Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — TGramm Retail
Version: v2026-05 Draft 2
Stand: 28.05.2026
Status: Arbeitsentwurf zur fachlichen und anwaltlichen Prüfung; Entscheidungen zu Telegram, Löschung und Backup-Status eingearbeitet
Produkt: TGramm Retail
Auftragsverarbeiter: Oleksii Fischer Einzelunternehmen, Polkostr. 11, 81245 München, Deutschland
Hinweis zum Status: Dieser Entwurf bildet die aktuell bekannte Produkt- und Infrastrukturrealität von TGramm Retail ab. Er ersetzt keine anwaltliche Prüfung. Der Entwurf geht davon aus, dass Telegram nur als optionaler externer Kommunikationskanal behandelt wird, aktive Shop-/Bestelldaten nach Vertragsende grundsätzlich binnen 30 Tagen gelöscht werden und derzeit keine eigenständig garantierten Backups zugesagt werden.
1. Parteien und Rollen
Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen dem jeweiligen Händler, der TGramm Retail nutzt („Auftraggeber“ oder „Verantwortlicher“), und Oleksii Fischer Einzelunternehmen, Polkostr. 11, 81245 München („Auftragnehmer“ oder „Auftragsverarbeiter“) geschlossen.
Der Auftraggeber betreibt mit TGramm Retail einen Online-Shop oder eine vergleichbare digitale Bestelloberfläche. Soweit der Auftragnehmer personenbezogene Daten von Kunden, Interessenten, Bestellpersonen, Mitarbeitenden oder Administratoren des Auftraggebers im Rahmen von TGramm Retail verarbeitet, erfolgt diese Verarbeitung im Auftrag des Auftraggebers im Sinne von Art. 28 DSGVO.
Für eigene Zwecke des Auftragnehmers, insbesondere Vertragsverwaltung, Abrechnung, eigene Kommunikation, Sicherheitsnachweise, Produktbetrieb, Missbrauchsverhinderung und eigenes Marketing, kann der Auftragnehmer je nach Verarbeitung eigenständiger Verantwortlicher sein. Diese Verarbeitungen sind nicht Gegenstand dieses AVV, soweit sie nicht unmittelbar zur Auftragsverarbeitung für den Auftraggeber gehören.
2. Gegenstand, Zweck und Dauer der Verarbeitung
Gegenstand der Verarbeitung ist die Bereitstellung von TGramm Retail als webbasierte Plattform für Händler. Die Plattform ermöglicht insbesondere die Pflege von Shop-, Produkt- und Menüinformationen, die Annahme und Verwaltung von Bestellungen, Benachrichtigungen, Zahlungs- und Statusprozesse sowie administrative Einstellungen.
Die Verarbeitung dient ausschließlich dem Zweck, die vereinbarten Leistungen von TGramm Retail gegenüber dem Auftraggeber zu erbringen. Hierzu gehören insbesondere Shop-Betrieb, Bestellabwicklung, Kundenkommunikation, Händler-Administration, Sicherheits- und Betriebsprotokollierung sowie, sofern aktiviert, optionale Zusatzfunktionen wie KI-gestützte Menüerfassung oder Benachrichtigungskanäle.
Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Nutzungsverhältnisses zwischen Auftraggeber und Auftragnehmer. Nach Beendigung des Nutzungsverhältnisses werden personenbezogene Daten nach Maßgabe von Abschnitt 12 und Anlage 1 gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten, Nachweispflichten oder berechtigten Sicherheitsinteressen entgegenstehen.
3. Art der personenbezogenen Daten und Kategorien betroffener Personen
Die verarbeiteten Datenarten und Kategorien betroffener Personen sind in Anlage 1 — Verarbeitungsbeschreibung und Datenkategorien beschrieben. Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sind nicht vorgesehen und dürfen vom Auftraggeber nicht gezielt in TGramm Retail eingebracht werden, sofern dies nicht ausdrücklich gesondert vereinbart und technisch-organisatorisch abgesichert wurde.
