🍞 OFENBURSCHE

Allgemeine Geschäftsbedingungen

Inhaltsverzeichnis

Präambel

Die Levin GmbH, Hummelshagen 74A, 45219 Essen, E-Mail: hallo@levin.care, Amtsgericht Essen, HRB 37809 (nachfolgend „Levin" oder „Anbieter") betreibt unter der Bezeichnung „Ofenbursche" eine Plattform (Web-Anwendung) für Hobby-Bäcker:innen und Mikro-Bäckereien zur Backplanung, Rezeptverwaltung, Organisation von Verkaufstagen, Abwicklung von Bestellungen sowie einen Rezept-Marktplatz. Levin stellt dabei ausschließlich die technische Plattform bereit und wird nicht selbst Vertragspartei der über die Plattform geschlossenen Verträge über Backwaren; diese kommen unmittelbar zwischen der jeweiligen Bäckerei und ihren Kund:innen zustande.

§ 1 Geltungsbereich und Begriffe

  • Diese AGB regeln die Nutzung des Ofenburschen und sämtlicher damit verbundener Dienste (nachfolgend „Leistungen") durch:
    a) Bäckereien, also natürliche oder juristische Personen, die über die Plattform Backpläne führen, Rezepte verwalten und/oder Backwaren zum Verkauf anbieten — je nach Art und Umfang ihrer Tätigkeit als Verbraucher:innen im Sinne des § 13 BGB oder als Unternehmer:innen im Sinne des § 14 BGB;
    b) Kund:innen, die über die Shops der Bäckereien Bestellungen aufgeben und in der Regel Verbraucher:innen im Sinne des § 13 BGB sind.
    Abweichende oder ergänzende Bedingungen gelten nur, wenn sie schriftlich vereinbart wurden.
  • Nutzer:innen sind alle natürlichen oder juristischen Personen, die sich registrieren und die Leistungen in Anspruch nehmen.
  • Minderjährige dürfen die Leistungen nur nutzen, wenn und soweit eine Einwilligung der Sorgeberechtigten vorliegt. Weitere Details finden sich in der Datenschutzerklärung und in App-Hinweisen.

§ 2 Leistungsbeschreibung (aktueller Funktionsumfang)

  • Plattformcharakter. Levin vermittelt und unterstützt ausschließlich technisch. Verträge über den Kauf von Backwaren kommen ausschließlich zwischen der jeweiligen Bäckerei und den Kund:innen zustande. Levin ist weder Verkäufer noch Hersteller der angebotenen Waren und übernimmt keine Gewähr für deren Beschaffenheit, Verfügbarkeit oder lebensmittelrechtliche Konformität.
  • Lebensmittelrechtliche Verantwortung. Bäckereien sind allein verantwortlich für die Einhaltung der für sie geltenden Vorschriften, insbesondere des Lebensmittelrechts (z. B. Kennzeichnungs- und Allergeninformationspflichten nach der LMIV, Hygienevorschriften nach der LMHV) sowie etwaiger gewerbe- und steuerrechtlicher Pflichten.
  • Funktionsumfang. Der Ofenbursche umfasst derzeit insbesondere: Backplanung (Zeitplan-Darstellung), Rezeptverwaltung inklusive KI-gestütztem Import aus Screenshots, Verwaltung von Verkaufstagen und Kapazitäten, einen eigenen Online-Shop je Bäckerei mit Bestell- und Bezahlablauf, Bestellverwaltung inklusive Stornierungen sowie einen Rezept-Marktplatz.
  • Leistungsübersicht. Die konkret verfügbaren Funktionen und Inhalte des Ofenburschen ergeben sich stets aus der jeweils aktuellen Leistungsübersicht in der App bzw. auf der Website (nachfolgend „Leistungsübersicht"). Die Leistungsübersicht ist Bestandteil dieses Vertrages. Levin ist berechtigt, die Leistungsübersicht fortlaufend zu aktualisieren, soweit hierdurch keine wesentlichen Vertragsbestandteile zum Nachteil der Nutzer:innen geändert werden.
  • Testphase / Gratisnutzung. Levin kann die Leistungen zeitweise als Testphase oder im Rahmen einer Gratisnutzung bereitstellen. Die Testphase/Gratisnutzung ist jederzeit widerruflich und begründet keinen Anspruch auf einen bestimmten Leistungsumfang oder eine bestimmte Dauer. Während der Testphase/Gratisnutzung bestehen keine Zahlungspflichten gegenüber Levin. Eine Umstellung auf kostenpflichtige Tarife erfolgt ausschließlich nach Maßgabe von § 7 und erfordert eine vorherige ausdrückliche Zustimmung der Nutzer:innen zu Preis und Abrechnungszeitraum (Opt-in).

