Dieser Auftragsverarbeitungsvertrag («AVV») wird zwischen dem Restaurant-Inhaber («Verantwortlicher») und DineEasy, betrieben von Maxapp GmbH («Auftragsverarbeiter»), geschlossen und ist integraler Bestandteil der AGB. Er regelt die Verarbeitung personenbezogener Daten von Gästen, die der Verantwortliche über seine öffentliche Speisekarte auf der DineEasy- Plattform erhebt.
1. Parteien
Auftragsverarbeiter: Maxapp GmbH, Birkenstrasse 49, 6343 Rotkreuz, Schweiz.
Verantwortlicher: die juristische oder natürliche Person, die ein DineEasy-Konto registriert und auf der Plattform eine oder mehrere öffentliche Speisekarten betreibt.
2. Anwendungsbereich & Rollen
Gäste können über die öffentliche Speisekarte personenbezogene Daten übermitteln – typischerweise einen Namen sowie optional Telefonnummer, E-Mail-Adresse, Tischreferenz und Bestelldetails. Bezüglich dieser Daten ist der Verantwortliche der für die Datenverarbeitung Verantwortliche, und DineEasy ist der Auftragsverarbeiter. DineEasy verarbeitet die Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen und nur für die in den AGB festgelegten Zwecke: Bereitstellung der öffentlichen Speisekarte, Erfassung von Bestellungen, Zahlungsabwicklung über Stripe Connect sowie Bereitstellung zugehöriger operativer Telemetrie an den Verantwortlichen.
Für Kontodaten des Verantwortlichen selbst (Anmelde-E-Mail, Restaurant-Einstellungen, Rechnungsdaten) ist DineEasy der Verantwortliche – siehe Datenschutzerklärung.
3. Weisungen des Verantwortlichen
Die Weisungen des Verantwortlichen sind in den AGB, der Datenschutzerklärung und der vom Verantwortlichen im Dashboard gewählten Konfiguration dokumentiert (z. B. ob eine Kontakt- E-Mail veröffentlicht wird, ob Bestellungen aktiviert sind, ob Übersetzungen aktiviert sind). DineEasy verarbeitet Gästedaten ohne weitere schriftliche Weisung nicht zu anderen Zwecken.
Hält DineEasy eine Weisung für einen Verstoss gegen geltendes Datenschutzrecht, werden wir den Verantwortlichen unverzüglich darüber informieren.
4. Vertraulichkeit
DineEasy stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen einer angemessenen Vertraulichkeitsverpflichtung unterliegen.
5. Sicherheitsmassnahmen
DineEasy implementiert geeignete technische und organisatorische Massnahmen (TOMs) zum Schutz personenbezogener Daten vor unbefugter oder rechtswidriger Verarbeitung, zufälligem Verlust, Zerstörung oder Beschädigung. Aktuelle Massnahmen umfassen:
- Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (vom Anbieter verwaltete Disk-Verschlüsselung).
- Rollenbasierte Zugriffskontrolle auf die Produktionsinfrastruktur mit Least-Privilege- Standards; Admin-Aktionen werden protokolliert.
- Postgres Row-Level Security auf jeder mandantenbezogenen Tabelle; Service-Role-Schlüssel werden niemals clientseitig exponiert.
- Stripe Connect Direct Charges – Zahlungsdaten der Gäste berühren niemals unsere Infrastruktur; sie gelangen direkt vom Browser des Gastes zu Stripe.
- Signaturprüfung für jede eingehende Webhook-Integration.
- Tägliche Backups gemäss den Standardretentionen der Anbieter.
- Pre-Commit-Secret-Scanning bei jedem Commit (gitleaks).
6. Unterauftragsverarbeiter
Der Verantwortliche autorisiert DineEasy, die folgenden Unterauftragsverarbeiter einzusetzen. Wir kündigen einen Wechsel oder die Hinzunahme eines neuen Unterauftragsverarbeiters mindestens 30 Tage im Voraus schriftlich an (per In-Produkt- Hinweis, Änderungslog der Datenschutzerklärung oder E-Mail).
| Unterauftragsverarbeiter | Zweck | Region |
|---|---|---|
| Supabase | Datenbank, Authentifizierung, Storage | EU (Frankfurt) |
| Vercel | Anwendungs-Hosting, Edge-Runtime | Global; primär EU |
| Stripe | Zahlungen, Connect-Onboarding | EU / Schweiz (lokalisierte Daten) |
| Upstash | Redis-Cache, QStash-Hintergrundjobs | EU (Frankfurt) |
| DeepL | Automatische Übersetzung der Speisekarte | EU (Deutschland) |
| PostHog | Produkt-Analytics, Fehler-Tracking | EU Cloud |
| Google Cloud (Places API) | Adress-Autocomplete | EU |
DineEasy schliesst mit jedem Unterauftragsverarbeiter schriftliche Verträge mit Datenschutzpflichten ab, die denen dieses AVV entsprechen.
7. Rechte betroffener Personen
DineEasy unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Massnahmen, soweit möglich, bei der Erfüllung seiner Pflicht, auf Anträge betroffener Personen zu reagieren (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
Wendet sich ein Gast direkt an DineEasy mit einem Antrag, der Daten betrifft, die für einen Verantwortlichen verarbeitet werden, leiten wir ihn an den Verantwortlichen weiter und benachrichtigen den Verantwortlichen unverzüglich.
8. Meldung von Datenschutzverletzungen
DineEasy benachrichtigt den Verantwortlichen unverzüglich – in jedem Fall innerhalb von 72 Stunden ab Kenntniserlangung – über jede Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft, mit ausreichenden Angaben, um dem Verantwortlichen die Erfüllung seiner eigenen Meldepflichten zu ermöglichen.
9. Audit
Auf angemessene schriftliche Anfrage und nicht häufiger als einmal pro Kalenderjahr stellt DineEasy die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung, einschliesslich einer aktuellen Liste der Unterauftragsverarbeiter, einer Sicherheitsübersicht und, falls verfügbar, der jüngsten Zusammenfassung eines externen Penetrationstests.
Vor-Ort-Audits sind aufgrund der Natur der Dienstleistung in der Regel nicht möglich; unabhängige Bestätigungen und Zertifizierungen können, sofern verfügbar, an deren Stelle treten.
10. Internationale Übermittlungen
DineEasy verarbeitet personenbezogene Daten primär innerhalb der EU und der Schweiz. Unterauftragsverarbeiter mit Sitz ausserhalb der EU/des EWR werden auf Grundlage der EU-Standardvertragsklauseln und, soweit anwendbar, der ergänzenden Vereinbarung des Schweizerischen EDÖB eingesetzt.
11. Rückgabe & Löschung
Bei Beendigung des Vertrags kann der Verantwortliche seine Daten über das Dashboard exportieren. Innerhalb von 30 Tagen nach Beendigung löscht oder anonymisiert DineEasy alle nach diesem AVV verarbeiteten personenbezogenen Daten, ausser wenn eine Aufbewahrung gesetzlich vorgeschrieben ist (z. B. Rechnungsunterlagen nach Schweizer Buchführungsrecht).
12. Haftung
Die Haftung im Rahmen dieses AVV richtet sich nach der Haftungsbeschränkungsklausel der AGB.
13. Laufzeit & Beendigung
Dieser AVV tritt mit Annahme der AGB in Kraft und bleibt so lange in Kraft, wie DineEasy personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
14. Kontakt
Datenschutzfragen und AVV-Korrespondenz: legal@dineeasy.app.