Auftragsverarbeitungsvertrag (AVV) – Standard

1. Präambel / Bezug zum Hauptvertrag

Zwischen dem Partnerunternehmen („Verantwortlicher“) und SnackRewards („Auftragsverarbeiter“) besteht ein Hauptvertrag in Form der für gewerbliche Partner geltenden Partner-Allgemeinen Geschäftsbedingungen (Partner-AGB) (im Folgenden „Hauptvertrag“). Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil des Hauptvertrags, soweit die Parteien ihn im Rahmen des Vertragsschlusses bzw. Partner-Onboardings ausdrücklich anerkennen (einschließlich der dokumentierten Versionskennung).

Der AVV gilt nur für die in Anhang 1 (Verarbeitungsszenarien) im Einzelnen beschriebenen Auftragsverarbeitungen. Soweit nicht ausdrücklich in Anhang 1 erfasst, findet Art. 28 DSGVO auf die jeweilige Verarbeitung keine Anwendung über diesen AVV hinaus; insbesondere stellt die gesamte Plattformbeziehung nicht pauschal eine Auftragsverarbeitung dar.

Die Anhänge 1 bis 3 sind integrierter Bestandteil dieses AVV. Soweit der Hauptvertrag und dieser AVV widersprüchlich sind, gilt für die Auftragsverarbeitung der vorliegende AVV vorrangig; im Übrigen bleibt der Hauptvertrag maßgeblich.

2. Begriffsbestimmungen und Rollenabgrenzung

(1) Begriffe der DSGVO (insbesondere „Verantwortlicher“, „Auftragsverarbeiter“, „personenbezogene Daten“, „Verarbeitung“, „Betroffene“) gelten im Sinne der Verordnung.

(2) Die Rollenverteilung zwischen den Parteien ist nach dem konkreten Verarbeitungsvorgang zu bestimmen. Der Verantwortliche bestimmt im Rahmen seiner eigenständigen Verantwortlichkeit insbesondere Zwecke und Mittel seiner eigenen Geschäftstätigkeit (z. B. Auswahl und Gestaltung von Aktionen, Prämien und Angeboten am Standort). SnackRewards handelt als Plattformbetreiber insoweit regelmäßig als eigenständiger Verantwortlicher, soweit Zwecke und Mittel der Verarbeitung durch SnackRewards festgelegt werden (insbesondere Betrieb der Website, der Consumer-App und der Partner-Apps, Authentifizierung, Plattform- und Kontensicherheit, technische Bereitstellung, abrechnungsbezogene Leistungen gegenüber SnackRewards, sowie allgemeine System- und Supportfunktionen, die nicht ausschließlich auf dokumentierte Weisung des Verantwortlichen beschränkt sind).

(3) SnackRewards ist Auftragsverarbeiter nur in den in Anhang 1 umschriebenen Fällen und nur insoweit, als die Verarbeitung personenbezogener Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen erfolgt.

(4) Drittanbieter (z. B. Zahlungsdienstleister, Identitätsanbieter) können je nach Konstellation eigenständige Verantwortliche oder Unterauftragsverarbeiter sein. Ihre Einbindung richtet sich nach den jeweiligen Vertrags- und Produktverhältnissen und ist in Anhang 3 (Unterauftragsverarbeiter) sowie – soweit einschlägig – in den Anhangsunterlagen der Anbieter beschrieben.

(5) Soweit im Einzelfall eine gemeinsame Verantwortung nach Art. 26 DSGVO zwischen SnackRewards und dem Partnerunternehmen zu bejahen ist – typischerweise nur in Grenzfällen mit konkretem Standortbezug, insbesondere bei Reklamationen, manuellen Punktekorrekturen oder Fraud-/Missbrauchsprüfungen mit gemeinsamer Einflussnahme auf Zweck oder Mittel der jeweiligen Verarbeitung –, ist dies nicht Gegenstand dieses AVV. Die Einordnung und Transparenz gegenüber Betroffenen ergeben sich aus der Datenschutzerklärung und der separaten Information zur gemeinsamen Verantwortung (Art. 26 DSGVO). Dieser AVV gilt weiterhin ausschließlich für die in Anhang 1 genannten, klar abgegrenzten Auftragsverarbeitungsszenarien nach Art. 28 DSGVO.

3. Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand ist die Verarbeitung personenbezogener Daten ausschließlich in den in Anhang 1 beschriebenen Umfängen und Zwecken.

(2) Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des Hauptvertrags für den jeweiligen Partnerstandort bzw. die vertragliche Vereinbarung sowie – nach Vertragsende – nach Ziffer 14 dieses AVV und gesetzlichen Aufbewahrungspflichten. Technische Restbestände in Sicherungskopien können darüber hinaus bis zu deren turnusmäßiger Überschreibung im dokumentierten Backup-Zyklus vorhanden sein (siehe Anhang 2).

