Hilfe - Alle Produkte & Anleitungen
Hilfe - Alle Produkte & Anleitungen
Breadcrumbs

Auftragsverarbeitungsvertrag für Betreiber

Hinweis: Dieses Dokumente richtet sich an alle Nutzer/Betreiber eines bessa-Softwaresystems: Dienstleister, Handelsbetriebe, Gastronomiebetriebe, Beherberbungs- und Hotelleriebetriebe.

AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

gemäß Art. 28 DSGVO

zwischen

[Betreibername]
[Adresse]
[PLZ Ort]
[Land]
(nachfolgend „Verantwortlicher" genannt)

und

meisterwork GmbH
Rosentaler Straße 1
9020 Klagenfurt am Wörthersee
Österreich
(nachfolgend „Auftragsverarbeiter" genannt)

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich Software-as-a-Service (bessa) gemäß dem zugrundeliegenden Hauptvertrag (Softwarelizenzvertrag/SaaS-Vertrag). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

1.2 Dauer

Die Dauer dieses Auftragsverarbeitungsvertrages richtet sich nach der Laufzeit des zugrundeliegenden Hauptvertrages.

2. Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Hosting von Kundendaten in Cloud-Infrastruktur

  • Verarbeitung von Bestell-, Rechnungs- und Zahlungsdaten

  • Verwaltung von Kundenbindungsprogrammen (digitale Stempelpässe, Punktesysteme)

  • Durchführung von Umsatzauswertungen und Bereitstellung von Kennzahlen

  • Verarbeitung von Online-Bestellungen und Kiosk-Transaktionen

  • Verwaltung von Kantinensystemen und Zuschussverwaltung

  • Versand von Marketing-Nachrichten und Push-Notifications im Auftrag des Verantwortlichen

  • Hotellerie/Beherbergung: Abrechnung von Hotelleistungen (Restaurant, Bar, Spa, Minibar)

  • Hotellerie/Beherbergung: Zimmernummern-Zuordnung für interne Verrechnung

2.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der Bereitstellung und des Betriebs eines umfassenden Softwaresystems mit Modulen für Kassenfunktionen, Kundenbindung, Online-Bestellungen und weitere Dienstleistungen für Gastronomie, Handel, Dienstleistungsbetriebe, Beherbergungsbetriebe und Hotellerie.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Datenkategorien

  • Stammdaten (Name, Vorname, Titel, Anrede)

  • Kontaktdaten (E-Mail-Adresse, Telefonnummer, Adresse)

  • Transaktionsdaten (Bestellungen, Rechnungen, Händler- und Kundenbelege)

  • Kundenbindungsdaten (Punktestände, Stempelkarten, Kaufhistorie)

  • Nutzungsdaten (Login-Daten, Zugriffsprotokolle)

  • Kommunikationsdaten (Support-Anfragen, Feedback)

  • Hotellerie-spezifische Daten:

    • Zimmernummer (für interne Verrechnung)

    • Konsumationen (Restaurant, Bar, Spa, Minibar)

    • Zusatzleistungen und deren Abrechnung

Wichtiger Hinweis:

  • Zahlungsdaten (Kreditkarteninformationen etc.) werden nicht im bessa-System gespeichert, sondern ausschließlich über den PCI-DSS-zertifizierten Zahlungsdienstleister Stripe verarbeitet.

  • Ausweis- oder Reisepassdaten werden NICHT im bessa-System verarbeitet. Die Gästeverwaltung und Meldepflicht erfolgt über separate Systeme.

3.2 Kategorien betroffener Personen

  • Endkunden des Verantwortlichen

  • Hotelgäste (nur für Zusatzleistungen, nicht für Beherbergung)

  • Mitarbeiter des Verantwortlichen

  • Lieferanten und Geschäftspartner des Verantwortlichen

  • Interessenten und potenzielle Kunden

4. Pflichten des Auftragsverarbeiters

4.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

4.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.3 Datensicherheit

Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).

4.4 Einbindung von Subunternehmern

Der Auftragsverarbeiter ist berechtigt, die in Anlage 2 genannten Subunternehmer einzusetzen. Die Einbindung weiterer Subunternehmer ist dem Verantwortlichen rechtzeitig vorab mitzuteilen. Der Verantwortliche kann der Beauftragung innerhalb von 14 Tagen nach Mitteilung widersprechen.

