Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO
Zuletzt aktualisiert: 8.6.2026

Dieser Vertrag über die Verarbeitung personenbezogener Daten im Auftrag (nachfolgend „AVV“) wird geschlossen zwischen:

Dem Kunden / Shop-Betreiber

(dessen Daten im Registrierungsprozess/Onboarding als Tenant-Inhaber hinterlegt werden)

– nachfolgend „Verantwortlicher“ –

und

PhiRay AI GmbH

Am Roten Mäuerle 12, 75181 Pforzheim

Vertreten durch: Vitali Kaiser

– nachfolgend „Auftragsverarbeiter“ –

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand: Der Auftragsverarbeiter erbringt für den Verantwortlichen SaaS-Dienstleistungen (Bereitstellung der Plattform „NearGoods.io“). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen im Sinne von Art. 28 DSGVO.

1.2 Dauer: Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Seine Laufzeit richtet sich nach der Laufzeit des zugrunde liegenden Hauptvertrags (Nutzung der SaaS-Plattform gem. AGB). Er endet automatisch mit Beendigung des Hauptvertrags, ohne dass es einer separaten Kündigung bedarf.

2. Art und Zweck der Verarbeitung, Art der Daten und Kategorien Betroffener

2.1 Art und Zweck der Verarbeitung:

  • Erhebung, Speicherung und Organisation von Bestelldaten.
  • Bereitstellung von B2C-Shops (Storefronts) für Endkunden.
  • Bereitstellung eines Dashboards zur Verwaltung von Bestellungen, Abonnements und Packlisten.
  • Durchführung von Tourenplanungen und Optimierung der Auslieferungsrouten.
  • E-Mail-Kommunikation und System-Authentifizierung (z. B. Magic Links).
  • Anonymisierung für KI & Produktverbesserung: Die vertraglich vereinbarte Verarbeitung und Anonymisierung von Bestelldaten, um diese anschließend – als nicht mehr personenbezogene Daten – für statistische Auswertungen, Benchmarks und das Training von Machine-Learning-Modellen zu nutzen (gemäß § 8 der AGB).

2.2 Art der verarbeiteten Daten:

  • Personenstammdaten: Vorname, Nachname.
  • Kommunikationsdaten: E-Mail-Adresse, ggf. Telefonnummer.
  • Vertrags- und Abrechnungsdaten: Liefer- und Rechnungsadressen, Bestellhistorie, Stripe Customer IDs, Abonnements, Zahlungshistorie.
  • Nutzungs- und Metadaten: IP-Adressen (anonymisiert für Analytics, roh in Server-Logs), Zeitstempel von Einwilligungen (z.B. AGB, AVV).

2.3 Kategorien betroffener Personen:

  • Endkunden: Nutzer, die im B2C-Shop des Verantwortlichen Bestellungen aufgeben.
  • Mitarbeiter/Nutzer des Verantwortlichen: Administratoren, Bäcker oder Fahrer, die Zugriff auf das Dashboard erhalten.

3. Weisungsbefugnis des Verantwortlichen

3.1 Ausschließlich auf Weisung: Der Auftragsverarbeiter darf Daten von betroffenen Personen nur im Rahmen des Hauptvertrages und nach dokumentierter Weisung des Verantwortlichen verarbeiten, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.

3.2 Form der Weisung: Die Nutzung der Software-Plattform durch den Verantwortlichen (z. B. das Auslösen von Bestellungen, das Erstellen von Routen oder das Löschen von Nutzern im Dashboard) stellt die dokumentierte Weisung dar.

3.3 Rechtswidrige Weisungen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

4. Pflichten des Auftragsverarbeiters

4.1 Vertraulichkeit: Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.2 Zweckbindung: Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters (mit Ausnahme der in den AGB geregelten, streng zweckgebundenen Anonymisierung zur Systemverbesserung) ist ausgeschlossen.

4.3 Datenschutzbeauftragter: Der Auftragsverarbeiter hat, sofern gesetzlich erforderlich, einen Datenschutzbeauftragten benannt. Die Kontaktdaten können unter [email protected] angefragt werden.

5. Unterstützungspflichten bei Betroffenenrechten & Meldepflichten

5.1 Betroffenenrechte (Art. 15 bis 22 DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen (z. B. Export- und Lösch-Funktionen im Dashboard) dabei, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten zu erfüllen. Richtet sich ein Betroffener direkt an den Auftragsverarbeiter, wird dieser die Anfrage unverzüglich an den Verantwortlichen weiterleiten.

5.2 Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Data Breach) im Sinne von Art. 33 DSGVO.

5.3 Datenschutz-Folgenabschätzung: Soweit erforderlich, unterstützt der Auftragsverarbeiter den Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen der Aufsichtsbehörden gemäß Art. 35 und 36 DSGVO.

6. Kontrollrechte des Verantwortlichen (Audits)

6.1 Prüfrechte: Dem Verantwortlichen wird das Recht eingeräumt, die Einhaltung der Vorschriften über den Datenschutz und der in diesem Vertrag getroffenen Vereinbarungen in angemessenem Umfang selbst oder durch Dritte zu kontrollieren.

