Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für sämtliche Verträge zwischen der Mambil UG (haftungsbeschränkt), eingetragen im Handelsregister des Amtsgerichts Hannover (nachfolgend „Betreiber“, „wir“ oder „Mambil UG (haftungsbeschränkt)“), und den Nutzern der SaaS-Plattform „Mambil“ (nachfolgend „Plattform“), erreichbar unter https://test-mambil.com und zugehörigen Subdomains.

(2) Diese AGB richten sich ausschließlich an Restaurantpartner, d. h. Unternehmer im Sinne des § 14 BGB, die sich auf der Plattform registrieren, um digitale Speisekarten zu erstellen, Online-Bestellungen entgegenzunehmen und Reservierungen zu verwalten. Für Endkunden (Verbraucher im Sinne des § 13 BGB) gelten ausschließlich die gesonderten Nutzungsbedingungen für Endkunden.

(3) Abweichende, entgegenstehende oder ergänzende Geschäftsbedingungen der Nutzer werden nicht Vertragsbestandteil, es sei denn, der Betreiber stimmt ihrer Geltung ausdrücklich in Textform (§ 126b BGB) zu.

(4) Für einzelne Leistungen können ergänzende besondere Bedingungen gelten, auf die im jeweiligen Leistungsangebot hingewiesen wird. Im Widerspruchsfall gehen die besonderen Bedingungen diesen AGB vor.

(5) Maßgeblich ist jeweils die zum Zeitpunkt des Vertragsschlusses gültige Fassung dieser AGB.

§ 2 Definitionen

(1) „Plattform“ bezeichnet die unter https://test-mambil.com betriebene SaaS-Lösung „Mambil“ einschließlich aller Webanwendungen, mobilen Anwendungen, APIs und zugehörigen Dienste.

(2) „Restaurantpartner“ bezeichnet jeden Unternehmer im Sinne des § 14 BGB, der sich auf der Plattform registriert, um die Dienste zur Erstellung digitaler Speisekarten, Entgegennahme von Online-Bestellungen und Verwaltung von Reservierungen zu nutzen.

(3) „Endkunde“ bezeichnet jede Person, die über die Plattform Speisekarten eines Restaurantpartners einsieht, Bestellungen aufgibt, Reservierungen vornimmt oder Zahlungen tätigt. Für das Vertragsverhältnis zwischen dem Betreiber und dem Endkunden gelten ausschließlich die gesonderten Nutzungsbedingungen für Endkunden.

(4) „Dienste“ bezeichnet sämtliche vom Betreiber über die Plattform bereitgestellten Funktionen, insbesondere die Erstellung und Verwaltung digitaler Speisekarten, QR-Code-Generierung, Online-Bestellmanagement, Reservierungsverwaltung, Küchendisplay, KI-Übersetzungen und Zahlungsabwicklung.

(5) „Inhalte“ bezeichnet alle von Restaurantpartnern auf der Plattform eingestellten Daten, Texte, Bilder, Speisekarten, Preise, Beschreibungen, Allergeninformationen und sonstige Materialien.

(6) „Stripe Connect“ bezeichnet den vom Zahlungsdienstleister Stripe Payments Europe, Ltd. bereitgestellten Dienst zur Abwicklung von Zahlungen zwischen Endkunden und Restaurantpartnern über die Plattform.

§ 3 Vertragsgegenstand

(1) Gegenstand des Vertrages zwischen dem Betreiber und dem Restaurantpartner ist die Bereitstellung der Plattform als Software-as-a-Service (SaaS) zur Nutzung über das Internet. Der Betreiber stellt die Plattform in dem jeweils gewählten Tarifumfang auf seinen Servern bereit und ermöglicht dem Restaurantpartner den Zugang über einen Webbrowser oder mobile Endgeräte.

(2) Das Vertragsverhältnis zwischen dem Betreiber und dem Endkunden (Plattformnutzung, Bestellung, Reservierung) ist nicht Gegenstand dieser AGB; es richtet sich ausschließlich nach den gesonderten Nutzungsbedingungen für Endkunden.

(3) Der Betreiber fungiert ausschließlich als technischer Plattformbetreiber und Vermittler. Verträge über Speisen, Getränke, sonstige Waren und Dienstleistungen (insbesondere Bestellungen und Reservierungen) kommen ausschließlich zwischen dem jeweiligen Restaurantpartner und dem Endkunden zustande. Der Betreiber wird nicht Vertragspartei dieser Verträge.

(4) Der Betreiber schuldet keine Leistungen des Restaurantpartners, insbesondere nicht die Zubereitung, Qualität, Hygiene oder Lieferung von Speisen und Getränken, die Einhaltung von Allergenkennzeichnungspflichten oder die Erfüllung von Reservierungen.

(5) Rechtsnatur des Vertrages und ausdrücklicher Ausschluss der verschuldensunabhängigen Mängelhaftung: (a) Der SaaS-Vertrag zwischen dem Betreiber und dem Restaurantpartner ist seinem Schwerpunkt nach ein Mietvertrag im Sinne der §§ 535 ff. BGB. Gegenstand ist die entgeltliche Bereitstellung der Plattform zur Nutzung über das Internet für die Dauer des Vertrages; eine Überlassung der Software zum dauerhaften Verbleib oder eine Übertragung von Rechten an der Software findet nicht statt. (b) Soweit der Betreiber gesondert vergütete, klar abgrenzbare Einmalleistungen mit Erfolgsbezug erbringt – insbesondere Onboarding-, Einrichtungs-, Schulungs- oder Datenmigrationspakete – richten sich diese Leistungen nach den Vorschriften des Werkvertragsrechts (§§ 631 ff. BGB). Für sämtliche Dauerleistungen (Bereitstellung, Pflege, Support, Hosting) verbleibt es bei der mietvertraglichen Einordnung gemäß lit. a.

(5a) Ausschluss der verschuldensunabhängigen Haftung für anfängliche Mängel (§ 536a Abs. 1 Alt. 1 BGB): Die verschuldensunabhängige Haftung des Betreibers für anfängliche Mängel der Plattform gemäß § 536a Abs. 1 Alt. 1 BGB wird hiermit ausdrücklich und vollständig ausgeschlossen. Auf diesen Ausschluss wird der Restaurantpartner gesondert hingewiesen; er ist sich der Tragweite dieser Regelung bewusst. Im Übrigen richtet sich die Haftung des Betreibers ausschließlich nach § 15 dieser AGB; die dortigen zwingenden Haftungsfälle (insbesondere Vorsatz, grobe Fahrlässigkeit, Verletzung wesentlicher Vertragspflichten, Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, Garantieübernahmen sowie Ansprüche nach dem Produkthaftungsgesetz) bleiben unberührt.

(5b) Der Betreiber schuldet die fachgerechte Bereitstellung der Plattform nach Maßgabe der jeweils gültigen Leistungsbeschreibung sowie die in § 5 Abs. 4 geregelte Verfügbarkeit. Eine darüber hinausgehende Beschaffenheits- oder Haltbarkeitsgarantie (§ 443 BGB), insbesondere hinsichtlich bestimmter wirtschaftlicher Ergebnisse, einer ununterbrochenen Verfügbarkeit oder eines bestimmten Bestell- oder Reservierungsaufkommens, wird vom Betreiber nicht abgegeben und ergibt sich auch nicht aus Werbeaussagen, Produktbeschreibungen oder sonstigen öffentlichen Äußerungen, sofern diese nicht in dieser Vereinbarung oder in einer gesonderten schriftlichen Individualvereinbarung ausdrücklich als Garantie bezeichnet sind.

(5c) Der Restaurantpartner schließt diesen Vertrag in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit als Unternehmer im Sinne des § 14 BGB ab. Die §§ 305 ff. BGB finden im Rahmen des nach § 310 Abs. 1 BGB Zulässigen Anwendung.

§ 4 Vertragsschluss und Registrierung

(1) Die Darstellung der Dienste auf der Website des Betreibers stellt kein rechtlich bindendes Angebot, sondern eine Aufforderung zur Abgabe eines Angebots (invitatio ad offerendum) dar.

(2) Für Restaurantpartner: Durch Abschluss des Registrierungsprozesses und Bestätigung der AGB gibt der Restaurantpartner ein verbindliches Angebot zum Abschluss eines SaaS-Nutzungsvertrages ab. Der Vertrag kommt zustande, wenn der Betreiber das Angebot durch Versendung einer Bestätigungsemail oder Freischaltung des Kontos annimmt.

(3) Der Vertragsschluss mit Endkunden richtet sich ausschließlich nach § 1 der gesonderten Nutzungsbedingungen für Endkunden.

(4) Der Restaurantpartner ist verpflichtet, bei der Registrierung wahrheitsgemäße und vollständige Angaben zu machen, insbesondere zu Firma, Rechtsform, Anschrift, Kontaktdaten, Umsatzsteuer-Identifikationsnummer und Gewerbeanmeldung. Änderungen sind dem Betreiber unverzüglich mitzuteilen.

(5) Der Restaurantpartner sichert zu, dass er zur Führung eines Gastronomiebetriebs berechtigt ist und über alle erforderlichen behördlichen Genehmigungen verfügt.

(6) Der Betreiber ist berechtigt, die Registrierung abzulehnen, sofern sachliche Gründe vorliegen. Auf Anfrage teilt der Betreiber dem abgelehnten Restaurantpartner die wesentlichen Gründe für die Ablehnung mit.

§ 5 Leistungsbeschreibung und Tarife

(1) Der Betreiber bietet die Plattform in verschiedenen Tarifstufen an, darunter ein kostenloser Tarif sowie kostenpflichtige Tarife mit erweitertem Funktionsumfang. In den kostenpflichtigen Tarifen ist standardmäßig ein Standort (Seat) enthalten; gegen Aufpreis können weitere Standorte (Seats) hinzugebucht werden. Der konkrete Funktionsumfang, die enthaltenen Leistungen sowie die jeweils geltenden Preise ergeben sich aus der jeweils aktuellen Leistungs- und Preisbeschreibung auf der Website des Betreibers (Preisseite). Die dort hinterlegten Angaben sind Bestandteil dieser AGB.

(2) Der Restaurantpartner kann zwischen monatlicher und jährlicher Abrechnung wählen. Bei jährlicher Abrechnung gewährt der Betreiber einen Rabatt, dessen Höhe sich aus der jeweils aktuellen Preisliste auf der Website ergibt.

(3) Der Betreiber ist berechtigt, den Funktionsumfang der Tarife weiterzuentwickeln und zu verbessern. Wesentliche Einschränkungen bestehender Funktionen eines kostenpflichtigen Tarifs bedürfen einer Ankündigung mit einer Frist von mindestens 30 Tagen.

