Stand: 16.07.2026
Dieser AVV erfasst Verarbeitungsvorgänge, bei denen der Anbieter personenbezogene Daten im Auftrag des Kunden innerhalb von PosIQ verarbeitet. Nicht erfasst sind Verarbeitungen des Anbieters in eigener Verantwortlichkeit, insbesondere für Vertragsverwaltung, Abrechnung, Support, Sicherheit und Missbrauchsprävention.
1. Vertragsparteien#
1.1 Verantwortlicher
Der Kunde als Nutzer von PosIQ.
1.2 Auftragsverarbeiter
Born - Theoretical Software
Inhaber: Ardit Thaqi
Robert-Bosch-Straße 4
88427 Bad Schussenried
Deutschland
E-Mail: info@posiq.io
Steuernummer: 54350/46400
2. Gegenstand und Dauer#
1. Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung von PosIQ.
2. Die Dauer dieses AVV richtet sich nach der Laufzeit des zugrunde liegenden SaaS-Vertrags. Er beginnt mit Zustandekommen des SaaS-Vertrags. Soweit nach Beendigung des SaaS-Vertrags Daten im Auftrag des Verantwortlichen in einem Export-, Sperr- oder Archivstatus vorgehalten werden, gilt dieser AVV für diese Verarbeitung bis zur vollständigen Löschung oder Rückgabe fort.
3. Art und Zweck der Verarbeitung#
1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur technischen Erbringung der vertraglich geschuldeten Leistungen innerhalb von PosIQ.
2. Die Verarbeitung kann insbesondere folgende Tätigkeiten umfassen:
- Hosting und Speicherung von Kundendaten,
- Benutzer-, Mitarbeiter- und Rechteverwaltung einschließlich Arbeitszeiterfassung (Stempeluhr) und Trinkgeldzuordnung,
- Erfassung, Speicherung, Verarbeitung und Auswertung von Bestellungen, Kassenvorgängen, Belegen, Kassenabschlüssen und Transaktionen,
- technische Übermittlung von Vorgangsdaten an die cloudbasierte technische Sicherheitseinrichtung (TSE) und Speicherung der Signaturdaten,
- Bereitstellung digitaler Belege für Gäste, einschließlich per QR-Code abrufbarer Belege und Bewirtungsangaben,
- Erstellung von Exporten, Berichten und technischen Auswertungen,
- optional KI-gestützte Extraktion von Artikel- und Speisekartendaten aus vom Verantwortlichen hochgeladenen Dateien,
- optional Anbindung externer Systeme und Schnittstellen auf Weisung des Verantwortlichen, etwa BuchhaltIQ oder Lieferplattformen.
4. Kategorien personenbezogener Daten und betroffener Personen#
1. Kategorien personenbezogener Daten können insbesondere sein:
- Stammdaten von Mitarbeitern des Verantwortlichen, insbesondere Name, Rolle und Berechtigungen,
- Arbeitszeit- und Stempeluhrdaten sowie Trinkgeldzuordnungen von Mitarbeitern,
- Bestell-, Kassen-, Beleg-, Kassenabschluss- und Transaktionsdaten, einschließlich der ausführenden Bedienung, Tisch- und Gerätezuordnung sowie maskierter Zahlungsmetadaten,
- TSE-Signatur- und Protokolldaten zu Kassenvorgängen,
- Angaben von Gästen im Zusammenhang mit digitalen Belegen und Bewirtungsbelegen,
- Endkundendaten aus optional angebundenen Lieferplattformen, insbesondere Name, Telefonnummer und Bestelldetails,
- Nutzungs-, Log- und Metadaten,
- Daten aus optionalen Integrationen.
2. Betroffene Personen können insbesondere sein:
- Mitarbeiter des Verantwortlichen,
- Gäste und Endkunden des Verantwortlichen,
- Ansprechpartner und Lieferanten des Verantwortlichen,
- sonstige Personen, deren Daten der Verantwortliche in PosIQ verarbeitet.
5. Weisungen des Verantwortlichen#
1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.