6.2 Nachweise: Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Da der Auftragsverarbeiter keine eigenen Rechenzentren betreibt, erfolgt dieser Nachweis in der Regel durch die Bereitstellung oder Verlinkung der ISO-Zertifizierungen und SOC-2-Reports der eingesetzten Cloud-Hosting-Provider (z.B. Vercel, Neon) sowie gegebenenfalls durch eine schriftliche Eigenauskunft. Inspektionen vor Ort sind auf das absolut notwendige Minimum zu beschränken und mit einer angemessenen Vorlaufzeit anzukündigen, um den Betriebsablauf nicht zu stören.

7. Unterauftragsverhältnisse (Sub-Processors)

7.1 Genehmigte Unterauftragnehmer: Der Verantwortliche stimmt der Beauftragung der nachfolgend gelisteten Unterauftragnehmer ausdrücklich zu. Der Auftragsverarbeiter schließt mit diesen Dienstleistern eigene Verträge gem. Art. 28 DSGVO ab, die ein mindestens ebenso hohes Datenschutzniveau gewährleisten.

UnterauftragnehmerDienstleistungServerstandort
Vercel Inc.Hosting der Web-App (Frontend & API-Routen)USA (Serverstandort primär EU)
Neon, Inc.PostgreSQL Datenbank (Speicherung von Kunden- und Bestelldaten)USA (Serverstandort EU/Frankfurt am Main)
Upstash, Inc.Hintergrundprozesse, Warteschlangen & Redis-Caching (QStash)USA (Serverstandort EU/Frankfurt am Main)
Resend, Inc.Versand von Transaktions- und System-E-MailsUSA
Stripe Payments Europe, Ltd.Zahlungsabwicklung (Speicherung der Zahlungs-Metadaten)Irland
Cloudflare, Inc.Content Delivery Network (CDN) & Dateispeicher (R2)USA
Mapbox Inc.Geocoding für Tourenplanung und LiefergebietsprüfungUSA
Functional Software, Inc. (Sentry)Fehleranalyse und SystemstabilitätUSA (Serverstandort EU/Frankfurt am Main)

7.2 Wechsel von Unterauftragnehmern: Der Auftragsverarbeiter informiert den Verantwortlichen (in der Regel per E-Mail oder über Hinweise im Dashboard) über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Unterauftragnehmer, wodurch dem Verantwortlichen die Möglichkeit gegeben wird, gegen derartige Änderungen innerhalb von 14 Tagen zu widersprechen. Widerspricht der Verantwortliche, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag mit einer Frist von 4 Wochen zu kündigen.

8. Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:

  • Zutritts- und Zugangskontrolle: Die Systeme werden bei etablierten Cloud-Anbietern (Vercel, Neon) gehostet, die über umfassende physische Sicherheitskonzepte (z. B. Biometrie, Wachschutz) verfügen. Der Auftragsverarbeiter betreibt keine eigenen Rechenzentren.
  • Zugriffskontrolle (Intern): Zugriff auf die Produktionsdatenbanken ist streng auf ausgewählte technische Administratoren des Auftragsverarbeiters (z. B. Geschäftsführung, Lead-Entwickler) beschränkt und wird zwingend durch Multi-Faktor-Authentifizierung (MFA) abgesichert.
  • Datenverschlüsselung: Alle ruhenden Daten (Data at Rest) werden in den Datenbanken nach dem AES-256 Standard verschlüsselt. Die Datenübertragung (Data in Transit) erfolgt ausschließlich über sichere TLS 1.2/1.3 Verbindungen (HTTPS).
  • Trennungskontrolle (Mandantenfähigkeit): Die Daten verschiedener Verantwortlicher (Tenants) werden durch logische Isolation auf Datenbankebene (Datenzugriffsschicht / Row Level Security) strikt voneinander getrennt. Ein Zugriff über die Mandantengrenze hinweg ist systemseitig ausgeschlossen.
  • Verfügbarkeit und Belastbarkeit: Durch serverlose Cloud-Architektur und automatisierte Backups (Neon Point-in-Time-Recovery) wird die rasche Wiederherstellbarkeit bei physischen oder technischen Zwischenfällen sichergestellt.
  • Eingabekontrolle: Durch Log-Files (Sentry, Server-Logs) ist nachvollziehbar, wann welche Systeme aufgerufen oder geändert wurden.

9. Löschung und Rückgabe von Daten

9.1 Nach Beendigung: Der Auftragsverarbeiter wird sämtliche personenbezogene Daten nach Beendigung des Hauptvertrags (z. B. nach Kündigung durch den Bäcker) nach Wahl des Verantwortlichen entweder unwiderruflich löschen oder zurückgeben, sofern keine gesetzlichen Verpflichtungen zur Speicherung bestehen.

9.2 Löschfristen: In der Regel erfolgt eine vollständige und unwiderrufliche Löschung der Tenant-Datenbank inklusive aller zugehörigen Backups automatisch nach Ablauf einer Sicherheits-Übergangsfrist von 30 Tagen nach Vertragsende, um versehentliche Datenverluste vorzubeugen.