Auftragsverarbeitungsvertrag

1. Definitionen

• Verantwortlicher — der Restaurantpartner (Nutzer), der die Zwecke und Mittel der Verarbeitung personenbezogener Daten seiner Endkunden über die FoxiFood-Plattform festlegt.
• Auftragsverarbeiter — Elite Digital Services, LLC, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, um die Dienste der FoxiFood-Plattform bereitzustellen. Der Auftragsverarbeiter ist der alleinige Betreiber der FoxiFood-Plattform und kann autorisierte Unterauftragsverarbeiter in verschiedenen Rechtsordnungen mit der Durchführung bestimmter technischer Aufgaben beauftragen, wie in Abschnitt 5 dieser DPA dargelegt.
• Betroffene Person — die natürliche Person, deren personenbezogene Daten verarbeitet werden (in der Regel der Endkunde, der eine Essensbestellung aufgibt).
• Personenbezogene Daten — alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Artikel 4 Absatz 1 DSGVO definiert.
• Verarbeitung — jeder Vorgang, der an personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Speicherung, Nutzung, Übermittlung und Löschung.
• Unterauftragsverarbeiter — ein Dritter, der vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.

2. Umfang und Zweck der Verarbeitung

2.1. Gegenstand

The Processor processes personal data on behalf of the Controller for the purpose of providing the FoxiFood restaurant ordering platform, including hosting the Controller's ordering website, processing customer orders, managing customer accounts, facilitating payment transactions, and operating the FOXI ID shared customer identity infrastructure that enables end customers to use a single account across multiple restaurant ordering websites on the platform.

2.2. Dauer

Die Verarbeitung personenbezogener Daten im Rahmen dieser DPA erfolgt für die Dauer der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Bei Beendigung werden die Daten gemäß Abschnitt 8 dieser DPA behandelt.

2.3. Art und Zweck

Art und Zweck der Verarbeitung bestehen in der Bereitstellung einer Software-as-a-Service-Plattform, die es dem Verantwortlichen ermöglicht, Online-Essensbestellungen von seinen Kunden entgegenzunehmen, Bestellungen zu verwalten und Zahlungen abzuwickeln.

The Processor does not determine the purposes of processing of end customer order data. The Processor provides only the technical infrastructure used by the Controller to collect and process such data.

Ausnahme — FOXI ID-Kontodaten: Zum Zweck des Betriebs der gemeinsamen FOXI ID-Kundenidentitätsinfrastruktur handelt Elite Digital Services, LLC als eigenständiger Verantwortlicher für FOXI ID-Kontodaten (Anmeldedaten, Authentifizierungssitzungen und Kontaktdaten, die für die restaurantübergreifende Vorausfüllung verwendet werden). Diese Daten werden nicht im Rahmen dieser DPA, sondern gemäß der eigenen Datenschutzrichtlinie des Anbieters verarbeitet. Die Rechte und Pflichten des Verantwortlichen als Verantwortlicher im Rahmen dieser DPA gelten für Bestelldaten, Kundenpräferenzen und Bestellhistorie, die über die Bestellwebseite des Verantwortlichen generiert werden.

2.4. Kategorien betroffener Personen

• Endkunden des Restaurantpartners (natürliche Personen, die Essensbestellungen aufgeben);
• Mitarbeiter oder Vertreter des Restaurantpartners mit Zugang zum Admin-Dashboard.

2.5. Arten personenbezogener Daten

• Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer;
• Lieferadresse (falls zutreffend);
• Bestelldaten: bestellte Artikel, Bestellbeträge, Bestellhistorie, Ernährungspräferenzen;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Technical data: IP address, device information, browser data (for fraud prevention and service operation);
• FOXI ID-Kontodaten: Anmeldedaten (E-Mail und gehashtes Passwort), Authentifizierungssitzungstoken.