2. Der SaaS-Vertrag, die produktbezogene Nutzung durch den Verantwortlichen sowie die innerhalb von PosIQ ausgelösten Funktionen gelten als dokumentierte Weisungen im Sinne dieses AVV.
3. Einzelweisungen außerhalb des vertraglich vereinbarten Leistungsumfangs kann der Auftragsverarbeiter als Zusatzleistung abrechnen.
6. Pflichten des Auftragsverarbeiters#
Der Auftragsverarbeiter verpflichtet sich,
1. personenbezogene Daten vertraulich zu behandeln und nur befugten Personen zugänglich zu machen, 2. sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind, 3. geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen, 4. den Verantwortlichen bei Betroffenenanfragen, Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und Konsultationen angemessen zu unterstützen, 5. den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen Datenschutzrecht verstößt, 6. ein Verzeichnis geeigneter Unterauftragsverarbeiter zu führen.
7. Technische und organisatorische Maßnahmen#
Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen. Hierzu gehören insbesondere:
- Zugriffsschutz durch Authentifizierung und Rollen-/Berechtigungskonzepte,
- verschlüsselte Datenübertragung,
- Schutz vor unbefugtem Zugriff auf Systeme und Daten,
- Protokollierung sicherheitsrelevanter Ereignisse,
- Backup- und Wiederherstellungsprozesse,
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen.
Die Maßnahmen dürfen weiterentwickelt und angepasst werden, solange das insgesamt geschuldete Schutzniveau nicht unterschritten wird.
8. Unterauftragsverarbeiter#
1. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.
2. Derzeit sind insbesondere folgende Unterauftragsverarbeiter oder technische Dienstleister vorgesehen, soweit sie im jeweiligen Nutzungsszenario für Verarbeitungen innerhalb von PosIQ als Auftragsverarbeiter eingesetzt werden:
| Dienstleister | Zweck | Region |
|---|---|---|
| Google Cloud Platform / Firebase / Firestore | Hosting, Datenbank, Speicher und Infrastruktur, einschließlich Fiskaldaten-Archiv | EU, insbesondere Frankfurt (europe-west3) |
| fiskaly GmbH | Cloudbasierte technische Sicherheitseinrichtung (Cloud-TSE), Signierung von Kassenvorgängen, TSE-Exporte | Deutschland / EU |
| SendGrid (Twilio) | Versand transaktionsbezogener E-Mails | EU/USA |
| Google Vertex AI / Anthropic über Vertex AI | Optionale KI-gestützte Extraktion von Artikel- und Speisekartendaten aus hochgeladenen Dateien | EU-Region, soweit technisch konfiguriert |
3. Dienstleister für Website-Bereitstellung, Domainverwaltung, Kontaktformulare und die Zahlungsabwicklung der Vergütung des Anbieters (insbesondere Mollie) sowie vom Kunden gewählte oder angebundene Dritte, insbesondere Kartenzahlungsdienstleister wie GP tom von Commerz Globalpay, Lieferplattformen wie Wolt, Uber Eats oder Lieferando und die BuchhaltIQ-Anbindung, können je nach Verarbeitungsvorgang eigenständig Verantwortliche, gemeinsame Verantwortliche oder Auftragsverarbeiter sein. Ihre jeweilige Rolle ergibt sich aus dem konkreten Dienst, den Datenschutzhinweisen und den Bedingungen des jeweiligen Drittanbieters.
4. Über die Beauftragung neuer oder den Austausch bestehender Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mindestens 30 Tage vor Wirksamwerden in Textform. Der Verantwortliche kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen.
9. Drittstaatentransfers#
1. Eine Verarbeitung in Drittstaaten erfolgt nur, soweit die gesetzlichen Voraussetzungen hierfür vorliegen.
2. Sofern Dienstleister außerhalb der EU oder des EWR eingesetzt werden oder ein Zugriff von dort nicht ausgeschlossen werden kann, erfolgt dies nur auf Grundlage eines Angemessenheitsbeschlusses, geeigneter Garantien oder einer sonstigen gesetzlichen Grundlage.
10. Unterstützung bei Betroffenenrechten und Datenschutzverletzungen#
1. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten.
