Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Stand: 14.04.2026

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen

Jan Klaus
Königring 70, 46562 Voerde
E-Mail: support@foodargo.com
(nachfolgend „Auftragsverarbeiter" oder „Foodargo")

und

dem jeweiligen Kunden, der über foodargo.com ein Restaurant-Konto abgeschlossen hat
(nachfolgend „Verantwortlicher" oder „Kunde"),

die sich aus der Verarbeitung personenbezogener Daten durch Foodargo im Auftrag des Kunden auf Grundlage der Foodargo-AGB (Hauptvertrag) ergeben.

(2) Der AVV gilt für die gesamte Laufzeit des Hauptvertrags und endet mit dessen Beendigung.

(3) Durch Abschluss des Hauptvertrags (Registrierung auf foodargo.com und Akzeptanz der AGB) erkennt der Kunde diesen AVV als verbindlich an.

§ 2 Gegenstand und Zweck der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung der Foodargo-Plattform, über die der Kunde eine eigene Bestellwebseite für sein Restaurant betreibt.

(2) Foodargo verarbeitet personenbezogene Daten ausschließlich im Rahmen und zur Erfüllung der im Hauptvertrag vereinbarten Leistungen. Die Verarbeitung umfasst insbesondere:

• Entgegennahme und Speicherung von Bestellungen der Endkunden des Kunden
• Übermittlung von Bestellungen an das Dashboard des Kunden
• Versand von Bestellbestätigungen und Benachrichtigungen per E-Mail
• Technische Abwicklung von Online-Zahlungen (über Mollie als Unterauftragsverarbeiter)
• Bereitstellung der zugehörigen Infrastruktur, einschließlich Logs und Backups

(3) Eine Verarbeitung zu eigenen Zwecken durch Foodargo findet nicht statt, mit Ausnahme der in § 3 genannten aggregierten Nutzungsstatistiken.

§ 3 Art der personenbezogenen Daten und Betroffene

(1) Betroffene Kategorien von Personen:

• Endkunden des Kunden, die Bestellungen über die Foodargo-Plattform aufgeben

(2) Kategorien der verarbeiteten personenbezogenen Daten:

• Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer
• Adressdaten: Lieferadresse (bei Lieferbestellungen)
• Bestelldaten: Gewählte Gerichte, Extras, Varianten, Beträge, Zeitpunkt, Kundenanmerkungen
• Zahlungsbezogene Daten: Zahlungsmethode, Zahlungs-ID, Zahlungsstatus (keine Kreditkarten- oder Bankdaten, diese werden ausschließlich von Mollie verarbeitet)
• Technische Daten: IP-Adresse (anonymisiert/verkürzt), Zeitstempel, Browser-Informationen (in Server-Logs)

(3) Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden nicht verarbeitet.

§ 4 Pflichten des Auftragsverarbeiters (Foodargo)

(1) Foodargo verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Dies gilt auch für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, sofern dies nicht durch das Recht der Union oder der Mitgliedstaaten, dem Foodargo unterliegt, vorgeschrieben ist.

(2) Foodargo sichert zu, die zur Verarbeitung eingesetzten Personen zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Soweit Foodargo selbst die Verarbeitung vornimmt, unterliegt Foodargo dieser Verschwiegenheitspflicht persönlich.

(3) Foodargo trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die konkreten Maßnahmen ergeben sich aus Anlage 1 zu diesem AVV.

(4) Foodargo unterstützt den Verantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Betroffenenrechte.

(5) Foodargo unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung, Konsultation der Aufsichtsbehörde).

(6) Foodargo informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach Auffassung von Foodargo gegen datenschutzrechtliche Vorschriften verstößt.

(7) Nach Abschluss der Erbringung der Verarbeitungsleistungen — nach Wahl des Verantwortlichen — löscht oder retourniert Foodargo sämtliche personenbezogenen Daten, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung besteht.

(8) Foodargo stellt dem Verantwortlichen auf Verlangen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 5 Pflichten des Verantwortlichen (Kunde)

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Betroffenenrechte allein verantwortlich.