(4) Der Betreiber stellt die Plattform mit fachgerechter Sorgfalt zur Verfügung. Als Leistungsbeschreibung gilt eine durchschnittliche monatliche Verfügbarkeit der Plattform von 99,0 % im Jahresmittel, gemessen am Hauptsystem (Bestell- und Reservierungsfunktionen) am Übergabepunkt zum Internet des vom Betreiber genutzten Rechenzentrums. Nicht in die Verfügbarkeit einbezogen sind insbesondere Zeiten geplanter Wartung gemäß § 14, Ausfälle aufgrund höherer Gewalt, Störungen außerhalb des Verantwortungsbereichs des Betreibers (z. B. Internet-Provider, Endgeräte des Restaurantpartners, Drittanbieterdienste wie Stripe, Cloudflare oder Hosting-Provider) sowie kurzfristige technische Eingriffe zur Abwehr akuter Sicherheitsrisiken. Weitergehende Service-Level-Zusagen, insbesondere garantierte Reaktions- oder Wiederherstellungszeiten oder Service-Gutschriften (Service Credits), sind im Standard-Leistungsumfang der angebotenen Tarife nicht enthalten und können ausschließlich auf Grundlage einer gesonderten schriftlichen Vereinbarung (z. B. Enterprise-Vertrag) zugesichert werden.

§ 6 Kostenlose Leistungen (Free-Tarif)

(1) Der Free-Tarif wird dem Restaurantpartner unentgeltlich und ohne zeitliche Begrenzung zur Verfügung gestellt. Der Free-Tarif umfasst einen eingeschränkten Funktionsumfang gemäß der jeweils aktuellen Leistungsbeschreibung.

(2) Für den Free-Tarif besteht kein Anspruch auf eine bestimmte Verfügbarkeit, Reaktionszeiten im Support oder die Aufrechterhaltung des Funktionsumfangs. Der Betreiber kann den Free-Tarif jederzeit einschränken, verändern oder einstellen.

(3) Stellt der Betreiber den Free-Tarif ein, wird der Restaurantpartner mindestens 30 Tage vor Einstellung per E-Mail informiert und erhält die Möglichkeit, in einen kostenpflichtigen Tarif zu wechseln.

(4) Der Betreiber behält sich vor, im Free-Tarif Eigenwerbung, insbesondere Hinweise auf eigene kostenpflichtige Tarife und weitere Dienste des Betreibers, sowie Werbung Dritter einzublenden. Die Einblendung erfolgt in einem für den Restaurantpartner und Endkunden zumutbaren Umfang und unter Beachtung der jeweils geltenden gesetzlichen Vorschriften, insbesondere des Wettbewerbs-, Datenschutz- und Medienrechts.

(5) Für kostenlose Leistungen gilt die Haftungsbeschränkung des § 15. Bei leichter Fahrlässigkeit, einschließlich der Verletzung von Kardinalpflichten, ist die Haftung des Betreibers gegenüber Restaurantpartnern im Free-Tarif der Höhe nach auf den vorhersehbaren, vertragstypischen Schaden begrenzt, höchstens jedoch auf EUR 500 je Schadensfall und EUR 2.000 je Vertragsjahr. Die Fälle zwingender Haftung gemäß § 15 Abs. 1 bleiben unberührt.

§ 7 Preise und Zahlungsbedingungen

(1) Für die Nutzung kostenpflichtiger Tarife zahlt der Restaurantpartner die zum Zeitpunkt des Vertragsschlusses geltenden Preise gemäß der auf der Website veröffentlichten Preisliste. Alle Preise verstehen sich als Nettopreise zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer. Bei Restaurantpartnern mit Sitz in einem anderen Mitgliedstaat der Europäischen Union gilt bei Vorlage einer gültigen Umsatzsteuer-Identifikationsnummer (USt-IdNr.) das Reverse-Charge-Verfahren gemäß Art. 196 MwStSystRL; die Steuerschuld geht auf den Restaurantpartner über. Andernfalls erfolgt die Abrechnung unter Anwendung des einschlägigen Verfahrens (insbesondere One-Stop-Shop, OSS) zum jeweils gesetzlich vorgesehenen Steuersatz. Restaurantpartner sind verpflichtet, eine gültige USt-IdNr. bei Vertragsschluss zu hinterlegen und bei Änderungen unverzüglich zu aktualisieren.

(2) Die Abrechnung erfolgt im Voraus für den gewählten Abrechnungszeitraum (monatlich oder jährlich). Bei jährlicher Abrechnung ist der Gesamtbetrag für das Vertragsjahr im Voraus fällig.

(3) Die Zahlung der Abonnementgebühren erfolgt über den Zahlungsdienstleister Stripe. Der Restaurantpartner ermächtigt den Betreiber zur Einziehung der Gebühren über die bei Stripe hinterlegte Zahlungsmethode (Kreditkarte, SEPA-Lastschrift oder sonstige unterstützte Zahlungsmittel).

(4) Der Betreiber erhebt neben den Abonnementgebühren Plattformgebühren (Transaktionsgebühren) auf über die Plattform abgewickelte Bestellungen. Die Höhe der Plattformgebühren richtet sich nach dem jeweiligen Tarif und wird auf der Website sowie im Rahmen der Registrierung transparent ausgewiesen.

(5) Rechnungen werden in elektronischer Form (PDF per E-Mail oder im Kundenportal) bereitgestellt. Der Restaurantpartner stimmt dem elektronischen Rechnungsversand gemäß § 14 Abs. 1 UStG zu.

(6) Bei Zahlungsverzug ist der Betreiber berechtigt, Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz (§§ 288 Abs. 2, 247 BGB) zu verlangen. Das Recht zur Geltendmachung eines weitergehenden Verzugsschadens bleibt unberührt.

(7) Bei Zahlungsverzug von mehr als 14 Tagen ist der Betreiber berechtigt, den Zugang des Restaurantpartners zur Plattform zu sperren, bis der Rückstand vollständig beglichen ist. Die Verpflichtung zur Zahlung der Abonnementgebühren bleibt hiervon unberührt.

(8) Der Betreiber ist berechtigt und – bei rückläufiger Indexentwicklung – verpflichtet, die Preise für laufende Abonnements einmal pro Kalenderjahr an die Entwicklung des Harmonisierten Verbraucherpreisindex (HVPI) für die Eurozone, veröffentlicht von Eurostat, anzupassen. Die Anpassung erfolgt symmetrisch in dem Umfang, in dem sich der HVPI seit der letzten Preisanpassung bzw. seit Vertragsschluss verändert hat; bei rückläufigem Index erfolgt eine entsprechende Senkung des Preises. Preisanpassungen werden dem Restaurantpartner mindestens 30 Tage vor ihrem Inkrafttreten in Textform mitgeteilt. Erhöht sich der Preis um mehr als 5 % gegenüber dem zuletzt vereinbarten Preis, steht dem Restaurantpartner ein Sonderkündigungsrecht zum Wirksamwerden der Preiserhöhung zu, das innerhalb von 30 Tagen nach Zugang der Mitteilung in Textform auszuüben ist; macht der Restaurantpartner von diesem Recht keinen Gebrauch, gilt die Preisanpassung als angenommen.

(9) Eine Aufrechnung durch den Restaurantpartner ist nur zulässig mit unbestrittenen oder rechtskräftig festgestellten Gegenforderungen. Ein Zurückbehaltungsrecht steht dem Restaurantpartner nur zu, soweit seine Gegenforderung auf demselben Vertragsverhältnis beruht.

§ 7a Steuerliche Meldepflichten nach dem Plattformen-Steuertransparenzgesetz (PStTG / DAC7)

(1) Soweit der Betreiber im Einzelfall als meldepflichtiger Plattformbetreiber im Sinne des § 3 Plattformen-Steuertransparenzgesetz (PStTG) zur Umsetzung der Richtlinie (EU) 2021/514 (DAC7) einzustufen ist, unterliegt er gegenüber dem Bundeszentralamt für Steuern (BZSt) jährlichen Sorgfalts-, Aufzeichnungs- und Meldepflichten in Bezug auf die über die Plattform tätigen Restaurantpartner. Die Einordnung erfolgt anhand der konkreten Vertragsgestaltung; eine etwaige Meldepflicht erfasst nur relevante Tätigkeiten im Sinne des § 5 Abs. 2 PStTG, insbesondere den Verkauf von Speisen und Getränken über die Plattform mit Zahlungsfluss über Stripe Connect. Reine Tischreservierungen ohne Zahlungsfluss über die Plattform stellen keine relevante Tätigkeit im Sinne des PStTG dar und sind von einer etwaigen Meldepflicht ausgenommen.

(2) Der Restaurantpartner ist verpflichtet, dem Betreiber sämtliche zur Erfüllung der Pflichten nach dem PStTG erforderlichen Angaben wahrheitsgemäß, vollständig und in nachprüfbarer Form mitzuteilen. Dies umfasst insbesondere: (a) Vor- und Nachname bzw. eingetragene Firma; (b) Hauptanschrift; (c) Steueridentifikationsnummer (bei natürlichen Personen) bzw. Steuernummer und ggf. Wirtschafts-Identifikationsnummer (bei juristischen Personen); (d) Umsatzsteuer-Identifikationsnummer, soweit erteilt; (e) bei natürlichen Personen das Geburtsdatum; (f) bei juristischen Personen die Handelsregister- oder vergleichbare Registernummer einschließlich des Registergerichts; (g) jeden Mitgliedstaat, in dem der Restaurantpartner ansässig ist oder eine Betriebsstätte unterhält; sowie (h) die Finanzkonto-Kennung des Auszahlungskontos beim Zahlungsdienstleister; bei Nutzung von Stripe Connect erhebt und verwahrt Stripe Payments Europe, Ltd. die vollständige IBAN, der Betreiber erhält und speichert ausschließlich die letzten vier Stellen sowie die Stripe-Konto-Referenz. Auf Anforderung des Bundeszentralamts für Steuern (BZSt) ist der Betreiber berechtigt, die vollständige IBAN unmittelbar bei Stripe abzurufen; der Restaurantpartner stimmt diesem Datenabruf bereits jetzt zu.

(3) Der Restaurantpartner ist verpflichtet, Änderungen der nach Absatz 2 mitgeteilten Daten unverzüglich, spätestens jedoch innerhalb von 30 Tagen nach Eintritt der Änderung, im Mambil-Kundenportal sowie – soweit die jeweiligen Datenfelder dort gepflegt werden – im Stripe-Connect-Konto zu aktualisieren. Nur bei nachgewiesener technischer Unverfügbarkeit beider Portale können Änderungen ausnahmsweise in Textform (§ 126b BGB) an privacy@dev.mambil.com mitgeteilt werden; in diesem Fall ist der Restaurantpartner verpflichtet, die Aktualisierung nach Wiederverfügbarkeit unverzüglich im Portal nachzuholen.

(4) Der Betreiber ist berechtigt, die nach Absatz 2 erhobenen Daten zu plausibilisieren, insbesondere durch automatisierte Validierung der Umsatzsteuer-Identifikationsnummer über das MIAS/VIES-System der Europäischen Kommission, sowie durch Abgleich mit öffentlich verfügbaren Registern (Handelsregister, Unternehmensregister).

(5) Der Betreiber ist berechtigt und verpflichtet, die in Absatz 2 genannten Daten sowie die je Kalenderquartal über die Plattform an den Restaurantpartner ausgekehrte Vergütung, die einbehaltenen Plattformgebühren und die Anzahl der relevanten Tätigkeiten an das BZSt zu übermitteln. Die Information des Restaurantpartners über die übermittelten Angaben erfolgt nach Maßgabe von Absatz 9.

