Auftragsverarbeitungsvertrag (AVV) – Standard

1. Geltungsbereich und Rollenbestimmung

Dieser AVV ist Bestandteil des Standard-B2B-Prozesses von SnackRewards und ergänzt den Hauptvertrag mit dem jeweiligen Partnerunternehmen.

Er gilt für Verarbeitungsszenarien, in denen SnackRewards personenbezogene Daten im Auftrag und nach Weisung des Partnerunternehmens verarbeitet und Art. 28 DSGVO einschlägig ist. Die konkrete Rollenbestimmung erfolgt je Verarbeitungsszenario.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand ist die technische Verarbeitung personenbezogener Daten zur Bereitstellung von Plattformfunktionen für Partnerunternehmen.

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags sowie nach gesetzlichen Aufbewahrungs- und Löschpflichten.

3. Art und Zweck der Verarbeitung

• • Betrieb und Bereitstellung des Partnerbereichs
• • Verwaltung von Aktionen, Rewards/Prämien und zugehörigen Inhalten
• • Verarbeitung von Punkte-, Reservierungs- und Einlösedaten
• • Technische Administration, Fehleranalyse und Systemsicherheit

4. Kategorien betroffener Personen und Datenarten

Betroffene Personen: Endnutzer der Plattform sowie Beschäftigte/Vertreter von Partnerunternehmen.

Datenarten: Kontakt- und Kontodaten, Authentifizierungs-/Sicherheitsdaten, Transaktions- und Einlöseinformationen, Inhaltsdaten (z. B. Aktions-/Bildinhalte) sowie technische Protokolldaten.

5. Pflichten und Rechte des Verantwortlichen

• • Erteilung dokumentierter Weisungen
• • Rechtliche Prüfung der Weisungen und Verarbeitungszwecke
• • Wahrnehmung der Informationspflichten gegenüber Betroffenen
• • Benennung von Ansprechpartnern für Datenschutzthemen

6. Pflichten des Auftragsverarbeiters

• • Verarbeitung nur auf dokumentierte Weisung
• • Vertraulichkeitsbindung der mit der Verarbeitung befassten Personen
• • Umsetzung angemessener technischer und organisatorischer Maßnahmen
• • Unterstützung bei Betroffenenrechten und Behördenanfragen
• • Unterstützung bei Datenschutz-Folgenabschätzungen, soweit erforderlich
• • Nachweisführung und Mitwirkung bei Prüfungen im angemessenen Rahmen

7. Vertraulichkeit

SnackRewards stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind und Daten nur im Rahmen der jeweiligen Aufgaben sowie nach dem Need-to-know-Prinzip verarbeitet werden.

8. Technische und organisatorische Maßnahmen (TOM)

• • Zugriffssteuerung und rollenbasierte Berechtigungskonzepte
• • Authentifizierungsschutz für Benutzer- und Administrationszugänge
• • Verschlüsselung der Datenübertragung (TLS)
• • Protokollierung sicherheitsrelevanter Vorgänge und Missbrauchsschutz
• • Backup- und Wiederherstellungsmechanismen im produktiven Betrieb
• • Maßnahmen zur Verfügbarkeit und Belastbarkeit der Plattforminfrastruktur
• • Organisatorische Zugriffsbeschränkung auf befugte Personen

Die Maßnahmen werden risikoorientiert fortlaufend überprüft und bei Bedarf angepasst.

9. Unterauftragsverarbeiter / relevante Dienstleister

Soweit für die jeweilige Auftragsverarbeitung erforderlich, setzt SnackRewards folgende Dienstleister ein:

• • Vercel (Hosting / Auslieferung der Webanwendung)
• • Supabase (Datenbank, Authentifizierung, Dateispeicher, Backend)
• • Resend (E-Mail-Versand)
• • Stripe (Zahlungsabwicklung, sofern für den jeweiligen Prozess relevant)
• • Google Places (Standort-/Adresssuche im Partner-Onboarding, sofern genutzt)

Änderungen bei eingesetzten Dienstleistern werden im Rahmen der vertraglichen und datenschutzrechtlichen Vorgaben behandelt.

10. Unterstützung bei Betroffenenrechten

SnackRewards unterstützt den Verantwortlichen im angemessenen Umfang bei der Beantwortung von Anträgen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.

11. Meldung von Datenschutzverletzungen

SnackRewards informiert den Verantwortlichen über Verletzungen des Schutzes personenbezogener Daten, die die Auftragsverarbeitung betreffen, unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung.

12. Nachweis- und Prüfungsrechte

Der Verantwortliche kann Nachweise über die Einhaltung der datenschutzrechtlichen Pflichten verlangen und Prüfungen in einem angemessenen, verhältnismäßigen und den Betriebsablauf schonenden Rahmen durchführen oder durchführen lassen.

13. Löschung nach Vertragsende

Nach Vertragsende werden personenbezogene Daten entsprechend den vertraglichen Löschpflichten und den gesetzlichen Aufbewahrungspflichten verarbeitet; nicht mehr erforderliche Daten werden gelöscht, soweit keine gesetzliche Pflicht zur weiteren Aufbewahrung besteht.

14. Drittlandtransfers und Garantien

Soweit bei eingesetzten Dienstleistern ein Drittlandbezug besteht (insbesondere bei US-Anbietern), erfolgen Übermittlungen auf Grundlage der jeweils einschlägigen datenschutzrechtlichen Garantien, insbesondere Standardvertragsklauseln nach Art. 46 DSGVO, soweit kein anderer zulässiger Übermittlungsmechanismus greift.

Maßgeblich sind die jeweils aktuellen Vertrags- und Datenschutzunterlagen der eingesetzten Dienstleister.

15. Schlussbestimmungen und Kontakt

Dieser AVV ergänzt den Hauptvertrag. Bei Widersprüchen zwischen AVV und Hauptvertrag gehen für die Auftragsverarbeitung die Regelungen dieses AVV vor.

Kontakt: kontakt@snackrewards.app. Pflichtangaben zum Unternehmen im Impressum.