Vereinbarung über die gemeinsame Verarbeitung personenbezogener Daten

§ 1 Parteien und Gegenstand

Diese Vereinbarung regelt die gemeinsame Verantwortlichkeit im Sinne von Art. 26 der Datenschutz-Grundverordnung (DSGVO) zwischen , Einzelunternehmen, als Betreiber der Plattform Tischradar.de (nachfolgend „Plattformbetreiber") und dem jeweiligen Restaurantbetreiber, der die Plattform zur Verwaltung von Tischreservierungen nutzt (nachfolgend „Restaurantbetreiber").

Gegenstand dieser Vereinbarung ist die gemeinsame Verarbeitung personenbezogener Daten von Gästen, die über Tischradar.de oder das einbettbare Buchungswidget eine Tischreservierung vornehmen, sowie von Gästen, deren Reservierungen vom Restaurantbetreiber manuell über das Dashboard eingetragen werden. Beide Parteien legen gemeinsam die Zwecke und Mittel dieser Verarbeitung fest und sind daher gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO.

Der Restaurantbetreiber stimmt dieser Vereinbarung im Rahmen der Account-Erstellung auf Tischradar.de durch aktives Setzen einer Checkbox ausdrücklich zu. Ohne diese Zustimmung ist eine Nutzung der Plattform nicht möglich. Die Zustimmung wird protokolliert und ist Bestandteil des Vertragsverhältnisses gemäß den AGB.

§ 2 Betroffene Datenkategorien

Im Rahmen des Reservierungsprozesses werden folgende personenbezogene Daten der Gäste verarbeitet:

• Name des Gastes
• E-Mail-Adresse (bei Online-Buchung Pflicht zur Verifizierung; bei manueller Eintragung durch das Restaurant optional)
• Telefonnummer (optional)
• Anzahl der Gäste
• Datum und Uhrzeit der Buchung
• Anmerkungen (optionale Notizen des Gastes zur Reservierung)
• Zugewiesener Tisch (falls Tischauswahl vom Restaurant aktiviert)
• Name und Adresse des gewählten Restaurants
• E-Mail-Verifizierungstoken (temporär, zur Bestätigung der Online-Buchung)
• Status der Reservierung (z. B. ausstehend, bestätigt, storniert, erschienen, nicht erschienen)

§ 3 Zwecke der gemeinsamen Verarbeitung

Die gemeinsame Verarbeitung erfolgt zu folgenden Zwecken:

• Entgegennahme, manuelle Eintragung, Verwaltung und Bestätigung von Tischreservierungen
• Versendung automatischer Bestätigungs- und Erinnerungsbenachrichtigungen an Gäste
• Ermöglichung der Stornierung von Reservierungen durch Gäste
• Darstellung der Reservierungen im Dashboard des Restaurantbetreibers
• Einhaltung gesetzlicher Aufbewahrungspflichten

§ 4 Rechtsgrundlage

Die Verarbeitung der Gästedaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen) zur Durchführung, Bestätigung, Erinnerung an und Stornierung der Tischreservierung sowie auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungspflichten bestehen.

§ 5 Aufteilung der Verantwortlichkeiten

Die Parteien haben die datenschutzrechtlichen Verantwortlichkeiten wie folgt aufgeteilt:

5.1 Plattformbetreiber (Tischradar.de)

• Bereitstellung und Betrieb der technischen Plattform einschließlich sicherer Datenspeicherung
• Versand automatischer Transaktions-E-Mails (Bestätigung, Erinnerung, Stornierungsbestätigung)
• Sicherstellung angemessener technischer und organisatorischer Schutzmaßnahmen (Art. 32 DSGVO)
• Bereitstellung der Datenschutzerklärung für Gäste auf der Plattform
• Benennung eines Ansprechpartners für Datenschutzanfragen auf Plattformebene
• Technische Löschung von Reservierungsdaten in der Datenbank nach Ablauf der definierten Aufbewahrungsfristen oder auf Anfrage
• Koordination der Antwort an betroffene Gäste bei Betroffenenanfragen (Auskunft, Löschung, Berichtigung); der Restaurantbetreiber wird bei Bedarf einbezogen
• Abschluss von Auftragsverarbeitungsverträgen mit eingesetzten Dienstleistern (z. B. Hosting, E-Mail-Versand); die eingesetzten Auftragsverarbeiter sind in der Datenschutzerklärung aufgeführt

5.2 Restaurantbetreiber

• Einhaltung der DSGVO im Umgang mit den über die Plattform zugänglichen Gästedaten
• Information der Gäste über die Datenverarbeitung gemäß Art. 14 DSGVO, sofern keine E-Mail-Adresse des Gastes vorliegt oder der E-Mail-Benachrichtigungsversand für das Restaurant nicht aktiviert ist; in diesen Fällen ist der Restaurantbetreiber eigenverantwortlich für die Erfüllung der Informationspflicht (z. B. mündlich oder durch Aushang im Betrieb)
• Eigenständige Löschung etwaiger eigener Exporte, Notizen oder Kopien von Gästedaten, die außerhalb der Plattform gespeichert wurden
• Mitwirkung bei Betroffenenanfragen auf Anforderung des Plattformbetreibers, insbesondere soweit der Restaurantbetrieb direkt betroffen ist
• Sicherstellung, dass Mitarbeiter, die Zugang zum Dashboard haben, über den datenschutzkonformen Umgang mit Gästedaten informiert sind
• Keine Weitergabe von Gästedaten an Dritte ohne gesonderte Rechtsgrundlage

§ 6 Anlaufstelle für Betroffene

Gemäß Art. 26 Abs. 1 Satz 3 DSGVO können betroffene Personen (Gäste) ihre Rechte gegenüber beiden gemeinsam Verantwortlichen geltend machen. Als primäre Anlaufstelle für Anfragen betroffener Personen fungiert der Plattformbetreiber:

, Tischradar.de
E-Mail:

Der Plattformbetreiber leitet Anfragen, die den Restaurantbetrieb betreffen, unverzüglich an den zuständigen Restaurantbetreiber weiter. Unbeschadet dessen können betroffene Personen ihre Rechte auch direkt gegenüber dem Restaurantbetreiber geltend machen.

§ 7 Betroffenenrechte

Betroffenen Gästen stehen folgende Rechte zu, die gegenüber dem Plattformbetreiber oder dem Restaurantbetreiber geltend gemacht werden können:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Beschwerderecht bei der zuständigen Aufsichtsbehörde

§ 8 Sicherheitsmaßnahmen

Beide Parteien verpflichten sich, angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Plattformbetreiber setzt hierfür insbesondere verschlüsselte Datenübertragung (TLS), Zugriffsbeschränkungen und regelmäßige Sicherheitsprüfungen ein. Der Restaurantbetreiber ist verpflichtet, Zugangsdaten zum Dashboard sicher aufzubewahren und nicht mit unbefugten Dritten zu teilen.

§ 9 Datenpannen

Beide Parteien verpflichten sich, einander unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, über Datenpannen im Sinne von Art. 33 DSGVO zu informieren, die personenbezogene Daten im Rahmen dieser gemeinsamen Verarbeitung betreffen, um die Einhaltung der gesetzlichen 72-Stunden-Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DSGVO) sicherzustellen. Der Plattformbetreiber übernimmt die Meldung an die zuständige Aufsichtsbehörde sowie ggf. die Benachrichtigung betroffener Personen (Art. 34 DSGVO), soweit die Datenpanne auf Plattformebene entstanden ist. Bei Datenpannen im Bereich des Restaurantbetreibers ist dieser selbst meldepflichtig.

§ 10 Speicherdauer

Reservierungsdaten werden auf der Plattform für die Dauer von bis zu 12 Monaten nach dem Reservierungsdatum gespeichert, sofern keine gesetzlichen Aufbewahrungspflichten eine längere Speicherung erfordern. Nach Ablauf dieser Frist werden die Daten automatisch gelöscht oder anonymisiert. Der Restaurantbetreiber ist für die Einhaltung von Aufbewahrungsfristen etwaiger eigener Datenkopien selbst verantwortlich.

§ 11 Haftung

Für Schäden, die einer betroffenen Person durch eine nicht dieser Vereinbarung entsprechende Verarbeitung entstehen, haftet grundsätzlich jede Partei für den Schaden, der durch ihre eigene datenschutzwidrige Verarbeitung verursacht wurde (Art. 82 DSGVO). Gegenüber der betroffenen Person haften beide Parteien gesamtschuldnerisch; im Innenverhältnis erfolgt ein Ausgleich entsprechend dem jeweiligen Verursachungsanteil.

§ 12 Weitere Informationen

Weitere Informationen zur Datenverarbeitung durch den Plattformbetreiber finden Sie in unserer Datenschutzerklärung.

§ 13 Änderung und Beendigung dieser Vereinbarung

Der Plattformbetreiber ist berechtigt, diese Vereinbarung mit einer Ankündigungsfrist von 30 Tagen in Textform (E-Mail) zu ändern. Widerspricht der Restaurantbetreiber nicht innerhalb dieser Frist, gilt die geänderte Vereinbarung als akzeptiert. Im Fall einer Änderung steht dem Restaurantbetreiber ein Sonderkündigungsrecht gemäß den AGB zu.

Diese Vereinbarung endet automatisch mit der Löschung des Restaurantprofils durch den Restaurantbetreiber oder mit der Beendigung des Hauptvertrags gemäß den AGB. Mit Beendigung dieser Vereinbarung löscht der Plattformbetreiber alle personenbezogenen Daten, die im Rahmen der gemeinsamen Verarbeitung für das betreffende Restaurant gespeichert wurden, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Im Fall einer fristlosen Kündigung des Hauptvertrags durch den Plattformbetreiber wird dem Restaurantbetreiber gemäß § 9 der AGB vor der endgültigen Löschung eine Frist von mindestens 7 Tagen zum Datenexport gewährt. Eine Wiederherstellung gelöschter Daten ist nach Ablauf dieser Frist nicht mehr möglich.

§ 14 Anwendbares Recht und Gerichtsstand

Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist Hamburg, soweit gesetzlich zulässig.

§ 15 Textform

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform (E-Mail genügt). Mündliche Abreden haben keine Gültigkeit. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses selbst.

§ 16 Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.