Zum Inhalt springen
AnmeldenJetzt starten
03Rechtliches · DPA

Auftragsverarbeitungsvertrag

Die Bedingungen nach Art. 28 DSGVO für die Datenverarbeitung, die gelten, wenn COTRONIKA EOOD über die UXO-Plattform personenbezogene Daten im Auftrag eines Kunden verarbeitet.

Zuletzt aktualisiert
21 May 2026
Abschnitte
18
Lesezeit
~14 Min.

01Parteien und Geltungsbereich

Dieser Auftragsverarbeitungsvertrag (der “DPA”) ist Teil der Vereinbarung zwischen COTRONIKA EOOD, einer bulgarischen Gesellschaft mit beschränkter Haftung mit UIC 202457989 und eingetragenem Sitz in Sofia 1700, Bulgaria (der “Auftragsverarbeiter”), und dem Kunden (dem “Verantwortlichen”) über die Nutzung der UXO-Plattform nach den Nutzungsbedingungen unter /legal/terms(der “Vereinbarung”).

Der DPA gilt immer dann, wenn der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen als Teil der Bereitstellung des Dienstes verarbeitet. Soweit der Auftragsverarbeiter personenbezogene Daten im eigenen Namen verarbeitet (zum Beispiel Abrechnungsdaten des Kunden und Kontaktdaten autorisierter Mitarbeitender), tut er dies als Verantwortlicher nach Maßgabe der Datenschutzerklärung unter /legal/privacy — diese Verarbeitung fällt nicht in den Geltungsbereich dieses DPA.

Im Fall eines Widerspruchs zwischen diesem DPA und der Vereinbarung hat dieses DPA Vorrang, soweit es um die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen geht.

02Definitionen

Begriffe mit Großbuchstaben, die hier nicht definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung zugewiesen wird. Die Begriffe “personenbezogene Daten”, “ Verarbeitung”, “Verantwortlicher”, “ Auftragsverarbeiter”, “betroffene Person”, “Unterauftragsverarbeiter” und “Verletzung des Schutzes personenbezogener Daten” haben die in Art. 4 der Regulation (EU) 2016/679 (der “DSGVO”) festgelegte Bedeutung.

Anwendbares Datenschutzrecht
Die DSGVO, die Gesetze der EU-Mitgliedstaaten, die sie umsetzen oder ergänzen (einschließlich des Bulgarian Personal Data Protection Act), sowie jedes andere Datenschutz- oder Privatsphärerecht, das auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter nach diesem DPA anwendbar ist.
EWR
Der Europäische Wirtschaftsraum.
SCCs
Die Standard Contractual Clauses für die Übermittlung personenbezogener Daten in Drittländer, die von der Europäischen Kommission in Decision (EU) 2021/914 of 4 June 2021 angenommen wurden.
Personenbezogene Daten des Kunden
Personenbezogene Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen nach diesem DPA verarbeitet.

03Rollen und Verarbeitungsweisungen

Die Parteien erkennen an, dass in Bezug auf die personenbezogenen Daten des Kunden der Verantwortliche der Verantwortliche und der Auftragsverarbeiter der Auftragsverarbeiter ist. Die dokumentierten Weisungen des Verantwortlichen an den Auftragsverarbeiter bestehen aus der Vereinbarung, diesem DPA und weiteren Weisungen, die vernünftigerweise über die Konfigurationsoptionen des Dienstes oder schriftlich erteilt werden.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Kunden nur auf dokumentierte Weisung des Verantwortlichen und nur zu den in Annex I beschriebenen Zwecken, sofern das Anwendbare Datenschutzrecht nichts anderes verlangt. Wenn der Auftragsverarbeiter der Ansicht ist, dass eine Weisung gegen Anwendbares Datenschutzrecht verstößt, informiert er den Verantwortlichen und kann die Ausführung dieser Weisung ablehnen.