(6) Verweigert der Restaurantpartner die Mitteilung oder Aktualisierung der nach Absatz 2 erforderlichen Daten oder werden die Daten innerhalb der gesetzlichen Frist nicht plausibilisiert, ist der Betreiber nach zwei erfolglosen Erinnerungen und Ablauf einer Gesamtfrist von 60 Tagen seit der ersten Aufforderung verpflichtet, die weitere Tätigkeit des Restaurantpartners auf der Plattform zu unterbinden und/oder Auszahlungen über das Stripe-Connect-Konto bis zur Bereitstellung der vollständigen Daten zurückzuhalten (§ 23 PStTG). Etwaige Schadensersatzansprüche des Restaurantpartners gegen den Betreiber wegen einer durch unterlassene Mitwirkung veranlassten Sperrung sind ausgeschlossen.

(7) Die nach diesem Paragraphen erhobenen Daten werden vom Betreiber für die Dauer von zehn Jahren nach Ablauf des jeweiligen Meldezeitraums aufbewahrt (§ 24 PStTG). Eine Verarbeitung erfolgt ausschließlich zu den nach dem PStTG vorgeschriebenen Zwecken sowie zur Vertragsdurchführung; weitere Einzelheiten zur Verarbeitung enthält die Datenschutzerklärung.

(8) Soweit Stripe oder ein anderer Zahlungsdienstleister im Rahmen des § 22g UStG (Umsetzung der Richtlinie (EU) 2020/284, ergänzt durch Verordnung (EU) 2020/283 – CESOP) eigene Meldepflichten gegenüber Steuerbehörden erfüllt, bleibt die hiervon unabhängige Meldepflicht des Betreibers nach dem PStTG unberührt.

(9) Jährliche Information des Restaurantpartners: Der Betreiber informiert den Restaurantpartner gemäß § 22 Abs. 4 PStTG bis spätestens zum 31. Januar des Folgejahres in Textform über die für den jeweiligen Meldezeitraum an das BZSt übermittelten Daten. Fällt der 31. Januar auf einen Samstag, Sonntag oder gesetzlichen Feiertag, verschiebt sich die Frist auf den nächstfolgenden Werktag (§ 108 Abs. 3 AO).

(10) Freistellung. Werden gegen den Betreiber Bußgelder (insbesondere nach § 25 PStTG bis zu EUR 50.000 je Verstoß), Säumnis- bzw. Verspätungszuschläge, behördliche Auskunfts- oder Vorlageverlangen, Ansprüche Dritter (einschließlich anderer Steuerbehörden im EU-Ausland) oder gerichtliche Verfahren festgesetzt oder geltend gemacht, weil der Restaurantpartner die nach Absatz 2 erforderlichen Daten nicht, unrichtig, unvollständig oder verspätet bereitgestellt hat, stellt der Restaurantpartner den Betreiber auf erstes Anfordern von diesen Beträgen einschließlich angemessener Rechtsverteidigungs- und Beratungskosten frei. Die Freistellung gilt nicht, soweit den Betreiber ein eigenes Verschulden trifft. Der Betreiber wird den Restaurantpartner über die Inanspruchnahme unverzüglich informieren und ihm Gelegenheit zur Stellungnahme geben.

§ 8 Zahlungsabwicklung über Stripe Connect

(1) Die Zahlungsabwicklung zwischen Endkunden und Restaurantpartnern für über die Plattform aufgegebene Bestellungen erfolgt über Stripe Connect, bereitgestellt von Stripe Payments Europe, Ltd. (nachfolgend „Stripe”). Der Betreiber ist an der Zahlungsabwicklung nicht als Zahlungsdienstleister beteiligt und ist selbst kein Zahlungsdienstleister im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG). Die regulierten Zahlungsdienste werden ausschließlich von Stripe erbracht. Der Betreiber nimmt zu keinem Zeitpunkt Gelder der Endkunden entgegen.

(2) Der Restaurantpartner ist verpflichtet, im Rahmen der Registrierung ein eigenes Stripe-Connect-Konto zu eröffnen und die hierfür erforderlichen Angaben wahrheitsgemäß und vollständig zu machen. Es gelten ergänzend die Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien von Stripe (Stripe Connected Account Agreement).

(3) Der Zahlungsfluss gestaltet sich wie folgt: (a) Der Endkunde leistet die Zahlung für seine Bestellung über die von Stripe bereitgestellten Zahlungsmethoden (z. B. Kreditkarte, SEPA-Lastschrift, Apple Pay, Google Pay). (b) Der Zahlungsbetrag wird dem Stripe-Connect-Konto des Restaurantpartners gutgeschrieben. (c) Die Plattformgebühren des Betreibers sowie die Transaktionsgebühren von Stripe werden automatisch vor Auszahlung abgezogen. (d) Die Auszahlung an den Restaurantpartner erfolgt gemäß den mit Stripe vereinbarten Auszahlungsrhythmen.

(4) Der Betreiber hat keinen Zugriff auf die vom Endkunden an den Restaurantpartner gezahlten Beträge und ist an der Zahlungsabwicklung lediglich als Plattformbetreiber, nicht als Zahlungsempfänger, beteiligt.

(5) Für die Ordnungsmäßigkeit des Stripe-Connect-Kontos, die Einhaltung der Stripe-Nutzungsbedingungen, die steuerrechtliche Erfassung der Einnahmen und die Ausstellung von Belegen gegenüber dem Endkunden ist ausschließlich der Restaurantpartner verantwortlich.

(6) Der Betreiber haftet nicht für Störungen, Verzögerungen oder Ausfälle der Zahlungsabwicklung durch Stripe. Bei Problemen mit der Zahlungsabwicklung wendet sich der Restaurantpartner direkt an den Stripe-Support.

§ 8a Rechnungen, Belege und Kassensystem

(1) Mambil UG (haftungsbeschränkt) stellt dem Restaurantpartner ausschließlich für die eigenen Leistungen (Abonnementgebühren und Plattformgebühren) Rechnungen aus. Diese Rechnungen werden dem Restaurantpartner in elektronischer Form (PDF per E-Mail oder im Kundenportal) bereitgestellt.

(2) Für Bestellungen, die Endkunden über die Plattform bei einem Restaurantpartner aufgeben, stellt Mambil UG (haftungsbeschränkt) gegenüber dem Endkunden keine Rechnung und keinen steuerlichen Beleg aus. Der Endkunde erhält nach erfolgreichem Bestellvorgang automatisiert eine Bestellbestätigung per E-Mail oder im Browser, in der die bestellten Artikel, die jeweiligen Einzelpreise sowie der Gesamtbetrag aufgeführt sind. Die Bestellbestätigung dient ausschließlich der Information des Endkunden und der Dokumentation des Bestellvorgangs; sie ersetzt keine umsatzsteuerlich korrekte Rechnung und keinen gesetzlich vorgeschriebenen Kassenbon.

(3) Die Verpflichtung zur Ausstellung einer umsatzsteuerlich korrekten Rechnung sowie eines steuerlichen Belegs (z. B. Kassenbon) gegenüber dem Endkunden obliegt ausschließlich dem Restaurantpartner und richtet sich nach den am Sitz des Restaurantpartners bzw. am Ort der Leistungserbringung anwendbaren Vorschriften. Der Restaurantpartner ist Verkäufer und steuerlicher Leistungserbringer der Speisen und Getränke; Mambil UG (haftungsbeschränkt) ist hieran nicht beteiligt.

(4) Die Plattform ist kein Kassensystem im Sinne der jeweils anwendbaren Kassensicherungsvorschriften und verfügt über keine zertifizierte technische Sicherheitseinrichtung. Für die ordnungsgemäße Erfassung, Aufzeichnung und Ausgabe der Umsätze in einem den lokalen Anforderungen entsprechenden Kassensystem ist ausschließlich der Restaurantpartner verantwortlich. Mambil UG (haftungsbeschränkt) stellt dem Restaurantpartner optional eine Funktion zur Verfügung, mit der Bestellungen mit einem durch den Restaurantpartner hinterlegten Umsatzsteuersatz versehen und an den Endkunden als einfache Quittung weitergegeben werden können; diese Quittung ersetzt nicht den gesetzlich vorgeschriebenen Kassenbon.

(5) Der Restaurantpartner verpflichtet sich, seine Kassenführungs-, Aufzeichnungs- und Belegausgabepflichten nach Maßgabe der für ihn geltenden Vorschriften eigenständig einzuhalten, erforderlichenfalls durch Einsatz eines geeigneten zertifizierten Kassensystems. Die Pflicht zur Abführung der auf die Bestellung entfallenden Umsatzsteuer trifft ausschließlich den Restaurantpartner.

§ 9 Bestellungen und Bestellabwicklung

(1) Endkunden können über die Plattform Bestellungen bei Restaurantpartnern aufgeben (Vor-Ort, Takeaway oder Vorbestellungen). Die Plattform dient hierbei als technisches Übermittlungswerkzeug.

(2) Durch die Aufgabe einer Bestellung über die Plattform gibt der Endkunde ein verbindliches Angebot zum Abschluss eines Kaufvertrages über die ausgewählten Speisen und Getränke gegenüber dem jeweiligen Restaurantpartner ab. Der Kaufvertrag kommt erst durch die Annahme der Bestellung durch den Restaurantpartner (Bestellbestätigung) zustande.

(3) Der Betreiber ist nicht Vertragspartei des zwischen Endkunde und Restaurantpartner geschlossenen Kaufvertrages. Ansprüche aus dem Kaufvertrag – insbesondere hinsichtlich Qualität, Quantität, Allergene, Inhaltsstoffe, Lieferzeit, Gewährleistung und Haftung für Mängel der Speisen – bestehen ausschließlich zwischen dem Endkunden und dem Restaurantpartner.

(4) Stornierungen und Reklamationen hinsichtlich der bestellten Speisen und Getränke sind vom Endkunden direkt gegenüber dem Restaurantpartner geltend zu machen. Der Betreiber kann hierbei im Rahmen seiner technischen Möglichkeiten unterstützen, übernimmt jedoch keine Verpflichtung zur Streitbeilegung.

(5) Der Restaurantpartner ist verpflichtet, eingehende Bestellungen zeitnah zu bearbeiten und den Endkunden über den Bearbeitungsstatus zu informieren. Die Nichtbearbeitung oder systematische Ablehnung von Bestellungen kann eine Vertragsverletzung gegenüber dem Betreiber darstellen.

(6) Der Betreiber stellt im Bestellprozess gegenüber Endkunden die unionsrechtlich und national erforderlichen Pflichtinformationen sowie die Button-Lösung gemäß § 312j Abs. 3 BGB technisch zur Verfügung; die Bestell-Schaltfläche wird mit den Worten „zahlungspflichtig bestellen“ oder einer entsprechenden eindeutigen Formulierung im Sinne des § 312j Abs. 3 Satz 2 BGB beschriftet. Der Restaurantpartner ist verpflichtet, die ihm zuzurechnenden Pflichtangaben (insbesondere Firma und ladungsfähige Anschrift, Telefonnummer, Artikelbezeichnung, Preise inkl. Steuerausweis, Allergen- und Zusatzstoffinformationen, Liefer- und Servicegebühren, Zahlungs-, Liefer- und Leistungsbedingungen) wahrheitsgemäß, vollständig und aktuell in der Plattform zu hinterlegen. Für die Richtigkeit dieser Angaben haftet ausschließlich der Restaurantpartner.