§ 3 Registrierung, Rollenwahl und Vertragsschluss

  • Registrierung. Die Nutzung der App setzt eine Registrierung voraus. Der Registrierungsvorgang erfolgt für alle Nutzer:innen einheitlich; im Verlauf ist die Rollenwahl (Kund:in / Bäckerei) vorzunehmen. Weitere Angaben (z. B. zur Backstube) können für die Einrichtung eines eigenen Shops erforderlich sein.
  • Vertragsschluss. Der Vertrag über die Nutzung der Leistungen kommt durch die Registrierung und die aktive Zustimmung zu diesen AGB in der App zustande.
  • Ablehnung und Sperrung. Levin kann Registrierungen aus sachlichem Grund ablehnen oder Konten sperren, etwa bei Missbrauchsverdacht oder Verstößen gegen Gesetze oder diese AGB.
  • Abschluss kostenpflichtiger Tarife. Soweit Levin künftig kostenpflichtige Tarife anbietet, werden diese über einen Web-Checkout (Browser) abgeschlossen. Die Zahlung erfolgt direkt an Levin gemäß den in der App genannten Zahlungsmitteln; Verwaltung und Kündigung erfolgen im Ofenburschen-Konto.

§ 4 Nutzerpflichten und Minderjährige

  • Zugangsdaten. Nutzer:innen müssen ihre Zugangsdaten vertraulich behandeln und vor dem Zugriff Dritter schützen. Bei Verdacht auf Missbrauch ist Levin unverzüglich zu informieren.
  • Minderjährige. Soweit die App Minderjährigen zugänglich ist, ist die Einwilligung der Sorgeberechtigten erforderlich (je nach Alter und Rechtsordnung). Nähere Informationen hierzu sind in der App und der Datenschutzerklärung enthalten.
  • Angaben und Verhalten. Nutzer:innen sind verpflichtet, wahrheitsgemäße und vollständige Angaben zu machen. Bäckereien gilt dies insbesondere für Produktangaben wie Zutaten, Allergene, Preise und Verfügbarkeiten. Alle Nutzer:innen haben die geltenden Gesetze zu beachten und rechtswidrige Handlungen zu unterlassen. Es ist untersagt, diffamierende, diskriminierende, jugendgefährdende, volksverhetzende oder sonst rechtswidrige Inhalte über die App zu speichern, zu veröffentlichen oder zu verbreiten. Ebenso verboten sind automatisierte Abfragen, Bots oder andere Software, die den Dienst beeinträchtigen oder unberechtigt Daten auslesen.
  • Geräteverantwortung. Nutzer:innen müssen sicherstellen, dass ihre Geräte frei von Schadsoftware sind und die Mindestanforderungen für die App erfüllen. Etwaige Kosten für die Datenverbindung und Nutzung liegen bei den Nutzer:innen.

§ 5 Rechte an Inhalten und Nutzungsrechte

  • Inhalte der Nutzer:innen. Alle von Nutzer:innen bereitgestellten Inhalte (z. B. Rezepte, Texte, Fotos, Produktbeschreibungen) verbleiben in deren Rechtsinhaberschaft. Zur Erfüllung des Vertrages räumen sie Levin ein einfaches, nicht übertragbares, auf die Vertragslaufzeit beschränktes Nutzungsrecht ein, diese Inhalte zu hosten, anzuzeigen und technisch zu vervielfältigen (inkl. Backups und Übermittlung an freigabeberechtigte Empfänger:innen).
  • Rezept-Marktplatz. Veröffentlicht eine Bäckerei ein Rezept im Marktplatz, räumt sie damit allen registrierten Nutzer:innen ein einfaches, unentgeltliches Nutzungsrecht ein, das Rezept für eigene Zwecke zu übernehmen („Fork") und zu bearbeiten. Die Herkunft des Rezepts (Quellenangabe) bleibt in der App erkennbar. Die Veröffentlichung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft beendet werden; bereits erstellte Forks bleiben hiervon unberührt.
  • Schutz der App-Inhalte. Die App-Software, Designs, Grafiken, Texte und andere von Levin bereitgestellte Inhalte sind urheberrechtlich geschützt. Jede Nutzung über den vertraglich vereinbarten Zweck hinaus (insbesondere Kopieren, Verbreiten, Bearbeiten; Reverse Engineering außerhalb zwingenden Rechts) ist untersagt, sofern nicht ausdrücklich erlaubt.
  • Feedback. Zu Produkt-Feedback/Ideen eingeräumte Rechte gelten unentgeltlich, zeitlich und räumlich unbeschränkt zur Produktverbesserung.

