Seit dem 25. Mai 2018 gilt die Verordnung zum Schutz der Daten von europäischen Bürgern: Die EU-Datenschutz-Grundverordnung (DSGVO). Im Rahmen der DSGVO bist auch Du als Unternehmer verpflichtet, sicherzustellen, dass die personenbezogenen Daten Deiner Mitarbeiter und Deiner Gäste (z.B. Name, Adresse, Telefonnummern) nach der neuen Datenschutz-Grundverordnung geschützt und verarbeitet werden.
Der Auftragsverarbeitungsvertrag (AVV)
Im Rahmen der Nutzung der orderbird PRO App sowie von MY orderbird, speichert und verarbeitet orderbird personenbezogene Daten von Dir und in gewissem Umfang auch von Deinen Mitarbeitern und Deinen Gästen. Aus diesem Grunde sieht das Gesetz vor, dass Du als Unternehmer einen Auftragsverarbeitungsvertrag mit orderbird eingehst.
Was muss ich tun?
Du kannst Dir den Auftragsverarbeitungsvertrag (AVV) hier anschauen und herunterladen:
Sende den Vertrag ausgefüllt und unterschrieben an uns zurück.
Im AVV regeln wir im Detail, welche personenbezogenen Daten wir für die Bereitstellung unserer Services (orderbird App sowie MY orderbird) erheben, wie wir sie verarbeiten und welche technisch-organisatorischen Maßnahmen wir treffen, um sie gegen den Zugriff von Unberechtigten zu schützen.
Du kannst den AVV direkt an Deinem Rechner ausfüllen und unterschreiben.
- Öffne ihn dazu mit dem Programm Adobe Acrobat Reader. Dieses kannst Du Dir kostenlos im Internet herunterladen.
- Trage Deine Daten im Vertrag ein und unterschreibe ihn digital. Hier findest Du eine Anleitung, wie das geht: „PDF Formulare ausfüllen und unterschreiben“
- Speichere den ausgefüllten Vertrag auf Deinem Rechner und sende uns diese Version per E-Mail an hilfe@orderbird.com.
Alternativ kannst Du den AVV auch ausdrucken, ausfüllen und ihn dann einscannen und per E-Mail an uns senden.
Was passiert, wenn ich den Auftragsverarbeitungsvertrag nicht unterschreibe?
Du kannst weiterhin die orderbird App sowie MY orderbird ohne Einschränkung nutzen. Da Du selbst Unternehmer bist, bist Du allerdings in der Pflicht, einen AVV mit uns zu vereinbaren, da wir gegebenenfalls auch Daten Deiner Gäste und Deiner Mitarbeiter verarbeiten. Im Zweifelsfalle bist Du haftbar, wenn Du Dich nicht rechtzeitig um den Abschluss eines AVV kümmerst. Die Strafen für eine Säumnis liegen hoch: Bei Verstößen zahlen Unternehmer bis zu 4 % des Gesamtumsatzes oder 20 Mio. €.
Mein Unternehmen ist in der Schweiz. Bin ich von der DSGVO betroffen?
Ja, das bist Du! Denn auch in Deinem Laden kann mal jemand aus der EU als Gast vorbeischauen.
Was genau besagt die DSGVO?
Kurz gefasst: Diese Verordnung stellt sicher, dass bei der Verarbeitung von personenbezogenen Daten von EU-Bürgern bestimmte Regeln eingehalten werden. So muss die Verarbeitung der Daten unter anderem zweckgebunden, transparent und verhältnismäßig sein.
Du kannst den Originaltext zur DSGVO hier einsehen.
Welche Daten speichert orderbird von mir?
- Deine Umsatzdaten werden für 10 Jahre gespeichert, gemäß der gesetzlichen Speicherungsfrist.
- Als personenbezogene Daten werden Deine Daten sowie Daten Deiner Mitarbeiter und gegebenenfalls Daten Deiner Kunden (beispielsweise Name, Firmenname, Kundennummer, Adresse) sowie Kommunikationsdaten (zum Beispiel E-Mail-Adresse, Telefonnummer) und Vertragsabrechnungs- und Zahlungsdaten verarbeitet.
- Alle Aktionen in Deiner Kasse, die im Rahmen der GoBD protokolliert werden, werden gespeichert. Dazu gehören zum Beispiel Informationen darüber, wer wann eine Schicht geöffnet oder geschlossen hat, wer welche Artikel gebucht oder storniert hat, usw.
- Deine Daten sind bei uns gegen Zugriffe durch Unberechtigte geschützt.
- Ausschließlich Unternehmen, mit denen wir ebenfalls zusammenarbeiten, haben im Rahmen der Zusammenarbeit vertraglich geregelten Zugriff auf Deine Daten. Diese gehen mit Deinen Daten genauso vertraulich um, wie wir es tun!
Der EU-US-Privacy-Shield
Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 den EU-US-Privacy-Shield für unwirksam erklärt.
Was bedeutet das für Deine Geschäftsverbindung zu orderbird?
Grundsätzlich nutzen wir für unsere Services selbst keine Anbieter bzw. Subunternehmer aus Nicht-EU-Ländern: Sämtliche orderbird-Server, die für orderbird Services genutzt werden, befinden sich in Deutschland.
Intern nutzen wir zurzeit im Arbeitsalltag Software, die von Anbietern aus sog. Drittländern angeboten wird und die dem EU-US Privacy Shield Abkommen unterliegen. Derzeit wird geprüft, ob die Zusammenarbeit mit diesen Anbietern nach Wegfall des Privacy Shield Abkommens auf andere Garantien nach Art. 44 ff. DSGVO gestützt werden kann. Diese Prüfung wird Zeit in Anspruch nehmen, da sie nicht nur die Anbieter selbst, sondern auch ggf. von ihnen eingesetzte Subunternehmer betrifft.
Sollte die Prüfung ergeben, dass eine andere in Art. 44 ff. DSGVO normierte Garantie für die Sicherheit der Datenverarbeitung nicht herangezogen oder implementiert werden kann, werden wir die Zusammenarbeit mit diesen Anbietern beenden.