Zum Inhalt springen
Upvendo· upvendo.de

Zuletzt aktualisiert: 2026-06-17

The English version of this Data Processing Agreement is the governing version. Translations into Dutch, French and German are provided as a courtesy.

Auftragsverarbeitungsvertrag

Letzte Aktualisierung: 17. Juni 2026

Parteien

„Upvendo" in diesem Auftragsverarbeitungsvertrag („AVV") bezeichnet die juristische Person, die mit dem Kunden den Vertrag abschließt, bestimmt durch den Sitz des Kunden:

  • Upvendo BV (die „EU-Gesellschaft"), eine Gesellschaft belgischen Rechts mit Sitz in Kalvekeetdijk 179, 8300 Knokke-Heist, Belgien, ist die Vertragspartei für Kunden mit Sitz im Europäischen Wirtschaftsraum, im Vereinigten Königreich oder in der Schweiz.
  • Upvendo, Inc. (die „US-Gesellschaft"), eine Delaware corporation mit Sitz in 300 Delaware Avenue, Suite 210, Wilmington, DE 19801, USA, ist die Vertragspartei für Kunden mit Sitz in den Vereinigten Staaten.
  • Für Kunden mit Sitz anderswo ist die EU-Gesellschaft die Vertragspartei, sofern nicht schriftlich anders vereinbart.

Beide werden in diesem AVV als „Upvendo" oder „Auftragsverarbeiter" bezeichnet, je nachdem, welche Gesellschaft mit dem Kunden den Vertrag abschließt.

Geltungsbereich

Dieser AVV ist Bestandteil der Vereinbarung zwischen Upvendo und dem Kunden („Kunde", „Verantwortlicher"), der die Dienste von Upvendo (die „Dienste") in Anspruch nimmt. Er regelt die Verarbeitung personenbezogener Daten durch Upvendo im Auftrag des Kunden im Zusammenhang mit den Diensten und ist integraler Bestandteil der Hauptvereinbarung zwischen den Parteien (die „Vereinbarung").

Mit der Annahme der Vereinbarung akzeptiert der Kunde diesen AVV. Wenn der Kunde im Europäischen Wirtschaftsraum, im Vereinigten Königreich oder in der Schweiz niedergelassen ist, gilt dieser AVV automatisch. Ist der Kunde anderswo niedergelassen, gilt dieser AVV insoweit, als Upvendo personenbezogene Daten verarbeitet, die der DSGVO oder gleichwertigem Recht unterliegen.

1. Begriffsbestimmungen

Die in diesem AVV verwendeten Begriffe haben die ihnen in der DSGVO zugewiesene Bedeutung. Ohne dies einzuschränken:

  • „Personenbezogene Daten": alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • „Verarbeitung": Bedeutung gemäß Art. 4 Abs. 2 DSGVO.
  • „Verantwortlicher", „Auftragsverarbeiter" und „Unter-Auftragsverarbeiter": Bedeutung gemäß Art. 4 DSGVO.
  • „Betroffene Person": die natürliche Person, auf die sich Personenbezogene Daten beziehen.
  • „Verletzung des Schutzes personenbezogener Daten": Bedeutung gemäß Art. 4 Abs. 12 DSGVO.
  • „SCCs": die im Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 angenommenen Standardvertragsklauseln.

2. Gegenstand und Dauer

Upvendo verarbeitet Personenbezogene Daten im Auftrag des Kunden für die Dauer der Vereinbarung und soweit erforderlich, um die Dienste zu erbringen. Bei Beendigung bleiben die Verpflichtungen aus diesem AVV solange in Kraft, wie Upvendo Personenbezogene Daten des Kunden aufbewahrt.

Gegenstand, Art, Zweck, Arten Personenbezogener Daten und Kategorien Betroffener Personen sind in Anhang A festgelegt.

3. Rollen der Parteien

Für alle im Rahmen der Vereinbarung verarbeiteten Personenbezogenen Daten ist der Kunde Verantwortlicher und Upvendo Auftragsverarbeiter. Der Kunde bestimmt Zwecke und Mittel; Upvendo verarbeitet ausschließlich auf der Grundlage der dokumentierten Weisungen des Kunden.