4.5 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Der Beantwortung von Anfragen betroffener Personen

  • Der Durchführung von Datenschutz-Folgenabschätzungen

  • Der Meldung von Datenschutzverletzungen

  • Der Erfüllung der Rechenschaftspflichten

4.6 Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie dem Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

5. Pflichten des Verantwortlichen

5.1 Rechtmäßigkeit

Der Verantwortliche steht dafür ein, dass die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten rechtmäßig erfolgt.

5.2 Weisungen

Der Verantwortliche erteilt alle Weisungen schriftlich oder in elektronischer Form. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

6. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften beim Auftragsverarbeiter zu kontrollieren. Kontrollen sind rechtzeitig anzumelden und während der üblichen Geschäftszeiten durchzuführen.

7. Mitteilungspflichten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über:

  • Kontrollen durch Aufsichtsbehörden

  • Verstöße gegen datenschutzrechtliche Vorschriften

  • Verletzungen des Schutzes personenbezogener Daten

  • Anfragen von betroffenen Personen

8. Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie den Regelungen des Hauptvertrages.

9. Sonstiges

9.1 Vergütung

Die Vergütung für die Auftragsverarbeitung ist im Hauptvertrag geregelt.

9.2 Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Es gilt österreichisches Recht unter Ausschluss der Kollisionsnormen.

Anlage 1: Technische und organisatorische Maßnahmen

1. Zutrittskontrolle

  • Serverstandort in gesicherten Rechenzentren (AWS Frankfurt)

  • Zutritt nur für autorisierte Personen

  • Überwachung der Rechenzentren

2. Zugangskontrolle

  • Individuelle Benutzerkonten mit sicheren Passwörtern

  • Zwei-Faktor-Authentifizierung verfügbar

  • Automatische Sitzungsbeendigung bei Inaktivität

  • Regelmäßige Überprüfung der Zugriffsberechtigungen

3. Zugriffskontrolle

  • Rollenbasierte Rechteverwaltung

  • Mandantentrennung (Tenant-Isolation)

  • Minimalprinzip bei der Rechtevergabe

  • Trennung von Produktiv- und Testsystemen

  • Keine Speicherung sensibler Zahlungsdaten (Verarbeitung über PCI-DSS-konformen Partner Stripe)

4. Weitergabekontrolle

  • Verschlüsselte Datenübertragung (SSL/TLS)

  • Sichere API-Schnittstellen

  • Protokollierung von Datenexporten

5. Eingabekontrolle

  • Logging von Datenänderungen (in Implementierung)

  • Versionsverwaltung

  • Audit-Trail für kritische Operationen (in Implementierung)

6. Auftragskontrolle

  • Klare vertragliche Regelungen mit Subunternehmern

  • Dokumentierte Weisungen

  • Regelmäßige Überprüfung der Subunternehmer

7. Verfügbarkeitskontrolle

  • Tägliche Datensicherung

  • Disaster-Recovery-Plan

  • Redundante Systeme

  • Monitoring und Alerting

8. Trennungskontrolle

  • Mandantenfähige Architektur

  • Logische Datentrennung

  • Getrennte Datenbanken für verschiedene Dienste

Anlage 2: Genehmigte Subunternehmer

Subunternehmer

Leistung

Standort der Verarbeitung

Amazon Web Services EMEA SARL

Cloud-Hosting, Infrastruktur

Frankfurt, Deutschland (EU)

Google Ireland Limited

Analytics, Cloud Messaging, Crashlytics

EU

Atlassian Pty Ltd

Support-Ticketsystem (Jira)

EU

Stripe Payments Europe Ltd

Zahlungsabwicklung

EU (Irland)

Anlage 3: Weisungsberechtigte Personen

Weisungsberechtigte des Verantwortlichen:

  • Geschäftsführung

  • IT-Leitung

  • Datenschutzbeauftragter (falls vorhanden)

Weisungsempfänger des Auftragsverarbeiters:

  • DI Daniel Lichtenegger (Geschäftsführer)

  • Georg Kitz (Geschäftsführer)

  • Richard Marktl (Geschäftsführer)

  • E-Mail: support@bessa.app

  • Tel: +43 720 317 836

Ort, Datum: _______________________

Für den Verantwortlichen:

Name, Funktion
Unterschrift

Für den Auftragsverarbeiter:

Name, Funktion
Unterschrift