Der Auftraggeber ist dafür verantwortlich, keine personenbezogenen Daten in Freitextfelder, Produktbeschreibungen, Menübilder oder sonstige Inhalte hochzuladen, die für den Betrieb des Shops nicht erforderlich sind oder deren Verarbeitung rechtlich unzulässig wäre.
4. Weisungen des Auftraggebers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Verpflichtung des Auftragnehmers entgegensteht. Die Weisungen ergeben sich aus diesem AVV, dem Hauptvertrag, den Produktfunktionen, den Einstellungen des Auftraggebers innerhalb von TGramm Retail sowie sonstigen dokumentierten Weisungen in Textform.
Mündliche Weisungen sind nur verbindlich, wenn sie anschließend in Textform bestätigt werden. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt. Der Auftragnehmer ist berechtigt, die Ausführung einer offensichtlich rechtswidrigen Weisung bis zur Klärung auszusetzen.
5. Vertraulichkeit und Zugriffsberechtigungen
Der Auftragnehmer stellt sicher, dass Personen, die Zugriff auf personenbezogene Daten des Auftraggebers erhalten, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff wird nach dem Need-to-know-Prinzip beschränkt.
Nach aktuellem Stand hat produktiver Zugriff auf personenbezogene Kundendaten nur der Inhaber des Auftragnehmers. Externe Entwickler, Freelancer oder sonstige Dienstleister erhalten keinen Zugriff auf produktive personenbezogene Daten, sofern sie nicht zuvor auf Vertraulichkeit verpflichtet, auf Datenschutzanforderungen hingewiesen und technisch auf das erforderliche Minimum beschränkt wurden.
6. Technisch-organisatorische Maßnahmen
Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen („TOM“) zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus. Die aktuell vorgesehenen TOM sind in Anlage 2 — Technisch-organisatorische Maßnahmen beschrieben.
Die TOM können im Laufe der Zeit weiterentwickelt werden, sofern das Sicherheitsniveau der beschriebenen Verarbeitung dadurch nicht unterschritten wird. Wesentliche Änderungen, die das Schutzniveau erheblich mindern, werden dem Auftraggeber mitgeteilt.
7. Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren und unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung datenschutzrechtlicher Pflichten, insbesondere bei:
| Bereich | Unterstützung durch den Auftragnehmer |
|---|---|
| Betroffenenrechte | Export, Berichtigung, Löschung oder Einschränkung, soweit technisch möglich und vom Auftraggeber angewiesen |
| Sicherheit der Verarbeitung | Bereitstellung von Informationen zu TOM, Subunternehmern und relevanten Sicherheitsmaßnahmen |
| Datenschutzverletzungen | Informationen zur Bewertung und Meldung von Vorfällen, soweit TGramm Retail betroffen ist |
| Datenschutz-Folgenabschätzung | Angemessene technische Informationen zur Verarbeitung, soweit erforderlich und verfügbar |
| Behördenanfragen | Unterstützung mit produktbezogenen Informationen, soweit rechtlich zulässig |
Der Auftraggeber bleibt für die rechtliche Bewertung, Kommunikation mit Betroffenen und Behörden sowie für die Erfüllung seiner Pflichten als Verantwortlicher verantwortlich.
8. Datenschutzverletzungen und Sicherheitsvorfälle
Der Auftragnehmer informiert den Auftraggeber unverzüglich, möglichst binnen 48 Stunden nach Kenntnis, über Datenschutzverletzungen oder Sicherheitsvorfälle, die personenbezogene Daten des Auftraggebers betreffen und voraussichtlich ein Risiko für Rechte und Freiheiten betroffener Personen darstellen.
Die Mitteilung enthält, soweit verfügbar, eine Beschreibung des Vorfalls, die betroffenen Datenkategorien, die voraussichtlichen Folgen, ergriffene oder vorgeschlagene Maßnahmen sowie Kontaktmöglichkeiten für Rückfragen. Die gesetzlichen Meldepflichten des Auftraggebers als Verantwortlicher, insbesondere gegenüber Aufsichtsbehörden oder betroffenen Personen, bleiben unberührt.