§ 6 Verfügbarkeit und Funktionsänderungen

  • Betrieb. Levin bemüht sich um einen störungsarmen Betrieb, garantiert jedoch keine ununterbrochene Verfügbarkeit. Wartungs- und Updatearbeiten können zu vorübergehenden Einschränkungen führen; hieraus entstehen keine Ansprüche.
  • Änderungen. Levin darf nicht wesentliche Änderungen (z. B. UI/Performance/optionale Zusatzfunktionen) jederzeit vornehmen. Wesentliche Änderungen (Kernleistung, Preise, Laufzeiten, Hauptpflichten) werden vorab nach Maßgabe dieser AGB angekündigt (vgl. § 13); ggf. bestehen Sonderkündigungsrechte.

§ 7 Preise, Laufzeit und Zahlung

  • Transparenz. Aktuelle Preise, Abrechnungszyklen (z. B. monatlich, jährlich) und enthaltene Leistungen werden im Bestellprozess und in der App klar und verständlich dargestellt. Alle Preise verstehen sich inkl. gesetzlicher Umsatzsteuer (sofern anwendbar).
  • Gratisphase (aktuell). Derzeit werden die Leistungen als Testphase/Gratisnutzung bereitgestellt; es fallen keine Entgelte gegenüber Levin an. Levin kann künftig kostenpflichtige Tarife anbieten. Ein Übergang von der Gratisnutzung in einen kostenpflichtigen Tarif erfolgt nicht automatisch, sondern nur, wenn Nutzer:innen den kostenpflichtigen Tarif ausdrücklich buchen und dabei Preis, Abrechnungszeitraum sowie diese AGB aktiv bestätigen (Opt-in).
  • Buchung kostenpflichtiger Tarife. Mit der Buchung eines kostenpflichtigen Tarifs kommt ein entgeltlicher Vertrag zustande. Die Vergütung ist regelmäßig im Voraus für den jeweiligen Abrechnungszeitraum fällig.
  • Laufzeit und Verlängerung. Das Abonnement beginnt mit Vertragsschluss und läuft für den im Bestellprozess gewählten Abrechnungszeitraum (z. B. 1 Monat, 12 Monate). Es verlängert sich automatisch jeweils um den gewählten Abrechnungszeitraum, sofern es nicht bis zum Ende des laufenden Abrechnungszeitraums gekündigt wird. Eine Kündigung wirkt jeweils zum Ende des aktuellen Abrechnungszeitraums; eine anteilige Rückerstattung bereits fälliger Entgelte erfolgt nicht, soweit gesetzlich zulässig.
  • Zahlungen für Backwaren. Zahlungen für Bestellungen bei Bäckereien werden über die in der App angebotene Zahlungsabwicklung im Namen und für Rechnung der jeweiligen Bäckerei eingezogen. Erstattungen — etwa bei Stornierungen — richten sich nach dem Vertrag zwischen Bäckerei und Kund:in sowie den gesetzlichen Bestimmungen (vgl. § 8).
  • Zahlungsabwicklung / Verzug. Die Zahlung erfolgt über die in der App genannten Zahlungsdienstleister; deren Bedingungen können zusätzlich gelten. Bei Zahlungsverzug oder Rücklastschrift ist Levin berechtigt, den Zugriff bis zur Begleichung offener Forderungen vorübergehend zu sperren; von Nutzer:innen zu vertretende Mehrkosten sind zu erstatten.
  • Preisanpassung. Levin kann Entgelte angemessen anpassen (z. B. bei Kosten-/Regulierungsänderungen). Anpassungen werden vorab mitgeteilt; Nutzer:innen haben — soweit gesetzlich vorgesehen — ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens.
  • Widerrufsrecht. Für Verbraucher:innen beginnt das gesetzliche Widerrufsrecht mit Abschluss des entgeltlichen Vertrages (Abs. 3). Während reiner Gratisnutzung besteht kein Widerrufsrecht, da kein entgeltlicher Vertrag vorliegt.