Der Verantwortliche sichert zu, dass er berechtigt ist und über eine Rechtsgrundlage verfügt, um die personenbezogenen Daten des Kunden dem Auftragsverarbeiter zur Verfügung zu stellen und ihn zur in diesem DPA beschriebenen Verarbeitung anzuweisen. Der Verantwortliche ist dafür verantwortlich, betroffenen Personen die erforderlichen Informationen bereitzustellen, die Beziehung zu betroffenen Personen zu steuern und Einwilligungen einzuholen, sofern die Einwilligung die Rechtsgrundlage der Verarbeitung ist.

04Pflichten des Auftragsverarbeiters (Art. 28(3) DSGVO)

Der Auftragsverarbeiter wird:

  • personenbezogene Daten des Kunden nur auf dokumentierte Weisungen des Verantwortlichen verarbeiten, auch in Bezug auf internationale Übermittlungen (siehe Section 9);
  • sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten des Kunden befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • die in Annex II beschriebenen technischen und organisatorischen Maßnahmen umsetzen, um personenbezogene Daten des Kunden vor zufälliger oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen;
  • die Bedingungen dieses DPA für die Einschaltung von Unterauftragsverarbeitern einhalten (Section 5);
  • unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen unterstützen, soweit dies möglich ist, damit der Verantwortliche seiner Pflicht zur Beantwortung von Anträgen betroffener Personen nachkommen kann (Section 7);
  • den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen dabei unterstützen, die Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) einzuhalten;
  • nach Wahl des Verantwortlichen alle personenbezogenen Daten des Kunden nach Ende der Erbringung der Dienstleistungen löschen oder zurückgeben und vorhandene Kopien löschen, sofern das Anwendbare Datenschutzrecht keine Speicherung verlangt (siehe Section 10);
  • dem Verantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO festgelegten Pflichten nachzuweisen, und Audits ermöglichen und dazu beitragen, wie in Section 8 beschrieben.

05Unterauftragsverarbeiter

Allgemeine Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung, die in Annex III zum Datum dieses DPA aufgeführten Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber in vollem Umfang für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters verantwortlich.

Neue oder ersetzende Unterauftragsverarbeiter

Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Ergänzung oder Ersetzung eines Unterauftragsverarbeiters und gibt dem Verantwortlichen eine angemessene Gelegenheit, aus datenschutzrechtlichen Gründen Einwände zu erheben. Die Mitteilung erfolgt per E-Mail an den primären Kontokontakt oder durch eine dafür vorgesehene Ankündigung im Produkt oder auf der Website, und zwar mindestens dreißig Tage, bevor die Änderung wirksam wird.

Einwand

Der Verantwortliche kann innerhalb der Mitteilungsfrist aus angemessenen, dokumentierten datenschutzrechtlichen Gründen Einwände erheben. Die Parteien besprechen den Einwand nach Treu und Glauben. Kann der Einwand nicht gelöst werden, kann der Verantwortliche den betroffenen Teil des Dienstes durch schriftliche Mitteilung kündigen; der Auftragsverarbeiter erstattet alle im Voraus gezahlten Gebühren für den ungenutzten Teil dieses Dienstes ab dem Beendigungsdatum.

Pflichten von Unterauftragsverarbeitern

Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter einschaltet, legt er ihm im Wege eines schriftlichen Vertrags dieselben Datenschutzpflichten auf, die in diesem DPA festgelegt sind, insbesondere die Pflicht, ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bereitzustellen, damit die Verarbeitung den Anforderungen der DSGVO entspricht.

06Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Daten des Kunden betrifft. Die Benachrichtigung wird an die E-Mail-Adresse gesendet, die mit dem primären Kontokontakt des Verantwortlichen verknüpft ist, und umfasst, soweit dem Auftragsverarbeiter diese Informationen zu diesem Zeitpunkt bekannt sind:

  • eine Beschreibung der Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl betroffener Personen und betroffener Datensätze;
  • den Namen und die Kontaktdaten der Kontaktstelle des Auftragsverarbeiters;
  • die wahrscheinlichen Folgen der Verletzung;
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Minderung ihrer möglichen nachteiligen Auswirkungen.