(2) Der Verantwortliche informiert Foodargo unverzüglich und vollständig, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellt.

(3) Der Verantwortliche benennt, sofern gesetzlich vorgeschrieben, einen zur Entgegennahme etwaiger Informationen nach Art. 33, 34 DSGVO zuständigen Ansprechpartner.

§ 6 Weisungsrecht des Verantwortlichen

(1) Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder in Textform (z.B. per E-Mail) bestätigen.

(2) Die allgemeinen Weisungen zur Datenverarbeitung sind in diesem AVV sowie im Hauptvertrag festgelegt. Einzelweisungen, die von diesen Festlegungen abweichen oder zusätzliche Anforderungen stellen, können gesondert geregelt werden.

(3) Weisungen können an folgende Kontaktstelle gerichtet werden: legal@foodargo.com

§ 7 Einsatz von Unterauftragsverarbeitern

(1) Der Verantwortliche erteilt Foodargo die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen.

(2) Foodargo setzt zum Zeitpunkt des Vertragsschlusses folgende Unterauftragsverarbeiter ein:

• Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland — Server-Hosting (Standort: Deutschland)
• Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande — Zahlungsabwicklung bei Online-Zahlungen
• Sendinblue GmbH (Brevo), Köpenicker Str. 126, 10179 Berlin, Deutschland — Transaktionaler E-Mail-Versand
• Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA — Bot- und Missbrauchsschutz (Cloudflare Turnstile) auf Anmeldeformularen, auf Grundlage der EU-Standardvertragsklauseln
• Ploi BV, Meester B.M. Teldersstraat 7, 6842 CT Arnhem, Niederlande — Server- und Infrastruktur-Management

(3) Foodargo informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter und gibt dem Verantwortlichen damit die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. Die Information erfolgt per E-Mail an die im Konto hinterlegte Adresse mindestens 30 Tage vor Wirksamwerden der Änderung. Widerspricht der Verantwortliche nicht innerhalb dieses Zeitraums, gilt die Änderung als genehmigt.

(4) Foodargo stellt sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag abgeschlossen wird, der mindestens die in diesem AVV vereinbarten Datenschutzpflichten auferlegt.

(5) Keine Unterauftragsverarbeitung im Sinne dieses Paragraphen sind Dienstleistungen, die Foodargo als Nebenleistung nutzt (z.B. Telekommunikation, Wartung, Reinigung), sofern dabei kein Zugriff auf Kundendaten möglich ist.

§ 8 Meldung von Datenschutzverletzungen

(1) Foodargo meldet dem Verantwortlichen unverzüglich — möglichst innerhalb von 48 Stunden nach Kenntnisnahme — jede Verletzung des Schutzes personenbezogener Daten, die im Verantwortungsbereich von Foodargo aufgetreten ist.

(2) Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, sofern diese Foodargo zum Zeitpunkt der Meldung bekannt sind.

(3) Foodargo unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO).

§ 9 Technische und organisatorische Maßnahmen

Die von Foodargo getroffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind in Anlage 1 zu diesem AVV beschrieben.

§ 10 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV getroffenen Vereinbarungen durch Foodargo zu kontrollieren.

(2) Foodargo weist die Einhaltung durch folgende Mittel nach:

• Bereitstellung der in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen
• Schriftliche Auskünfte zu den zur Verarbeitung eingesetzten Mitteln
• Auf Anforderung: Dokumentation der Auftragsverarbeiterverträge mit Unterauftragsverarbeitern

(3) Vor-Ort-Kontrollen durch den Verantwortlichen sind nach vorheriger Anmeldung (mindestens 30 Tage) während der üblichen Geschäftszeiten möglich. Die Kosten einer Vor-Ort-Kontrolle trägt der Verantwortliche, es sei denn, die Kontrolle ergibt erhebliche Verstöße seitens Foodargo.

§ 11 Haftung

Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrags sowie nach Art. 82 DSGVO. Dabei bleibt die Haftung des Verantwortlichen und des Auftragsverarbeiters gegenüber betroffenen Personen gemäß Art. 82 DSGVO unberührt.

§ 12 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags löscht Foodargo sämtliche vom Verantwortlichen überlassenen bzw. im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungsfristen entgegenstehen.