Upvendo wird den Kunden unverzüglich informieren, wenn Upvendo der Ansicht ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstößt.

4. Pflichten des Auftragsverarbeiters

Upvendo wird:

  1. Personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten, auch hinsichtlich internationaler Datenübermittlungen.
  2. Sicherstellen, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreifen, wie in Anhang C beschrieben.
  4. Die Bedingungen nach Art. 28 Abs. 2 und 4 DSGVO einhalten für Unter-Auftragsverarbeiter (Klausel 6).
  5. Den Kunden bei der Beantwortung von Anträgen Betroffener Personen unterstützen gemäß Kapitel III DSGVO.
  6. Den Kunden bei der Einhaltung der Art. 32 bis 36 DSGVO unterstützen.
  7. Nach Wahl des Kunden alle Personenbezogenen Daten löschen oder zurückgeben nach Beendigung. Siehe Klausel 11.
  8. Alle Informationen zur Verfügung stellen für den Nachweis der Einhaltung von Art. 28 DSGVO. Siehe Klausel 10.

5. Vertraulichkeit

Upvendo behandelt alle Personenbezogenen Daten streng vertraulich. Upvendo stellt sicher, dass alle befugten Personen:

  • nach dem Grundsatz der Erforderlichkeit zugreifen,
  • sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen und
  • angemessene Schulungen erhalten.

Vertraulichkeitsverpflichtungen bestehen über die Beendigung hinaus fort.

6. Unter-Auftragsverarbeiter

Der Kunde erteilt Upvendo eine allgemeine schriftliche Genehmigung zur Beauftragung von Unter-Auftragsverarbeitern. Die aktuelle Liste ist in Anhang B aufgeführt.

Upvendo wird:

  1. mit jedem Unter-Auftragsverarbeiter eine schriftliche Vereinbarung schließen, die mindestens gleich schützende Pflichten auferlegt;
  2. dem Kunden gegenüber voll verantwortlich bleiben;
  3. den Kunden mindestens dreißig (30) Tage im Voraus über Hinzufügungen oder Ersetzungen informieren; und
  4. dem Kunden die Möglichkeit geben, innerhalb von fünfzehn (15) Tagen aus begründeten Datenschutzgründen zu widersprechen. Bei nicht lösbarem Widerspruch kann jede Partei die betroffenen Dienste mit anteiliger Rückerstattung kündigen.

7. Internationale Datenübermittlungen

Personenbezogene Daten können in Länder außerhalb des EWR übermittelt werden, einschließlich der Vereinigten Staaten. Solche Übermittlungen erfolgen nur über:

  1. einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO);
  2. die im Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 verabschiedeten Standardvertragsklauseln (Modul Zwei). Die Parteien wählen Option 1 von Klausel 17 (belgisches Recht) und Klausel 18 (Gerichte von Brüssel);
  3. einen anderen von der DSGVO anerkannten rechtmäßigen Übermittlungsmechanismus.

Für das Vereinigte Königreich: das UK International Data Transfer Addendum. Für die Schweiz: die Schweizer DSG-Ergänzungsklauseln.

Upvendo wird, soweit gesetzlich erforderlich, eine Transfer Impact Assessment durchführen.

8. Rechte Betroffener Personen

Upvendo unterstützt den Kunden bei der Beantwortung von Anträgen Betroffener Personen gemäß Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, automatisierte Einzelentscheidungen).

Erhält Upvendo direkt einen Antrag, wird Upvendo:

  1. den Kunden unverzüglich informieren und nicht direkt antworten ohne Autorisierung; und
  2. den Kunden bei der Beantwortung innerhalb der DSGVO-Fristen unterstützen.