Wenn es nicht möglich ist, alle diese Informationen auf einmal bereitzustellen, stellt der Auftragsverarbeiter sie phasenweise bereit, sobald sie verfügbar werden, ohne weitere unangemessene Verzögerung.

Die Meldung einer Verletzung stellt kein Eingeständnis von Verschulden oder Haftung durch den Auftragsverarbeiter dar.

07Unterstützung bei Rechten betroffener Personen

Der Dienst stellt dem Verantwortlichen Self-Service-Tools zur Verfügung, mit denen er auf Anträge betroffener Personen reagieren kann, die ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch nach Art. 15-22 DSGVO ausüben (zum Beispiel exportiert das Dashboard für Mitarbeitende Bestellhistorien und Kundenkontakt-Datensätze, und der Verantwortliche kann Datensätze direkt löschen).

Soweit die Self-Service-Tools nicht ausreichen, leistet der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung dem Verantwortlichen angemessene Unterstützung bei der Beantwortung eines Antrags einer betroffenen Person. Der Auftragsverarbeiter kann für Unterstützung eine angemessene Gebühr verlangen, wenn der Antrag offensichtlich unbegründet oder exzessiv ist, insbesondere wegen seines wiederholten Charakters.

Wenn der Auftragsverarbeiter einen Antrag einer betroffenen Person in Bezug auf personenbezogene Daten des Kunden direkt von der betroffenen Person erhält, weist er die betroffene Person darauf hin, den Antrag an den Verantwortlichen zu richten, und benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung.

08Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen auf angemessene schriftliche Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung seiner Pflichten nach Art. 28 DSGVO nachzuweisen.

Ist der Verantwortliche vernünftigerweise der Ansicht, dass die bereitgestellten Informationen für den Nachweis der Einhaltung nicht ausreichen, kann er höchstens einmal pro Kalenderjahr ein Audit durchführen, indem er mindestens dreißig Tage im Voraus schriftlich darüber informiert. Audits werden während der Geschäftszeiten durchgeführt, wahren die Vertraulichkeit der Daten anderer Kunden, beeinträchtigen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen und werden vom Verantwortlichen oder einem qualifizierten unabhängigen Drittprüfer unter angemessenen Vertraulichkeitspflichten durchgeführt. Der Verantwortliche trägt die Kosten seines Audits, es sei denn, das Audit stellt einen wesentlichen, dem Auftragsverarbeiter zurechenbaren Verstoß gegen dieses DPA fest.

Häufigere Audits können erforderlich sein, wenn eine Aufsichtsbehörde den Verantwortlichen dazu anweist oder nach einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen wesentlich betrifft.

09Internationale Übermittlungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Kunden hauptsächlich in Bulgarien (EU). Wenn der Auftragsverarbeiter oder ein Unterauftragsverarbeiter personenbezogene Daten des Kunden in ein Land außerhalb des EWR übermittelt, das nicht von einem Angemessenheitsbeschluss nach Art. 45 DSGVO erfasst ist, vereinbaren die Parteien, dass die Übermittlung auf der Grundlage geeigneter Garantien im Sinne von Art. 46 DSGVO erfolgt, und zwar:

  • der SCCs, abgeschlossen zwischen Datenexporteur und Datenimporteur im anwendbaren Modul, mit den Auswahlentscheidungen und optionalen Klauseln in Annex IV; oder
  • sofern sich der Importeur im Rahmen des EU-US Data Privacy Framework selbst zertifiziert (Commission Implementing Decision (EU) 2023/1795), der Angemessenheitsbeschluss in Kombination mit der Selbstzertifizierung des Importeurs.

Der Auftragsverarbeiter führt, soweit erforderlich, eine Bewertung der Auswirkungen der Übermittlung (Transfer Impact Assessment) durch und setzt ergänzende Maßnahmen um, soweit dies vernünftigerweise erforderlich ist, um sicherzustellen, dass das von der DSGVO garantierte Schutzniveau nicht untergraben wird.

