Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO zwischen dem Restaurant (Verantwortlicher) und Ordo (Auftragsverarbeiter). Stand: 21. April 2026.

Präambel

Im Rahmen der Nutzung der Ordo-Plattform verarbeitet Ordo personenbezogene Daten im Auftrag des Restaurants. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der Durchführung des Hauptvertrags ergeben (vgl. Art. 28 DSGVO). Er ist wesentlicher Bestandteil des Hauptvertrags (AGB) und gilt für die gesamte Laufzeit des Hauptvertrags.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb der Ordo-Plattform, einschließlich der Verarbeitung von Bestell-, Reservierungs-, Loyalty-, Schichtplanungs-, Zeiterfassungs-, Beleg- und Kommunikationsdaten gemäß den vereinbarten Leistungsmodulen.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Eine darüber hinausgehende Verarbeitung erfolgt nur zur Rückgabe oder Löschung der Daten nach Vertragsende (§ 11) sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zu folgenden Zwecken:

  • Annahme und Verwaltung von Gast-Bestellungen per QR-Code,
  • Tisch-, Raum- und Reservierungsverwaltung,
  • Menü- und Allergenpflege,
  • Schichtplanung und Zeiterfassung für Mitarbeitende,
  • Lohn-Export (CSV / DATEV-Format),
  • Beleg-Erfassung inklusive automatischer Texterkennung (OCR),
  • DATEV-Export und zeitlich begrenzter Steuerberater-Zugang,
  • optionaler Buchhaltungs-Export an gekoppelte Drittsysteme,
  • Loyalty-Programme und transaktionale Kommunikation,
  • technische Bereitstellung, Monitoring, Sicherheitsmaßnahmen und Support.

§ 3 Art der personenbezogenen Daten

  • Stammdaten des Restaurants und seiner Nutzenden (Name, E-Mail-Adresse, Rolle, gehashtes Passwort).
  • Mitarbeiterdaten (Name, Funktion, geplante / tatsächliche Arbeitszeiten, Stundensatz, ggf. Lohnabrechnungs-Kennungen).
  • Gastdaten bei QR-Bestellung (Tischnummer, Bestellinhalt, optional E-Mail-Adresse für digitale Belege).
  • Reservierungsdaten (Name, Kontaktkanal, Zeit, Personenzahl).
  • Loyalty-Daten (E-Mail, Guthaben, Transaktionshistorie).
  • Beleg- und Rechnungsdaten (Datum, Betrag, Lieferant, Textinhalt).
  • Nutzungs-Logs (IP-Adresse, User-Agent, Aktionen innerhalb der Plattform).

§ 4 Kategorien betroffener Personen

  • Gäste des Restaurants
  • Mitarbeitende des Restaurants
  • Lieferanten und Geschäftspartner des Restaurants
  • Mitarbeiter:innen der Steuerberatung des Restaurants

§ 5 Pflichten des Auftragsverarbeiters (Ordo)

  1. Ordo verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Restaurants (Art. 28 Abs. 3 lit. a DSGVO). Weisungen werden grundsätzlich in Textform erteilt; mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
  2. Ordo verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit oder stellt sicher, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
  3. Ordo ergreift alle erforderlichen Maßnahmen nach Art. 32 DSGVO (siehe Anhang „Technisch-organisatorische Maßnahmen", abrufbar unter /tom).
  4. Ordo bindet Subprozessoren nur nach § 7 dieses Vertrags ein.
  5. Ordo unterstützt das Restaurant unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung der Pflichten nach Art. 32 bis 36 DSGVO (Datenschutz-Folgenabschätzung, Meldung von Verletzungen, Datenschutzkontrollen).
  6. Ordo unterstützt das Restaurant bei der Beantwortung von Anträgen betroffener Personen (Art. 12–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, insbesondere durch Export-Funktionen und Lösch-Routinen innerhalb der Plattform.
  7. Ordo stellt dem Restaurant alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind.
  8. Ordo informiert das Restaurant unverzüglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.

§ 6 Pflichten des Verantwortlichen (Restaurant)

Das Restaurant ist im Rahmen dieses Vertrags allein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und insbesondere verpflichtet,

  • eine Rechtsgrundlage für jede Verarbeitung festzulegen und erforderliche Einwilligungen einzuholen,
  • seinen Informationspflichten nach Art. 13/14 DSGVO gegenüber Gästen und Mitarbeitenden nachzukommen,
  • die Rechtmäßigkeit und Richtigkeit der übermittelten Daten sicherzustellen und
  • Ordo unverzüglich zu benachrichtigen, wenn Anfragen betroffener Personen direkt bei Ordo eingehen und an das Restaurant weitergeleitet werden.