4. Art und Zweck der Verarbeitung

Art und Zweck ergeben sich ausschließlich aus Anhang 1. Eine darüber hinausgehende Nutzung der Daten durch den Auftragsverarbeiter findet nicht statt, es sei denn, sie ist gesetzlich zulässig oder der Verantwortliche erteilt eine dokumentierte Weisung (§ 6).

5. Kategorien betroffener Personen und Daten

Soweit eine Auftragsverarbeitung im Sinne von Anhang 1 vorliegt, können insbesondere folgende Kategorien betroffen sein (ohne die jeweilige Rollenverteilung im Einzelnen vorab festzulegen):

• Endnutzer der SnackRewards-Plattform (Consumer-App, Website, ggf. Wallet- und App-Funktionen), insbesondere soweit Transaktions-, Punkte-, Einlösungs- oder Supportvorgänge mit Bezug zum Partnerstandort verarbeitet werden;
• Ansprechpartner und Vertreter des Partnerunternehmens (z. B. Kontaktdaten im Partnerportal), soweit diese im Auftragskontext anfallen;
• Mitarbeitende des Partners oder sonstige Personen, soweit sie in von Partnern hochgeladenen Medien oder Inhalten erkennbar sind oder im Rahmen von Support-/Reklamationsvorgängen in Daten vorkommen;
• Support- und Reklamationsdaten, einschließlich eingereichter Belege, Screenshots oder vergleichbarer Unterlagen, soweit dies in Anhang 1 erfasst ist;
• Technische und sicherheitsrelevante Daten (z. B. Protokoll- und Verbindungsdaten, die zur Bereitstellung oder Absicherung der Verarbeitung im Sinne von Anhang 1 erforderlich sind).

In der Partner-App werden dem Partner bzw. Kassenpersonal für den betrieblichen Ablauf (Scan, Gutschrift, Einlösung) ausschließlich die dafür vorgesehenen, funktional begrenzten Angaben dargestellt; der Endnutzer erscheint dort im Wesentlichen als technische Kennung bzw. Kontext zu dem am Vorgang beteiligten eigenen Standort, ohne allgemeine Kundenprofile, ohne Such-, Listen- oder Browse-Zugriff und ohne die in der Datenschutzerklärung genannten unmittelbar identifizierenden Kontaktdaten (z. B. E-Mail, Telefon) oder eine umfassende Transaktionshistorie. Kassenpersonal kann Endnutzerdaten in der dargestellten Konfiguration typischerweise nicht über freie Such-, Listen- oder Profilfunktionen hinaus abrufen, und ein Export personenbezogener Endnutzerdaten für den Partner ist nicht vorgesehen. Umfassende Support- oder Reklamationssichten mit vollständiger Endnutzerhistorie sind in der Partner-App nicht vorgesehen. Diese Abgrenzung ist kein eigenständiger Rechtstatbestand, bildet aber den dokumentierten Ist-Stand ab.

6. Weisungsbefugnis des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet die betroffenen Daten nur auf dokumentierte Weisung des Verantwortlichen, soweit dieser AVV einschlägig ist. Weisungen können insbesondere über die vorgesehenen Funktionen des Partnerportals, schriftliche Anweisungen (E-Mail) oder in den Anhängen beschriebene Verfahren erteilt werden.

(2) Erscheint eine Weisung dem Auftragsverarbeiter rechtlich problematisch oder widerspricht sie diesem AVV, teilt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich mit. Der Auftragsverarbeiter darf die Verarbeitung aussetzen, soweit dies zur Einhaltung von Rechtsvorschriften erforderlich ist oder eine unverzügliche Anpassung durch den Verantwortlichen nicht erfolgt.

(3) Soweit gesetzliche Pflichten dem Auftragsverarbeiter die Verarbeitung auferlegen, teilt er dies dem Verantwortlichen vorab mit, sofern rechtlich zulässig.

7. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter erfüllt die Pflichten aus Art. 28 Abs. 3 DSGVO sowie die nachfolgenden Verpflichtungen:

• Vertraulichkeit: Er stellt sicher, dass sich Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichten oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
• Unterstützung bei Betroffenenrechten: Er unterstützt den Verantwortlichen im angemessenen Umfang bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO), soweit die Anfrage die Verarbeitung im Sinne dieses AVV betrifft und die Mitwirkung technisch und organisatorisch zumutbar ist.
• Unterstützung bei Datenschutzverletzungen: Er unterstützt den Verantwortlichen im angemessenen Umfang bei der Pflicht zur Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO), soweit die Vorfälle die Auftragsverarbeitung betreffen (§ 11).
• Datenschutz-Folgenabschätzung / Vorabkonsultation: Er stellt dem Verantwortlichen auf Anfrage die für eine Datenschutz-Folgenabschätzung oder Vorabkonsultation erforderlichen Informationen zur Verfügung, soweit sie die Auftragsverarbeitung betreffen und dem Auftragsverarbeiter bekannt sind.
• Löschung und Rückgabe: Nach Ziffer 14.
• Nachweise: Er macht dem Verantwortlichen die zur Nachweisführung erforderlichen Informationen zugänglich (§ 13) und unterliegt den dort beschriebenen Prüfungsmodalitäten.

8. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO. Die zum Zeitpunkt des Vertragsschlusses dokumentierte Ist-Beschreibung einschließlich offener Punkte befindet sich in Anhang 2. Anhang 2 ist verbindliche Beschreibung der Mindestanforderungen; weitergehende oder angepasste Maßnahmen bleiben zulässig, sofern das Schutzniveau nicht unterschritten wird.

9. Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung, bestimmte Verarbeitungstätigkeiten an weitere Auftragsverarbeiter (Unterauftragsverarbeiter) zu übertragen, die die gleichen datenschutzrechtlichen Pflichten wie der Auftragsverarbeiter vertraglich zu erfüllen haben.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern rechtzeitig vor deren Einsatz in Textform (z. B. per E-Mail an die im Partnerportal oder Hauptvertrag hinterlegte Geschäftskontaktadresse). Der Verantwortliche hat das Recht, innerhalb einer angemessenen Frist aus datenschutzrechtlichen Gründen gegen die Änderung Einspruch zu erheben. Erfolgt innerhalb der Frist kein Einspruch, gilt die Änderung als genehmigt. Die Frist für einen Einspruch beträgt in der Regel 14 Tage ab Zugang der Information.

(3) Der Auftragsverarbeiter wählt die Unterauftragsverarbeiter sorgfältig aus und verpflichtet sie vertraglich mindestens auf das gleiche Datenschutzniveau wie diesen AVV.

(4) Die zum Zeitpunkt der Veröffentlichung dieses AVV eingesetzten Unterauftragsverarbeiter und deren Funktion sind in Anhang 3 aufgeführt. Die Liste wird fortlaufend aktualisiert; maßgeblich ist die jeweils aktuelle Fassung unter /legal/avv im Zeitpunkt der Information nach Abs. 2.

10. Drittlandübermittlungen

Soweit im Rahmen der Auftragsverarbeitung personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden, erfolgt dies nur unter Einhaltung der Voraussetzungen der Kapitel V DSGVO. Maßgeblich sind die jeweils mit den Unterauftragsverarbeitern oder Dienstleistern geschlossenen Vereinbarungen (einschließlich Standardvertragsklauseln, Angemessenheitsbeschluss oder anderer gültiger Garantien), soweit anwendbar.

Eine pauschale Zusage bestimmter Übermittlungsmechanismen ohne Bezug zu den konkret eingesetzten Diensten wird nicht erteilt; die Einzelheiten ergeben sich aus Anhang 3 und den dort genannten Anbieterunterlagen.

11. Meldung von Datenschutzverletzungen an den Verantwortlichen

Bei einer Verletzung des Schutzes personenbezogener Daten, die die Auftragsverarbeitung betrifft, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich nach Kenntniserlangung, ohne schuldhaftes Zögern.

Die Meldung enthält mindestens – soweit dem Auftragsverarbeiter bekannt und zulässig:

• die Beschreibung der Art der Verletzung;
• Kontaktdaten der datenschutzrechtlichen Ansprechpartner bei SnackRewards;
• die voraussichtlichen Konsequenzen der Verletzung;
• die beschriebenen oder ergriffenen Maßnahmen zur Behebung oder Mitigation.

Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen, soweit dies zur Erfüllung etwaiger Meldepflichten des Verantwortlichen gegenüber Aufsichtsbehörden oder Betroffenen erforderlich ist.

12. Unterstützung bei Betroffenenrechten und Behördenanfragen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei der Bearbeitung von Anfragen von Betroffenen und Behörden, soweit die Anfrage die Auftragsverarbeitung im Sinne dieses AVV betrifft und eine Mitwirkung technisch und organisatorisch zumutbar ist. Die Parteien stimmen darin überein, dass Anfragen über die bei SnackRewards hinterlegten Kontaktwege (§ 16) erfolgen.

13. Nachweise, Auskünfte und Prüfungsrechte

(1) Der Verantwortliche kann vom Auftragsverarbeiter die zur Nachweisführung der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Auskünfte und Informationen verlangen (insbesondere zu Anhang 2 und 3). Der Auftragsverarbeiter beantwortet berechtigte Anfragen in angemessener Frist.

(2) Auf Wunsch des Verantwortlichen kann eine Remote-Prüfung (z. B. strukturierte Abfrage, Bereitstellung von Screenshots, Teilnahme an einem Videokall zur Systemdemonstration) erfolgen, soweit zumutbar und verhältnismäßig.