9. Meldung von Verletzungen

Upvendo wird den Kunden unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden nach Kenntniserlangung benachrichtigen. Die Benachrichtigung wird:

  1. die Art der Verletzung beschreiben, einschließlich Kategorien und ungefährer Anzahl betroffener Personen und Datensätze;
  2. den Datenschutzkontakt von Upvendo mitteilen;
  3. die wahrscheinlichen Folgen beschreiben; und
  4. die ergriffenen oder vorgeschlagenen Maßnahmen beschreiben.

Wenn nicht zeitgleich möglich, können Informationen in Phasen bereitgestellt werden.

10. Prüfrechte

Auf angemessene Anfrage und nicht mehr als einmal pro Jahr stellt Upvendo alle Informationen zur Verfügung, die zum Nachweis der Einhaltung erforderlich sind.

Der Kunde kann auf eigene Kosten ein Vor-Ort-Audit verlangen. Vor-Ort-Audits müssen:

  1. mindestens dreißig (30) Tage im Voraus schriftlich beantragt werden;
  2. während der Geschäftszeiten ohne unangemessene Störung durchgeführt werden;
  3. einer Geheimhaltungsvereinbarung unterliegen;
  4. auf strikt erforderliche Informationen beschränkt sein; und
  5. keinen Zugriff auf andere Kunden oder Geschäftsgeheimnisse gewähren.

Upvendo kann die Verpflichtung mit vorhandenen Audit-Berichten Dritter erfüllen (ISO 27001, SOC 2 sobald verfügbar).

11. Rückgabe und Löschung

Nach Wahl des Kunden wird Upvendo bei Beendigung:

  1. alle Personenbezogenen Daten in strukturiertem, maschinenlesbarem Format zurückgeben; oder
  2. alle Personenbezogenen Daten und Kopien löschen,

sofern nicht das Unionsrecht die Speicherung vorschreibt.

Der Kunde kann innerhalb von dreißig (30) Tagen nach Beendigung verlangen. Danach löscht Upvendo gemäß Standard-Aufbewahrungsplan.

Upvendo bestätigt schriftlich auf Anfrage.

12. Haftung und Schlussbestimmungen

Die Haftung jeder Partei unterliegt den Beschränkungen in der Vereinbarung.

Sollte eine Bestimmung unwirksam sein, bleibt der Rest in Kraft. Bei Widersprüchen hat dieser AVV Vorrang für Datenschutzangelegenheiten.

Anwendbares Recht und Gerichtsstand richten sich nach der vertragsschließenden Upvendo-Gesellschaft gemäß dem Abschnitt „Parteien" oben:

  • Ist die EU-Gesellschaft (Upvendo BV) der vertragsschließende Auftragsverarbeiter, unterliegt dieser AVV belgischem Recht und die Gerichte von Brüssel, Belgien, sind ausschließlich zuständig für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV.
  • Ist die US-Gesellschaft (Upvendo, Inc.) der vertragsschließende Auftragsverarbeiter, unterliegt dieser AVV dem Recht des Staates Delaware, USA, und die staatlichen oder bundesstaatlichen Gerichte im District of Delaware sind ausschließlich zuständig.

Vorstehendes gilt unbeschadet zwingender Zuständigkeit nach Verbraucherschutz- oder Datenschutzrecht.

Anhang A: Verarbeitungsdetails

Gegenstand: Bereitstellung von Self-Service-Bestellkiosk-, Online-Bestell- und QR-Bestellsoftware durch Upvendo, einschließlich Integrationen mit dem POS des Kunden.

Dauer: Für die Dauer der Vereinbarung plus die Aufbewahrungsfristen.

Art und Zweck: Endnutzern (Verbrauchern) das Bestellen im Betrieb zu ermöglichen; Bestellungen an das POS weiterzuleiten; Betriebsanalysen bereitzustellen; Dienste zu warten, unterstützen und verbessern.

Arten Personenbezogener Daten:

  • Bestelldaten der Endnutzer
  • Kontaktinformationen der Endnutzer (E-Mail, Telefon, Treueprogramm)
  • Zahlungsreferenzen (Transaktions-IDs, letzte vier Ziffern, Zahlungsmethode — niemals rohe Kartennummern)
  • Personalkontodaten des Kunden
  • Geschäftliche Kontaktdaten des Kunden
  • Technische Daten (IP, Browser-Fingerprint, Gerätekennungen)

Kategorien Betroffener Personen:

  • Endkunden des Kunden
  • Personal des Kunden
  • Bevollmächtigte Vertreter

Besondere Kategorien: Keine durch Upvendo bauseits verarbeitet.