9. Unterauftragsverarbeiter und Drittplattformen
Der Auftragnehmer darf Unterauftragsverarbeiter einsetzen, soweit diese in Anlage 3 — Unterauftragsverarbeiter und Drittplattformen aufgeführt sind oder nach dem in diesem Abschnitt beschriebenen Verfahren ergänzt werden.
Der Auftragnehmer verpflichtet Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die dem Schutzniveau dieses AVV im Wesentlichen entsprechen. Soweit Unterauftragsverarbeiter außerhalb der EU/des EWR oder mit möglichem Drittlandbezug eingesetzt werden, stellt der Auftragnehmer nach Maßgabe des jeweiligen Anbieter-DPA sicher, dass geeignete Garantien, insbesondere EU-Standardvertragsklauseln oder gleichwertige Mechanismen, vorgesehen sind.
Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen der Unterauftragsverarbeiterliste. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund gegen den Einsatz eines neuen Unterauftragsverarbeiters widersprechen. In diesem Fall werden die Parteien eine angemessene Lösung suchen. Ist keine Lösung möglich, kann der Auftraggeber die betroffene Leistung kündigen.
Telegram wird, sofern aktiviert, nicht als gewöhnlicher Unterauftragsverarbeiter des Auftragnehmers dargestellt, sondern als vom Auftraggeber aktivierter externer Kommunikationskanal beziehungsweise Drittplattform. Der Auftraggeber entscheidet, ob und in welchem Umfang Telegram für Benachrichtigungen oder optionale Einbettungen genutzt wird. Der Auftragnehmer hat keine vollständige Kontrolle über Telegrams eigenständige Datenverarbeitung. Die Nutzung von Telegram ist für den webbasierten Shop-Betrieb nicht erforderlich.
10. Internationale Datenübermittlungen
Die primäre Verarbeitung soll, soweit durch die eingesetzten Anbieter und Tarife verfügbar, innerhalb der EU beziehungsweise des EWR erfolgen. Soweit Anbieter oder deren Unterauftragnehmer Daten in Drittländern verarbeiten oder Zugriff aus Drittländern möglich ist, erfolgt dies nur auf Grundlage geeigneter Garantien nach Kapitel V DSGVO, insbesondere Standardvertragsklauseln, Angemessenheitsbeschlüssen oder anderen zulässigen Mechanismen.
Der Auftragnehmer dokumentiert die für TGramm Retail relevanten Anbieter und verweist in Anlage 3 auf öffentlich verfügbare DPA- oder Datenschutzinformationen der Anbieter. Der Auftraggeber erkennt an, dass Cloud- und Kommunikationsanbieter ihrerseits Unterauftragnehmer einsetzen können.
11. Nachweise und Kontrollrechte
Der Auftragnehmer stellt dem Auftraggeber auf angemessene Anfrage Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses AVV nachzuweisen. Dies kann insbesondere durch TOM-Beschreibungen, Unterauftragsverarbeiterlisten, Sicherheitsinformationen, Selbstauskünfte oder sonstige geeignete Dokumentation erfolgen.
Vor-Ort-Prüfungen oder technische Audits sind nur bei begründetem Anlass zulässig, insbesondere bei konkreten Hinweisen auf eine erhebliche Pflichtverletzung, und bedürfen einer angemessenen Vorankündigung. Solche Prüfungen erfolgen während üblicher Geschäftszeiten, unter Wahrung von Vertraulichkeit, Geschäftsgeheimnissen, Sicherheitsanforderungen und Rechten anderer Kunden. Der Auftraggeber trägt die durch eine Prüfung verursachten angemessenen Kosten, sofern nicht eine wesentliche Pflichtverletzung des Auftragnehmers festgestellt wird.
Ein Audit darf keinen Zugriff auf Daten anderer Kunden, produktive Geheimnisse, Quellcode, Zugangsdaten oder sicherheitskritische Systeme ermöglichen, sofern hierfür keine zwingende rechtliche Notwendigkeit besteht und keine angemessenen Schutzmaßnahmen vereinbart wurden.
