BuzzKiez LogoBuzzKiez

DATENVERARBEITUNGSVEREINBARUNG (AV-VERTRAG)

gemäß Artikel 28 DSGVO

zwischen

Unternehmen (Verantwortlicher)

und

Sriram Jayanthi – BuzzKiez (Auftragsverarbeiter)

  • Pauline-Staegemann-Strasse 2
  • 10249 Berlin
  • Deutschland

Zuletzt aktualisiert: 20/11/2025

Diese Datenverarbeitungsvereinbarung (Vereinbarung) ist Teil des Hauptvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter für die Nutzung der BuzzKiez-Treueplattform.

1. Gegenstand und Dauer

1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit dem Betrieb digitaler Treuekarten über Apple Wallet und Google Wallet.

1.2 Die Vereinbarung gilt für die Dauer des Hauptvertrags und endet, wenn die Verarbeitung im Auftrag des Verantwortlichen vollständig abgeschlossen ist.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für diese Zwecke:

  • Erzeugung und Aktualisierung digitaler Wallet-Pässe,
  • Aufzeichnung von Besuchen, Stempelstatus und Ausgabenwerten,
  • Anwendung von Segmentierungslogik,
  • Auslösung von treuebezogenen Pass-Updates,
  • Speicherung und Darstellung von Analysen für den Verantwortlichen,
  • Ausführung technischer Protokollierung, Überwachung und Sicherheitsmaßnahmen, die zum Betrieb des Dienstes erforderlich sind.

Keine andere Verarbeitung findet statt, es sei denn, sie ist nach Unionsrecht oder Mitgliedstaatsrecht erforderlich.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Betroffene Personen

Die Verarbeitung betrifft:

  • Endkunden, die eine vom Verantwortlichen ausgestellte Treuekarte verwenden,
  • autorisierte Mitarbeiter des Verantwortlichen, die das BuzzKiez-Dashboard verwenden.

3.2 Arten von Daten

Für Endkunden:

  • Name,
  • Wallet-Pass-Kennung,
  • anonymisierte Gerätekennungen,
  • verknüpftes Unternehmen,
  • statische geografische Koordinaten (Breiten- und Längengrad) des Geschäftsstandorts zur Aktivierung standortbasierter Triggerregeln,
  • Treuekartentyp (stempel- oder wertbasiert),
  • Besuchsereignisse und Stempelstatus,
  • Ausgabenwerte für wertbasierte Treueprogramme,
  • Segmentierungslabels,
  • technische Protokolle wie Zeitstempel und Anfrageidentifikatoren.

Für Mitarbeiter des Verantwortlichen:

  • Name und E-Mail-Adresse,
  • Telefonnummer,
  • Anmeldedaten (gehashte Passwörter),
  • Nutzungsprotokolle und Support-Kommunikation.

Besondere Kategorien von Daten im Sinne von Art. 9 DSGVO sollen nicht verarbeitet werden.

4. Weisungen

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen. Diese Weisungen sind in dieser Vereinbarung und dem Hauptvertrag definiert.

4.2 Wenn der Verantwortliche zusätzliche Weisungen erteilt, müssen diese in Textform erfolgen.

4.3 Wenn der Auftragsverarbeiter der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Gesetze verstößt, wird er den Verantwortlichen unverzüglich informieren und die Ausführung aussetzen, bis die Weisung bestätigt oder geändert wird.

5. Vertraulichkeit

5.1 Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen aufgrund gesetzlicher Vorschriften oder schriftlicher Vereinbarungen zur Vertraulichkeit verpflichtet sind.

6. Technische und organisatorische Maßnahmen

6.1 Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Dazu gehören:

  • Zugriffskontrolle für Systeme und Personal,
  • verschlüsselte Datenübertragung,
  • Trennung von Produktions- und Testumgebungen,
  • regelmäßige Backups und Wiederherstellungstests,
  • Protokollierung und Überwachung von Systemaktionen,
  • Verfahren zur Gewährleistung der Verfügbarkeit und Belastbarkeit,
  • Incident-Response-Prozesse.

6.2 Eine aktuelle Übersicht der Maßnahmen (TOMs) ist verfügbar unter:

Der Verantwortliche erkennt diese Maßnahmen als angemessen an.

7. Unterauftragsverarbeiter

7.1 Der Verantwortliche erteilt eine allgemeine Genehmigung für den Auftragsverarbeiter, Unterauftragsverarbeiter einzusetzen.

7.2 Aktuelle Unterauftragsverarbeiter umfassen:

  • DigitalOcean LLC. Hosting- und Infrastrukturanbieter mit Rechenzentren in der Europäischen Union.

7.3 Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern informieren und dem Verantwortlichen die Möglichkeit geben, Einspruch zu erheben.

7.4 Der Auftragsverarbeiter wird Unterauftragsverarbeitern die gleichen Datenschutzverpflichtungen auferlegen, wie sie in dieser Vereinbarung festgelegt sind.

8. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen:

  • bei der Beantwortung von Anträgen betroffener Personen gemäß Kapitel III DSGVO,
  • bei der Einhaltung von Art. 32 bis 36 DSGVO (Sicherheit, Benachrichtigung bei Datenschutzverletzungen, Datenschutz-Folgenabschätzungen),

unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

9. Datenschutzverletzungen

9.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, nachdem er von einer Datenschutzverletzung Kenntnis erlangt hat, die im Auftrag des Verantwortlichen verarbeitete Daten betrifft.

9.2 Benachrichtigungen enthalten die nach Art. 33(3) DSGVO erforderlichen Informationen, soweit zum Zeitpunkt der Benachrichtigung bekannt.

10. Löschung und Rückgabe von Daten

10.1 Nach Beendigung des Hauptvertrags und jederzeit auf Anfrage löscht oder gibt der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten zurück, es sei denn, eine rechtliche Verpflichtung erfordert die weitere Speicherung.

10.2 Der Auftragsverarbeiter kann aggregierte oder anonymisierte Daten aufbewahren, die sich nicht auf eine identifizierte oder identifizierbare Person beziehen.

11. Audits

11.1 Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser Vereinbarung erforderlich sind.

11.2 Der Verantwortliche kann Audits oder Inspektionen durchführen, direkt oder durch einen beauftragten Prüfer, während der regulären Geschäftszeiten und mit angemessener Voranmeldung.

11.3 Der Verantwortliche ist für seine eigenen Auditkosten und alle angemessenen Kosten verantwortlich, die dem Auftragsverarbeiter während eines Audits entstehen.

12. Haftung

12.1 Jede Partei haftet gegenüber betroffenen Personen gemäß Art. 82 DSGVO.

12.2 Zwischen Verantwortlichem und Auftragsverarbeiter folgt die Haftungsverteilung dem Hauptvertrag.

13. Schlussbestimmungen

13.1 Diese Vereinbarung hat Vorrang vor abweichenden Bestimmungen im Hauptvertrag, die sich auf den Datenschutz beziehen.

13.2 Diese Vereinbarung unterliegt deutschem Recht.