10Rückgabe oder Löschung von Daten

Nach Beendigung der Vereinbarung und nach Wahl des Verantwortlichen wird der Auftragsverarbeiter:

  • alle personenbezogenen Daten des Kunden in einem strukturierten, gängigen und maschinenlesbaren Format über die Exportfunktionen des Dienstes oder auf andere angemessene Weise an den Verantwortlichen zurückgeben; oder
  • alle personenbezogenen Daten des Kunden löschen.

Innerhalb von drei Monaten nach Beendigung löscht der Auftragsverarbeiter personenbezogene Daten des Kunden aus Produktionssystemen und aus routinemäßigen Backups im Rahmen gewöhnlicher Betriebszyklen, außer wenn das Anwendbare Datenschutzrecht oder anderes anwendbares Recht eine weitere Aufbewahrung verlangt (zum Beispiel Buchhaltungs- und Steuerunterlagen) oder wenn die Aufbewahrung für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Alle aufbewahrten Daten unterliegen weiterhin diesem DPA.

11Haftung und Laufzeit

Die Haftung jeder Partei aus diesem DPA unterliegt den in der Vereinbarung festgelegten Beschränkungen und Ausschlüssen. Nichts in diesem DPA schließt die Haftung einer Partei wegen Betrugs, grober Fahrlässigkeit, vorsätzlichen Fehlverhaltens oder einer Haftung aus oder beschränkt sie, soweit sie nach dem Anwendbaren Datenschutzrecht nicht beschränkt oder ausgeschlossen werden kann.

Dieses DPA tritt an dem Tag in Kraft, an dem die Parteien die Vereinbarung schließen, und gilt so lange, bis der Auftragsverarbeiter alle personenbezogenen Daten des Kunden gemäß Section 10 gelöscht oder zurückgegeben hat. Die Pflichten aus diesem DPA gelten nach Beendigung der Vereinbarung fort, solange der Auftragsverarbeiter personenbezogene Daten des Kunden aufbewahrt.

12Anwendbares Recht

Dieses DPA unterliegt dem Recht der Republik Bulgarien unter Ausschluss seiner kollisionsrechtlichen Regeln. Die Gerichte der Stadt Sofia sind ausschließlich zuständig für Streitigkeiten aus oder im Zusammenhang mit diesem DPA, es sei denn, das Anwendbare Datenschutzrecht weist die ausschließliche Zuständigkeit einem anderen Forum zu.

13Kontakt

Fragen zu diesem DPA, Anfragen zur Ausübung von Rechten im Namen betroffener Personen oder Mitteilungen, die nach diesem DPA erforderlich sind, senden Sie bitte an [email protected] oder per Post an COTRONIKA EOOD, Sofia 1700, Bulgaria.

A1Anhang I — Beschreibung der Verarbeitung

Gegenstand

Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zum Zweck der Bereitstellung der UXO-Plattform nach der Vereinbarung.

Dauer

Für die Laufzeit der Vereinbarung und für jeden anschließenden Zeitraum, in dem der Auftragsverarbeiter personenbezogene Daten des Kunden gemäß Section 10 aufbewahrt.

Art und Zweck der Verarbeitung

Hosting, Speicherung, Abruf, Anzeige, Übermittlung, Einsichtnahme, Organisation, Strukturierung, Indexierung, Suche, Pseudonymisierung, Löschung und andere Vorgänge, die erforderlich sind, um die Funktionen der UXO-Plattform zu betreiben, deren Nutzung der Verantwortliche auswählt, einschließlich digitaler Speisekarten, QR-Bestellungen, Abhol- und Lieferabläufe, Reservierungen, des Dashboards für Mitarbeitende, der Marktplatzoberfläche und unterstützender Analysen.

Kategorien betroffener Personen

  • Gäste der Betriebsstätten des Verantwortlichen, die einen QR-Code scannen, Bestellungen aufgeben, Reservierungen vornehmen oder anderweitig mit kundenorientierten Flächen interagieren.
  • Autorisierte Mitarbeitende des Verantwortlichen, die das Dashboard für Mitarbeitende, die Küchen- / Bar-Warteschlangen oder den Druckerdienst nutzen.
  • Soweit anwendbar, Lieferanten und andere Geschäftskontakte, die der Verantwortliche seiner Betriebsstätte hinzufügt.