12. Löschung und Rückgabe von Daten
Während der Vertragslaufzeit stellt der Auftragnehmer dem Auftraggeber im Rahmen der Produktfunktionen oder auf angemessene Anfrage verfügbare Export- oder Auskunftsmöglichkeiten bereit, soweit dies technisch möglich und zumutbar ist.
Nach Beendigung des Nutzungsverhältnisses löscht der Auftragnehmer aktive personenbezogene Daten des Auftraggebers grundsätzlich binnen 30 Tagen nach Vertragsende oder nach bestätigter Löschanweisung des Auftraggebers, soweit keine gesetzlichen Aufbewahrungspflichten, abrechnungsrelevanten Nachweispflichten, Sicherheitsnachweise oder berechtigten Interessen an einer befristeten Aufbewahrung entgegenstehen.
Technische Restkopien, Protokolle oder providerseitige Sicherungen können für eine begrenzte Zeit nach den jeweiligen Lösch- und Backup-Zyklen der eingesetzten Anbieter fortbestehen. Der Auftragnehmer verwendet solche Restkopien nicht für produktive Zwecke und löscht oder überschreibt sie im Rahmen regulärer Zyklen.
13. Protokolle, Sicherheitsnachweise und Missbrauchsschutz
Der Auftragnehmer darf technische Logs, Audit-Informationen, Consent-Nachweise, Fehlermeldungen und Sicherheitsereignisse verarbeiten, soweit dies für Betrieb, Sicherheit, Fehleranalyse, Betrugsprävention, Nachweisführung oder Einhaltung rechtlicher Pflichten erforderlich ist.
Personenbezogene Inhalte werden in Logs soweit möglich vermieden oder minimiert. Geheimnisse wie API-Keys, Bot-Tokens, Stripe-Secrets oder Service-Role-Keys dürfen nicht absichtlich in Logs geschrieben werden.
14. Vergütung für Unterstützungsleistungen
Soweit Unterstützungshandlungen des Auftragnehmers über den normalen Produktbetrieb hinausgehen, insbesondere umfangreiche Auskünfte, manuelle Exporte, Sonderlöschungen, Audit-Unterstützung oder Behördenunterstützung, können diese nach vorheriger Abstimmung angemessen vergütet werden, sofern keine zwingende gesetzliche Pflicht zur unentgeltlichen Unterstützung entgegensteht.
15. Rangfolge und Änderungen
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die datenschutzrechtlichen Regelungen dieses AVV für die Auftragsverarbeitung vor. Produktbeschreibungen, Marketingmaterialien oder informelle Aussagen begründen keine zusätzlichen Datenschutzgarantien, soweit sie nicht ausdrücklich Bestandteil dieses AVV oder des Hauptvertrags sind.
Änderungen dieses AVV bedürfen der Textform. Der Auftragnehmer kann den AVV aktualisieren, wenn dies wegen Produktänderungen, Anbieterwechseln, Rechtsänderungen oder Sicherheitsverbesserungen erforderlich ist. Wesentliche Änderungen werden dem Auftraggeber rechtzeitig mitgeteilt.
16. Schlussbestimmungen
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame Bestimmung durch eine wirksame Regelung ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck möglichst nahekommt.
Dieser AVV unterliegt deutschem Recht, soweit keine zwingenden datenschutzrechtlichen Vorschriften entgegenstehen.
Anlage 1 — Verarbeitungsbeschreibung und Datenkategorien
1.1 Gegenstand der Verarbeitung
TGramm Retail verarbeitet personenbezogene Daten im Auftrag des Händlers, um einen webbasierten Online-Shop mit Produktkatalog, Bestellannahme, Händler-Administration, Benachrichtigung, Zahlungsanbindung und optionalen Zusatzfunktionen bereitzustellen.