2.6. Datenisolierung und FOXI ID

Die Plattform betreibt eine gemeinsame Kundenidentitätsinfrastruktur ('FOXI ID'), die es Endkunden ermöglicht, ein einziges Konto auf mehreren Restaurant-Bestellwebseiten zu nutzen. Es gelten die folgenden Grundsätze der Datenisolierung:

• Jeder Verantwortliche kann nur auf Bestelldaten, Kundenpräferenzen und Bestellhistorie zugreifen, die über seine eigene Bestellwebseite generiert wurden;
• Kein Verantwortlicher hat Zugang zu Bestelldaten, Präferenzen oder Bestellhistorie von Endkunden bei einem anderen Restaurant auf der Plattform;
• Die einzigen Daten, die über FOXI ID zwischen Verantwortlichen geteilt werden, sind die Kontaktdaten des Endkunden (Name, E-Mail, Telefonnummer, Lieferadresse), ausschließlich zum Zweck der Vorausfüllung des Bestellformulars zur Erleichterung des Bestellvorgangs;
• Der Auftragsverarbeiter stellt keinem Verantwortlichen aggregierte, anonymisierte oder restaurantübergreifende Daten aus FOXI ID zur Verfügung.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf Datenübermittlungen in Drittländer, es sei denn, dies ist nach geltendem Recht erforderlich;
• sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen;
• geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Artikel 32 DSGVO vorgeschrieben;
• keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige schriftliche Genehmigung des Verantwortlichen einzusetzen, vorbehaltlich Abschnitt 5 dieser AVV;
• den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) innerhalb der von der DSGVO vorgeschriebenen Fristen zu unterstützen;
• den Verantwortlichen bei der Einhaltung der Pflichten im Zusammenhang mit Datenschutz-Folgenabschätzungen und der vorherigen Konsultation mit Aufsichtsbehörden (Artikel 35 und 36 DSGVO) zu unterstützen;
• nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienstleistung zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das EU- oder Mitgliedstaatenrecht schreibt die Speicherung vor;
• dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der in Artikel 28 DSGVO festgelegten Pflichten nachzuweisen, und Prüfungen und Inspektionen zu ermöglichen und dazu beizutragen;
• ein Verzeichnis der im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 DSGVO zu führen;
• Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 DSGVO umzusetzen und sicherzustellen, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden.

4. Sicherheitsmaßnahmen

Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten um:

• Verschlüsselung von Daten bei der Übertragung mittels TLS 1.2+ / SSL;
• Verschlüsselung sensibler Daten im Ruhezustand;
• Zugriffskontrollen mit rollenbasierten Berechtigungen und Multi-Faktor-Authentifizierung für administrativen Zugang;
• regelmäßige automatisierte Backups mit einer Aufbewahrungsfrist von mindestens 30 Tagen;
• sichere Cloud-Hosting-Infrastruktur mit physischen Zugangskontrollen (DigitalOcean);
• Regelmäßige Sicherheitsupdates, Patches und Schwachstellenbewertungen;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Passwort-Hashing mit branchenüblichen kryptografischen Algorithmen;
• Protokollierung und Überwachung des Zugangs zu personenbezogenen Daten;
• Verfahren zur Reaktion auf Vorfälle und Benachrichtigung bei Datenschutzverletzungen.Verfahren zur Reaktion auf Vorfälle und zur Benachrichtigung bei Datenschutzverletzungen.

5. Unterauftragsverarbeiter

5.1. Autorisierte Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Auftragsverarbeiter, die folgenden Unterauftragsverarbeiter einzusetzen:

• Zahlungsabwickler (derzeit Stripe, Inc.) — Zahlungsabwicklung, Betrugsprävention (USA, PCI DSS Level 1, SCCs vorhanden);
• DigitalOcean, LLC — Cloud-Hosting und Infrastruktur (EU- und USA-Rechenzentren, SCCs vorhanden);
• Brevo (Sendinblue) — Transaktions-E-Mail-Zustellung (Frankreich/EU).

