AVV · Anlage zu den AGB

Vertrag zur Auftrags­verarbeitung.

Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO im Rahmen des Hauptvertrages über die Nutzung der StampPass-Plattform.

Stand: 26. Mai 2026

Präambel

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") regelt die Rechte und Pflichten der Parteien in Bezug auf die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen des zugrundeliegenden Hauptvertrages (Allgemeine Geschäftsbedingungen StampPass) durchführt. Er ist Bestandteil dieses Hauptvertrages.

Verantwortlicher: der Händler im Sinne der AGB StampPass.
Auftragsverarbeiter: [VOLLER NAME], [ADRESSE] („StampPass").

§ 1 Gegenstand und Dauer

(1) Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zum Zwecke der Bereitstellung der StampPass-Plattform gemäß Hauptvertrag.

(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages. Verpflichtungen, die ihrem Wesen nach über das Vertragsende hinausreichen (insbesondere Löschung, Geheimhaltung, Mitwirkung bei Betroffenenanfragen), bleiben hiervon unberührt.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden Zwecken:

  • Bereitstellung digitaler Stempelkarten als Apple-Wallet- und Google-Wallet-Pässe;
  • Verwaltung von Endkundenprofilen, die ein Endkunde gegenüber dem Händler über StampPass anlegt;
  • Auslieferung von Push-Aktualisierungen (Stempelstände, Statusänderungen, Marketing-Push nach Double-Opt-In);
  • Auswertung regelbasierter Kampagnen für den Händler;
  • technischer Betrieb, Datensicherung, Fehleranalyse, Support.

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln, Löschen.

§ 3 Art der personenbezogenen Daten

  • Stammdaten von Endkundinnen und Endkunden: ggf. Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Anschrift (jeweils freiwillig durch den Endkunden angegeben);
  • Kommunikations- und Einwilligungsdaten:Double-Opt-In-Status, Zeitpunkt und Quelle der Einwilligung, Widerruf-Status;
  • Pass- und Geräte-Daten: Pass-Seriennummer, Authentifizierungs-Token, Device-Library-Identifier (Apple), Geräte-Kennung (Google), APNs-Push-Token, Pass-Version;
  • Nutzungsdaten: Anzahl Stempel, Zeitpunkte des Stempelns, Status der Karte, Kampagnen-Interaktionen;
  • Technische Daten: IP-Adresse, Zeitstempel, User-Agent (Server-Logs).

§ 4 Kategorien betroffener Personen

  • Endkundinnen und Endkunden des Händlers (Inhaberinnen und Inhaber digitaler Stempelkarten);
  • Mitarbeitende und Beauftragte des Händlers, die Zugriff auf das Dashboard haben.

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verpflichtet sich,

  • personenbezogene Daten ausschließlich im Rahmen des Hauptvertrages und nach dokumentierten Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
  • die zur Verarbeitung eingesetzten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
  • die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen und einzuhalten (siehe Anlage 1);
  • den Verantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 S. 3 DSGVO);
  • den Verantwortlichen bei der Erfüllung dessen Pflichten gemäß Art. 32 bis 36 DSGVO zu unterstützen (Datenschutz-Folgenabschätzung, Meldung von Datenschutzverletzungen);
  • den Verantwortlichen unverzüglich, in der Regel innerhalb von 72 Stunden, über eine Verletzung des Schutzes personenbezogener Daten zu informieren (Art. 33 Abs. 2 DSGVO);
  • den Verantwortlichen dabei zu unterstützen, Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu beantworten (Art. 28 Abs. 3 lit. e DSGVO).

(2) Eine Übermittlung der im Auftrag verarbeiteten Daten in Drittländer außerhalb des EWR erfolgt ausschließlich unter Wahrung der Anforderungen der Art. 44 ff. DSGVO (siehe § 7).

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche ist im Innenverhältnis der Parteien allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen. Er hat insbesondere:

  • die Rechtsgrundlagen seiner eigenen Verarbeitungen zu prüfen und sicherzustellen;
  • die betroffenen Personen ordnungsgemäß zu informieren (Art. 13/14 DSGVO);
  • ggf. erforderliche Einwilligungen wirksam einzuholen, insbesondere für Marketing-Kommunikation;
  • Weisungen grundsätzlich in Textform oder über das Dashboard zu erteilen.

§ 7 Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung zur Beauftragung der in Anlage 2 aufgeführten Subunternehmer (Art. 28 Abs. 2 S. 1 Var. 2 DSGVO).

(2) Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmern mindestens 14 Tage vorab in Textform oder per Dashboard-Mitteilung informieren. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben. Im Falle eines berechtigten Einspruchs sind die Parteien berechtigt, den Hauptvertrag mit angemessener Frist außerordentlich zu kündigen.

(3) Der Auftragsverarbeiter wird mit jedem Subunternehmer datenschutzrechtliche Verpflichtungen vereinbaren, die den Verpflichtungen aus diesem AVV im Wesentlichen entsprechen (Art. 28 Abs. 4 DSGVO).

§ 8 Drittlandübermittlung

Sofern Daten an Subunternehmer in Drittländern (insbesondere in die USA) übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Beschluss 2021/914 der EU-Kommission) und – soweit der Empfänger zertifiziert ist – ergänzend auf Grundlage des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework. Eine Übersicht der eingesetzten Subunternehmer und ihrer Sitz-/Verarbeitungsländer findet sich in Anlage 2.

§ 9 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV vereinbarten Pflichten beim Auftragsverarbeiter im erforderlichen Umfang zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Auftragsverarbeiter ist berechtigt, geeignete Nachweise durch aktuelle Testate, Berichte oder Auszüge von Berichten unabhängiger Instanzen (z. B. ISO/SOC 2-Zertifikate seiner Subunternehmer) zur Verfügung zu stellen. Soweit dies zur Erfüllung der Kontrollpflicht ausreicht, ist eine Vor-Ort-Prüfung nicht erforderlich.

