Der Auftragsverarbeitungsvertrag.
Der Auftragsverarbeitungsvertrag (AVV) zwischen dem Kunden als Verantwortlichem und der Staqmind UG (Tablario) als Auftragsverarbeiter – Bestandteil des Hauptvertrags.
§ 1Parteien, Gegenstand und Dauer+
Dieser Auftragsverarbeitungsvertrag („AVV") wird geschlossen zwischen dem Kunden als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO (das im Kundenkonto bezeichnete Unternehmen, „Verantwortlicher") und der Staqmind UG (haftungsbeschränkt), Saalfelder Straße 11, 51103 Köln, HRB 127739 (AG Köln), vertreten durch die Geschäftsführer Mirko Rossbach und Montassar Zaroui, als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO („Auftragsverarbeiter" oder „Tablario").
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch Tablario im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Tablario-Software (Reservierungsverwaltung, Gäste-CRM, Website-Profil, KI-Telefonassistent und zugehörige Dienste) gemäß Hauptvertrag (AGB, Leistungsbeschreibung, SLA). Art, Umfang und Zweck der Verarbeitung, die Datenarten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.
Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrags gilt zugleich als Kündigung dieses AVV. Ein isoliertes Kündigungsrecht dieses AVV besteht nicht, solange Tablario personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
§ 2Ort der Verarbeitung+
Die Verarbeitung findet grundsätzlich in der Europäischen Union statt, im Wesentlichen in Rechenzentren in Frankfurt am Main (AWS, Region eu-central-1). Eine Verarbeitung in einem Drittland erfolgt nur unter den Voraussetzungen des Kapitels V der DSGVO (Art. 44 ff.), insbesondere auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework) oder der EU-Standardvertragsklauseln (Beschluss (EU) 2021/914), und nur durch die in Anlage 2 genannten Unterauftragsverarbeiter.
Für jede Übermittlung in die USA hält Tablario die EU-Standardvertragsklauseln als dauerhafte Rechtsgrundlage neben einer etwaigen DPF-Zertifizierung vor (Fallback) und führt je US-Dienstleister eine Übermittlungs-Folgenabschätzung (Transfer Impact Assessment) durch; der Zertifizierungsstatus wird regelmäßig überprüft.
§ 3Weisungsrecht des Verantwortlichen+
Tablario verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der Regelungen des Hauptvertrags und dieses AVV, es sei denn, Tablario ist nach dem Recht der Union oder der Mitgliedstaaten zu einer Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt Tablario dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Die Nutzung der Software und ihrer Konfigurationsmöglichkeiten durch den Verantwortlichen gilt als Weisung. Ergänzende Einzelweisungen sind in Textform an datenschutz@tablario.com zu richten. Hält Tablario eine Weisung für datenschutzrechtlich unzulässig, informiert es den Verantwortlichen unverzüglich (Art. 28 Abs. 3 Satz 3 DSGVO) und ist berechtigt, die Ausführung bis zur Bestätigung oder Änderung der Weisung auszusetzen.
Weisungsberechtigte Personen des Verantwortlichen sind die im Kundenkonto hinterlegten Administratoren. Ansprechpartner für Datenschutz bei Tablario ist datenschutz@tablario.com.
§ 4Vertraulichkeit+
Tablario gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.
§ 5Technische und organisatorische Maßnahmen (Art. 32 DSGVO)+
Tablario trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 3 beschrieben.
Die Maßnahmen unterliegen dem technischen Fortschritt. Tablario darf sie weiterentwickeln und durch gleichwertige oder bessere Maßnahmen ersetzen, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.
§ 6Unterauftragsverarbeiter+
Der Verantwortliche erteilt die allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO) zur Einschaltung der in Anlage 2 aufgeführten Unterauftragsverarbeiter. Tablario informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) in Textform mit angemessener Frist; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall des Widerspruchs steht beiden Parteien ein Kündigungsrecht des Hauptvertrags zu, wenn der Einsatz für Tablario nicht zumutbar entfallen kann.
Tablario erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO), insbesondere hinreichende Garantien für technische und organisatorische Maßnahmen. Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet Tablario gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragsverarbeiters.
Die Unterauftragsverarbeiter werden vertraglich verpflichtet, die im Auftrag verarbeiteten Daten nicht für eigene Zwecke – insbesondere nicht für das Training von KI-Modellen – zu verwenden.
§ 7Unterstützung des Verantwortlichen+
Tablario unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–23 DSGVO, insbesondere Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) zu beantworten (Art. 28 Abs. 3 lit. e DSGVO). Soweit betroffene Personen sich unmittelbar an Tablario wenden, leitet Tablario das Ersuchen unverzüglich an den Verantwortlichen weiter.
