Auftragsverarbeitungsvertrag (AVV)
Stand: 28.06.2026 · Anlage 2 zu den AGB der Yung UG (haftungsbeschränkt) · gemäß Art. 28 DSGVO. Dieser AVV ist Bestandteil des Vertragsverhältnisses und ergänzt die AGB.
Anlage 2 zu den AGB der Yung UG (haftungsbeschränkt)
gemäß Art. 28 DSGVO
Stand: 28.06.2026 — Entwurf zur anwaltlichen Prüfung Verknüpft mit: AGB-Chiwai-v2-Entwurf-2026-06-15.md, § 6 Abs. 2
Vorbemerkung
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV”) wird als integraler Bestandteil der Allgemeinen Geschäftsbedingungen der Yung UG (haftungsbeschränkt) (nachfolgend „Anbieter”) geschlossen und gilt für sämtliche Kunden, die Vertragspartner des Anbieters sind (nachfolgend „Verantwortlicher”).
Der AVV konkretisiert die datenschutzrechtlichen Pflichten und Rechte der Parteien gemäß Art. 28 DSGVO für den Fall, dass der Anbieter im Rahmen der Chiwai-Plattform personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
§ 1 Gegenstand, Dauer und Art der Verarbeitung
(1) Gegenstand
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Anbieter im Rahmen der Bereitstellung der Chiwai-SaaS-Plattform gemäß den AGB.
(2) Dauer
Die Auftragsverarbeitung beginnt mit dem Vertragsschluss gemäß AGB § 2 und endet mit der Beendigung des Hauptvertrags. Die Pflichten aus diesem AVV, insbesondere zur Vertraulichkeit und Löschung, gelten über das Vertragsende hinaus.
(3) Art der Verarbeitung
Der Anbieter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen. Verarbeitungsvorgänge umfassen insbesondere:
- Speicherung und Verwaltung von Speisekarten-, Zutaten- und Allergeninformationen;
- Bereitstellung der Kunden-Speisekartenseite unter
{slug}.chiwai.eu; - KI-gestützte Übersetzung von Speisekartendaten (Tarif PRO/ENTERPRISE);
- OCR-Auslesung von Lieferantenrechnungen und -belegen (optionales Feature);
- Ausspielung von Daten an Google Business Profile via API (Add-on/PRO).
(4) Zweck
Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Plattformleistungen und zur Erfüllung der Weisungen des Verantwortlichen.
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Kategorien personenbezogener Daten
Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:
| Datenkategorie | Beispiele | Verarbeitungszweck |
|---|---|---|
| Kontaktdaten des Kunden | Name, E-Mail, Telefon des Restaurant-Betreibers | Vertragsabwicklung, Support |
| Mitarbeiterdaten | Name, Zugangsdaten von Plattform-Nutzern des Kunden | Zugriffsverwaltung |
| Endkundendaten | Name, E-Mail, ggf. Bestelldaten (soweit vom Kunden eingegeben) | Betrieb der Speisekartenseite |
| Lieferantendaten | Firmennamen, Kontaktdaten aus hochgeladenen Rechnungen | Beleg-Upload-Feature |
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (insbesondere Gesundheitsdaten) werden im Rahmen dieses AVV nicht verarbeitet. Allergeninformationen beziehen sich auf Speisen, nicht auf Personen, und sind daher keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO.
(2) Kategorien betroffener Personen
- Beschäftigte und Beauftragte des Verantwortlichen (Plattform-Nutzer);
- Endkunden des Restaurants (soweit vom Verantwortlichen in die Plattform eingegeben);
- Ansprechpartner bei Lieferanten des Verantwortlichen (aus Belegen).
§ 3 Pflichten des Auftragsverarbeiters (Anbieter)
(1) Weisungsbindung
Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — einschließlich der Weisungen in diesem AVV und den AGB — es sei denn, er ist nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Anbieter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
(2) Vertraulichkeit
Der Anbieter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Technische und organisatorische Maßnahmen (TOM)
Der Anbieter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuell implementierten TOM sind in Anhang A zu diesem AVV dokumentiert.
(4) Unterstützung bei Betroffenenrechten
Der Anbieter unterstützt den Verantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 15–22 DSGVO) nachzukommen.
(5) Unterstützung bei Datenschutzpflichten
Der Anbieter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgeabschätzung), unter Berücksichtigung der Art der Verarbeitung und der dem Anbieter zur Verfügung stehenden Informationen.
(6) Meldung von Datenschutzverletzungen
Der Anbieter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an die vom Verantwortlichen bei Vertragsschluss hinterlegte E-Mail-Adresse.
(7) Löschung und Rückgabe
Der Anbieter löscht nach Wahl des Verantwortlichen am Ende der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten oder gibt diese zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Europäischen Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.
(8) Nachweispflichten
Der Anbieter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachweisen zu können, und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden. Der Anbieter ist berechtigt, für solche Prüfungen eine angemessene Aufwandsentschädigung zu verlangen, die vorab vereinbart wird.