(7) Technische Sperre bei unvollständigen Pflichtangaben: Sind die nach Absatz 6 erforderlichen Pflichtangaben unvollständig oder offensichtlich fehlerhaft, ist der Betreiber berechtigt – insbesondere zur Vermeidung verbraucherschutzrechtlicher Verstöße –, die Bestellfunktion für den jeweiligen Restaurantpartner zu deaktivieren, bis die Angaben vollständig und plausibel ergänzt sind. Eine Verpflichtung des Betreibers zur Deaktivierung oder zur Überwachung der Angaben besteht nicht. Schadensersatzansprüche des Restaurantpartners wegen einer hierdurch veranlassten Sperrung sind ausgeschlossen, soweit den Betreiber kein Vorsatz oder grobe Fahrlässigkeit trifft.

(8) Beschwerdebearbeitung gegenüber Endkunden: Der Restaurantpartner verpflichtet sich, vom Betreiber nach § 4a der Endkunden-Nutzungsbedingungen weitergeleitete Beschwerden eines Endkunden innerhalb von sieben (7) Kalendertagen ab Zugang inhaltlich zu bearbeiten und dem Endkunden – unter Kopie an den Betreiber – eine begründete Antwort zukommen zu lassen. Etwaige vom Restaurantpartner gewährte Erstattungen werden über das Stripe-Connect-Konto des Restaurantpartners abgewickelt. Eine Vermittlungstätigkeit des Betreibers gemäß § 4a der Endkunden-Nutzungsbedingungen begründet keine eigenständige Erstattungspflicht des Betreibers und lässt die Verantwortlichkeit des Restaurantpartners gegenüber dem Endkunden unberührt.

§ 10 Reservierungen

(1) Endkunden können über die Plattform Tischreservierungen bei Restaurantpartnern vornehmen, sofern der Restaurantpartner die Reservierungsfunktion in seinem Tarif aktiviert hat.

(2) Durch die Vornahme einer Reservierung über die Plattform kommt ein Reservierungsvertrag ausschließlich zwischen dem Endkunden und dem jeweiligen Restaurantpartner zustande. Der Betreiber ist nicht Vertragspartei dieses Vertrages.

(3) Der Restaurantpartner ist allein verantwortlich für die Einhaltung der zugesagten Reservierungen, die Verfügbarkeit von Tischen, die Verwaltung von Reservierungskapazitäten und die Kommunikation mit dem Endkunden bei Änderungen oder Stornierungen.

(4) Der Betreiber übernimmt keine Gewähr dafür, dass eine über die Plattform vorgenommene Reservierung vom Restaurantpartner eingehalten oder bestätigt wird.

(5) Der Restaurantpartner kann in seinen Reservierungseinstellungen No-Show-Regelungen festlegen. Für die Rechtmäßigkeit und Durchsetzbarkeit solcher Regelungen ist der Restaurantpartner allein verantwortlich.

§ 11 Pflichten des Restaurantpartners

(1) Der Restaurantpartner ist verpflichtet, alle auf der Plattform eingestellten Inhalte – insbesondere Speisekarten, Preise, Allergenkennzeichnungen, Zusatzstoffangaben, Produktbeschreibungen und Geschäftszeiten – vollständig, wahrheitsgemäß und aktuell zu halten. Der Restaurantpartner trägt die alleinige Verantwortung für die Richtigkeit dieser Angaben.

(2) Der Restaurantpartner ist verpflichtet, sämtliche für seinen Geschäftsbetrieb und die über die Plattform angebotenen Leistungen einschlägigen gesetzlichen Vorschriften einzuhalten. Dies umfasst insbesondere lebensmittel-, hygiene-, allergenkennzeichnungs-, preisangaben-, gewerbe-, steuer-, verbraucherschutz-, jugendschutz- und datenschutzrechtliche Vorschriften sowie etwaige Genehmigungs-, Konzessions- und Registrierungspflichten. Welche Vorschriften im Einzelnen gelten, richtet sich nach dem Sitz des Restaurantpartners sowie dem Ort der Leistungserbringung. Der Restaurantpartner ist allein dafür verantwortlich, sich über die für ihn jeweils geltenden Anforderungen zu informieren und diese umzusetzen. Der Betreiber nimmt keine Prüfung der für den Restaurantpartner geltenden Rechtslage vor.

(3) Der Restaurantpartner ist verpflichtet, sein Stripe-Connect-Konto ordnungsgemäß einzurichten, zu pflegen und die von Stripe geforderten Verifizierungsprozesse fristgerecht abzuschließen. Änderungen seiner Bankverbindung, Verifizierungs- oder sonstiger für die Zahlungsabwicklung relevanter Daten hat er unverzüglich im Stripe-Connect-Konto zu aktualisieren. Der Betreiber haftet nicht für Verzögerungen oder ausbleibende Auszahlungen, die auf unvollständige oder veraltete Angaben des Restaurantpartners zurückzuführen sind.

(4) Der Restaurantpartner hat seine Zugangsdaten zur Plattform vertraulich zu behandeln, ein hinreichend sicheres Passwort zu verwenden und seine Zugangsdaten vor dem Zugriff unbefugter Dritter zu schützen. Soweit der Betreiber starke Authentifizierungsverfahren (z. B. Passkeys) anbietet, wird deren Aktivierung empfohlen. Der Restaurantpartner hat den Betreiber unverzüglich zu informieren, wenn Anhaltspunkte für eine unbefugte Nutzung seines Kontos vorliegen. Bis zum Eingang einer entsprechenden Mitteilung beim Betreiber haftet der Restaurantpartner für sämtliche über sein Konto vorgenommenen Handlungen, sofern ihn ein Verschulden trifft.

(5) Der Restaurantpartner darf die Plattform nicht für rechtswidrige, irreführende, beleidigende oder wettbewerbswidrige Zwecke nutzen. Insbesondere ist es untersagt, (a) Inhalte einzustellen, die gegen Urheber-, Marken- oder sonstige Schutzrechte Dritter verstoßen (einschließlich der unberechtigten Nutzung fremder Bilder, Logos oder Produktbezeichnungen), (b) die Plattform oder deren Quellcode einem Reverse Engineering, einer Dekompilierung oder Disassemblierung zu unterziehen, soweit dies nicht gesetzlich zwingend zulässig ist, sowie (c) automatisierte Zugriffe (insbesondere Bots, Crawler, Scraping) oder Maßnahmen zur Umgehung technischer Schutz- oder Zugriffsbeschränkungen ohne vorherige schriftliche Zustimmung des Betreibers durchzuführen.

(6) Der Restaurantpartner ist verpflichtet, Endkunden, die über die Plattform bestellen, sämtliche nach den am Sitz des Restaurantpartners bzw. am Ort der Leistungserbringung anwendbaren Verbraucherschutzvorschriften zustehenden Rechte einzuräumen. Bestellungen von Speisen und Getränken zum sofortigen Verzehr oder zur kurzfristigen Lieferung unterfallen typischerweise den gesetzlichen Ausnahmen vom Widerrufsrecht, insbesondere § 312g Abs. 2 Nr. 1 BGB (nach Kundenspezifikation hergestellte oder eindeutig auf persönliche Bedürfnisse zugeschnittene Waren), § 312g Abs. 2 Nr. 2 BGB (schnell verderbliche Waren oder Waren mit kurzer Verfallsfrist) sowie § 312g Abs. 2 Nr. 9 BGB (Dienstleistungen im Zusammenhang mit Freizeitbetätigungen, Beherbergung und Lieferung von Speisen und Getränken zu einem bestimmten Zeitpunkt oder Zeitraum). Soweit im Einzelfall ein Widerrufsrecht besteht, hat der Restaurantpartner den Endkunden gemäß Art. 246a EGBGB ordnungsgemäß zu belehren und ein Muster-Widerrufsformular bereitzustellen. Die Bereitstellung einer dem jeweiligen Geschäftsmodell und der jeweiligen Rechtsordnung entsprechenden Widerrufsbelehrung obliegt dem Restaurantpartner.

(7) Der Restaurantpartner ist allein dafür verantwortlich, dass sämtliche über die Plattform angebotenen Speisen, Getränke und sonstigen Waren oder Dienstleistungen verkehrsfähig und rechtlich zulässig sind. Der Restaurantpartner sichert zu, dass er über alle für den Vertrieb der angebotenen Produkte erforderlichen behördlichen Genehmigungen, Konzessionen und Zulassungen verfügt (z. B. Gaststättenerlaubnis, Schankerlaubnis, lebensmittelrechtliche Zulassungen). Der Betreiber ist nicht verpflichtet, die Verkehrsfähigkeit oder Rechtmäßigkeit der vom Restaurantpartner angebotenen Produkte zu prüfen, und übernimmt hierfür keine Verantwortung.

(8) Soweit der Restaurantpartner über die Plattform alkoholische Getränke, Tabak- oder sonstige altersbeschränkte Waren anbietet, obliegt ihm allein die Einhaltung der am Ort der Leistungserbringung geltenden jugendschutzrechtlichen Vorschriften, insbesondere die Altersverifikation bei Übergabe oder Auslieferung. Die Plattform nimmt keine Altersverifikation vor und ist technisch nicht darauf ausgelegt, das Alter von Endkunden zu prüfen. Der Restaurantpartner hat durch geeignete organisatorische Maßnahmen (z. B. Sichtkontrolle des Ausweises bei Übergabe) sicherzustellen, dass altersbeschränkte Waren nicht an Minderjährige abgegeben werden. Lässt der Restaurantpartner die Auslieferung durch eigene Mitarbeiter oder durch beauftragte Dritte (z. B. externe Lieferdienste oder Kuriere) vornehmen, hat er sicherzustellen, dass auch diese die erforderliche Altersverifikation bei Übergabe durchführen. Der Betreiber haftet nicht für Verstöße des Restaurantpartners oder der von ihm eingesetzten Personen gegen jugendschutzrechtliche Abgabebeschränkungen.

§ 12 Datenzugang, Trader Traceability (DSA Art. 30) und Konditionenparität (P2B Art. 9 und 10)

(1) Datenzugang (Art. 9 P2B-Verordnung): Während der Vertragslaufzeit hat der Restaurantpartner über das Kundenportal jederzeit Zugriff auf die von ihm selbst eingestellten Stammdaten (Speisekarte, Preise, Allergene, Öffnungszeiten, Bilder), die im Rahmen seiner Nutzung der Plattform generierten Bestell- und Reservierungsdaten (einschließlich Bestellzeitpunkt, Warenkorb, Tischnummer, Bestellnotizen, Reservierungsdetails) sowie aggregierte Statistik- und Reporting-Daten (z. B. Umsatz, Bestellanzahl, Spitzenzeiten). Personenbezogene Daten der Endkunden werden dem Restaurantpartner nur insoweit zugänglich gemacht, als dies für die Bestell- und Reservierungsabwicklung erforderlich ist und keine zwingenden datenschutzrechtlichen Gründe entgegenstehen. Zahlungsbezogene Detaildaten (z. B. vollständige Kartendaten) werden ausschließlich von Stripe verarbeitet und sind über das Stripe-Connect-Konto des Restaurantpartners zugänglich. Aggregierte, nicht personenbeziehbare Nutzungsdaten der Plattform insgesamt werden vom Betreiber zu Verbesserungs- und Statistikzwecken verarbeitet und nicht an einzelne Restaurantpartner herausgegeben.