(2) Auf Wunsch des Verantwortlichen — zu äußern spätestens 30 Tage nach Vertragsende — stellt Foodargo dem Verantwortlichen die personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zur Verfügung (z.B. CSV oder JSON-Export).

(3) Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB) weiter gespeichert werden, werden von der weiteren Verarbeitung ausgenommen und nach Ablauf der Frist gelöscht.

§ 13 Schlussbestimmungen

(1) Im Falle von Widersprüchen zwischen diesem AVV und den Bestimmungen des Hauptvertrags gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (z.B. E-Mail). Dies gilt auch für die Änderung der Textformklausel selbst.

(4) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist Voerde, soweit der Kunde Kaufmann oder juristische Person des öffentlichen Rechts ist.

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Foodargo trifft folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

• Server-Hosting bei Hetzner in zertifizierten Rechenzentren (ISO/IEC 27001:2013) in Deutschland
• Physischer Zutritt zu Servern ausschließlich durch Hetzner-Personal

1.2 Zugangskontrolle

• SSH-Zugang zum Server nur über Public-Key-Authentifizierung, kein Passwort-Login
• Administrativer Zugang zur Plattform nur für den Betreiber (Jan Klaus)
• Restaurant-Konten sind durch individuelle Passwörter (bcrypt-Hash) geschützt
• E-Mail-Verifizierung bei Kontoerstellung
• Sichere Session-Verwaltung mit HttpOnly-, Secure- und SameSite-Cookies

1.3 Zugriffskontrolle

• Berechtigungskonzept: Restaurants können ausschließlich auf ihre eigenen Daten zugreifen (mandantenfähige Architektur mit restaurant_id-Filterung auf allen Queries)
• Prepared Statements für alle Datenbankabfragen (Schutz vor SQL-Injection)
• CSRF-Schutz auf allen formularbasierten Operationen
• Bot-Schutz (Cloudflare Turnstile) auf Anmelde- und Registrierungsformularen
• Rate-Limiting auf sicherheitskritischen Endpoints (Login, Registrierung, Bestellabgabe)

1.4 Trennungskontrolle

• Datenbank-Trennung auf Anwendungsebene über restaurant_id-Zuordnung
• Produktions- und Entwicklungsumgebung sind strikt getrennt

1.5 Pseudonymisierung

• IP-Adressen in Server-Logs werden nach maximal 14 Tagen gelöscht
• Rate-Limiting-Daten werden nach maximal 24 Stunden gelöscht

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

• Verschlüsselte Übertragung aller Daten via HTTPS/TLS 1.2+
• Wildcard-SSL-Zertifikate (Let's Encrypt) für alle Restaurant-Subdomains
• Automatisches SSL für verbundene Custom-Domains

2.2 Eingabekontrolle

• Protokollierung sicherheitsrelevanter Aktionen (Login, fehlgeschlagene Anmeldeversuche, Passwort-Änderungen)
• Server- und Anwendungs-Logs mit Zeitstempel

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Verfügbarkeitskontrolle

• Regelmäßige automatisierte Datenbank-Backups
• Sicherheitsupdates der Server-Infrastruktur
• Monitoring der Server-Verfügbarkeit

3.2 Rasche Wiederherstellbarkeit

• Backup-Wiederherstellung aus täglichen Snapshots möglich
• Dokumentierte Prozesse für den Störungsfall

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung der eingesetzten Sicherheitsmaßnahmen
• Zeitnahe Umsetzung von Sicherheitsupdates der verwendeten Software
• Überprüfung der Unterauftragsverarbeiter-Verträge
• Dokumentation von Datenschutzvorfällen

5. Auftragskontrolle

• Sorgfältige Auswahl der Unterauftragsverarbeiter unter Datenschutz-Gesichtspunkten
• Abschluss von AVVs mit allen Unterauftragsverarbeitern
• Regelmäßige Überprüfung der Datenschutz-Standards der Unterauftragsverarbeiter

Stand: 14.04.2026
Foodargo — Jan Klaus, Königring 70, 46562 Voerde