← Zurück

Auftragsverarbeitungsvertrag

Gemäß Art. 28 EU-Datenschutz-Grundverordnung (DSGVO)

Winetelligent — Jimmy Chanon Singler · Stand: März 2026

Vertragsparteien

Auftraggeber (Verantwortlicher)

[Name des Restaurants/Hotels]

[Adresse]

[PLZ Ort]

— nachfolgend „Auftraggeber"

Auftragnehmer (Verarbeiter)

Jimmy Chanon Singler

Winetelligent

Hegistraße 3a, 78166 Donaueschingen

— nachfolgend „Auftragnehmer"

Art. 1 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet im Rahmen der Bereitstellung der Winetelligent SaaS-Plattform personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers.

Die Verarbeitung erfolgt für die Dauer des Hauptvertrags (AGB) und endet automatisch mit dessen Beendigung.

Art. 2 Art, Zweck und Umfang der Verarbeitung

KategorieDetails
ZweckBetrieb einer digitalen Weinkarte mit KI-Empfehlungen, Nutzer-Accountverwaltung, Speisebegleitung und Admin-Dashboard für den Auftraggeber
Art der DatenStammdaten (Name, E-Mail-Adresse, Passwort-Hash), Nutzungsverhalten (Favoriten, Tagebucheinträge, Geschmackspräferenzen), Bestelldaten (bei aktiviertem Bestellsystem), technische Daten (IP-Adresse, Session-Token, Zeitstempel)
Betroffene PersonenGäste und Endnutzer der Plattform des Auftraggebers, Mitarbeiter des Auftraggebers (Admin-Accounts)
VerarbeitungsortAusschließlich Europäische Union — Supabase (Frankfurt/EU), Vercel (EU-Region)

Art. 3 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Abschluss dieses Vertrags und der AGB gelten als initiale Weisung.

Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen die DSGVO oder sonstiges Datenschutzrecht verstößt, informiert er den Auftraggeber unverzüglich.

Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt. Ausgenommen hiervon ist die anonymisierte, aggregierte Auswertung zur Plattformverbesserung (kein Personenbezug).

Art. 4 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

Art. 5 Technische und Organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO hat der Auftragnehmer folgende Maßnahmen implementiert:

Zugangsschutz

  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert (niemals Klartext)
  • JWT-basierte Session-Token mit konfigurierbarer Ablaufzeit
  • Rate-Limiting für Login-Endpunkte (max. 10 Versuche / 15 Minuten)
  • Admin-Bereich durch separate Rollenprüfung geschützt

Datenübertragung

  • Ausschließlich TLS 1.3-verschlüsselte Übertragung (HTTPS)
  • HSTS (HTTP Strict Transport Security) aktiviert

Datentrennung (Mandantentrennung)

  • Row Level Security (RLS) in Supabase — jeder Tenant sieht nur eigene Daten
  • Alle DB-Queries enthalten tenant_id-Filter
  • Kein Cross-Tenant-Datenzugriff möglich

Verfügbarkeit und Backup

  • Supabase automatische Datenbank-Backups (täglich, 7 Tage Retention)
  • Vercel Edge Network für Hochverfügbarkeit
  • Geplante Wartungsfenster mit 24-h-Vorankündigung

Zugriffskontrolle

  • Prinzip der minimalen Rechtevergabe (Least Privilege)
  • Produktionszugänge nur für Auftragnehmer persönlich
  • Audit-Log für sensible Admin-Aktionen

Art. 6 Unteraufverarbeiter (Art. 28 Abs. 2 DSGVO)

Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zur Beauftragung folgender Unteraufverarbeiter:

UnternehmenZweckSitzRechtsgrundlage
Supabase Inc.Datenbank, AuthentifizierungUSA (Server: EU/Frankfurt)SCCs + EU-Server
Vercel Inc.Hosting, CDN, DeploymentUSA (Server: EU-Region)SCCs + EU-Region
Anthropic PBCKI-Empfehlungen (Sommelier-Chat)USASCCs
Cloudflare Inc.CAPTCHA / Bot-Schutz (Turnstile)USA (EU PoPs)SCCs

SCCs = EU-Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914/EU. Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen (Hinzufügen/Ersetzen) rechtzeitig, sodass der Auftraggeber Einwände erheben kann.

Art. 7 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit) sowie bei der Meldung von Datenschutzverletzungen an Aufsichtsbehörden.

Datenpannen werden dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden gemeldet.

Art. 8 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber auf Anfrage einen vollständigen Datenexport (JSON/CSV) zur Verfügung.

Spätestens 30 Tage nach Vertragsende löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen. Die Löschung wird schriftlich bestätigt.

Art. 9 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags durch den Auftragnehmer zu überprüfen. Dazu gehören Fragebögen, Auskünfte, Nachweise über Zertifizierungen oder — nach vorheriger Ankündigung mit 14 Tagen Vorlauf — Vor-Ort-Prüfungen.

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Nachweispflicht gemäß Art. 28 Abs. 3 lit. h DSGVO zur Verfügung.

Art. 10 Schlussbestimmungen

Dieser AVV ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags (AGB). Im Falle von Widersprüchen zwischen AVV und AGB hat der AVV in datenschutzrechtlichen Fragen Vorrang.

Es gilt deutsches Recht. Änderungen bedürfen der Schriftform (E-Mail genügt).

Mit Vertragsabschluss (Bestätigung per E-Mail oder Aktivierung des Accounts) stimmt der Auftraggeber diesem AVV zu.

Vertragsschluss

Auftraggeber

Ort, Datum

Unterschrift / Name / Funktion

Auftragnehmer — Winetelligent

Ort, Datum

Jimmy Chanon Singler

Der AVV wird mit Vertragsabschluss als akzeptiert betrachtet. Eine digitale Bestätigung per E-Mail ist rechtsgültig gemäß § 126b BGB.

Stand: März 2026 · Jimmy Chanon Singler – Winetelligent · Hegistraße 3a, 78166 Donaueschingen

AGB →Datenschutzerklärung →Impressum →