Auftragsverarbeitungsvertrag (AVV)

Data Processing Agreement (DPA) gemäss Art. 28 DSGVO und Art. 9 nDSG

Stand: Januar 2026 | Version 2.0

Für Restaurant-Partner

Dieser AVV regelt die Datenverarbeitung zwischen Ihrem Restaurant (Verantwortlicher) und JustAll GmbH (Auftragsverarbeiter). Er ist Bestandteil des Hauptvertrags.

Vertragsparteien

Auftragsverarbeiter

JustAll GmbH
Industriestrasse 47
6300 Zug, Schweiz
datenschutz@justall.ch

Verantwortlicher (Kunde)

Das Restaurant, das den JustAll-Dienst nutzt
(gemäss Bestellformular)

1. Gegenstand und Dauer

JustAll verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten zum Zweck der Erbringung des KI-Sprachassistenten für Restaurants:

  • Entgegennahme und Verarbeitung von Telefonbestellungen
  • Speicherung von Bestelldaten
  • Bereitstellung von Tracking-Links

Dauer: Dieser AVV gilt für die Laufzeit des Hauptvertrags und endet automatisch mit dessen Beendigung.

2. Art und Zweck der Verarbeitung

Zweck Beschreibung
Bestellannahme Entgegennahme von Telefonbestellungen via KI-Sprachassistent
Bestellverarbeitung Speicherung, Statusverfolgung und Zuordnung
Kommunikation Versand von Bestätigungen und Status-Updates
Tracking Bereitstellung öffentlicher Tracking-Links
Abrechnung Erstellung von Provisionsabrechnungen

3. Kategorien personenbezogener Daten

Kategorie Beispiele Aufbewahrung
Identifikationsdaten Name, Vorname 30 Tage
Kontaktdaten Telefonnummer 30 Tage
Adressdaten Strasse, PLZ, Ort 30 Tage
Bestelldaten Artikel, Menge, Preis 30 Tage
Sprachdaten Transkripte der Anrufe 30 Tage
Audiodaten Stimme während des Anrufs Keine Speicherung

Datensparsamkeit: Gemäss Art. 5 DSGVO und Art. 6 nDSG werden personenbezogene Daten nur so lange aufbewahrt, wie für den Zweck erforderlich. Nach 30 Tagen erfolgt automatische Löschung.

4. Unterauftragsverarbeiter

Mit Unterzeichnung des AVV genehmigt der Verantwortliche den Einsatz folgender Unterauftragsverarbeiter:

Dienst Anbieter Standort DPA
Datenbank Supabase Inc. 🇪🇺 Frankfurt, DE
Compute Fly.io Inc. 🇪🇺 Frankfurt, DE
Telefonie Twilio Ireland Ltd. 🇪🇺 Dublin, Irland
Cache Upstash Inc. 🇪🇺 Frankfurt, DE
Zahlung Stripe Payments Europe 🇪🇺 Dublin, Irland
Geocoding Google Ireland Ltd. 🇪🇺 Dublin, Irland ✓ unterzeichnet
KI-Verarbeitung OpenAI LLC 🇺🇸 USA (mit SCCs) ✓ unterzeichnet

Hinweis zu OpenAI (USA)

  • • JustAll hat einen unterzeichneten DPA mit OpenAI
  • • Zusätzlich gelten EU-Standardvertragsklauseln (SCCs)
  • • Sprachdaten werden zur Echtzeitverarbeitung übermittelt und nicht gespeichert
  • • Transfer Impact Assessment (TIA) wurde durchgeführt

5. Technische & Organisatorische Massnahmen (TOM)

🔒 Vertraulichkeit

  • • Verschlüsselung (TLS 1.3, AES-256)
  • • Zugangskontrolle (2FA, RBAC)
  • • Multi-Tenant Isolation (RLS)

✅ Integrität

  • • Audit-Logs aller Änderungen
  • • Input-Validierung
  • • Prepared Statements

🔄 Verfügbarkeit

  • • Tägliche automatische Backups
  • • Multi-AZ Deployment
  • • Point-in-Time Recovery

🛡️ Belastbarkeit

  • • Auto-Scaling
  • • DDoS-Schutz (Cloudflare)
  • • Rate Limiting

6. Pflichten von JustAll

JustAll verpflichtet sich:

  • Daten nur gemäss dokumentierter Weisung zu verarbeiten
  • Mitarbeiter zur Vertraulichkeit zu verpflichten
  • Technische und organisatorische Massnahmen einzuhalten
  • Bei Anfragen Betroffener zu unterstützen
  • Datenschutzverletzungen binnen 24 Stunden zu melden
  • Nach Vertragsende Daten zu löschen oder zurückzugeben

7. Rechte des Verantwortlichen

Der Verantwortliche hat das Recht:

  • Weisungen zur Datenverarbeitung zu erteilen
  • Audits durchzuführen (mit 30 Tagen Vorlauf)
  • Zertifikate und Dokumentation anzufordern
  • Änderungen bei Unterauftragsverarbeitern zu widersprechen
  • Datenexport im JSON/CSV-Format zu verlangen

8. Betroffenenrechte

JustAll unterstützt den Verantwortlichen bei der Erfüllung folgender Betroffenenrechte:

Art. 15 Auskunft
Art. 16 Berichtigung
Art. 17 Löschung
Art. 18 Einschränkung
Art. 20 Datenübertragbarkeit
Art. 21 Widerspruch

Anfragen Betroffener werden unverzüglich an den Verantwortlichen weitergeleitet.

9. Schlussbestimmungen

Anwendbares Recht

  • • DSGVO für EU-Betroffene
  • • Schweizer DSG (nDSG) für CH-Betroffene
  • • Schweizer Recht im Übrigen

Gerichtsstand

Zug, Schweiz

Vorrang

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gilt dieser AVV für datenschutzrechtliche Fragen.

Downloads & Anhänge

Standardvertragsklauseln (SCCs)

EU-Standardvertragsklauseln

Datenschutzerklärung

Für Endkunden

Kontakt für Datenschutzfragen

JustAll GmbH
Datenschutzbeauftragter
Industriestrasse 47
6300 Zug, Schweiz

E-Mail: datenschutz@justall.ch

Zurück zur Startseite AGB ansehen →

Dokumentversion: 2.0 | Stand: Januar 2026

JustAll GmbH • Industriestrasse 47 • 6300 Zug • Schweiz