Kategorien personenbezogener Daten

  • Kontakt- und Identifikationsdaten — Name, E-Mail, Telefon, Lieferadresse.
  • Bestell- und Reservierungsdaten — Artikel, Varianten, Notizen, Zeiten, Tisch- oder Abhol-/Lieferdetails, Zahlungsstatus.
  • Kontodaten — Sprachpräferenz, gespeicherte Adressen, Authentifizierungs-Tokens.
  • Mitarbeiterdaten — Name, Rolle, Kontaktdaten, Session-Tokens, Aktivitätsprotokolle.
  • Technische und Verbindungsdaten — IP-Adresse, Gerät, Browser, ungefähre Position, Server-Logs und Sicherheits-Telemetrie.

Der Dienst ist nicht dafür ausgelegt, besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) zu verarbeiten. Der Verantwortliche verpflichtet sich, solche Daten nicht hochzuladen, ohne zuvor zusätzliche Schutzmaßnahmen schriftlich mit dem Auftragsverarbeiter zu vereinbaren.

A2Anhang II — Technische und organisatorische Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos für die Rechte und Freiheiten natürlicher Personen setzt der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu den derzeitigen Maßnahmen gehören:

Vertraulichkeit

  • TLS-1.2+-Verschlüsselung bei der Übertragung für den gesamten Datenverkehr zum und vom Dienst.
  • Verschlüsselung ruhender Daten für Produktionsdatenbanken und Backups mit branchenüblichen Algorithmen.
  • Rollenbasierte Zugriffskontrolle nach dem Need-to-know-Prinzip. Der Zugriff von Mitarbeitenden auf Produktionsdaten ist auf die Personen beschränkt, deren Rolle ihn erfordert.
  • Multi-Tenancy-Isolierung, die bei jeder Datenbankabfrage über einen verpflichtenden restaurant-Tenancy-Filter durchgesetzt wird.
  • Passwörter werden als gesalzene Hashes mit einem langsamen, speicherintensiven Algorithmus gespeichert. Session-Tokens werden rotiert und verfallen.

Integrität

  • Code-Change-Management-Prozess mit Peer Review für Änderungen an Produktionssystemen.
  • Automatisierte Continuous-Integration-Build- und Test-Pipeline vor dem Deployment.
  • Audit-Logs administrativer Maßnahmen, signiert und manipulationsersichtlich.

Verfügbarkeit und Belastbarkeit

  • Redundante Produktionsinfrastruktur mit regelmäßigen automatisierten Backups.
  • DDoS-Schutz und eine Web-Application-Firewall über Cloudflare.
  • Kapazitätsplanung und Monitoring der Systemgesundheit.
  • Dokumentierte Incident-Response-Verfahren mit definierter Eskalationskette.

Regelmäßige Tests und Überprüfung

  • Regelmäßiges Einspielen von Schwachstellen-Patches für Betriebssystem, Sprachruntime, Framework, Abhängigkeiten und Infrastrukturkomponenten.
  • Regelmäßige Überprüfung der Sicherheitslage von Lieferanten für die in Annex III aufgeführten Unterauftragsverarbeiter.
  • Regelmäßige Überprüfung und Aktualisierung dieser technischen und organisatorischen Maßnahmen.

Der Auftragsverarbeiter kann die Maßnahmen von Zeit zu Zeit aktualisieren, um Änderungen des Stands der Technik und des Risikoprofils des Dienstes Rechnung zu tragen, sofern die aktualisierten Maßnahmen das Schutzniveau nicht wesentlich verringern.

A3Anhang III — Aktuelle Unterauftragsverarbeiter

Die aktuellen Unterauftragsverarbeiter, die der Auftragsverarbeiter zur Bereitstellung des Dienstes einsetzt, sind unten aufgeführt. Die Liste gibt den Stand zum Datum “Zuletzt aktualisiert” wieder und wird im Einklang mit Section 5 gepflegt.