(3) Vor-Ort-Prüfungen sind nach vorheriger Anmeldung mit einer angemessenen Frist (mindestens 30 Tage) während der üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs und höchstens einmal pro Jahr zulässig. Der Aufwand des Auftragsverarbeiters wird, soweit dieser angemessen ist, gesondert vergütet.

§ 10 Beendigung

Nach Beendigung des Hauptvertrages wird der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine rechtlichen Aufbewahrungspflichten entgegenstehen. Die Löschung erfolgt spätestens 30 Tage nach Vertragsende; technisch bedingte Restdaten in Sicherungskopien werden im üblichen Backup-Zyklus überschrieben.

§ 11 Haftung

Für die Haftung der Parteien gelten die Regelungen des Hauptvertrages entsprechend, soweit sich nicht aus Art. 82 DSGVO zwingend etwas anderes ergibt.

§ 12 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und Regelungen des Hauptvertrages gehen die Bestimmungen dieses AVV vor.

(2) Sollte das Eigentum des Verantwortlichen an den beim Auftragsverarbeiter befindlichen Daten durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet sein, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand bestimmt sich nach den Regelungen des Hauptvertrages.

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft die folgenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Der Betrieb erfolgt ausschließlich in Rechenzentren der eingesetzten Cloud-Anbieter (Vercel, Neon, AWS Frankfurt). Diese Anbieter unterhalten zertifizierte Rechenzentren (ISO 27001 / SOC 2) mit physischer Zutrittskontrolle, Videoüberwachung und Zwei-Faktor-Authentisierung für Personal.
  • Zugangskontrolle: Zugang zu Verarbeitungssystemen ausschließlich über persönliche, individuell zugeordnete Benutzerkennungen mit starken Passwortrichtlinien und Mehr-Faktor-Authentifizierung; Sperrung nach erfolglosen Versuchen.
  • Zugriffskontrolle: Rollen- und rechtebasiertes Berechtigungskonzept (Principle of Least Privilege); Trennung Produktions-/Entwicklungsumgebung; Audit-Logs auf Datenbank-Ebene.
  • Trennungskontrolle: Mandantenfähige Architektur, logische Trennung der Daten je Händler über Tenant-IDs; Foreign-Key-Constraints und Application-Layer-Authorization.
  • Pseudonymisierung: Endkunden werden, soweit möglich, anonym/pseudonym geführt (anonymous-first-Profil); Klartext-Identifikatoren wie E-Mail erst nach Double-Opt-In-Bestätigung der Endkundin/des Endkunden.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Verschlüsselte Übertragung aller Daten zwischen Browser und Servern (TLS 1.2 oder höher); API-Aufrufe an Apple/Google ausschließlich über OAuth/Signaturen-basierte Authentifizierung.
  • Eingabekontrolle: Protokollierung sicherheitsrelevanter Aktionen im Dashboard (Anmeldungen, Änderungen an Stempelkarten, Versand von Kampagnen).

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle: Tägliche automatische Datenbank-Backups beim Provider (Neon), Point-in-Time-Recovery (PITR), redundantes Hosting in mehreren Regionen.
  • Belastbarkeit: Skalierbare Serverless-/Fluid-Compute- Architektur, automatische Skalierung bei Lastspitzen.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Überprüfung und Aktualisierung der Software-Abhängigkeiten (Security Updates, Dependency Audits).
  • Datenschutz-Management: dokumentierte Prozesse für Betroffenenanfragen, Datenschutzverletzungen, Löschpflichten.
  • Auftragskontrolle: schriftliche Auftragsverarbeitungsverträge mit allen Subunternehmern; jährliche Überprüfung der eingesetzten Anbieter.

Anlage 2: Genehmigte Subunternehmer

Folgende Subunternehmer setzt der Auftragsverarbeiter zum Zeitpunkt des Vertragsschlusses zur Erbringung der Leistungen ein. Der Verantwortliche stimmt dem Einsatz dieser Subunternehmer zu.

AnbieterSitz / VerarbeitungLeistungDatenkategorien
Vercel Inc.USA (Verarbeitung global, EU-Edge möglich)Hosting der Anwendung, CDN, Server-Logs, Fluid ComputeSämtliche Daten im Transit, Server-Logs, IP-Adressen
Neon Inc.USA (Anbieter); Verarbeitung: AWS eu-central-1 (Frankfurt)Managed PostgreSQL-DatenbankSämtliche Anwendungsdaten (Händler, Kunden, Pässe, Kampagnen)
Vercel Blob (Vercel Inc.)USASpeicherung von Logos und Pass-GrafikenBilddateien (i. d. R. ohne Personenbezug, ggf. Logos)
Resend Inc.USATransaktionaler E-Mail-VersandE-Mail-Adresse, Name, Inhalt der E-Mail
Stripe Payments Europe Ltd.Dublin, Irland (Konzern: Stripe Inc., USA)Zahlungsabwicklung Händler-AbonnementRechnungs- und Zahlungsdaten des Händlers
Apple Inc.Cupertino, USAApple Wallet, APNs PushPass-Seriennummer, Authentifizierungs-Token, Device-Library-Identifier, APNs-Push-Token
Google Ireland Ltd.Dublin, Irland (Konzern: Google LLC, USA)Google WalletLoyalty-Class-/Object-IDs, Geräte-Kennung
Hinweis: Die jeweils aktuelle Subunternehmer-Liste finden Sie unter [DOMAIN]/legal/avv. Änderungen werden gemäß § 7 dieses AVV vorab mitgeteilt.