherige Zustimmung des Verantwortlichen
  • Unterstutzung des Verantwortlichen bei der Erfullung seiner Pflichten bezuglich Betroffenenrechte
  • Loschung oder Ruckgabe aller personenbezogenen Daten nach Beendigung der Verarbeitung
  • Bereitstellung aller erforderlichen Informationen fur Audits und Inspektionen

§ 6 Technische und organisatorische Massnahmen

Der Auftragsverarbeiter hat folgende Massnahmen implementiert:

  • Verschlusselung: TLS 1.3 fur Datenubertragung, AES-256 fur gespeicherte Daten
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) mit 25+ Rollen
  • Mandantentrennung: Logische Isolierung aller Kundendaten durch Tenant-ID
  • Protokollierung: Vollstandiger Audit-Trail aller Zugriffe und Anderungen
  • Datensicherung: Automatische tagliche Backups mit 30-Tagen-Aufbewahrung
  • Verfugbarkeit: Container-basierte Infrastruktur mit automatischem Neustart
  • Pseudonymisierung: Moglichkeit zur Anonymisierung bei Loschungsanfragen
  • Belastbarkeit: Isolierte Container-Umgebung mit Ressourcenlimits

§ 7 Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

  • Hetzner Online GmbH, Gunzenhausen, Deutschland — Server-Hosting und Infrastruktur
  • Amazon Web Services (AWS SES), EU-Region — E-Mail-Versand
  • Stripe, Inc. — Zahlungsabwicklung (nur bei kostenpflichtigen Planen)
  • OpenAI, Inc. — KI-Funktionen (anonymisierte Daten, keine personenbezogenen Daten)

Der Verantwortliche stimmt dem Einsatz der oben genannten Unterauftragsverarbeiter zu. Uber den Einsatz neuer Unterauftragsverarbeiter wird der Verantwortliche vorab informiert.

§ 8 Meldung von Verletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzuglich uber jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthalt mindestens:

  • Art der Verletzung und betroffene Datenkategorien
  • Ungefähre Anzahl betroffener Personen und Datensatze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen Gegenmassnahmen

§ 9 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstutzt den Verantwortlichen bei der Erfullung der Betroffenenrechte:

  • Auskunftsrecht (Art. 15 DSGVO) — Datenexport-Funktion in der Plattform
  • Recht auf Berichtigung (Art. 16) — Benutzer konnen eigene Daten andern
  • Recht auf Loschung (Art. 17) — Anonymisierung und Datenloschung uber Einstellungen
  • Recht auf Datenubertragbarkeit (Art. 20) — JSON-Export aller personenbezogenen Daten
  • Recht auf Einschrankung (Art. 18) — Deaktivierung des Benutzerkontos

§ 10 Datentransfer

Die Verarbeitung findet ausschliesslich innerhalb der Europaischen Union statt. Server befinden sich in Deutschland (Hetzner, Gunzenhausen). Ein Transfer in Drittlander erfolgt nicht, es sei denn, der Verantwortliche nutzt Funktionen, die einen solchen Transfer erfordern (z.B. OpenAI fur KI-Analyse). In diesem Fall werden nur anonymisierte Daten ubermittelt.

§ 11 Laufzeit und Kundigung

Dieser AVV gilt fur die Dauer der Nutzung der Gastrolie-Plattform. Bei Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten innerhalb von 90 Tagen geloscht. Auf Wunsch erhalt der Verantwortliche vor der Loschung einen vollstandigen Datenexport.

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist Frankfurt am Main. Anderungen dieses AVV bedurfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der ubrigen Bestimmungen unberuhrt.

Kontakt fur Datenschutzanfragen

datenschutz@gastrolie.com

Gastrolie Inhaber: Timur Aynacı Krifteler Straße 15, 60326 Frankfurt am Main, Deutschland

AV-Vertrag | Gastrolie