§ 4 Subauftragsverarbeiter
(1) Allgemeine Genehmigung
Der Verantwortliche erteilt dem Anbieter hiermit die allgemeine Genehmigung, die in Anhang B aufgeführten Subauftragsverarbeiter einzusetzen.
(2) Widerspruchsrecht
Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen (Hinzunahme oder Austausch) mit einer Frist von mindestens 30 Tagen in Textform. Der Auftraggeber kann einer Änderung aus sachlichem Grund innerhalb von 14 Tagen nach Ankündigung in Textform widersprechen. Im Falle eines wirksamen Widerspruchs ist der Auftraggeber berechtigt, den Hauptvertrag außerordentlich zum Zeitpunkt des Inkrafttretens der Änderung zu kündigen. Das ordentliche Kündigungsrecht bleibt unberührt. (Art. 28 Abs. 2 DSGVO)
(3) Weitergabepflichten
Der Anbieter legt allen Subauftragsverarbeitern die gleichen Datenschutzpflichten auf wie in diesem AVV vereinbart, insbesondere bezüglich der Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
(4) Haftung
Der Anbieter haftet dem Verantwortlichen gegenüber für die Einhaltung der datenschutzrechtlichen Pflichten durch seine Subauftragsverarbeiter.
§ 5 Drittlandübermittlung
(1) Die Verarbeitung personenbezogener Daten durch den Anbieter und seine Subauftragsverarbeiter erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.
(2) Soweit einzelne Subauftragsverarbeiter ihren Sitz in einem Drittland haben oder dort Daten verarbeiten, erfolgt die Übermittlung auf Basis geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission, EU-US Data Privacy Framework oder Angemessenheitsbeschluss. Cloudflare Inc. ist nach dem EU-US Data Privacy Framework (DPF, Beschluss 2023/1795) zertifiziert (primäre Rechtsgrundlage); SCC EU 2021/914 dient als Fallback.
(3) Für Verarbeitungen durch Anthropic, PBC (USA) gilt das automatische Data Processing Agreement (DPA) von Anthropic als SCC-Grundlage (Standardvertragsklauseln EU 2021/914, Module 2+3; abrufbar unter anthropic.com/legal/data-processing-addendum). Anthropic PBC ist nicht nach dem EU-US Data Privacy Framework (DPF, Beschluss 2023/1795) zertifiziert; der Transfer erfolgt ausschließlich auf SCC-Basis. Der Auftragnehmer erstellt ein Transfer Impact Assessment (TIA) gemäß EuGH C-311/18 (Schrems II) und dokumentiert dieses. Bis zum Abschluss des TIA beschränkt sich der Anthropic-Einsatz auf Verarbeitungen ohne Personenbezug (Allergen-Klassifikation, Übersetzung von Produktdaten). Verarbeitungen mit Personenbezug erfolgen ausschließlich über EU-ansässige KI-Anbieter. Der Auftragnehmer stellt auf Anfrage das aktuelle Anthropic-DPA zur Verfügung.
Details zu den Drittlandübermittlungen sind in Anhang B angegeben.
§ 6 Pflichten des Verantwortlichen (Kunde)
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die er in die Plattform eingibt oder hochlädt, allein verantwortlich.
(2) Der Verantwortliche erteilt Weisungen an den Anbieter ausschließlich in Textform. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
(3) Der Verantwortliche informiert den Anbieter unverzüglich, wenn er bei der Prüfung der Verarbeitungsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
§ 7 Schlussbestimmungen AVV
(1) Dieser AVV ist integraler Bestandteil der AGB. Im Widerspruchsfall zwischen AVV und AGB geht der AVV in datenschutzrechtlichen Fragen vor.
(2) Für diesen AVV gilt das Recht der Bundesrepublik Deutschland und der Europäischen Union.
(3) Die salvatorische Klausel der AGB (§ 13 Abs. 4) gilt entsprechend.