(2) Datenexport und Datenverfügbarkeit nach Vertragsende: Der Restaurantpartner kann die über die Plattform abgewickelten Bestelldaten – einschließlich der zum Bestellzeitpunkt jeweils bestellten Artikel, Modifier und Preise – über die im Kundenportal bereitgestellte Exportfunktion in einem strukturierten, gängigen und maschinenlesbaren Format (insbesondere CSV oder JSON) herunterladen. Bestelldaten werden monatlich nach Monatsabschluss zum Export bereitgestellt. Im Falle einer Kontolöschung (auf Antrag gemäß § 17 Abs. 5 oder inaktivitätsbedingt gemäß § 17 Abs. 6) stellt der Betreiber dem Restaurantpartner einen kumulierten Endexport sämtlicher zu diesem Zeitpunkt noch vorhandener Bestelldaten zur Verfügung, der während der jeweils geltenden 45-tägigen bzw. 30-tägigen Vormerkphase im Kundenportal abrufbar bleibt. Eine Kündigung eines kostenpflichtigen Abonnements (§ 17 Abs. 2) bewirkt keine Datenlöschung; der Restaurantpartner kann die Exportfunktion weiterhin uneingeschränkt nutzen. Stammdaten (Restaurantprofil, vollständige Speisekartenstruktur einschließlich Kategorien, Beschreibungen, Allergen- und Zusatzstoffangaben sowie Bildern) und Reservierungsdaten sind während der Vertragslaufzeit über die Plattform einsehbar; ein separater strukturierter Export dieser Datenkategorien wird nicht angeboten. Eine darüber hinausgehende Bereitstellung erfolgt nur, soweit gesetzlich vorgeschrieben.

(3) Trader Traceability (Art. 30 DSA – Verordnung (EU) 2022/2065): Vor Freischaltung seiner Inhalte gegenüber Endkunden stellt der Restaurantpartner dem Betreiber die folgenden Angaben wahrheitsgemäß und vollständig zur Verfügung: (a) Firma, Anschrift, Telefonnummer und E-Mail-Adresse; (d) bei Eintragung in einem Handels-, Gesellschafts- oder vergleichbaren Register: Registergericht, Registernummer und Rechtsform; (e) eine Selbsterklärung nach Art. 30 Abs. 1 lit. e DSA, dass er ausschließlich Produkte und Dienstleistungen anbietet, die mit dem geltenden Unionsrecht und nationalen Recht im Einklang stehen; diese Selbsterklärung gibt der Restaurantpartner mit der Annahme dieser AGB im Rahmen der Registrierung ausdrücklich ab und bestätigt sie bei jeder Aktualisierung der AGB neu. Die Identifizierung des gesetzlichen Vertreters gemäß Art. 30 Abs. 1 lit. b DSA sowie die Verifizierung des Auszahlungskontos gemäß Art. 30 Abs. 1 lit. c DSA erfolgen im Rahmen des regulierten KYC-Verfahrens des Zahlungsdienstleisters Stripe Payments Europe, Ltd.; eine eigene Vorlage des Ausweisdokuments oder der vollständigen Bankverbindung gegenüber dem Betreiber ist nicht erforderlich. Der Restaurantpartner erteilt dem Betreiber die Berechtigung, das Ergebnis der Stripe-Identitäts- und Konto-Prüfung über die Stripe-Connect-Schnittstelle abzurufen und für die Erfüllung der Pflichten nach Art. 30 DSA zu verwenden.

(4) Der Betreiber wird die nach Absatz 3 übermittelten Angaben mit angemessenen Mitteln (insbesondere durch Abgleich mit öffentlich zugänglichen Registern, der MIAS/VIES-Datenbank und den Verifizierungsverfahren von Stripe) auf ihre Verlässlichkeit und Vollständigkeit prüfen (Art. 30 Abs. 2 DSA). Werden die Angaben nicht vollständig oder nicht plausibilisierbar zur Verfügung gestellt, ist der Betreiber berechtigt und ggf. verpflichtet, die Bereitstellung der Dienste auszusetzen oder zu beenden, bis die fehlenden Angaben nachgereicht und plausibilisiert sind.

(5) Der Betreiber zeigt Endkunden gegenüber auf der Plattform den Namen, die Anschrift, Kontaktdaten sowie – soweit vorhanden – Handelsregister- und Identifikationsdaten des jeweiligen Restaurantpartners an (Art. 30 Abs. 1 lit. g und Abs. 7 DSA), damit Endkunden den vertragschließenden Restaurantpartner eindeutig identifizieren können.

(6) Konditionenparität (Art. 10 P2B-Verordnung): Der Betreiber stellt keine Anforderungen an die Konditionen, zu denen der Restaurantpartner seine Speisen, Getränke oder sonstigen Leistungen über andere Vertriebskanäle (insbesondere im eigenen Restaurant, über die eigene Website oder über andere Plattformen) anbietet; insbesondere bestehen keine Bestpreis- oder Paritätsklauseln zulasten des Restaurantpartners. Sollte der Betreiber zu einem späteren Zeitpunkt derartige Anforderungen einführen, wird er die Gründe hierfür gemäß Art. 10 Abs. 2 P2B-VO transparent in diesen AGB darlegen und die Restaurantpartner mindestens 15 Tage vor Inkrafttreten in Textform unterrichten.

§ 13 Rechte an Inhalten und geistiges Eigentum

(1) Sämtliche Rechte an der Plattform, einschließlich des Quellcodes, der Software, des Designs, der Marken, Logos und sonstiger Schutzrechte, stehen ausschließlich dem Betreiber bzw. seinen Lizenzgebern zu. Dem Restaurantpartner und dem Endkunden wird ein einfaches, nicht übertragbares, nicht unterlizenzierbares Nutzungsrecht an der Plattform eingeräumt, das auf die Vertragslaufzeit und den vertragsgemäßen Gebrauch beschränkt ist.

(2) Die vom Restaurantpartner auf der Plattform eingestellten Inhalte (Speisekarten, Bilder, Texte, Logos) verbleiben im Eigentum des Restaurantpartners. Der Restaurantpartner räumt dem Betreiber für die Vertragsdauer ein einfaches, weltweites, nicht widerrufliches, übertragbares und unterlizenzierbares Nutzungsrecht an diesen Inhalten ein, soweit dies für die Erbringung der Dienste, die Darstellung auf der Plattform, die technische Speicherung, Bearbeitung und Übersetzung sowie die Bewerbung des Restaurantpartners im Rahmen der Plattform erforderlich ist. Mit Beendigung des Vertrages erlischt das Nutzungsrecht automatisch; eine darüber hinausgehende Nutzung – insbesondere zu Marketing- und Referenzzwecken außerhalb des Plattformkontexts – bedarf einer gesonderten Vereinbarung.

(3) Der Restaurantpartner sichert zu, dass er über alle erforderlichen Rechte an den von ihm eingestellten Inhalten verfügt und diese keine Rechte Dritter (insbesondere Urheber-, Marken-, Persönlichkeits- oder Wettbewerbsrechte) verletzen.

(4) Der Betreiber ist berechtigt, vom Restaurantpartner eingestellte Inhalte zu entfernen oder zu sperren, wenn konkrete Anhaltspunkte für einen Rechtsverstoß vorliegen.

(5) Die vom Betreiber bereitgestellten Inhalte, einschließlich Themes, Templates, Icons, Übersetzungen und sonstiger gestalterischer Elemente, dürfen nur im Rahmen der Plattform und des vertragsgemäßen Gebrauchs verwendet werden. Eine Vervielfältigung, Verbreitung oder anderweitige Verwertung außerhalb der Plattform ist ohne vorherige schriftliche Zustimmung des Betreibers unzulässig.

(6) Referenzkundennennung (Opt-in): Der Betreiber ist nur dann berechtigt, den Restaurantpartner unter Nennung des Namens und Logos sowie einer kurzen Beschreibung der Geschäftsbeziehung als Referenzkunden zu nennen (insbesondere auf der Website des Betreibers, in Pitch-Decks und in sonstigen Marketingmaterialien), wenn der Restaurantpartner dies durch eine gesonderte, ausdrückliche Einwilligung – im Registrierungsprozess oder im Kundenportal über eine eigene Auswahlmöglichkeit (Checkbox) – gestattet hat. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft in Textform an privacy@dev.mambil.com widerrufen werden; bereits hergestellte gedruckte oder anderweitig verbreitete Materialien sind hiervon nicht betroffen.

§ 14 Wartung und Datensicherung

(1) Der Betreiber ist berechtigt, geplante Wartungsarbeiten durchzuführen, die zu einer vorübergehenden Einschränkung der Erreichbarkeit der Plattform führen können. Geplante Wartungsfenster werden nach Möglichkeit in nutzungsarme Zeiten gelegt und mit einer Vorlaufzeit von mindestens 24 Stunden über das Dashboard angekündigt. Geplante Wartungsfenster werden nicht in die Verfügbarkeit eingerechnet (§ 5 Abs. 4) und stellen keinen Mangel der Plattform dar.

(2) In dringenden Fällen (insbesondere bei Sicherheitslücken, Angriffen auf die Infrastruktur oder zur Vermeidung erheblicher Schäden) ist der Betreiber berechtigt, außerplanmäßige Wartungsarbeiten auch ohne Vorankündigung durchzuführen. Der Betreiber wird den Restaurantpartner in diesen Fällen schnellstmöglich informieren.

(3) Der Betreiber erstellt regelmäßige verschlüsselte Sicherungskopien (Backups) der auf der Plattform gespeicherten Daten. Diese routinemäßigen Backups dienen primär der Wiederherstellung der Plattform im Katastrophenfall (Disaster Recovery). Eine Wiederherstellung einzelner, vom Restaurantpartner versehentlich gelöschter oder geänderter Datensätze ist im Standard-Leistungsumfang nicht enthalten und kann – sofern technisch möglich – als gesondert zu vergütende Zusatzleistung beauftragt werden. Dem Restaurantpartner wird empfohlen, die nach § 12 Abs. 2 bereitgestellten Bestelldaten-Exporte (insbesondere für eigene buchhalterische Zwecke) regelmäßig herunterzuladen und sicher zu verwahren.

§ 15 Haftung und Haftungsbeschränkung

(1) Der Betreiber haftet unbeschränkt (a) für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung des Betreibers oder seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen; (b) für Schäden, die auf vorsätzlichem oder grob fahrlässigem Verhalten des Betreibers oder seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen; (c) bei Übernahme einer Garantie; (d) bei Ansprüchen nach dem Produkthaftungsgesetz.

(2) Bei leichter Fahrlässigkeit haftet der Betreiber nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), d. h. einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den vorhersehbaren, vertragstypischen Schaden begrenzt.