2. Erhält der Auftragsverarbeiter Anfragen betroffener Personen unmittelbar, wird er diese unverzüglich an den Verantwortlichen weiterleiten, sofern eine Zuordnung zum Verantwortlichen möglich ist.
3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten, die den Gegenstand dieses AVV betreffen.
11. Kontrollrechte#
1. Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV in angemessenem Umfang zu überprüfen.
2. Der Verantwortliche kündigt Vor-Ort-Prüfungen mit angemessener Frist, in der Regel mindestens 14 Kalendertage, an. Die Durchführung hat während üblicher Geschäftszeiten und unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie der Sicherheit anderer Kunden zu erfolgen.
3. Der Auftragsverarbeiter kann den Nachweis der Einhaltung datenschutzrechtlicher Anforderungen auch durch geeignete Unterlagen, Zertifikate, Auditberichte oder Selbstauskünfte führen.
12. Rückgabe, Löschung und Archivierung nach Vertragsende#
1. Nach Beendigung des SaaS-Vertrags gibt der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen zurück oder löscht sie, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht und keine fortwirkende dokumentierte Weisung zur Archivierung vorliegt.
2. Soweit keine abweichende Weisung vorliegt, gilt als vereinbart, dass der Verantwortliche seine Daten innerhalb von 30 Tagen nach Vertragsende exportieren kann. Nach Ablauf dieses Exportzeitraums wird der produktive Zugriff beendet.
3. Kassen-, Bestell-, Beleg-, Kassenabschluss-, Transaktions- und TSE-Protokolldaten sowie vergleichbare steuerlich oder handelsrechtlich relevante Daten können nach Ende des produktiven Zugriffs in einen gesperrten Archivstatus überführt werden, soweit dies zur Erfüllung gesetzlicher Aufbewahrungs-, Nachweis-, Prüfungs- oder Rechtsverteidigungspflichten erforderlich ist oder der Verantwortliche eine entsprechende Archivierung innerhalb von PosIQ nutzt. Hierzu gehört insbesondere ein bei Außerbetriebnahme der TSE erstelltes Fiskalarchiv mit den TSE-Exporten und Beleg-Daten des Verantwortlichen. Eine Verarbeitung archivierter Daten erfolgt nur noch zu diesen Archiv-, Nachweis-, Prüfungs-, Sicherheits- oder Rechtsverteidigungszwecken.
4. Archivierte Daten werden spätestens nach Ablauf der jeweils einschlägigen Aufbewahrungsfrist gelöscht, soweit keine weitere gesetzliche Pflicht, behördliche Anordnung, laufende Prüfung oder Rechtsverteidigung eine längere Speicherung erfordert. Je nach Unterlagenart können gesetzliche Aufbewahrungsfristen von bis zu 10 Jahren gelten; für bestimmte Buchungsbelege gelten nach aktueller Rechtslage kürzere Fristen.
5. Sicherungskopien werden im Rahmen üblicher Backup-Zyklen überschrieben und spätestens innerhalb von 90 Tagen entfernt, sofern keine gesetzliche Pflicht oder ein Sicherheitsgrund eine längere Vorhaltung erfordert.
6. Von diesem AVV unberührt bleiben Daten, die der Auftragsverarbeiter in eigener Verantwortlichkeit verarbeitet, insbesondere Vertrags-, Rechnungs-, Zahlungs-, Support- und Sicherheitsdaten.
13. Haftung#
1. Für die Haftung gelten die gesetzlichen datenschutzrechtlichen Bestimmungen sowie die Haftungsregelungen des SaaS-Vertrags, soweit gesetzlich zulässig.
2. Zwingende Ansprüche aus der DSGVO bleiben unberührt.
14. Schlussbestimmungen#
1. Bei Widersprüchen zwischen diesem AVV und dem SaaS-Vertrag gehen die Regelungen dieses AVV vor, soweit es um Auftragsverarbeitung geht.
2. Änderungen und Ergänzungen dieses AVV bedürfen der Textform, sofern keine strengere gesetzliche Form erforderlich ist.
3. Im Übrigen gelten die Bestimmungen des SaaS-Vertrags.