Vertrag zur Auftragsverarbeitung (AVV)
nach Art. 28 DSGVO. Stand: 2. Juli 2026.
Präambel / Vertragsparteien
Dieser Vertrag konkretisiert die Pflichten der Parteien zum Datenschutz, die sich aus der Nutzung der Plattform Onuras ergeben. Er gilt zwischen
dem teilnehmenden Händler (Betreiber eines Treueprogramms) – nachfolgend „Verantwortlicher" – und
Ellen Schmidtke, Onuras, Bodenstraße 55, 53773 Hennef – nachfolgend „Auftragsverarbeiter".
Der Verantwortliche entscheidet allein über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Endkunden. Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.
§ 1 Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten der Endkunden im Rahmen der Bereitstellung und des Betriebs der Plattform Onuras (digitales Treueprogramm). Die Dauer entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrags.
§ 2 Art, Umfang und Zweck der Verarbeitung
Zweck: Bereitstellung digitaler Treuekarten, Vergabe und Speicherung von Stempeln, Einlösung von Belohnungen, Kundenbindungsmaßnahmen (Kampagnen) sowie optionaler Versand von Push-Benachrichtigungen.
Art der Daten: Name (falls freiwillig angegeben), gesammelte Stempel, eingelöste Belohnungen, Zeitpunkte von Stempelvorgängen, letzter Besuch, besuchter Standort, Kampagnenreaktionen sowie – bei Aktivierung – technische Push-Benachrichtigungs-Token.
Kategorien betroffener Personen: Endkunden des Verantwortlichen, die am Treueprogramm teilnehmen.
§ 3 Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Plattform durch den Verantwortlichen (Konfiguration, Vergabe von Stempeln, Kampagnen usw.) gilt als solche Weisung. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.
§ 4 Pflichten des Auftragsverarbeiters
- Verarbeitung nur nach Weisung und ausschließlich zu den vereinbarten Zwecken.
- Verpflichtung der eingesetzten Personen zur Vertraulichkeit.
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe Anlage 2).
- Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten sowie bei Pflichten nach Art. 32–36 DSGVO, soweit möglich.
- Unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten an den Verantwortlichen.
- Löschung oder Rückgabe der Daten nach Beendigung des Vertrags (siehe § 8).
- Bereitstellung der zum Nachweis der Einhaltung erforderlichen Informationen und Ermöglichung von Überprüfungen.
§ 5 Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz der in Anlage 1 genannten Unterauftragsverarbeiter zu. Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter zu gleichwertigen Datenschutzpflichten. Beabsichtigte Änderungen teilt der Auftragsverarbeiter rechtzeitig mit; der Verantwortliche kann begründet widersprechen.
§ 6 Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu erfüllen. Die Plattform stellt hierfür u. a. Export- und Löschfunktionen bereit.
§ 7 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, damit dieser seinen Meldepflichten nach Art. 33, 34 DSGVO nachkommen kann.
§ 8 Löschung und Rückgabe nach Vertragsende
Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bei einer Löschung werden personenbezogene Angaben entfernt; etwaige verbleibende, rein statistische Daten enthalten keinen Personenbezug mehr.
§ 9 Nachweise und Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zum Nachweis der Einhaltung der Pflichten erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen.
§ 10 Drittlandübermittlung
Die Verarbeitung erfolgt grundsätzlich innerhalb der EU/des EWR. Soweit Unterauftragsverarbeiter Konzernstrukturen in Drittländern haben, wird ein angemessenes Datenschutzniveau durch geeignete Garantien (insbesondere EU-Standardvertragsklauseln und/oder das EU-US Data Privacy Framework) sichergestellt.
§ 11 Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und den AGB gehen hinsichtlich des Datenschutzes die Regelungen dieses AVV vor. Es gilt deutsches Recht.
Anlage 1 – Unterauftragsverarbeiter
- Supabase– Datenbank & Hosting; Datenhaltung in der EU (AWS, Region Paris).
- Vercel – Bereitstellung/Hosting der Plattform.
Der Zahlungsdienstleister Stripe verarbeitet ausschließlich Zahlungsdaten der Händler (nicht der Endkunden) und ist insoweit nicht Unterauftragsverarbeiter dieses AVV.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Verschlüsselte Übertragung (TLS/HTTPS) und Speicherung sensibler Zugangsdaten (Passwort-Hashing).
- Zugriffsbeschränkung: Kundendaten sind ausschließlich dem jeweiligen Händler zugeordnet und einsehbar (Mandantentrennung).
- Serverseitige Zugriffsschlüssel, kein direkter Datenbankzugriff aus dem Browser.
- Signierte, zeitlich begrenzte Anmelde-Sitzungen; Schutz vor automatisierten Anmeldeversuchen.
- Betrieb bei zertifizierten Rechenzentren innerhalb der EU.
- Datensparsamkeit: Namensangabe der Endkunden ist freiwillig; Löschung anonymisiert die Historie.