(3) Ein Vor-Ort-Audit beim Auftragsverarbeiter ist nur aus berechtigtem Anlass (z. B. nachgewiesenes erhöhtes Risiko, konkreter Verstoßverdacht, behördliche Anordnung) und nur im verhältnismäßigen, den Betrieb nicht unangemessen störenden Umfang zulässig. Termine sind unter angemessener Vorankündigung zu vereinbaren. Ein unbegrenztes oder jederzeitiges freies Vor-Ort-Prüfungsrecht besteht nicht.

(4) Erweisen sich die in Abs. 1 und 2 genannten Maßnahmen als nicht ausreichend, kann der Verantwortliche einen unabhängigen Dritten beauftragen, der unter Wahrung der Vertraulichkeit und bestehender Sicherheitsanforderungen tätig wird; die Kosten trägt grundsätzlich der Verantwortliche, soweit nicht ein schwerwiegendes Verschulden des Auftragsverarbeiters vorliegt.

14. Löschung, Rückgabe und Aufbewahrung nach Vertragsende

(1) Nach Ende des Hauptvertrags für den jeweiligen Partnerstandort deaktiviert SnackRewards den Standort im System produktiv entsprechend den vertraglichen Regeln.

(2) Auf vertragliche Anfrage des Verantwortlichen stellt der Auftragsverarbeiter dem Verantwortlichen die im Rahmen der Auftragsverarbeitung gespeicherten Daten in einem gängigen, maschinenlesbaren Format zur Verfügung, soweit technisch möglich und ohne unverhältnismäßigen Aufwand. Die konkreten Modalitäten (Format, Umfang) werden nach Treu und Glauben im Einzelfall abgestimmt.

(3) Personenbezogene Daten, die im Rahmen der Auftragsverarbeitung nach diesem AVV verarbeitet werden, werden gelöscht oder dem Verantwortlichen zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Soweit SnackRewards bestimmte Daten nach Vertragsende nicht mehr im Rahmen der Auftragsverarbeitung nach diesem AVV, sondern in eigener Verantwortung als Betreiber der Plattform weiterverarbeitet (z. B. abrechnungs- und nachweisrelevante Vorgänge gegenüber dem Partner außerhalb des hier geregelten Auftragsverarbeitungskontexts), richtet sich diese Verarbeitung nach den jeweils anwendbaren Rechtsgrundlagen und gesetzlichen Aufbewahrungspflichten; sie ist durch diesen AVV nicht abschließend geregelt.

(4) Löschungen im produktiven Datenbestand schließen nicht aus, dass Daten in Sicherungskopien bis zum regulären Überschreiben im Backup-Zyklus weiterhin vorhanden sein können (siehe Anhang 2).

(5) Werden Endnutzerkonten gelöscht, bleiben nach dem dokumentierten Produktstand insbesondere transaktionsbezogene Daten in pseudonymisierter bzw. substituierter Form bestehen, soweit eine Identifizierung der betroffenen Person nicht mehr möglich ist; dadurch wird nicht in jedem Fall die vollständige Löschung jedes einzelnen Datensatzfragments sichergestellt, soweit abrechnungs- und nachweisrelevante Erfordernisse entgegenstehen.

(6) Soweit im produktiven Datenbestand technische Abhängigkeiten zwischen dem zu löschenden Endnutzerkonto und empfehlungs- oder akquisebezogenen Programmprozessen bestehen, kann die vollständige Durchsetzung der Konto­löschung vorbereitende oder nachlaufende Bereinigungsschritte erfordern, ohne Wiederherstellung des Zugangs oder der Anmeldemöglichkeit. Eine in jedem Einzelfall ohne jede zeitliche oder technische Zwischenfrist in einem einzigen Schritt vollendete Entfernung sämtlicher Bezüge ist nicht zugesagt, soweit abrechnungs- oder programmrelevante Erfordernisse entgegenstehen.

15. Haftung und Schlussbestimmungen

(1) Die Haftung der Parteien aus oder im Zusammenhang mit diesem AVV richtet sich nach den Regelungen des Hauptvertrags, soweit anwendbar und zulässig. Unberührt bleiben zwingende gesetzliche Haftungsregelungen.

(2) Änderungen dieses AVV bedürfen der Schriftform oder der im Partnerportal vorgesehenen elektronischen Bestätigung mit Versionskennung. Die jeweils im Onboarding oder Vertragsschluss akzeptierte Version ist für die betreffende vertragliche Beziehung maßgeblich.

(3) Kontakt zum Auftragsverarbeiter: kontakt@snackrewards.app. Rechtliche Angaben zum Unternehmen: Impressum.

(4) Sollte eine Bestimmung dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.