§ 7 Subunternehmer (Unterauftragsverarbeiter)

(1) Das Restaurant stimmt dem Einsatz der im Anhang „Subprozessoren" aufgeführten Unterauftragsverarbeiter zu. Die aktuelle Liste ist jederzeit unter /avv abrufbar und umfasst mindestens die folgenden Anbieter:

  • Supabase, Inc. / Supabase GmbH — Datenbank, Authentifizierung, Storage (EU-Region Frankfurt).
  • Cloudflare, Inc. — Edge-Netzwerk und DDoS-Schutz (EU-Only-Datenverarbeitung aktiviert).
  • Mistral AI SAS, Paris, Frankreich — OCR für Belege.
  • Resend, Inc., San Francisco, USA — transaktionale E-Mails (Übermittlung auf Basis der EU-Standardvertragsklauseln).
  • Haufe-Lexware GmbH & Co. KG, Freiburg, Deutschland — optional, nur bei aktiver Kopplung durch das Restaurant.

(2) Ordo informiert das Restaurant in Textform spätestens 30 Tage vor jeder geplanten Änderung in Bezug auf die Hinzuziehung oder Ersetzung eines Subprozessors. Das Restaurant kann binnen 14 Tagen nach Zugang der Mitteilung in Textform widersprechen; in diesem Fall ist Ordo berechtigt, den Vertrag mit dem Restaurant unter Wahrung einer Frist von 30 Tagen zu kündigen.

(3) Ordo schließt mit jedem Subprozessor einen Auftragsverarbeitungsvertrag, der dem Schutzniveau dieses Vertrags entspricht, und bleibt gegenüber dem Restaurant für die Einhaltung der Pflichten durch die Subprozessoren verantwortlich.

§ 8 Übermittlung in Drittländer

Eine Übermittlung in Drittländer findet ausschließlich bei Resend (USA) auf Basis der EU-Standardvertragsklauseln 2021/914 (Art. 46 Abs. 2 lit. c DSGVO) statt. Die nach EDSA-Empfehlung 01/2020 erforderliche Transfer-Impact-Analyse sowie ergänzende Maßnahmen (Transportverschlüsselung, Zweckbindung, Protokollierung von Behördenersuchen) sind dokumentiert und werden auf Anfrage bereitgestellt.

§ 9 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Die von Ordo ergriffenen technischen und organisatorischen Maßnahmen sind im Anhang „TOM" beschrieben. Ordo behält sich vor, die Maßnahmen fortlaufend dem Stand der Technik anzupassen; das Schutzniveau wird nicht unterschritten.

§ 10 Kontrollrechte des Verantwortlichen

(1) Das Restaurant ist berechtigt, sich von der Einhaltung dieses Vertrags durch Ordo zu überzeugen. Ordo stellt hierzu auf Anfrage aktuelle Zertifizierungen, Testate und Berichte (z. B. SOC 2 der Subprozessoren) sowie die jeweils aktuelle TOM-Dokumentation bereit.

(2) Darüber hinausgehende Audits werden mit angemessenem Vorlauf (mind. 14 Tage) in Textform angekündigt, finden während der üblichen Geschäftszeiten statt und werden einmal jährlich ohne Kostenersatz durchgeführt; weitere Audits sowie durch Aufsichtsbehörden ausgelöste Prüfungen werden gesondert angeboten und vergütet.

§ 11 Rückgabe und Löschung nach Vertragsende

(1) Nach Beendigung des Hauptvertrags stellt Ordo dem Restaurant die Daten in einem strukturierten, gängigen und maschinenlesbaren Format für mindestens 30 Tage zum Export bereit.

(2) Spätestens 30 Tage nach Ablauf dieser Frist werden sämtliche im Auftrag verarbeiteten personenbezogenen Daten einschließlich aller Kopien gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden im Rahmen der regulären Rotation spätestens nach 35 Tagen überschrieben.

(3) Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (z. B. Belege und Rechnungen nach § 147 AO, § 257 HGB), werden bis zum Ablauf der gesetzlichen Fristen gesperrt und erst dann gelöscht.

§ 12 Meldung von Datenschutzverletzungen (Art. 33 DSGVO)

Ordo meldet dem Restaurant Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch binnen 48 Stunden nach Kenntnisnahme, in Textform. Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, die Kategorien und ungefähre Zahl der Betroffenen und Datensätze, die wahrscheinlichen Folgen sowie die zur Begrenzung ergriffenen und vorgesehenen Maßnahmen.

§ 13 Haftung

Die Haftung zwischen den Parteien richtet sich nach den Regelungen des Hauptvertrags. Art. 82 DSGVO bleibt unberührt.

§ 14 Schlussbestimmungen

(1) Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und endet mit dessen Beendigung, soweit nicht einzelne Pflichten ihrer Natur nach fortwirken (insb. Geheimhaltung, Lösch-/Rückgabepflichten, Art. 28 Abs. 3 lit. g DSGVO).

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlich Gewollten am nächsten kommt.

(3) Änderungen und Ergänzungen bedürfen der Textform. Dies gilt auch für die Abbedingung des Textformerfordernisses.

(4) Im Kollisionsfall zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV hinsichtlich datenschutzrechtlicher Belange vor.

Stand: 21. April 2026. Anhang: Technisch-organisatorische Maßnahmen unter /tom. Vor Livegang durch eine Fachanwält:in für Datenschutzrecht prüfen lassen.