| Verarbeitung | Beschreibung |
|---|---|
| Shop-Betrieb | Bereitstellung öffentlicher Shop-Seiten, Produktlisten, Menüs, Preise, Verfügbarkeiten und Händlerangaben |
| Bestellabwicklung | Erfassung, Speicherung und Verwaltung von Kundenbestellungen, Status, Zahlungsarten und Liefer-/Abholinformationen |
| Händler-Administration | Login, Einstellungen, Team-/Admin-Verwaltung, Steuer-/Rechnungs-/Kontaktinformationen |
| Kommunikation | Transaktionale E-Mails über Resend; optionale Telegram-Benachrichtigungen, wenn vom Händler aktiviert |
| Zahlungsprozesse | Stripe Checkout, Payment Links, Zahlungsstatus, Stripe Customer/Checkout/Payment identifiers |
| KI-Menüscan | Einmalige KI-gestützte Extraktion von Produkten/Menüpositionen aus hochgeladenen Menübildern oder Texten im Onboarding |
| Datenschutz- und Nachweisprozesse | Consent Logs, Export-/Löschanfragen, Sicherheitslogs, Audit Trails |
1.2 Kategorien betroffener Personen
| Kategorie | Beispiele |
|---|---|
| Auftraggeber / Händler | Inhaber, Admins, Mitarbeitende, Shop-Verantwortliche |
| Endkunden des Händlers | Bestellpersonen, Abholer, Lieferempfänger, Rechnungsempfänger |
| Interessenten / Leads | Personen, die Landing- oder Onboarding-Flows nutzen, soweit sie später einem Shop oder Account zugeordnet werden |
| Kommunikationspartner | Personen, die E-Mail- oder optionale Telegram-Benachrichtigungen erhalten |
| Technische Nutzer | Personen, deren technische Ereignisse in Sicherheits- oder Auditlogs erscheinen |
1.3 Kategorien personenbezogener Daten
| Datenkategorie | Beispiele |
|---|---|
| Stammdaten | Name, E-Mail-Adresse, Telefonnummer, Händlername, Geschäftsadresse, Kontaktinformationen |
| Account- und Admin-Daten | Login-Kennung, Supabase/Auth-ID, Rollen, Admin-Zuordnung, Telegram-ID sofern genutzt |
| Bestelldaten | Warenkorb, Produktpositionen, Preise, Liefer-/Abholzeit, Status, Zahlungsart, Notizen des Kunden |
| Zahlungsbezogene Daten | Stripe Customer ID, Payment Intent ID, Checkout Session ID, Zahlungsstatus; keine vollständigen Karteninformationen in TGramm |
| Kommunikationsdaten | E-Mail-Adresse, transaktionale E-Mail-Inhalte, Zustellstatus, Telegram User ID/Username sofern genutzt |
| Inhaltsdaten | Produktnamen, Menübilder, Menütexte, Preislisten, Beschreibungen, hochgeladene Inhalte |
| KI-Verarbeitungsdaten | Menübild oder Menütext, extrahierte Produkt-/Preis-/Kategorieinformationen, technische Antwortdaten des KI-Dienstes |
| Einwilligungs- und Nachweisdaten | Consent-Log, Zeitstempel, Versionen, IP-/User-Agent soweit gespeichert, AVV-Akzeptanzstatus |
| Technische Daten | IP-Adresse soweit in Infrastruktur-Logs, Zeitstempel, Request-Metadaten, Fehlerlogs, Sicherheitsereignisse |
1.4 Nicht vorgesehene Daten
Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist nicht vorgesehen. Der Auftraggeber darf solche Daten nicht gezielt in TGramm Retail einbringen. Dies gilt insbesondere für Gesundheitsdaten, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, biometrische Daten oder vergleichbare sensible Informationen.
Freitextfelder und hochgeladene Menübilder können unbeabsichtigt personenbezogene Informationen enthalten. Der Auftraggeber ist verantwortlich, solche Inhalte vor Upload zu prüfen und auf das erforderliche Minimum zu beschränken.