Tablario unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der Tablario zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).
Tablario meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die im Auftrag verarbeitete Daten betrifft, unverzüglich nach Bekanntwerden und stellt die Informationen nach Art. 33 Abs. 3 DSGVO bereit, soweit verfügbar; Nachmeldungen bleiben vorbehalten.
§ 8Automatisierte Entscheidungen (Art. 22 DSGVO)+
Die automatisierte Annahme oder Ablehnung einer Reservierung durch den KI-Telefonassistenten erfolgt zur Anbahnung bzw. Erfüllung des Vertrags zwischen Gast und Restaurant (Art. 22 Abs. 2 lit. a DSGVO). Verantwortlicher für diese Entscheidung ist das Restaurant; Tablario stellt die technischen Schutzmaßnahmen nach Art. 22 Abs. 3 DSGVO bereit: Anrufer können jederzeit eine menschliche Bearbeitung verlangen (Weiterleitung an die hinterlegte Rufnummer), ihren Standpunkt darlegen und die Entscheidung anfechten; das Restaurant erläutert die Entscheidung auf Anfrage.
§ 9Löschung und Rückgabe+
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht Tablario nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Pflicht zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO). Die Rückgabe erfolgt in einem strukturierten, gängigen und maschinenlesbaren Format. Erfolgt innerhalb von 30 Tagen nach Vertragsende keine Wahl, werden die Daten gelöscht. Das Löschkonzept im laufenden Betrieb ergibt sich aus Anlage 1.
§ 10Nachweise und Kontrollen+
Tablario stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und unterstützt Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).
Nachweise können zunächst durch aussagekräftige Unterlagen (z. B. Beschreibung der technischen und organisatorischen Maßnahmen, Prüfberichte, Zertifizierungen der eingesetzten Rechenzentren) erbracht werden. Inspektionen vor Ort erfolgen nach angemessener Vorankündigung, zu üblichen Geschäftszeiten, ohne unverhältnismäßige Störung des Betriebs und unter Wahrung von Betriebs- und Geschäftsgeheimnissen.
§ 11Keine Verarbeitung zu eigenen Zwecken+
Tablario verarbeitet die im Auftrag erhaltenen personenbezogenen Daten nicht für eigene Zwecke (Art. 28 Abs. 10 DSGVO). Insbesondere findet kein Training von KI-Modellen mit Gästedaten, keine mandantenübergreifende Auswertung und kein eigenes Marketing auf Basis der Gästedaten statt.
§ 12Haftung und Schlussbestimmungen+
Für die Haftung gelten Art. 82 DSGVO sowie die Haftungsregelungen des Hauptvertrags. Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland.
§ 13Elektronischer Abschluss+
Dieser AVV wird elektronisch geschlossen (Art. 28 Abs. 9 DSGVO): Der Verantwortliche akzeptiert ihn im Bestellprozess. Tablario protokolliert den Abschluss mit Zeitpunkt, Konto und der akzeptierten Dokumentversion. Maßgeblich ist die zum Zeitpunkt des Abschlusses veröffentlichte Fassung; die deutsche Fassung ist verbindlich.
Anlage 1Gegenstand, Datenarten, Löschkonzept, Verfügbarkeit+
Art und Zweck der Verarbeitung: Entgegennahme und Verwaltung von Reservierungen (online, telefonisch über den KI-Assistenten, vor Ort), Gäste-CRM, Warteliste, Benachrichtigungen (E-Mail/SMS/WhatsApp), Betrieb des Website-Profils des Restaurants sowie Echtzeit-Verarbeitung von Telefonanrufen (Spracherkennung, Dialogführung, Sprachsynthese).
| Datenarten | Kategorien betroffener Personen |
|---|---|
| Gast-Stammdaten: Vor- und Nachname, Telefonnummer, optional E-Mail; Reservierungsdaten (Datum, Uhrzeit, Personenzahl, Tisch, Anlass, Notizen); Anrufer-Telefonnummer (CLI); Text-Transkripte der KI-Telefonate; Wartelisten- und Benachrichtigungsdaten | Gäste und Anrufer des Restaurants; Mitarbeitende des Restaurants (Konto-/Rollendaten) |
Löschkonzept: Anruf-Audio wird nicht gespeichert, sondern ausschließlich flüchtig zur Echtzeitverarbeitung gepuffert. Transkripte der KI-Telefonie werden zunächst im Klartext gespeichert (mit Personenbezug, z. B. Vor-/Nachname des Gastes, Datum/Uhrzeit, Personenzahl) und nach Ablauf der Aufbewahrungsfrist (standardmäßig 30 Tage) durch Schwärzung des Transkripttextes anonymisiert. Anruferbezogene Stammdaten werden standardmäßig nach 30 Tagen anonymisiert; für eine längerfristige Speicherung von Stammgast-Daten im Gäste-CRM ist das Restaurant als Verantwortlicher zuständig. Konto- und Abrechnungsdaten unterliegen den gesetzlichen Aufbewahrungsfristen.
Verfügbarkeit und Wiederherstellbarkeit: Die Datenbank wird verschlüsselt (AWS KMS) betrieben; es bestehen automatisierte Backups mit 7 Tagen Aufbewahrung (tägliches Backup-Fenster) sowie kontinuierliche Point-in-Time-Recovery. Der Wiederherstellungspunkt (RPO) beträgt damit ca. 5 Minuten. Für die Wiederherstellungszeit (RTO) gilt ein Zielwert von bis zu 4 Stunden (Wiederherstellung via Point-in-Time-Recovery) als Bemühensverpflichtung; eine bestimmte Wiederherstellungszeit wird nicht garantiert (vgl. SLA Ziff. 7).
Anlage 2Unterauftragsverarbeiter+
| Unterauftragsverarbeiter | Zweck | Sitz / Ort der Verarbeitung | Drittland-Grundlage |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Cloud-Hosting, Compute, Datenbank, CDN, Authentifizierung, KI-Sprachmodell-Inferenz (Claude über AWS Bedrock), selbst-gehostete Medien-Orchestrierung (LiveKit) | eu-central-1, Frankfurt (EU) | — |
| Telnyx Ireland Limited | Telefonie-Routing, Rufnummern, SMS-Versand | EU · Datenhaltung Deutschland | — |
| Soniox, Inc. | Spracherkennung (Speech-to-Text) der KI-Telefonie | EU-Endpunkt (Verarbeitung in der EU) | US-Gesellschaft → EU-SCC / DPF |
| ElevenLabs, Inc. | Sprachsynthese (Text-to-Speech) der KI-Telefonie; erhält ausschließlich den gesprochenen Antworttext (inkl. Gastname), keine Telefonnummer oder Kennung | USA | Standard-AVV (DPA) von ElevenLabs + EU-SCC; TIA vorhanden |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung der Anbietervergütung | Dublin, Irland (EU/USA möglich) | DPF / EU-SCC |
| Resend, Inc. | Versand transaktionaler E-Mails | USA | DPF / EU-SCC; TIA vorhanden |
| Plausible Analytics (Plausible Insights OÜ) | Web-Analytics (cookielos) | EU | — |
| Functional Software, Inc. (Sentry) | Technisches Fehler-Tracking | USA | DPF / EU-SCC; TIA vorhanden |
Anlage 3Technische und organisatorische Maßnahmen+
- Verschlüsselung: Transportverschlüsselung (TLS) für sämtliche Verbindungen; Verschlüsselung ruhender Daten (AWS KMS) für Datenbank und Speicher.
- Mandantentrennung: strikte logische Trennung der Kundendaten auf Datenbankebene (Row-Level-Security je Mandant).
- Zugriffskontrolle: rollenbasierte Berechtigungen (RBAC), Zwei-Faktor-Authentifizierung für administrative Zugänge, Protokollierung administrativer Zugriffe (Audit-Log).
- Pseudonymisierung: Anrufer-Telefonnummern werden je Mandant mit eigenem Salt gehasht; eine mandantenübergreifende Verknüpfung ist ausgeschlossen.
- Netz- und Anwendungssicherheit: Web Application Firewall, Ratenbegrenzung, signaturgeprüfte Webhooks, regelmäßige Sicherheitsupdates und automatisierte Sicherheitsprüfungen im Entwicklungsprozess.
- Datenminimierung: An die Sprachsynthese (ElevenLabs) wird ausschließlich der zu sprechende Antworttext übermittelt; Anruf-Audio wird nicht gespeichert.
- Verfügbarkeit: automatisierte, verschlüsselte Backups (7 Tage) mit kontinuierlicher Point-in-Time-Recovery (RPO ca. 5 Minuten); Betrieb in einem zertifizierten Rechenzentrum (AWS Frankfurt).
- Zahlungsdaten: Kartendaten werden ausschließlich durch Stripe verarbeitet (PCI-DSS); Tablario speichert keine Kartendaten.
- Incident-Prozess: dokumentierter Prozess zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen (vgl. § 7).
- Organisation: Vertraulichkeitsverpflichtung aller Mitarbeitenden, Datenschutzkontakt datenschutz@tablario.com, regelmäßige Sensibilisierung.
Fragen zur Auftragsverarbeitung?
Unser Datenschutz-Team erreichen Sie unter datenschutz@tablario.com.