§ 8 Bestellungen, Stornierung und Widerruf

  • Bestellvorgang. Kund:innen können Backwaren zu den von der Bäckerei angebotenen Verkaufstagen bestellen. Das Angebot kann durch Kapazitätsgrenzen je Produkt und Verkaufstag beschränkt sein. Mit Abschluss des Bestellvorgangs kommt der Kaufvertrag zwischen Kund:in und Bäckerei zustande; die Bestellung wird in der App bestätigt.
  • Stornierung durch Kund:innen. Kund:innen können Bestellungen über die dafür vorgesehene Funktion in der App stornieren, soweit und solange dies dort angeboten wird. Bereits gezahlte Beträge werden in diesem Fall erstattet.
  • Stornierung durch Bäckereien. Bäckereien können Bestellungen aus sachlichem Grund (z. B. Kapazität, Ausfall eines Backtags) stornieren. Bereits gezahlte Beträge werden den Kund:innen erstattet.
  • Hinweis zum gesetzlichen Widerrufsrecht. Bei Verträgen über die Lieferung von Waren, die schnell verderben können oder deren Verfallsdatum schnell überschritten würde (z. B. frische Backwaren), besteht gemäß § 312g Abs. 2 Nr. 2 BGB kein gesetzliches Widerrufsrecht. Etwaige weitergehende Stornierungsmöglichkeiten nach Abs. 2 bleiben unberührt.

§ 9 Datenschutz und Datensicherheit (Überblick)

  • Als Bäckerei treten Sie dem als Anlage beigefügten Auftragsverarbeitungsvertrag als Verantwortlicher bei, soweit Levin personenbezogene Daten Ihrer Kund:innen in Ihrem Auftrag verarbeitet.
  • Datenschutzerklärung. Es gilt die in der App abrufbare Datenschutzerklärung. Darin sind Zwecke, Rechtsgrundlagen, Empfänger/Kategorien, Speicherdauern sowie Betroffenenrechte beschrieben.
  • Verarbeitung und Hosting. Personenbezogene Daten werden serverseitig innerhalb der EU verarbeitet. Levin setzt angemessene technische und organisatorische Maßnahmen zum Schutz der Daten ein (u. a. Transportverschlüsselung, gehashte Passwörter, Rollen-/Rechte-Konzepte).
  • Auftragsverarbeiter. Levin kann vertragsgebundene Auftragsverarbeiter einsetzen. Kategorien, Empfänger und Rechtsgrundlagen sind in der Datenschutzerklärung aufgeführt.
  • Betroffenenrechte. Nutzer:innen haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerruf erteilter Einwilligungen nach den gesetzlichen Vorgaben und der Datenschutzerklärung.

§ 10 Kündigung, Sperrung und Löschung

  • Ordentliche Kündigung durch Nutzer:innen.
    Nutzer:innen können das Nutzungsverhältnis jederzeit beenden; bei kostenpflichtigen Tarifen wirkt die Kündigung jeweils zum Ende des aktuellen Abrechnungszeitraums (vgl. § 7 Abs. 4). Bereits fällige Entgelte werden — soweit gesetzlich zulässig — nicht anteilig erstattet; die Nutzung bleibt bis zum Wirksamwerden der Kündigung bestehen.
  • Ordentliche Kündigung durch Levin.
    Levin kann das Nutzungsverhältnis mit Frist bis zum Ende des laufenden Abrechnungszeitraums kündigen; während der Gratisnutzung mit einer angemessenen Ankündigungsfrist. Bereits gezahlte Entgelte bleiben hiervon unberührt.
  • Außerordentliche Kündigung / Sperrung.
    Unberührt bleibt das Recht beider Parteien zur fristlosen Kündigung aus wichtigem Grund. Ein wichtiger Grund liegt insbesondere vor bei:
    • erheblichem oder wiederholtem Verstoß gegen diese AGB,
    • Missbrauch der Leistungen, unzulässigen Inhalten oder Sicherheitsgefährdungen,
    • Zahlungsverzug trotz Mahnung (bei kostenpflichtigen Tarifen),
    • behördlichen/gerichtlichen Anordnungen oder gesetzlichen Verboten.
    Levin ist berechtigt, betroffene Konten vorläufig zu sperren, wenn objektive Anhaltspunkte für einen wichtigen Grund bestehen.
  • Kontolöschung durch Nutzer:innen.
    Die Kontolöschung kann jederzeit in der App veranlasst oder per E-Mail an support@ofenbursche.de verlangt werden. Mit Kontolöschung endet der Zugriff; Daten werden gemäß Datenschutzerklärung und gesetzlichen Fristen gelöscht bzw. gesperrt.
  • Wirkungen der Kündigung.
    Mit Wirksamwerden der Kündigung endet der Zugriff auf kostenpflichtige Inhalte/Funktionen; kostenlose Grundfunktionen können — sofern angeboten — weiter genutzt werden. Offene Bestellungen sind vor der Beendigung abzuwickeln oder zu stornieren. Rückerstattungen für angebrochene Abrechnungszeiträume erfolgen nicht, soweit gesetzlich zulässig; gesetzliche Widerrufs- und Gewährleistungsrechte bleiben unberührt.
  • Inaktivität.
    Levin kann bei längerer Inaktivität das Nutzungsverhältnis beenden und/oder das Konto löschen, sofern Nutzer:innen zuvor angemessen informiert wurden und innerhalb einer gesetzten Frist keine Reaktivierung erfolgt.
  • Datenlöschung.
    Levin löscht oder anonymisiert personenbezogene Daten nach Maßgabe der Datenschutzerklärung und gesetzlicher Aufbewahrungsfristen. Bestell- und Rechnungsdaten, die Bäckereien im Rahmen eigener Aufbewahrungspflichten exportiert haben, verbleiben in deren Verantwortungsbereich.