Anhang A — Technische und Organisatorische Maßnahmen (TOM)
A.1 Zutrittskontrolle (physische Sicherheit)
- Serverinfrastruktur bei Hetzner Online GmbH (Rechenzentrum Falkenstein/Nürnberg, ISO 27001 zertifiziert)
- Kein physischer Zugang des Anbieters zum Rechenzentrum; Zugang ausschließlich über verschlüsselte SSH-Verbindung
- Produktionssystem (
cx43) ist ein dedizierter Server; kein Shared-Hosting
A.2 Zugangskontrolle (logische Sicherheit)
- Datenbankzugang ausschließlich über SSH-Tunnel (kein direkter Port 5432 im Internet)
- Passwort-Policy: Mindestlänge 16 Zeichen, kein Sharing
- API-Authentifizierung: Bearer-Token (X-Restaurant-Key), pro Tenant individuell
- Admin-Zugang: Multi-Faktor-Authentifizierung (REQ-TOM-02: MFA-Pflicht für alle Admin-Zugänge vor erstem zahlenden Kunden umzusetzen)
A.3 Zugriffskontrolle (Datenzugriff)
- Row-Level-Security (RLS) in PostgreSQL: Tenant-Daten sind auf Datenbankebene isoliert
- Anwendungscode kann nicht tenant-übergreifend lesen (serverseitig erzwungen)
- Separate Datenbank-Rollen für Lese- und Schreibzugriff
A.4 Trennungskontrolle
- Tenant-Daten werden in einer logisch getrennten Datenbankschicht (Row-Level-Security + Schema-Isolation) verwaltet
- Produktionsdaten und Entwicklungsumgebung sind getrennt
A.5 Übertragungssicherheit
- Alle Datenübertragungen ausschließlich über TLS 1.2+ aktiv; TLS 1.3 als Zielzustand (BSI TR-02102-2/2024-Empfehlung; REQ-TOM-01)
- Cloudflare CDN mit aktivem DDoS-Schutz und WAF
- E-Mail-Kommunikation über SMTP mit STARTTLS
A.6 Verfügbarkeitskontrolle
- Tägliche automatisierte Backups der PostgreSQL-Datenbank (Hetzner Backup)
- Backup-Aufbewahrung: 7 Tage rollierend
- Disaster-Recovery-Plan: RPO ≤ 24 Stunden / RTO ≤ 4 Stunden (Hetzner-Snapshot-Wiederherstellung)
A.7 Verfügbarkeits-Monitoring und Incident Response
Externes Uptime-Monitoring: - BetterStack Uptime (betterstack.com) — externer Dienst, unabhängig von der überwachten Infrastruktur - 8 HTTP-Monitore auf alle produktiven Dienste (60-Sekunden-Intervall P1, 3-Minuten-Intervall P2) - Alert-Kanäle: E-Mail ([email protected]) + SMS (+49 15774444934) bei Ausfall - Überwachte Server: cx43 (Hetzner, Frankfurt) + Strato Plesk (Berlin)
Internes Infrastruktur-Monitoring: - Netdata v2.10.3 auf cx43 und Strato — CPU, RAM, Disk, Netzwerk, PostgreSQL-Metriken - Lokales Dashboard: http://localhost:19999 (nur intern, kein öffentlicher Zugriff)
RTO / RPO: - RPO ≤ 24 Stunden (tägliche automatisierte Snapshots, 7-Tage-Rolling, Hetzner Backup) - RTO ≤ 4 Stunden (Hetzner-Snapshot-Wiederherstellung realistisch < 30 Minuten)
Incident Response: Schriftlicher Incident-Response-Prozess in Erstellung: Art. 33 DSGVO (72h-Meldepflicht), Meldebehörde: Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HessLfDI). (REQ-TOM-03: vor erstem zahlenden Kunden abschließen)
Erkennung (BetterStack-Alert) → interne Diagnose (Netdata) → Behebung → Meldung an Verantwortlichen binnen 48h wenn personenbezogene Daten betroffen → ggf. Meldung Aufsichtsbehörde (Art. 33 DSGVO, 72h-Frist).
Anhang B — Subauftragsverarbeiter
Stand: 28.06.2026
| Subauftragsverarbeiter | Sitz | Zweck | Datenort | Rechtsgrundlage Drittland |
|---|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Hosting Hauptserver (cx43), PostgreSQL-Datenbank, alle Tenant-Daten | Falkenstein / Nürnberg (DE) | Kein Drittland |
| Cloudflare Inc. | USA (Irland-Niederlassung für EU) | CDN, DNS, SSL, DDoS-Schutz, WAF, E-Mail-Routing | EU-Edge primär (Dublin, Frankfurt) | DPF (Beschluss 2023/1795), hilfsweise SCC EU 2021/914, Modul 2+3 |
| Anthropic, PBC | USA | KI-Backbone: Übersetzung, Allergen-Klassifikation, Textgenerierung (Claude API); bis TIA-Abschluss: nur Nicht-Personendaten | EU-Endpoint (api.anthropic.com EU-Region) | SCC EU 2021/914, Modul 2+3 (auto. DPA); kein DPF. TIA in Erstellung; Einsatz bis TIA-Abschluss: nur Nicht-Personendaten |
| Stripe Payments Europe Ltd. | Irland (EU) | Zahlungsabwicklung, Customer-Stammdaten, Rechnungsstellung | Irland (EU) + ggf. USA (Stripe Inc.) | SCC EU 2021/914 für US-Transfer |
| Google Ireland Ltd. | Irland (EU) | Gmail SMTP-Relay (Outbound @chiwai.eu), Google Search Console, Google Business Profile API |
Irland (EU) | Kein Drittland für EU-Dienste; US-Transfer für Analysedaten: SCC EU 2021/914 |
Nicht mehr im Einsatz (historisch): - Strato AG (ehemals Hosting chinayung.de — betrifft nicht Chiwai-Plattformdaten)
Anlage 2 (AVV) — Version 1.1 — Stand: 28.06.2026 Anbieter (Auftragsverarbeiter): Yung UG (haftungsbeschränkt), Jahnstraße 56, 60318 Frankfurt am Main, Chi Kei Yung (GF) Kontakt Datenschutz: [email protected]