1.5 Lösch- und Aufbewahrungsgrundsätze
| Datenbereich | Standard |
|---|---|
| Aktive Shop-/Bestelldaten | Löschung binnen 30 Tagen nach Vertragsende oder bestätigter Löschanweisung, soweit keine Aufbewahrungspflichten entgegenstehen |
| Zahlungs- und Rechnungsnachweise | Aufbewahrung soweit erforderlich für gesetzliche, steuerliche oder abrechnungsbezogene Pflichten |
| Logs und Sicherheitsnachweise | Befristete Aufbewahrung nach Sicherheits- und Betriebszweck, danach Löschung oder Überschreibung |
| Backups / technische Restkopien | Löschung oder Überschreibung nach Zyklen der Anbieter; keine produktive Nutzung nach Vertragsende |
| KI-Menüscan-Daten | Nur zweckgebundene Verarbeitung zur Extraktion; weitere Speicherung nur soweit Produktdaten in den Shop übernommen werden |
Anlage 2 — Technisch-organisatorische Maßnahmen
2.1 Organisation und Verantwortlichkeit
Der Auftragnehmer betreibt TGramm Retail als kleines, inhabergeführtes Produkt. Der Zugriff auf produktive personenbezogene Daten ist auf den Inhaber beschränkt, solange keine weiteren Personen ausdrücklich eingebunden werden. Werden externe Personen eingebunden, gelten Vertraulichkeit, Least-Privilege, rollenbasierte Zugriffsbeschränkung und Widerruf von Zugängen nach Ende der Tätigkeit.
2.2 Zugriffskontrolle und Authentifizierung
| Maßnahme | Umsetzung / Zielzustand |
|---|---|
| Admin-Zugriff | Zugriff auf produktive Systeme nur für berechtigte Personen |
| Least-Privilege | Nutzung getrennter Rollen, API-Keys und Umgebungen, soweit technisch verfügbar |
| Geheimnisverwaltung | Secrets in Umgebungsvariablen/Provider-Systemen; keine absichtliche Speicherung in Code oder Logs |
| Produktionszugriff | Nur bei Betriebs-, Support-, Sicherheits- oder Debugging-Anlass |
| Externe Dienstleister | Kein produktiver Zugriff ohne Vertraulichkeitsbindung und Freigabe |
2.3 Mandantentrennung
TGramm Retail verarbeitet Daten mehrerer Händler mandantenbezogen. Die Anwendung trennt Daten nach Shop-/Tenant-Kontext. Öffentliche Shop-Daten werden über dafür vorgesehene öffentliche Ansichten oder Endpunkte bereitgestellt; sensitive interne Felder wie Tokens oder Secrets dürfen nicht öffentlich ausgeliefert werden.
2.4 Transport- und Kommunikationssicherheit
Die produktiven Web- und API-Endpunkte werden über HTTPS/TLS bereitgestellt. Zahlungsprozesse werden über Stripe abgewickelt. E-Mail-Versand erfolgt über authentifizierte Versanddomänen mit SPF, DKIM und DMARC, soweit konfiguriert. Interne Secrets dürfen nicht in Client-Code, öffentlichen Repositories oder Logs veröffentlicht werden.
2.5 Datenspeicherung und Verschlüsselung
Daten werden bei Cloud-Anbietern gespeichert, die eigene Sicherheits-, Zugriffskontroll- und Verschlüsselungsmaßnahmen bereitstellen. Der Auftragnehmer verlässt sich insoweit auf die Sicherheitsmaßnahmen der jeweiligen Anbieter. Vollständige Zahlungsdaten wie Kreditkartennummern werden nicht in TGramm gespeichert, sondern durch Stripe verarbeitet.
2.6 Verfügbarkeit, Backups und Wiederherstellung
Zum Stand dieses Entwurfs werden keine eigenständig garantierten täglichen Anwendungsbackups zugesagt. Providerseitige Backups oder Wiederherstellungsfunktionen werden genutzt, soweit sie im jeweiligen Tarif verfügbar und aktiviert sind. Vor produktiven Datenbank-Schemaänderungen soll, soweit möglich, ein manueller Export, Snapshot oder eine vergleichbare Sicherung erstellt werden.
Als Zielmaßnahme wird dokumentiert: Nach Aktivierung eines geeigneten kostenpflichtigen Supabase-Tarifs werden tägliche providerseitige Datenbank-Backups mit einer Aufbewahrungsdauer von 7 Tagen genutzt, soweit diese im konkreten Projekt verfügbar und aktiviert sind. Regelmäßige Restore-Tests sollen mindestens quartalsweise durchgeführt und dokumentiert werden. Point-in-Time-Recovery wird erst als TOM zugesagt, wenn sie tatsächlich aktiviert und geprüft ist.
2.7 Logging, Monitoring und Fehlerbehandlung
Technische Logs werden für Betrieb, Fehlersuche, Sicherheit und Missbrauchserkennung genutzt. Personenbezogene Daten in Logs werden auf das erforderliche Maß beschränkt. Secrets, Bot-Tokens, Service-Role-Keys, Stripe-Secrets oder vergleichbare Zugangsdaten dürfen nicht absichtlich geloggt werden.
2.8 Incident Response
Bei Sicherheitsvorfällen werden Ursache, Umfang, betroffene Daten, betroffene Kunden und Sofortmaßnahmen geprüft. Geeignete Maßnahmen können Rollback, Sperrung oder Rotation von Secrets, Deaktivierung fehlerhafter Webhooks, Einschränkung von Zugriffsrechten, Patching und Post-Mortem-Dokumentation umfassen.
Der Auftragnehmer informiert betroffene Auftraggeber nach Abschnitt 8 dieses AVV unverzüglich, möglichst binnen 48 Stunden nach Kenntnis eines relevanten Vorfalls.
2.9 Entwicklungs- und Testumgebungen
Produktions- und Staging-/Testumgebungen sollen getrennt betrieben werden. Testdaten sollen nach Möglichkeit anonymisiert, pseudonymisiert oder synthetisch sein. Produktive personenbezogene Daten dürfen nicht ohne sachlichen Grund in Testumgebungen kopiert werden.
2.10 Datenschutz durch Produktgestaltung
TGramm Retail soll datensparsam betrieben werden. Das Produkt soll keine Daten erheben, die für Shopbetrieb, Bestellung, Kommunikation, Zahlung, Sicherheit oder gesetzliche Nachweise nicht erforderlich sind. Optional aktivierbare Kanäle wie Telegram sollen klar von der primären Web-Shop-Funktion getrennt werden.
Anlage 3 — Unterauftragsverarbeiter und Drittplattformen
3.1 Unterauftragsverarbeiter
| Anbieter | Zweck | Datenarten | Sitz / Drittlandbezug | Status / Quelle | AVV-Behandlung |
|---|---|---|---|---|---|
| Supabase | Datenbank, Auth, Storage/Backend-Infrastruktur | Shop-, Admin-, Kunden-, Bestell-, Log- und Konfigurationsdaten | EU-Region für Produkt laut internem Runbook: eu-west-1; Anbieter kann internationale Konzern-/Supportstrukturen haben | Öffentliche DPA-Seite: https://supabase.com/legal/dpa | Unterauftragsverarbeiter; DPA im Account/Evidence-Ordner dokumentieren |
| Railway | Hosting von API, Webapp, Landing und Services | Laufzeitdaten, technische Logs, Umgebungsvariablen, ggf. Request-Metadaten | Interner Runbook-Stand: Railway Region europe-west4; Anbieter kann internationale Strukturen haben | Öffentliche DPA-Seite: https://railway.com/legal/dpa | Unterauftragsverarbeiter; Region und DPA-Akzeptanz dokumentieren |
| Resend | Transaktionale E-Mails, ggf. Double-Opt-In/Marketing-Audience getrennt | E-Mail-Adressen, Namen, Bestell-/Statusinformationen, Versand-/Zustellmetadaten | Drittlandbezug möglich | Öffentliche DPA-Seite: https://resend.com/legal/dpa | Unterauftragsverarbeiter für E-Mail-Versand |