§ 11 Haftung

  • Unbeschränkte Haftung. Levin haftet unbeschränkt für Schäden, die auf Vorsatz oder grober Fahrlässigkeit beruhen, sowie bei Verletzung von Leben, Körper oder Gesundheit.
  • Beschränkte Haftung. Bei einfach fahrlässiger Verletzung wesentlicher Vertragspflichten ist die Haftung auf den vorhersehbaren, typischen Schaden begrenzt. Für mittelbare Schäden, entgangenen Gewinn, Datenverluste oder Verfügbarkeitsausfälle haftet Levin nicht.
  • Haftungsausschluss für Inhalte und Waren. Levin übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung von nutzergenerierten Inhalten (insbesondere Rezepten, Produkt- und Allergenangaben) sowie für die von Bäckereien angebotenen Waren. Nutzer:innen sind für die Prüfung und Nutzung dieser Inhalte selbst verantwortlich.

§ 12 Gewährleistung

Levin schuldet keine vollständige Fehlerfreiheit der Software. Es besteht kein Anspruch auf fehlerfreie, permanente Bereitstellung. Levin beseitigt erhebliche Fehler nach entsprechender Meldung durch Nutzer:innen innerhalb angemessener Frist oder stellt eine Umgehungslösung bereit. Im Übrigen gelten die gesetzlichen Gewährleistungsbestimmungen. Die Gewährleistung für über die Plattform erworbene Backwaren richtet sich ausschließlich gegen die jeweilige Bäckerei.

§ 13 Änderungen dieser AGB

  • Levin ist berechtigt, diese AGB mit Wirkung für die Zukunft zu ändern. Änderungen werden den Nutzer:innen in der App oder per E-Mail angezeigt.
  • Die weitere Nutzung der Leistungen setzt die Zustimmung zu den geänderten Bedingungen voraus. Bei Widerspruch steht Levin das Recht zu, das Vertragsverhältnis fristlos zu kündigen.
  • Für Unternehmer:innen kann Levin die Änderungen mit Ankündigungsfrist in Kraft setzen; wird fristgerecht widersprochen, kann Levin das Vertragsverhältnis zum Änderungszeitpunkt kündigen.
  • Leistungsübersicht/Preisliste. Änderungen rein informatorischer Anlagen (Leistungsübersicht, Preisliste) können ohne AGB-Neuzustimmung durch Mitteilung vorgenommen werden, soweit keine wesentlichen Vertragsbestandteile nachteilig geändert werden (vgl. § 2).
  • Beendigung der Gratisphase / Aufnahme kostenpflichtiger Tarife. Die Beendigung einer Testphase/Gratisnutzung sowie die Aufnahme kostenpflichtiger Tarife gelten als Änderung rein informatorischer Anlagen (Leistungsübersicht/Preisliste), solange kein bestehender Gratisvertrag ohne ausdrückliche Zustimmung der Nutzer:innen in einen entgeltlichen Vertrag umgewandelt wird. Eine entgeltliche Umstellung setzt stets eine separate ausdrückliche Buchung nach § 7 voraus (Opt-in).

§ 14 Anwendbares Recht und Gerichtsstand

  • Es gilt das Recht der Bundesrepublik Deutschland. Zwingendes Verbraucherschutzrecht des Staates, in dem Verbraucher:innen ihren gewöhnlichen Aufenthalt haben, bleibt unberührt.
  • Gegenüber Kaufleuten und Unternehmer:innen ist der ausschließliche Gerichtsstand der Sitz der Levin GmbH. Gegenüber Verbraucher:innen gelten die gesetzlichen Zuständigkeitsregeln.