5.2. Änderungen bei Unterauftragsverarbeitern

Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern mindestens 30 Tage im Voraus informieren und dem Verantwortlichen die Möglichkeit geben, gegen solche Änderungen Einspruch zu erheben. Bei begründetem Einspruch des Verantwortlichen werden die Parteien die Bedenken in gutem Glauben besprechen. Wird keine Lösung erzielt, kann der Verantwortliche die Vereinbarung kündigen.

5.3. Pflichten der Unterauftragsverarbeiter

Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter durch Datenschutzpflichten gebunden ist, die nicht weniger schützend sind als die in dieser AVV festgelegten. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen vollständig für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters haftbar.

6. Rechte betroffener Personen

Der Auftragsverarbeiter verpflichtet sich:

• den Verantwortlichen unverzüglich zu benachrichtigen, wenn er eine Anfrage direkt von einer betroffenen Person bezüglich ihrer personenbezogenen Daten erhält;
• solche Anfragen nicht direkt zu beantworten, es sei denn, dies ist vom Verantwortlichen genehmigt oder gesetzlich vorgeschrieben;
• dem Verantwortlichen angemessene Unterstützung bei der Erfüllung von Anfragen betroffener Personen zu gewähren, einschließlich technischer Maßnahmen für Datenzugang, Berichtigung, Löschung, Einschränkung und Übertragbarkeit;
• innerhalb des Dienstes Werkzeuge bereitzustellen, die es dem Verantwortlichen ermöglichen, Kundendaten eigenständig zu verwalten, zu exportieren und zu löschen.

7. Datenschutz-Folgenabschätzungen

Wenn eine Art der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt (Artikel 35 DSGVO), ist der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) verantwortlich. Der Auftragsverarbeiter verpflichtet sich:

• dem Verantwortlichen alle vernünftigerweise erforderlichen Informationen zur Durchführung einer DSFA zur Verfügung zu stellen;
• den Verantwortlichen auf angemessene Anfrage bei der DSFA zu unterstützen, auf Kosten des Verantwortlichen;
• den Verantwortlichen bei der vorherigen Konsultation mit der Aufsichtsbehörde zu unterstützen, wo dies gemäß Artikel 36 DSGVO erforderlich ist.

Der Verantwortliche muss den Auftragsverarbeiter im Voraus benachrichtigen, wenn eine DSFA ergibt, dass die Verarbeitung ohne Maßnahmen des Auftragsverarbeiters ein hohes Risiko darstellen würde.

8. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichtet sich der Auftragsverarbeiter:

• den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme der Verletzung zu benachrichtigen, um dem Verantwortlichen die Einhaltung seiner 72-Stunden-Meldefrist gegenüber der Aufsichtsbehörde gemäß Artikel 33 DSGVO zu ermöglichen;
• dem Verantwortlichen ausreichende Informationen zur Verfügung zu stellen, damit dieser seiner Pflicht zur Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen gemäß Artikel 33 und 34 DSGVO nachkommen kann;
• mit dem Verantwortlichen zusammenzuarbeiten und angemessene Schritte zur Minderung der Auswirkungen der Verletzung zu unternehmen;
• die Verletzung einschließlich ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren.

Die Meldung der Verletzung muss, soweit verfügbar, Folgendes enthalten: die Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung.

9. Datenaufbewahrung und -löschung

9.1. Aufbewahrungspflicht des Verantwortlichen

The Controller, as the data controller for order data of its end customers, is solely responsible for determining appropriate data retention periods and for compliance with all applicable legal, tax, and accounting data retention obligations in the Controller's jurisdiction. FOXI ID account data retention is managed by the Processor in its capacity as independent data controller, as described in the Provider's Privacy Policy.