UnterauftragsverarbeiterZweckStandort
COTRONIKA EOOD (own infrastructure)Anwendungs-Hosting, Primärdatenbank, Dateispeicherung, Backups, SMTP-E-Mail-Zustellung, Aboverwaltung (self-hosted WHMCS), FehlerüberwachungBulgarien (EU)
Cloudflare, Inc.DNS, CDN, DDoS-Schutz, Web-Application-Firewall, Turnstile-Bot-ErkennungUSA, mit EU-Standorten
Stripe Payments Europe LtdZahlungsabwicklung für Abonnementgebühren und andere bezahlte TransaktionenIrland (EU), mit US-Muttergesellschaft
Anthropic PBCBild-zu-Text-Umwandlung (OCR) nur für Papiermenüs, die über die Menu-Scan-Funktion hochgeladen werden; der Dienst sendet über diese Funktion im normalen Betriebsablauf keine personenbezogenen Daten des KundenUSA
Google Ireland Ltd (Google Analytics)Webanalyse nur auf der Marketing-Website uxo.bgIrland (EU), mit US-Muttergesellschaft

A4Anhang IV — SCC-Modulauswahl

Soweit die SCCs auf eine Übermittlung nach Section 9 Anwendung finden, werden vorab folgende Auswahlentscheidungen getroffen:

  • Module. Module Two (transfer controller-to-processor) gilt zwischen dem Verantwortlichen und jedem nicht im EWR ansässigen Unterauftragsverarbeiter, den der Verantwortliche direkt einsetzt. Module Three (transfer processor-to-processor) gilt zwischen dem Auftragsverarbeiter und jedem nicht im EWR ansässigen Unterauftragsverarbeiter, den er im Auftrag des Verantwortlichen einsetzt.
  • Clause 7 (docking clause). Gilt. Andere Verantwortliche und Auftragsverarbeiter können den SCCs nach Maßgabe dieser Klausel beitreten.
  • Clause 9 (sub-processors). Option 2 (general written authorisation), mit einer Mitteilungsfrist wie in Section 5 festgelegt.
  • Clause 11 (redress). Die optionale Sprache, die es der betroffenen Person erlaubt, Beschwerde bei einer unabhängigen Streitbeilegungsstelle einzulegen, wird nicht ausgewählt.
  • Clause 17 (governing law). Bulgarisches Recht.
  • Clause 18 (forum and jurisdiction). Die Gerichte der Stadt Sofia, Bulgarien.
  • Annex I.A (parties). Der Verantwortliche wird durch die Kontodaten identifiziert, die dem Auftragsverarbeiter bereitgestellt wurden; der Auftragsverarbeiter ist COTRONIKA EOOD; der Datenschutzkontakt für beide Parteien ist [email protected] für den Auftragsverarbeiter und die Konto-E-Mail des Verantwortlichen für den Verantwortlichen.
  • Annex I.B (description). Wie in Annex I dieses DPA festgelegt.
  • Annex II (security measures). Wie in Annex II dieses DPA festgelegt.
  • Annex III (sub-processors). Wie in Annex III dieses DPA festgelegt.

14Aktualisierungen dieses DPA

Der Auftragsverarbeiter kann dieses DPA von Zeit zu Zeit aktualisieren, zum Beispiel um Änderungen im Recht, in der Funktionalität des Dienstes oder bei seinen Unterauftragsverarbeitern abzubilden. Der Auftragsverarbeiter wird den primären Kontokontakt über wesentliche Änderungen mit angemessener Vorankündigung informieren. Aktualisierungen, die das Schutzniveau der personenbezogenen Daten des Kunden nicht wesentlich verringern, können an dem Tag wirksam werden, an dem sie auf dieser Seite veröffentlicht werden.

Bereit für QR-Menü, Tischbestellungen, Abholung und Lieferung in einem System?
Kostenlos starten, lokale Sichtbarkeit inklusive.

Kostenlos startenKontakt aufnehmen