§ 15 Schlussbestimmungen

  • Salvatorische Klausel. Sollten einzelne Bestimmungen dieser AGB unwirksam oder undurchführbar sein oder werden, bleibt der Vertrag im Übrigen wirksam. Anstelle der unwirksamen Regelung gilt diejenige, die dem wirtschaftlichen Zweck am nächsten kommt. Gleiches gilt für Regelungslücken.
  • Übrige Bestimmungen. Aufrechnungs- und Zurückbehaltungsrechte stehen Nutzer:innen nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen zu. Die Übertragung von Rechten und Pflichten aus diesem Vertrag bedarf der schriftlichen Zustimmung von Levin, soweit nicht gesetzlich etwas anderes zwingend vorgesehen ist.

Auftragsverarbeitungsvertrag

Zwischen Bäckereien als Verantwortlichem und der Levin GmbH als Auftragsverarbeiter

Zwischen

der Bäckerei als Verantwortlichem (nachfolgend „Verantwortlicher"),

und

Levin GmbH, Hummelshagen 74A, 45219 Essen, Deutschland, E-Mail: hallo@levin.care

als Auftragsverarbeiter (nachfolgend „Auftragsverarbeiter", Verantwortlicher und Auftragsverarbeiter gemeinsam die „Parteien")

Präambel

Der Verantwortliche hat den Auftragsverarbeiter im bereits geschlossenen Vertrag (nachfolgend „Hauptvertrag") zu den dort genannten Leistungen beauftragt. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten — insbesondere der Daten von Kund:innen des Verantwortlichen im Rahmen von Bestellungen über den Ofenburschen. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (nachfolgend die „Vereinbarung"), dessen Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

§ 1 Begriffsbestimmungen

  1. Verantwortlicher ist gem. Art. 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  2. Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  3. Personenbezogene Daten sind gem. Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „Betroffener") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
  4. Besonders schutzbedürftige personenbezogene Daten sind personenbezogene Daten gem. Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DSGVO, biometrische Daten gem. Art. 4 Abs. 14 DSGVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DSGVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
  5. Verarbeitung ist gem. Art. 4 Abs. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
  6. Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DSGVO eine von einem Mitgliedstaat gem. Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.

§ 2 Vertragsgegenstand

  1. Der Auftragsverarbeiter erbringt für den Verantwortlichen die im Hauptvertrag genannten Leistungen. Dabei erhält der Auftragsverarbeiter Zugriff auf personenbezogene Daten, die der Auftragsverarbeiter für den Verantwortlichen ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Umfang und Zweck der Datenverarbeitung durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag und etwaigen zugehörigen Leistungsbeschreibungen. Dem Verantwortlichen obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
  2. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
  3. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragsverarbeiter und seine Beschäftigten oder durch den Auftragsverarbeiter Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Verantwortlichen stammen oder für den Verantwortlichen erhoben wurden.
  4. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

§ 3 Weisungsrecht

  1. Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Verantwortlichen erheben, verarbeiten oder nutzen. Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.
  2. Die Weisungen des Verantwortlichen werden anfänglich durch diesen Vertrag festgelegt und können vom Verantwortlichen danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Verantwortliche ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
  3. Alle erteilten Weisungen sind vom Verantwortlichen zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
  4. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 4 Arten der verarbeiteten Daten, Kreis der Betroffenen, Drittland

  1. Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragsverarbeiter Zugriff auf die in Anlage 1 näher spezifizierten personenbezogenen Daten.
  2. Der Kreis der von der Datenverarbeitung Betroffenen ist in Anlage 2 dargestellt.
  3. Eine Weitergabe personenbezogener Daten in ein Drittland (außerhalb des EWR) darf nur unter den Voraussetzungen der Art. 44 ff. DSGVO stattfinden.

§ 5 Schutzmaßnahmen des Auftragsverarbeiters

  1. Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Verantwortlichen erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
  2. Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat die in Anlage 3 genannten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen gem. Art. 32 DSGVO getroffen, die der Verantwortliche als angemessen anerkennt. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
  3. Den bei der Datenverarbeitung durch den Auftragsverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (nachfolgend „Mitarbeiter"), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.
  4. Der Auftragsverarbeiter hat keinen Datenschutzbeauftragten benannt, da die gesetzlichen Voraussetzungen für eine Benennungspflicht (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen. Ansprechpartner für Datenschutzfragen ist die Geschäftsführung der Levin GmbH, erreichbar unter hallo@levin.care.