Der Dienst kann konfigurierbare Datenspeicherungseinstellungen bereitstellen, die es dem Verantwortlichen ermöglichen, automatische Löschfristen für Endkundendaten festzulegen. Der Auftragsverarbeiter verarbeitet und löscht Endkundendaten strikt nach den dokumentierten Weisungen des Verantwortlichen, einschließlich der vom Verantwortlichen innerhalb der Plattform konfigurierten Aufbewahrungseinstellungen. Der Auftragsverarbeiter trägt keine Verantwortung für die Wahl der Aufbewahrungsfristen durch den Verantwortlichen oder für rechtliche Folgen, die sich aus der Speicherung oder Löschung von Daten gemäß den Weisungen des Verantwortlichen ergeben.

9.2. Beendigung

• nach Beendigung des Vertrags stellt der Auftragsverarbeiter dem Verantwortlichen 30 Kalendertage zur Verfügung, um alle personenbezogenen Daten über die Exportfunktionen des Dienstes zu exportieren;
• nach Ablauf der 30-Tage-Frist wird der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten löschen, sofern die Aufbewahrung nicht nach geltendem Recht vorgeschrieben ist;
• die Löschung wird mit sicheren Methoden durchgeführt, die eine Wiederherstellung der Daten unmöglich machen;
• der Auftragsverarbeiter wird auf Anfrage des Verantwortlichen eine schriftliche Bestätigung der Datenlöschung bereitstellen;
• Sicherungskopien werden gemäß dem regulären Backup-Rotationsplan gelöscht (innerhalb von 30 Tagen nach der Löschanfrage).

10. Internationale Datenübermittlungen

Wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, stellt der Auftragsverarbeiter sicher, dass gemäß Kapitel V der DSGVO geeignete Garantien vorhanden sind, einschließlich:

• Standardvertragsklauseln (SCCs), die von der Europäischen Kommission gemäß dem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 angenommen wurden. Für Übermittlungen an Unterauftragsverarbeiter werden Modul Zwei (Verantwortlicher an Auftragsverarbeiter) oder Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter) SCCs angewendet, je nach Anwendbarkeit;
• Transferfolgenabschätzungen für jeden Unterauftragsverarbeiter zur Bewertung des rechtlichen Rahmens des Ziellandes;
• ergänzende Maßnahmen zur Gewährleistung eines angemessenen Schutzes personenbezogener Daten, wenn die Transferfolgenabschätzung Risiken identifiziert.

Der Auftragsverarbeiter informiert den Verantwortlichen über alle rechtlichen Anforderungen im Zielland, die den Schutz personenbezogener Daten und die Fähigkeit zur Einhaltung dieser AVV beeinträchtigen können. Kopien der unterzeichneten SCCs sind auf Anfrage erhältlich.

11. Audits und Inspektionen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung von Artikel 28 der DSGVO nachzuweisen. Der Verantwortliche kann Audits, einschließlich Inspektionen, entweder direkt oder durch einen unabhängigen externen Prüfer durchführen, vorbehaltlich:

• einer angemessenen Vorankündigung von mindestens 30 Kalendertagen;
• Audits werden während der regulären Geschäftszeiten und in einer Weise durchgeführt, die Störungen minimiert;
• der Prüfer ist an Vertraulichkeitspflichten gebunden;
• nicht mehr als ein Audit pro 12-Monats-Zeitraum, es sei denn, eine Aufsichtsbehörde verlangt dies.

12. Haftung

Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den in den Allgemeinen Geschäftsbedingungen festgelegten Haftungsbeschränkungen und -ausschlüssen. Nichts in dieser DPA beschränkt die Haftung einer Partei für Verstöße gegen die DSGVO, soweit eine solche Beschränkung nach geltendem Recht nicht zulässig ist.

13. EU-Vertreter

Gemäß Artikel 27 der DSGVO hat der Auftragsverarbeiter folgende Stelle als seinen Vertreter in der Europäischen Union benannt:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Steuernummer: HU28959364

Ausführliche Informationen zum EU-Vertreter und seiner Rolle finden Sie auf der DSGVO-Seite im Rechtsbereich der FoxiFood-Website.

14. Kontakt

Für Fragen zu dieser Auftragsverarbeitungsvereinbarung oder zu Fragen der Datenverarbeitung kontaktieren Sie uns unter: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA