gemäß Art. 28 DSGVO
Stand: 25. Februar 2026
(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt die Allgemeinen Geschäftsbedingungen (AGB) zwischen:
Auftragsverarbeiter:
Percept Tech, Inhaber Bram Asselman, Kamminer Str. 36, 10589 Berlin
(nachfolgend „Auftragnehmer")
Verantwortlicher:
Der Kunde gemäß den AGB
(nachfolgend „Auftraggeber")
(2) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung des Online-Reservierungssystems CueFlow.
(3) Dieser AVV gilt für die Dauer des Vertragsverhältnisses gemäß den AGB.
(4) Dieser AVV tritt mit Registrierung des Auftraggebers für die Dienste von CueFlow in Kraft. Die Registrierung und Nutzung der Dienste stellt die Annahme dieses AVV in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO dar.
(1) Die Verarbeitung umfasst folgende Tätigkeiten:
(2) Der Zweck der Verarbeitung ist die Erbringung der vertraglich vereinbarten Leistungen des Online-Reservierungssystems.
(1) Art der personenbezogenen Daten:
(2) Kategorien betroffener Personen:
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt.
(3) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(4) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die konkreten Maßnahmen sind in der Anlage 1 (Technische und organisatorische Maßnahmen) zu diesem AVV beschrieben.
(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei der Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde.
(6) Nach Beendigung der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt diese an den Auftraggeber zurück, sofern nicht eine gesetzliche Verpflichtung zur Speicherung besteht. Die Löschung bzw. Rückgabe erfolgt innerhalb von 30 Tagen nach Vertragsende. Nach der Löschung oder Rückgabe löscht der Auftragnehmer auch alle vorhandenen Kopien, einschließlich Sicherungskopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Auftraggeber kann den Export seiner Daten vor Vertragsende über das Dashboard anfordern.
(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Der Auftraggeber kündigt Überprüfungen mit einer angemessenen Frist von mindestens 14 Tagen an. Der Auftragnehmer kann verlangen, dass Prüfer einer Vertraulichkeitsvereinbarung unterliegen. Inspektionen sind auf eine pro Kalenderjahr beschränkt, es sei denn, es liegt ein konkreter Anlass vor. Die Kosten einer Überprüfung trägt der Auftraggeber, sofern kein Verstoß des Auftragnehmers festgestellt wird.
(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragnehmer informiert den Auftraggeber per E-Mail über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage im Voraus. Der Auftraggeber kann gegen derartige Änderungen innerhalb von 14 Tagen nach Benachrichtigung Einspruch erheben. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Vertrag mit einer Frist von einem Monat zu kündigen.
(2) Derzeit werden folgende Unterauftragsverarbeiter eingesetzt:
| Unterauftragsverarbeiter | Zweck | Sitz / Serverstandort |
|---|---|---|
| Amazon Web Services EMEA SARL | Hosting der Anwendung und Datenbank (Amazon EC2) | Luxemburg / Server: EU (eu-central-1, Frankfurt) |
| Amazon Web Services EMEA SARL | E-Mail-Versand (Amazon SES) | Luxemburg / Server: EU (eu-central-1, Frankfurt) |
(3) Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag geschlossen wird, der diesem mindestens die gleichen Datenschutzpflichten auferlegt, wie sie in diesem AVV festgelegt sind. Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter.
(1) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR).
(2) Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur, sofern die Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind. In diesem Fall informiert der Auftragnehmer den Auftraggeber vorab über die beabsichtigte Übermittlung und die getroffenen Garantien (z.B. Standardvertragsklauseln, Angemessenheitsbeschluss).
(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, in der Regel innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
(2) Die Meldung enthält mindestens folgende Informationen:
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch).
(2) Wendet sich eine betroffene Person mit einem solchen Antrag direkt an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter.
(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(3) Im Falle von Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen gehen die Regelungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.
(4) Gerichtsstand ist Berlin.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen (geringe Datenmenge, keine besonderen Kategorien personenbezogener Daten, begrenzter Personenkreis) setzt der Auftragnehmer folgende Maßnahmen gemäß Art. 32 DSGVO um:
Zutrittskontrolle: Die Serverinfrastruktur wird bei Amazon Web Services (AWS) in zertifizierten Rechenzentren innerhalb der EU betrieben (ISO 27001, SOC 2). Der Auftragnehmer hat keinen physischen Zugang zu den Rechenzentren.
Zugangskontrolle: Der Zugang zu Serversystemen erfolgt ausschließlich über SSH mit schlüsselbasierter Authentifizierung. Passwortbasierter SSH-Zugang ist deaktiviert. Root-Login ist deaktiviert.
Zugriffskontrolle: Jeder Kunde hat nur Zugriff auf seine eigenen Daten. Die Anwendung erzwingt mandantenspezifische Zugriffskontrolle auf Datenbankebene. Administrative Zugriffe sind auf den Inhaber beschränkt.
Trennungskontrolle: Die Daten verschiedener Kunden werden durch mandantenspezifische Datenbankabfragen logisch getrennt.
Weitergabekontrolle: Sämtliche Datenübertragungen zwischen Client und Server erfolgen verschlüsselt über TLS/SSL. E-Mails werden über Amazon SES mit TLS-Verschlüsselung versendet. Sicherungskopien werden serverseitig verschlüsselt in Amazon S3 gespeichert (AES-256).
Eingabekontrolle: Datenänderungen werden über die Anwendung protokolliert. Nur autorisierte Benutzer können Reservierungsdaten anlegen, ändern oder löschen.
Verfügbarkeitskontrolle: Es werden automatisierte Sicherungskopien der Datenbank alle 10 Minuten erstellt und verschlüsselt in Amazon S3 innerhalb der EU (eu-central-1) gespeichert. Die Serverinfrastruktur wird durch eine Firewall geschützt (Security Groups). Sicherheitsupdates des Betriebssystems und der Anwendung werden zeitnah eingespielt, kritische Sicherheitsupdates innerhalb von 48 Stunden.
Wiederherstellung: Im Falle eines technischen Ausfalls kann der Betrieb aus den in Amazon S3 gespeicherten Sicherungskopien wiederhergestellt werden.
Die technischen und organisatorischen Maßnahmen werden mindestens jährlich überprüft und bei Bedarf an den Stand der Technik angepasst.