§ 6 Informationspflichten des Auftragsverarbeiters

  1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren. Dasselbe gilt für Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
    a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
    b) eine Beschreibung der von dem Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;
    c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
  2. Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Verantwortlichen und ersucht um weitere Weisungen.
  3. Der Auftragsverarbeiter ist darüber hinaus verpflichtet, dem Verantwortlichen jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
  4. Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 5 Abs. 2 hat der Auftragsverarbeiter den Verantwortlichen zu unterrichten.

§ 7 Kontrollrechte des Verantwortlichen

  1. Der Verantwortliche kann sich vor der Aufnahme der Datenverarbeitung und sodann jährlich von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen. Hierfür kann er z. B. Auskünfte des Auftragsverarbeiters einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Verantwortliche wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei nicht unverhältnismäßig stören.
  2. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich sind.
  3. Der Verantwortliche dokumentiert das Kontrollergebnis und teilt es dem Auftragsverarbeiter mit. Bei Fehlern oder Unregelmäßigkeiten, die der Verantwortliche insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragsverarbeiter unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Verantwortliche dem Auftragsverarbeiter die notwendigen Verfahrensänderungen unverzüglich mit.

§ 8 Einsatz von Dienstleistern

  1. Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 4 genannten Dienstleister (nachfolgend „Unterauftragsverarbeiter") durchgeführt. Der Verantwortliche erteilt dem Auftragsverarbeiter seine allgemeine Genehmigung im Sinne von Art. 28 Abs. 2 S. 1 DSGVO, im Rahmen seiner vertraglichen Verpflichtungen weitere Unterauftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen.
  2. Der Auftragsverarbeiter wird den Verantwortlichen vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Unterauftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte Hinzuziehung oder die Ersetzung eines Unterauftragsverarbeiters aus wichtigem datenschutzrechtlichen Grund Einspruch erheben.
  3. Der Einspruch gegen die beabsichtigte Hinzuziehung oder die Ersetzung eines Unterauftragsverarbeiters ist innerhalb von 2 Wochen nach Erhalt der Information über die Änderung zu erheben. Wird kein Einspruch erhoben, gilt die Hinzuziehung oder Ersetzung als genehmigt. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist eine einvernehmliche Lösungsfindung zwischen dem Verantwortlichen und dem Auftragsverarbeiter nicht möglich, steht dem Auftragsverarbeiter ein Sonderkündigungsrecht zum auf den Einspruch folgenden Monatsende zu.
  4. Der Auftragsverarbeiter hat bei der Einschaltung von Unterauftragsverarbeitern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten.
  5. Ein Unterauftragsverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Unterauftragsverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Verantwortlichen genutzt werden.

§ 9 Anfragen und Rechte Betroffener

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12-22 sowie 32 bis 36 DSGVO.
  2. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragsverarbeiter geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen an den Verantwortlichen und wartet dessen Weisungen ab.

§ 10 Haftung

  1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragsverarbeiter allein der Verantwortliche gegenüber dem Betroffenen verantwortlich.
  2. Der Auftragsverarbeiter haftet für Schäden unbeschränkt, soweit die Schadensursache auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung des Auftragsverarbeiters, seines gesetzlichen Vertreters oder Erfüllungsgehilfen beruht.
  3. Für fahrlässiges Verhalten haftet der Auftragsverarbeiter nur bei Verletzung einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Verantwortliche regelmäßig vertraut und vertrauen darf, jedoch beschränkt auf den vertragstypischen Durchschnittsschaden. Im Übrigen ist die Haftung des Auftragsverarbeiters — auch für seine Erfüllungs- und Verrichtungsgehilfen — ausgeschlossen.
  4. Die Haftungsbegrenzung gemäß § 10.3 gilt nicht für Schadensersatzansprüche aus der Verletzung von Leben, Körper, Gesundheit oder aus der Übernahme einer Garantie.

§ 11 Beendigung des Hauptvertrags

  1. Der Auftragsverarbeiter wird dem Verantwortlichen nach Beendigung des Hauptvertrags alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder — auf Wunsch des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht — löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat den dokumentierten Nachweis der ordnungsgemäßen Löschung auf Anfrage zu führen.
  2. Der Verantwortliche hat das Recht, die vollständige und vertragsgerechte Rückgabe oder Löschung der Daten beim Auftragsverarbeiter in geeigneter Weise zu kontrollieren.
  3. Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragsverarbeiter über personenbezogene Daten verfügt, die ihm vom Verantwortlichen zugeleitet wurden oder die er für diesen erhoben hat.