Anhang B: Liste der Unter-Auftragsverarbeiter

Aktuelle Liste auf Anfrage unter privacy@upvendo.com.

Unter-Auftragsverarbeiter Dienstleistung Standort Übermittlungsmechanismus
Cloudflare, Inc. (und Cloudflare Ireland Ltd) Hosting, Edge Computing, D1, CDN, WAF, DDoS Globales Edge-Netzwerk mit EU-Knoten EU-SCCs (Modul 2) plus Cloudflare DPA-Addendum
Stripe Payments Europe Ltd (und Stripe, Inc.) Zahlungsabwicklung (nur .com) Irland und USA EU-SCCs (Modul 2) plus Stripe DPA
GitHub, Inc. Quellcode-Hosting und CI USA EU-SCCs für begrenzte Personenbezogene Daten

Für optionale Funktionen: aktuelle Liste auf Anfrage. Upvendo benachrichtigt mindestens dreißig (30) Tage im Voraus.

Anhang C: Technische und Organisatorische Maßnahmen

Gemäß Art. 32 DSGVO setzt Upvendo folgende Maßnahmen um:

1. Zugriffskontrollen

  • Individuell zuordenbare Konten für autorisiertes Personal.
  • MFA für alle administrativen Zugriffe.
  • Need-to-know-Prinzip, periodische Überprüfung.
  • Cloudflare-Rechenzentren ISO 27001- und SOC 2 Type II-zertifiziert.

2. Verschlüsselung

  • TLS 1.3 (HTTPS) für alle Verbindungen.
  • AES-256 im Ruhezustand in Cloudflare D1.
  • Interner Verkehr automatisch verschlüsselt.
  • Geheimnisse in Cloudflare Workers Secrets.

3. Pseudonymisierung

  • Angewendet, wo technisch machbar.

4. Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit

  • Logische Isolation pro Tenant.
  • Cloudflare D1 Point-in-Time-Recovery.
  • DDoS-Schutz, WAF, Bot-Management.

5. Wiederherstellungsverfahren

  • Backups nach Standardplan.
  • Verfahren mindestens jährlich getestet.
  • RTO und RPO definiert, vierteljährlich überprüft.

6. Regelmäßige Tests

  • Verpflichtende Code-Review.
  • Automatisches Schwachstellen-Scanning bei jedem Commit.
  • Statische Analyse bei jedem Commit.
  • Bedrohungsmodell jährlich überprüft.

7. Personalsicherheit

  • Vertraulichkeitsverpflichtungen bei Beschäftigungsbeginn.
  • Hintergrundüberprüfungen wo gesetzlich zulässig.
  • Jährliche Sicherheitsschulung.

8. Vorfallmanagement

  • Dokumentierte Reaktionsverfahren.
  • 72-Stunden-Benachrichtigung.
  • Berichte gemäß Richtlinie auf /legal/security/.

9. Sicherheit der Unter-Auftragsverarbeiter

  • Mindestens gleich schützende schriftliche Pflichten.
  • Periodische Bewertung.

10. Compliance und Zertifizierungen

  • ISO 27001:2022-Mapping, Ziel: zertifizierungsbereit bis 2027.
  • SOC 2 Type II auf Roadmap.
  • Cloudflare und Stripe halten Zertifizierungen in ihren Trust Centern.

Für Fragen oder eine unterzeichnete Kopie: privacy@upvendo.com.

Cookie-Einstellungen

Wir verwenden Cookies, damit die Seite funktioniert, Ihre Erfahrung personalisiert wird, Traffic gemessen und relevante Anzeigen ausgespielt werden. Erforderliche Cookies sind immer aktiv; der Rest liegt bei Ihnen. Cookie-Richtlinie