(3) Die Haftung des Betreibers für leichte Fahrlässigkeit bei Verletzung von Kardinalpflichten ist je Schadensfall der Höhe nach begrenzt auf den vorhersehbaren, vertragstypischen Schaden, höchstens jedoch auf den Betrag der in den letzten zwölf (12) Monaten vor dem schadensauslösenden Ereignis vom Restaurantpartner an den Betreiber gezahlten Abonnement- und Plattformgebühren. Mehrere Schadensfälle, die auf einem einheitlichen Schadensereignis oder einer einheitlichen Pflichtverletzung beruhen, gelten als ein Schadensfall. Die Gesamthaftung des Betreibers für sämtliche Schadensfälle innerhalb eines Vertragsjahres ist insgesamt auf den vorgenannten Höchstbetrag begrenzt. Da der Restaurantpartner gemäß § 3 Abs. 5c diesen Vertrag ausschließlich als Unternehmer im Sinne des § 14 BGB schließt, ist die Haftung gegenüber Restaurantpartnern im Free-Tarif bei leichter Fahrlässigkeit – einschließlich der Verletzung von Kardinalpflichten – der Höhe nach auf EUR 500 je Schadensfall und EUR 2.000 je Vertragsjahr begrenzt (§ 6 Abs. 5). Die Fälle zwingender Haftung gemäß Absatz 1 bleiben unberührt.

(4) Vorbehaltlich der zwingenden Haftung nach Absatz 1, die durch die nachfolgenden Bestimmungen nicht eingeschränkt wird, haftet der Betreiber nicht für: (a) die Qualität, Sicherheit, Legalität oder Verfügbarkeit der von Restaurantpartnern angebotenen Speisen, Getränke und Dienstleistungen; (b) die Richtigkeit, Vollständigkeit und Aktualität der von Restaurantpartnern eingestellten Inhalte, insbesondere Allergeninformationen, Nährwertangaben und Preise; (c) die Erfüllung von Verträgen zwischen Restaurantpartner und Endkunde; (d) gesundheitliche Schäden, die aus dem Verzehr von über die Plattform bestellten Speisen resultieren, es sei denn, der Betreiber hatte positive Kenntnis von einer Gesundheitsgefährdung und hat trotzdem keine angemessenen Maßnahmen ergriffen; (e) Schäden, die durch Störungen, Ausfälle oder Fehler von Drittanbieterdiensten (insbesondere Stripe, Hosting-Provider, Internet-Provider) entstehen, es sei denn, den Betreiber trifft ein Auswahlverschulden; zwingende gesetzliche Haftungstatbestände, insbesondere nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) und der Zweiten Zahlungsdiensterichtlinie (PSD2), bleiben unberührt.

(5) Die Haftung für den Verlust von Daten ist auf den Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer und regelmäßiger Datensicherung durch den Restaurantpartner angefallen wäre.

(6) Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der gesetzlichen Vertreter, Erfüllungsgehilfen und Mitarbeiter des Betreibers.

(7) Verkürzung der Verjährungsfrist. Schadensersatzansprüche des Restaurantpartners gegen den Betreiber verjähren in einem (1) Jahr ab dem gesetzlichen Verjährungsbeginn. Diese Verkürzung gilt nicht für Ansprüche aus Vorsatz oder grober Fahrlässigkeit des Betreibers oder seiner gesetzlichen Vertreter oder Erfüllungsgehilfen, für Ansprüche aus der Verletzung des Lebens, des Körpers oder der Gesundheit, für Ansprüche aus der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), für Ansprüche aus übernommenen Garantien, für Ansprüche nach dem Produkthaftungsgesetz sowie für sonstige unionsrechtlich oder national zwingende Haftungstatbestände, die einer vertraglichen Verjährungsverkürzung nicht zugänglich sind.

(8) Höhere Gewalt. Der Betreiber haftet nicht für Verzögerungen, Nichterfüllung oder Schlechterfüllung, die auf Ereignissen höherer Gewalt beruhen. Als höhere Gewalt gelten insbesondere Naturkatastrophen, Krieg, Terror, Pandemien, behördliche oder gerichtliche Anordnungen mit erheblicher Auswirkung auf den Plattformbetrieb, großflächige Strom- oder Telekommunikationsausfälle, branchenweite oder rechtmäßige Streiks Dritter (nicht: Streiks im eigenen Betrieb) sowie schwerwiegende, anbieterübergreifende Störungen wesentlicher Internet-Knoten oder wesentlicher Cloud-Infrastruktur (z. B. regionsweite Ausfälle ganzer Cloud-Regionen), soweit diese Ereignisse außerhalb des Verantwortungsbereichs des Betreibers liegen und für ihn weder vorhersehbar noch mit zumutbaren Mitteln abwendbar waren. Der Betreiber wird den Restaurantpartner über den Eintritt und die voraussichtliche Dauer eines solchen Ereignisses unverzüglich informieren.

(9) Mitverschulden. Die Vorschriften des § 254 BGB (Mitverschulden) bleiben uneingeschränkt anwendbar. Ein Mitverschulden des Restaurantpartners ist insbesondere bei einer Verletzung seiner Mitwirkungs-, Aktualisierungs- oder Sicherungsobliegenheiten nach diesen AGB (insbesondere § 7a, § 11 und § 14 Abs. 3) zu berücksichtigen.

(10) Unionsrechtlich zwingende Haftung. Die vorstehenden Haftungsbeschränkungen lassen unionsrechtlich oder national zwingende Haftungstatbestände, insbesondere Ansprüche nach Art. 82 DSGVO sowie nach dem Digital Services Act, dem Data Act und dem Produkthaftungsgesetz bzw. dem an seine Stelle tretenden Umsetzungsgesetz zur Richtlinie (EU) 2024/2853, unberührt.

§ 16 Mängelhaftung (Rechte bei Mängeln)

(1) Da der SaaS-Vertrag gemäß § 3 Abs. 5 als Mietvertrag zu qualifizieren ist, richten sich die Rechte des Restaurantpartners bei Mängeln der Plattform nach den §§ 535 ff. BGB, soweit in diesen AGB nichts anderes bestimmt ist. Ein Mangel im Sinne des § 536 BGB liegt vor, wenn die Plattform während der Vertragslaufzeit nicht unwesentlich von dem in der Leistungsbeschreibung des jeweils gewählten Tarifs beschriebenen Funktionsumfang abweicht. Maßgeblich ist der Funktionsumfang zum Zeitpunkt des Vertragsschlusses bzw. einer vereinbarten Aktualisierung. Die verschuldensunabhängige Haftung des Betreibers für anfängliche Mängel gemäß § 536a Abs. 1 Alt. 1 BGB ist gemäß § 3 Abs. 5a ausgeschlossen.

(2) Als Mangel gelten insbesondere nicht: (a) Funktionsstörungen, die durch unsachgemäße Bedienung, Nutzung nicht kompatibler Endgeräte oder Browser oder durch Eingriffe des Restaurantpartners oder Dritter verursacht werden; (b) unwesentliche Abweichungen der Plattform von der Leistungsbeschreibung, welche die Tauglichkeit zum vertragsgemäßen Gebrauch nicht oder nur unerheblich beeinträchtigen (§ 536 Abs. 1 Satz 3 BGB); (c) Beeinträchtigungen der Erreichbarkeit der Plattform aufgrund von Störungen außerhalb des Verantwortungsbereichs des Betreibers, insbesondere Störungen des Internet-Zugangs des Restaurantpartners oder Endkunden, Drittanbieterdienste (z. B. Stripe, Cloudflare, Hosting-Provider) sowie höhere Gewalt; (d) Zeiten geplanter Wartungsarbeiten gemäß § 14 sowie Zeiten zur Abwehr akuter Sicherheitsrisiken; (e) Unterschreitungen der vereinbarten Verfügbarkeit gemäß § 5 Abs. 4, soweit diese im Rahmen der dort definierten Toleranz liegen.

(3) Der Restaurantpartner hat Mängel unverzüglich nach Feststellung dem Betreiber unter detaillierter Beschreibung des Mangels (insbesondere unter Angabe der konkreten Symptome, des Zeitpunkts und der Reproduzierbarkeit) in Textform (§ 126b BGB), insbesondere per E-Mail an die in § 1 angegebene Kontaktadresse oder über das Kundenportal, anzuzeigen. Unterlässt der Restaurantpartner die rechtzeitige Mängelanzeige, gelten die Einschränkungen des § 536c Abs. 2 BGB.

(4) Bei Vorliegen eines Mangels ist der Betreiber zur Beseitigung des Mangels (Nacherfüllung) berechtigt und verpflichtet. Der Betreiber kann nach seiner Wahl den Mangel durch Behebung des zugrunde liegenden Fehlers oder durch Bereitstellung einer fehlerfreien Version der Software beheben. Die Bereitstellung einer zumutbaren Umgehungslösung (Workaround) gilt als ausreichende Mangelbeseitigung, sofern die vertragsgemäße Nutzung der Plattform dadurch nicht wesentlich beeinträchtigt wird.

(5) Das Recht des Restaurantpartners zur Mietminderung nach § 536 BGB wird auf Fälle beschränkt, in denen der Mangel die Tauglichkeit der Plattform zum vertragsgemäßen Gebrauch nicht nur unerheblich aufhebt oder mindert; im Übrigen ist die Minderung ausgeschlossen, soweit dies AGB-rechtlich zulässig ist. Eine etwaige Minderung erfolgt durch Verrechnung mit künftigen Abonnementgebühren; eine Rückforderung bereits gezahlter Beträge ist insoweit ausgeschlossen, als der Restaurantpartner die Mängelanzeige nach Absatz 3 schuldhaft unterlassen oder verspätet vorgenommen hat (§ 536c Abs. 2 BGB).

(6) Schlägt die Nacherfüllung trotz angemessener Frist und mindestens zweier Versuche endgültig fehl, oder wird sie vom Betreiber endgültig verweigert, ist der Restaurantpartner zur außerordentlichen fristlosen Kündigung des Vertrages aus wichtigem Grund gemäß § 543 Abs. 2 Satz 1 Nr. 1 BGB berechtigt. Schadensersatzansprüche des Restaurantpartners richten sich ausschließlich nach § 15 dieser AGB.

(7) Die Verjährung von Mängelansprüchen richtet sich nach den gesetzlichen Vorschriften (§§ 195, 199 BGB).

§ 17 Laufzeit, Kündigung des Abonnements und Kontolöschung

(1) Laufzeit und Verlängerung: Der Vertrag wird auf unbestimmte Zeit geschlossen. Der Free-Tarif besteht ohne Mindestlaufzeit und ohne Zahlungsverpflichtung. Kostenpflichtige Abonnements laufen über den vom Restaurantpartner gewählten Abrechnungszeitraum (monatlich oder jährlich) und verlängern sich jeweils automatisch um denselben Zeitraum, solange sie nicht gekündigt werden.