§ 12 Schlussbestimmungen

  1. Soweit der Auftragsverarbeiter Unterstützungshandlungen nach dieser Vereinbarung nicht ausdrücklich kostenlos durchführt, kann er dem Verantwortlichen dafür eine angemessene Gebühr in Rechnung stellen, es sei denn, eigene Handlungen oder Unterlassungen des Auftragsverarbeiters haben diese Unterstützung unmittelbar erforderlich gemacht.
  2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
  3. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
  4. Diese Vereinbarung unterliegt deutschem Recht.

Anlagen

Anlage 1 – Beschreibung der Daten/Datenkategorien

  • IP-Adresse
  • Name / Anzeigename
  • E-Mail-Adresse
  • Bestelldaten (Produkte, Mengen, Abholtag, Zahlungsstatus)
  • Rezepte und Produktdaten
  • Nutzerstatistiken

Anlage 2 – Beschreibung der Betroffenen/Betroffenengruppen

Verantwortlicher, Kund:innen und Mitarbeiter:innen des Verantwortlichen, Dritte

Anlage 3 – Technische und organisatorische Maßnahmen des Auftragsverarbeiters

1. Einleitung

Dieses Dokument fasst die vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO zusammen. Das sind Maßnahmen, mit denen der Auftragsverarbeiter personenbezogene Daten schützt. Das Dokument hat den Zweck, den Auftragsverarbeiter bei der Erfüllung seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu unterstützen.

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2.1. Zutrittskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:

  • Arbeit im Home Office: Unbefugte haben kein Zutritt zur Wohnstätte der Mitarbeiter
  • Arbeit im Home Office: Anweisung an Mitarbeiter, wenn möglich, in von Wohnräumen abgetrennten Arbeitszimmer zu arbeiten

2.2. Zugangskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:

  • Automatische Desktopsperre
  • Erstellen von Benutzerprofilen
  • Nutzung von 2-Faktor-Authentifizierung
  • Allgemeine Anweisung, bei Verlassen des Arbeitsplatzes Desktop manuell zu sperren

2.3. Zugriffskontrolle

Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben:

  • Einsatz von Aktenvernichtern (mit cross cut-Funktion)
  • Anzahl der Administratoren ist so klein wie möglich gehalten
  • Verwaltung der Benutzerrechte durch Systemadministratoren
  • Anweisung an Mitarbeiter, dass Daten nur nach Rücksprache gelöscht werden

2.4. Trennungskontrolle

Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:

  • Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder nach Ablauf der gesetzlichen Löschfrist, wenn möglich, zu anonymisieren/pseudonymisieren.
  • Mandantenfähigkeit der Plattform: Daten der einzelnen Bäckereien werden logisch getrennt verarbeitet.

3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3.1. Weitergabekontrolle

Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  • WLAN-Verschlüsselung (WPA2 mit starkem Passwort)
  • Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS

3.2. Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

  • Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Klare Zuständigkeiten für Löschungen
  • Anweisung an Mitarbeiter, nur nach Rücksprache Daten zu löschen

4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:

  • Regelmäßige Backups
  • Hosting (jedenfalls der wichtigsten Daten) mit einem professionellen Hoster

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

5.1. Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  • Klare interne Zuständigkeit der Geschäftsführung für Datenschutz-Themen
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Regelmäßige Schulungen der Mitarbeiter im Datenschutz
  • Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)

5.2. Incident-Response-Management

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
  • Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen

5.3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Die folgenden implementierten Maßnahmen tragen den Voraussetzungen der Prinzipien „Privacy by design" und „Privacy by default" Rechnung:

  • Schulung der Mitarbeiter im „Privacy by design" und „Privacy by default"
  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

5.4. Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:

  • Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z. B. durch Auftragsverarbeitungsvertrag)
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z. B. durch Anfrage entsprechender Bestätigungen
  • Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag)
  • Sorgfältige Auswahl von Auftragnehmern (insbesondere hinsichtlich Datensicherheit)
  • Laufende Überprüfung von Auftragnehmern und ihren Tätigkeiten

Anlage 4 – Aktuelle Subunternehmer

NameFunktionServerstandort
Fly.io, Inc.Hosting (App und Datenbank)EU (Frankfurt)
Anthropic, PBCKI-gestützter Rezept-Import (Bildauswertung)USA
AGB — Ofenbursche