| Mistral AI | KI-gestützte Menü-/Produkt-Erfassung im Onboarding | Hochgeladene Menübilder/-texte, extrahierte Produktdaten, technische Anfrage-/Antwortdaten | Drittlandbezug möglich | DPA: https://legal.mistral.ai/terms/data-processing-addendum | Unterauftragsverarbeiter für AI-Menu-Scan; Zweck strikt begrenzen |
| Stripe | Zahlungsabwicklung, Checkout, Payment Links, Abrechnung | Zahlungsbezogene Metadaten, Kunden-/Kontaktinformationen, Stripe IDs, Zahlungsstatus | Drittlandbezug möglich; Stripe hat gemischte Rollen je Verarbeitung | DPA: https://stripe.com/legal/dpa | Payment Provider mit gemischter Rolle; nicht als reiner TGramm-Processor darstellen |
3.2 Noch zu klären / nur aufnehmen, wenn tatsächlich relevant
| Anbieter | Entscheidung |
|---|---|
| Sanity | Nur aufnehmen, wenn dort personenbezogene Merchant- oder Endkundendaten gespeichert werden. Wenn Sanity ausschließlich Landing-, Blog-, Legal- oder Marketing-Content ohne personenbezogene Kundendaten hostet, gehört Sanity eher in Vendor-/Datenschutzhinweise, nicht in den Kern-AVV. |
| Google Analytics / Google Ads / Meta Pixel | Gehören primär zur eigenen Landing-/Marketing-Verarbeitung von TGramm und in Cookie Consent/Datenschutzerklärung. Nicht als Unterauftragsverarbeiter für Merchant-Shopdaten aufnehmen, solange sie nicht für Merchant-Auftragsverarbeitung eingesetzt werden. |
3.3 Telegram als optionale Drittplattform
Telegram kann technisch als optionaler Benachrichtigungskanal oder optionaler Einbettungskontext genutzt werden, wenn der Händler dies aktiviert. Telegram wird nicht als von TGramm vollständig kontrollierter Unterauftragsverarbeiter zugesichert. Der Händler entscheidet, ob er Telegram nutzen möchte, und muss die dadurch entstehende Datenübermittlung in seiner eigenen Datenschutzerklärung berücksichtigen.
Empfohlene Produktformulierung: TGramm Retail ist ein webbasierter Online-Shop. Telegram ist optional und nicht erforderlich, um den Shop zu nutzen.
Anlage 4 — Handlungspunkte vor Veröffentlichung
| Priorität | Punkt | Warum wichtig |
|---|---|---|
| Hoch | Eigenständige AVV-Seite oder PDF/Markdown-Version veröffentlichen und Onboarding-Checkbox darauf verlinken | Aktuell darf der Nutzer nicht nur auf Datenschutzerklärung verwiesen werden |
| Hoch | Bei Annahme avv_version, accepted_at, idealerweise Text-Hash/Snapshot und IP/User-Agent speichern | Nachweisbarkeit der akzeptierten Vertragsversion |
| Hoch | DPA/Evidence-Ordner anlegen: Supabase, Railway, Resend, Mistral, Stripe herunterladen oder Account-Akzeptanz dokumentieren | Nachweis gegenüber Kunden/Audit |
| Erledigt / prüfen | Telegram als optionaler externer Kanal, nicht als regulärer Unterauftragsverarbeiter | Reduziert Compliance-Angriffsfläche; Onboarding/Produkttexte müssen dazu passen |
| Hoch | Backup-Realität im Produktbetrieb dokumentieren und nach erstem zahlenden Kunden Supabase Pro aktivieren | Keine falschen Sicherheitszusagen machen; nach Pro-Aktivierung TOM erneut aktualisieren |
| Mittel | Datenschutzerklärung und AGB mit AVV harmonisieren | Aktuell Konflikt: AGB „bei Bedarf“, Onboarding mandatory |
| Mittel | Sanity-Datenfluss klären | Verhindert unnötige Aufnahme in AVV |
| Mittel | Analytics/UTM Consent prüfen | UTM localStorage/Forwarding läuft separat vom eigentlichen GA-Load |