(2) Ordentliche Kündigung eines kostenpflichtigen Abonnements: Der Restaurantpartner kann ein kostenpflichtiges Abonnement jederzeit über den im Kundenportal an gut sichtbarer Stelle bereitgestellten Kündigungsbutton („Verträge hier kündigen“, § 312k BGB) kündigen. Die Kündigung wird zum Ende des laufenden Abrechnungszeitraums wirksam (Monatsende bzw. Jahresende). Bis dahin kann das Abonnement uneingeschränkt weitergenutzt werden. Mit Wirksamwerden der Kündigung wechselt das Konto automatisch in den Free-Tarif; das Konto selbst bleibt bestehen, eine Löschung erfolgt hierdurch nicht (siehe Absätze 5 bis 7). Die Kündigung wird dem Restaurantpartner unverzüglich in Textform (§ 126b BGB) bestätigt.

(3) Außerordentliche Kündigung: Das Recht beider Vertragsparteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt (§ 543 BGB analog, § 314 BGB). Ein wichtiger Grund liegt insbesondere vor, wenn: (a) der Restaurantpartner mit der Zahlung von Abonnementgebühren trotz Mahnung und Nachfristsetzung in Höhe von mindestens zwei Monatsbeträgen in Verzug ist; (b) der Restaurantpartner wiederholt oder schwerwiegend gegen diese AGB, insbesondere die Pflichten aus § 11, verstößt; (c) der Restaurantpartner die Plattform für rechtswidrige Zwecke nutzt; (d) über das Vermögen des Restaurantpartners ein Insolvenzverfahren beantragt oder eröffnet wird; (e) der Betreiber seine Leistungen trotz Mahnung und angemessener Nachfrist dauerhaft nicht erbringt.

(4) Rückerstattung: Bereits gezahlte Abonnementgebühren für den laufenden Abrechnungszeitraum werden im Falle einer ordentlichen Kündigung nicht erstattet. Bei einer außerordentlichen Kündigung durch den Restaurantpartner aus einem vom Betreiber zu vertretenden Grund erfolgt eine anteilige Erstattung.

(5) Kontolöschung auf Antrag: Der Restaurantpartner kann jederzeit über das Kundenportal die vollständige Löschung seines Kontos beantragen. Bei einem aktiven kostenpflichtigen Abonnement bewirkt der Löschantrag zugleich die Kündigung des Abonnements gemäß Absatz 2 zum Ende des laufenden Abrechnungszeitraums; bis dahin bleibt der gewählte Tarif uneingeschränkt nutzbar. Die 45-tägige Vormerkphase beginnt mit dem Wirksamwerden der Kündigung; bei Free-Konten ohne aktives Abonnement beginnt sie unmittelbar mit Eingang des Löschantrags. Nach Ablauf der Vormerkphase wird das Konto endgültig gelöscht. Innerhalb der Vormerkphase kann der Restaurantpartner den Löschantrag jederzeit über das Kundenportal widerrufen; während dieses Zeitraums steht der kumulierte Endexport gemäß § 12 Abs. 2 zum Abruf bereit.

(6) Automatische Löschung inaktiver Free-Konten: Free-Konten ohne aktives kostenpflichtiges Abonnement werden vom Betreiber automatisch zur Löschung vorgemerkt, wenn über einen Zeitraum von sechs (6) Monaten keine Anmeldung im Kundenportal erfolgt ist. Der Betreiber informiert den Restaurantpartner mindestens 30 Tage vor der Löschung per E-Mail an die hinterlegte Adresse; eine Anmeldung im Kundenportal innerhalb dieser Frist unterbricht den Löschvorgang. Konten mit aktivem kostenpflichtigem Abonnement unterliegen keiner inaktivitätsbedingten automatischen Löschung; insoweit gilt ausschließlich Absatz 5.

(7) Umfang der Löschung und gesetzliche Aufbewahrung: Mit Löschung des Kontos werden sämtliche Konto-, Profil-, Speisekarten-, Reservierungs- und sonstigen Nutzerdaten unwiderruflich entfernt. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (insbesondere Rechnungen nach § 14b UStG, Buchungsbelege nach § 257 HGB / § 147 AO sowie Meldedaten nach § 22 PStTG), werden in einem zugriffsbeschränkten, revisionssicheren Langzeitspeicher des Betreibers aufbewahrt und nach Ablauf der jeweiligen Aufbewahrungsfrist unverzüglich gelöscht. Konten, für die zu keinem Zeitpunkt steuer-, handels- oder PStTG-relevante Daten entstanden sind (insbesondere reine Free-Tarif-Konten ohne aktivierten Stripe-Connect-Anbieterzugang und ohne über die Plattform ausgegebene Rechnungen), werden ohne Langzeitarchiv vollständig gelöscht. Etwaige Ansprüche des Restaurantpartners auf Datenherausgabe nach Art. 20 DSGVO bleiben unberührt.

(8) Testphase: Der Betreiber bietet Neukunden eine kostenlose 14-tägige Testphase auf kostenpflichtige Tarife an. Während der Testphase kann der Restaurantpartner die Funktionen des gewählten Tarifs ohne Zahlungsverpflichtung nutzen. Wird die Testphase nicht vor Ablauf der 14 Tage vom Restaurantpartner über das Kundenportal beendet, geht sie automatisch in ein kostenpflichtiges Abonnement gemäß dem gewählten Tarif und Abrechnungszeitraum über; ab diesem Zeitpunkt wird die hinterlegte Zahlungsmethode belastet. Die Testphase kann jederzeit ohne Angabe von Gründen über das Kundenportal beendet werden.

(9) Eine erneute Inanspruchnahme der Testphase ist nur einmal pro Restaurantpartner möglich; der Betreiber behält sich vor, bei Verdacht auf missbräuchliche Mehrfachnutzung die Testphase abzulehnen oder zu beenden.

§ 18 Datenschutz

(1) Der Betreiber verarbeitet personenbezogene Daten der Nutzer unter Beachtung der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TDDDG) und sonstiger anwendbarer Datenschutzvorschriften. Einzelheiten ergeben sich aus der Datenschutzerklärung.

(2) Soweit der Betreiber im Auftrag des Restaurantpartners personenbezogene Daten verarbeitet (insbesondere Bestelldaten, Reservierungsdaten und Kontaktdaten der Endkunden), gilt der als Anlage 1 zu diesen AGB beigefügte Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Mit Annahme dieser AGB im Rahmen der Registrierung schließen der Betreiber und der Restaurantpartner zugleich den AVV in der Fassung der Anlage 1. Eine gesonderte Unterzeichnung ist nicht erforderlich; auf Anfrage stellt der Betreiber dem Restaurantpartner eine PDF-Ausfertigung unter privacy@dev.mambil.com zur Verfügung.

(3) Der Restaurantpartner ist als datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten seiner Endkunden verantwortlich, soweit er diese Daten zu eigenen Zwecken verwendet (z. B. zur Bestellabwicklung, Kundenansprache, Reservierungsverwaltung).

(4) Der Restaurantpartner ist verpflichtet, seinen Endkunden eine eigene Datenschutzerklärung bereitzustellen, soweit er über die Plattform personenbezogene Daten erhebt und zu eigenen Zwecken verarbeitet.

(5) Der Betreiber ist berechtigt, anonymisierte und aggregierte Nutzungsdaten für statistische Zwecke, zur Verbesserung der Plattform und zur Erstellung von Marktanalysen zu verwenden, sofern ein Rückschluss auf einzelne Restaurantpartner oder Endkunden nicht möglich ist.

§ 19 Freistellung

(1) Der Restaurantpartner stellt den Betreiber, seine gesetzlichen Vertreter, Erfüllungsgehilfen und Mitarbeiter von sämtlichen Ansprüchen Dritter (einschließlich Endkunden, Wettbewerbern, Verbänden und Behörden) frei, die aufgrund von Inhalten, Daten oder sonstigen Materialien, die der Restaurantpartner über die Plattform bereitstellt, oder aufgrund eines vom Restaurantpartner zu vertretenden Verstoßes gegen diese AGB, gesetzliche Vorschriften oder Rechte Dritter geltend gemacht werden. Die Freistellungspflicht umfasst insbesondere ausdrücklich: (a) Ansprüche aus oder im Zusammenhang mit der Lebensmittelinformations-Verordnung (Verordnung (EU) Nr. 1169/2011 – LMIV), der Lebensmittelinformations-Durchführungsverordnung (LMIDV), dem Lebensmittel- und Futtermittelgesetzbuch (LFGB) und sonstigen lebensmittel-, hygiene- und kennzeichnungsrechtlichen Vorschriften, einschließlich unrichtiger oder unvollständiger Allergen-, Zusatzstoff-, Nährwert- oder Herkunftsangaben; (b) Produkthaftungsansprüche aus dem Verzehr der vom Restaurantpartner abgegebenen Speisen oder Getränke; (c) Ansprüche aus dem Jugendschutzgesetz (JuSchG) und vergleichbaren Vorschriften wegen unzulässiger Abgabe altersbeschränkter Waren; (d) Ansprüche wegen Verstößen gegen Preisangaben-, Verbraucherschutz-, Kassen- und steuerrechtliche Vorschriften; (e) wettbewerbs-, urheber-, marken- und persönlichkeitsrechtliche Ansprüche im Zusammenhang mit den vom Restaurantpartner eingestellten Inhalten.

(2) Die Freistellungspflicht umfasst auch die Erstattung der dem Betreiber entstehenden angemessenen Kosten der Rechtsverteidigung, einschließlich Gerichts- und Anwaltskosten in gesetzlicher Höhe.

(3) Der Betreiber wird den Restaurantpartner unverzüglich über geltend gemachte Ansprüche Dritter informieren und ihm – soweit rechtlich möglich – die Verteidigung überlassen oder an der Verteidigung mitwirken. Der Restaurantpartner ist verpflichtet, den Betreiber bei der Abwehr solcher Ansprüche zu unterstützen und alle erforderlichen Informationen zur Verfügung zu stellen.

(4) Die Freistellungspflicht entfällt, soweit der Restaurantpartner die Rechtsverletzung nicht zu vertreten hat.

§ 20 Änderungen der AGB

(1) Der Betreiber ist berechtigt, diese AGB mit Wirkung für die Zukunft zu ändern oder zu ergänzen, soweit dies aus triftigen Gründen erforderlich ist (z. B. Änderung der Rechtslage, höchstrichterliche Rechtsprechung, technische Änderungen, Schließung von Regelungslücken, Änderung der Marktbedingungen) und der Restaurantpartner dadurch nicht unangemessen benachteiligt wird.

(2) Änderungen der AGB werden dem Restaurantpartner mindestens 30 Tage vor ihrem Inkrafttreten in Textform (per E-Mail an die hinterlegte E-Mail-Adresse und über das Kundenportal) mitgeteilt. Die Mitteilung enthält den Wortlaut der geänderten Bestimmungen, eine Gegenüberstellung der wesentlichen Änderungen, den Zeitpunkt des geplanten Inkrafttretens sowie einen ausdrücklichen, drucktechnisch hervorgehobenen Hinweis auf die Genehmigungsfiktion nach Absatz 3, die 30-tägige Widerspruchsfrist und das Sonderkündigungsrecht nach Absatz 4.

