Datenverarbeitungsvertrag
30.06.2025
Datenverarbeitungsvertrag (DPA)
Gültig ab : 30. Juni 2025
Parteien
Verantwortlicher : Der Kunde (Restaurant, Café oder Geschäftsentität, die MenuMix nutzt)
Auftragsverarbeiter : Truezone Inc.
Adresse : 1111B S Governors Ave STE 20696, Dover, DE, 19904, Vereinigte Staaten
E-Mail : help@menumix.app
1. Gegenstand
Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch Truezone Inc. (« Auftragsverarbeiter ») im Auftrag des Kunden (« Verantwortlicher ») im Zusammenhang mit der Nutzung der MenuMix-Plattform durch den Kunden.
2. Dauer
Dieser DPA bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und die zugrunde liegenden Nutzungsbedingungen gültig sind.
3. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter stellt ein QR-Menü- und Bestellverwaltungssystem bereit. Verarbeitungsaktivitäten umfassen :
- Kontoerstellung und Zugriffskontrolle
- Bestellverfolgung und -verwaltung
- Tisch- und QR-Code-Interaktion
- Berichterstattung und Analysen
- Abonnementsabrechnung für den Professional Plan
- Support-Kommunikation
4. Kategorien von Betroffenen
- Geschäftsbenutzer (z. B. Restaurantpersonal, Administratoren, Kellner)
- Restaurantkunden (wenn optionale personenbezogene Daten wie Name oder Kommentare eingegeben werden)
5. Kategorien Personenbezogener Daten
- Benutzerbezeichner (Name, E-Mail, Rolle)
- Bestell- und Tischdaten
- Geräteinformationen, IP-Adresse, Browsertyp
- Sprach- und Regionalpräferenzen
- Abonnement-Metadaten (z. B. Plan, Abrechnungsereignisse über Stripe)
Hinweis : Keine Zahlungskartennummern oder Daten besonderer Kategorien werden gespeichert oder verarbeitet.
6. Verpflichtungen des Verantwortlichen
Der Verantwortliche soll :
- Rechtliche Grundlage für alle verarbeiteten personenbezogenen Daten sicherstellen
- Klare und rechtmäßige Datenschutzhinweise an Betroffene bereitstellen
- Anwendbaren Datenschutzgesetzen entsprechen
- Auf Anfragen von Betroffenen gemäß DSGVO, CCPA, KVKK usw. reagieren
7. Verpflichtungen des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich :
- Daten nur auf dokumentierte Anweisungen des Verantwortlichen zu verarbeiten
- Vertraulichkeit zu wahren und internen Zugriff zu beschränken
- Angemessene technische und organisatorische Sicherheitsmaßnahmen zu implementieren
- Den Verantwortlichen ohne ungebührliche Verzögerung im Falle eines Datenschutzverstoßes zu benachrichtigen
- Den Verantwortlichen bei Anfragen von Betroffenen zu unterstützen
- Alle personenbezogenen Daten bei Vertragsbeendigung zu löschen oder zurückzugeben, es sei denn, die Aufbewahrung ist rechtlich vorgeschrieben
- Dokumentation bereitzustellen, die zur Nachweis der Einhaltung erforderlich ist
8. Unterauftragsverarbeiter
Der Verantwortliche autorisiert die Verwendung der folgenden Unterauftragsverarbeiter :
| Zweck | Unterauftragsverarbeiter |
|---|---|
| Hosting & Backend | Google Firebase (Firestore, Auth, Functions) |
| Analysen | Google Analytics |
| Tag-Verwaltung | Google Tag Manager |
| Übersetzungsdienste | Google Cloud Translation API |
| Messaging/OTP/Anrufe | Twilio Inc. |
| Abonnementszahlungen | Stripe, Inc. |
Alle Unterauftragsverarbeiter sind durch schriftliche Datenschutzvereinbarungen gebunden.
MenuMix benachrichtigt den Verantwortlichen über wesentliche Änderungen der Unterauftragsverarbeiter und erlaubt Einwände innerhalb von 10 Werktagen.
9. Internationale Datenübertragungen
Wenn Daten außerhalb der EU/EWR oder des Vereinigten Königreichs übertragen werden, soll der Auftragsverarbeiter angemessene Schutzmaßnahmen implementieren, einschließlich :
- EU-Standardvertragsklauseln (SCCs)
- UK Internationaler Datenübertragungszusatz
- Angemessenheitsentscheidungen oder gleichwertige Mechanismen
10. Sicherheitsmaßnahmen
Der Auftragsverarbeiter implementiert branchenübliche Maßnahmen, einschließlich :
- HTTPS-Verschlüsselung für alle Daten während der Übertragung
- Verschlüsselte Datenbankspeicherung
- Rollenbasierte Zugriffskontrolle und Least-Privilege-Design
- Sichere Benutzerauthentifizierung (z. B. Firebase Auth)
- Regelmäßige Überwachung und Schwachstellenabwehr
11. Anfragen von Betroffenen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von :
- Anfragen auf Zugriff, Berichtigung, Löschung und Portabilität
- Widersprüchen oder Widerruf der Einwilligung
12. Prüfung und Dokumentation
Der Auftragsverarbeiter stellt auf schriftliche Anfrage alle zur Nachweis der Einhaltung dieses DPA angemessen erforderlichen Informationen bereit.
Prüfungen können mit mindestens 30 Tagen Vorankündigung unter angemessenen Vertraulichkeitsbedingungen durchgeführt werden.
13. Kündigung
Bei Beendigung des Dienstes :
- Alle personenbezogenen Daten müssen wie vom Verantwortlichen angefordert innerhalb von 30 Tagen gelöscht oder zurückgegeben werden
- Es sei denn, die Aufbewahrung ist gesetzlich oder regulatorisch erforderlich
14. Anwendbares Recht
Dieser DPA unterliegt den Gesetzen des Bundesstaates Delaware, Vereinigte Staaten, es sei denn, es ist durch anwendbare Datenschutzvorschriften anders vorgeschrieben.
15. Verschiedenes
Dieser DPA ist Teil der MenuMix-Nutzungsbedingungen. Im Falle eines Konflikts zwischen den Nutzungsbedingungen und diesem DPA bezüglich personenbezogener Daten hat dieser DPA Vorrang.
Bindende Vereinbarung
Dieser DPA ist durch die Annahme der MenuMix-Nutzungsbedingungen durch den Verantwortlichen und fortgesetzte Nutzung der Plattform für die Parteien bindend.