(3) Zustimmungsfiktion: Die geänderten Bestimmungen gelten als genehmigt, wenn der Restaurantpartner ihnen nicht innerhalb von 30 Tagen nach Zugang der Änderungsmitteilung in Textform widerspricht. Voraussetzung der Genehmigungsfiktion ist, dass (a) der Restaurantpartner in der Änderungsmitteilung gemäß Absatz 2 ausdrücklich auf die Frist und die Folgen seines Schweigens hingewiesen wurde und (b) die Änderungen für den Restaurantpartner zumutbar sind und das vertragliche Gleichgewicht nicht einseitig zu seinen Lasten verschieben. Die Zustimmungsfiktion gilt nicht für Änderungen der Hauptleistungspflichten und des Entgelts; insoweit gelten ausschließlich § 6 sowie Absatz 5.

(4) Sonderkündigungsrecht und Widerspruchsfolge: Widerspricht der Restaurantpartner innerhalb der 30-Tage-Frist, ist er berechtigt, den Vertrag mit Wirkung zum geplanten Inkrafttreten der Änderung ohne Einhaltung einer Frist außerordentlich zu kündigen (Sonderkündigungsrecht). Macht der Restaurantpartner von diesem Sonderkündigungsrecht keinen Gebrauch, besteht der Vertrag zu den bisherigen Bedingungen fort; in diesem Fall ist der Betreiber berechtigt, den Vertrag mit einer Frist von 30 Tagen zum Ende des laufenden Abrechnungszeitraums ordentlich zu kündigen.

(5) Die vorstehende Änderungsbefugnis gilt nicht für Änderungen der Hauptleistungspflichten und des Entgelts. Solche Änderungen bedürfen einer gesonderten Vereinbarung.

§ 21 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). Für Endkunden, die Verbraucher sind und ihren gewöhnlichen Aufenthalt in einem anderen Mitgliedstaat der Europäischen Union haben, bleiben die zwingenden Verbraucherschutzvorschriften des Aufenthaltsstaates gemäß Art. 6 Abs. 2 der Verordnung (EG) Nr. 593/2008 (Rom-I-Verordnung) unberührt.

(2) Ist der Restaurantpartner Kaufmann im Sinne des Handelsgesetzbuches, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag der Sitz des Betreibers. Der Betreiber ist jedoch berechtigt, den Restaurantpartner auch an dessen allgemeinem Gerichtsstand zu verklagen.

(3) Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt (salvatorische Klausel). Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Gleiches gilt für eventuelle Regelungslücken.

(4) Nebenabreden, Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(5) Der Betreiber ist berechtigt, einzelne Rechte und Forderungen aus diesem Vertrag auf Dritte zu übertragen. Eine Übertragung des Vertrages als Ganzes (Vertragsübernahme) ist zulässig im Falle (a) einer Verschmelzung, Spaltung, Umwandlung oder vergleichbaren gesellschaftsrechtlichen Restrukturierung, (b) eines Asset Deals oder Betriebsübergangs gemäß § 613a BGB oder (c) einer Übertragung auf ein mit dem Betreiber im Sinne von § 15 AktG verbundenes Unternehmen. In den Fällen (a) bis (c) wird der Restaurantpartner mindestens 30 Tage vor Wirksamwerden der Übertragung in Textform informiert und ist berechtigt, den Vertrag mit Wirkung zum Übertragungszeitpunkt außerordentlich zu kündigen.

(6) Der Hinweis nach § 36 Abs. 1 VSBG zur Verbraucherstreitbeilegung findet sich für Endkunden in den gesonderten Nutzungsbedingungen für Endkunden sowie zusätzlich im Impressum.

(7) Vertragssprache zwischen Betreiber und Restaurantpartner ist Deutsch. Übersetzungen der AGB in andere Sprachen dienen ausschließlich der Information; im Falle von Widersprüchen ist die deutsche Fassung maßgeblich.

(8) KI-gestützte Übersetzungsfunktion: Die Plattform übersetzt frei formulierte Menüinhalte (insbesondere Artikelbezeichnungen und Beschreibungstexte) automatisiert in weitere Sprachen. Verbindlich ist ausschließlich die vom Restaurantpartner in der Originalsprache hinterlegte Menüfassung; maschinelle Übersetzungen sind eine unverbindliche Zusatzleistung, und Abweichungen zwischen Original und Übersetzung gehen zulasten der Übersetzung. Maschinell übersetzte Inhalte werden gegenüber Endkunden als solche erkennbar gekennzeichnet. Allergen- und Zusatzstoffangaben werden vom Restaurantpartner gepflegt und können wie sonstige Menüinhalte maschinell in weitere Sprachen übersetzt angezeigt werden; verbindlich ist auch insoweit ausschließlich die vom Restaurantpartner in der Originalsprache hinterlegte Fassung. Die inhaltliche Verantwortung für die Richtigkeit und Vollständigkeit der Allergen- und Zusatzstoffangaben verbleibt in allen Sprachfassungen ausschließlich beim Restaurantpartner. Der Betreiber übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit oder kulturelle Angemessenheit der maschinellen Übersetzungen. Der Restaurantpartner kann die automatische Übersetzung für einzelne Zielsprachen jederzeit über das Kundenportal aktivieren oder deaktivieren.

§ 22 Beschwerdemanagement, Mediation und Plattform-Transparenz

(1) Internes Beschwerdemanagement (Art. 11 P2B-Verordnung (EU) 2019/1150): Der Betreiber stellt Restaurantpartnern ein internes, kostenloses Beschwerdeverfahren zur Verfügung. Beschwerden gegen Einschränkungen, Sperrungen, Kündigungen oder sonstige Maßnahmen des Betreibers können per E-Mail an legal@dev.mambil.com eingereicht werden. Der Betreiber bearbeitet Beschwerden mit angemessener Sorgfalt zeitnah und teilt dem Beschwerdeführer das Ergebnis in nachvollziehbarer Form innerhalb angemessener Frist mit.

(2) Begründung von Beschränkungen, Sperrungen und Kündigungen (Art. 4 P2B-VO, Art. 17 DSA): Schränkt der Betreiber die Bereitstellung der Dienste für einen einzelnen Restaurantpartner ein, setzt sie aus oder beendet sie, übermittelt er dem Restaurantpartner eine Begründung in Textform spätestens zum Zeitpunkt des Wirksamwerdens der Maßnahme. Die Begründung enthält die Tatsachen und Umstände, die zur Maßnahme geführt haben, einen Verweis auf die einschlägigen Bestimmungen dieser AGB sowie einen Hinweis auf das interne Beschwerdeverfahren nach Absatz 1. Bei vollständiger Beendigung der Bereitstellung der Dienste erfolgt die Begründung mindestens 30 Tage im Voraus, sofern nicht (a) eine gesetzliche oder behördliche Pflicht zur sofortigen Beendigung besteht, (b) der Restaurantpartner wiederholt gegen diese AGB verstößt oder (c) zwingende Sicherheits- oder Risikogründe ein sofortiges Handeln erfordern.

(3) Meldung rechtswidriger Inhalte (Art. 16 DSA – Verordnung (EU) 2022/2065): Nutzer können rechtswidrige Inhalte auf der Plattform jederzeit per E-Mail an abuse@dev.mambil.com melden. Der Betreiber wird eingehende Meldungen zeitnah, sorgfältig und nicht-willkürlich prüfen, geeignete Maßnahmen treffen und den Meldenden über die getroffenen Maßnahmen sowie etwaige Rechtsbehelfe informieren.

(4) Inhaltsmoderation (Art. 14 Abs. 1 DSA): Der Betreiber prüft auf der Plattform eingestellte Inhalte und kann Inhalte bei Verstoß gegen diese AGB, geltendes Recht oder Rechte Dritter entfernen, sperren, herabstufen oder in ihrer Sichtbarkeit beschränken. Eingesetzte automatisierte Werkzeuge (z. B. zur Erkennung offensichtlich rechtswidriger Inhalte) dienen lediglich der Vorprüfung; die abschließende Entscheidung über belastende Maßnahmen erfolgt durch geschulte Personen. Gegen jede Maßnahme stehen das interne Beschwerdeverfahren nach Absatz 1 sowie die außergerichtliche Streitbeilegung nach Art. 21 DSA offen. Die Begründung erfolgt nach Maßgabe von Absatz 2 sowie Art. 17 DSA.

(5) Zentrale Kontaktstelle (Art. 11 und 12 DSA): Zentrale Kontaktstelle für Behörden und Nutzer im Sinne der Art. 11 und 12 DSA ist abuse@dev.mambil.com. Die Kommunikation kann in deutscher oder englischer Sprache erfolgen.

Anlage 1 – Auftragsverarbeitungsvertrag (AVV)

Mit Annahme der AGB schließen Auftragsverarbeiter und Verantwortlicher diesen AVV im Sinne des Art. 28 DSGVO ab.

§ A1 Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Plattform "Mambil".
(2) Art und Zweck der Verarbeitung ergeben sich aus den hauptvertraglichen Leistungen des Betreibers (Bereitstellung der SaaS-Plattform, Hosting, Bestell- und Reservierungsabwicklung, transaktionale Kommunikation, technischer Support).
(3) Die Kernverarbeitung der personenbezogenen Daten des Verantwortlichen (Hosting der Bestell-, Reservierungs- und Stammdaten) erfolgt in Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Im Rahmen einzelner unterstützender Verarbeitungen (insbesondere Versand transaktionaler E-Mails über Resend, Push-Benachrichtigungen über Firebase Cloud Messaging (Google LLC) sowie CDN- und Sicherheitsdienste über Cloudflare) kann es zu Übermittlungen in die USA kommen. Diese Übermittlungen sind durch geeignete Garantien im Sinne der Art. 44 ff. DSGVO abgesichert; Einzelheiten regelt § A8, ergänzend Abschnitt 11 der Datenschutzerklärung des Auftragsverarbeiters.

§ A2 Dauer
Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages (SaaS-Vertrag) zwischen den Parteien. Endet der Hauptvertrag, endet auch dieser AVV automatisch.

§ A3 Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Verarbeitete Datenarten: Stamm- und Kontaktdaten von Mitarbeitern und Endkunden (Namen, E-Mail-Adressen, Telefonnummern), Bestelldaten (Warenkorb, Bestellzeitpunkt, Tischnummer, Bestellmodus, Lieferadresse, Bestellnotizen, E-Mail-Adresse und Sprachpräferenz des Endkunden, Bestellbeträge), Reservierungsdaten (Datum, Uhrzeit, Personenzahl, Name, E-Mail-Adresse, Telefonnummer, Sonderwünsche), Zahlungsreferenzen (ohne vollständige Kartendaten), Benachrichtigungs- und Gerätedaten (Push-Token für FCM/APNs, Browser-Push-Endpunkte, Endgerätekennungen), Authentifizierungsdaten von Mitarbeitern (z. B. Geräte-Bindungen, Passkey-/WebAuthn-Daten), Kommunikationsdaten, Nutzungs- und Logdaten.
(2) Kategorien betroffener Personen: Endkunden des Verantwortlichen (Gäste, Besteller, Reservierungsgäste) sowie Mitarbeiter des Verantwortlichen.

§ A4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich im Rahmen der schriftlichen oder dokumentierten Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO); dies gilt auch für eine etwaige Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Die Plattformkonfiguration durch den Verantwortlichen sowie diese AGB nebst AVV gelten als dokumentierte Weisungen. Ist der Auftragsverarbeiter aus Gründen des Unionsrechts oder des Rechts eines Mitgliedstaats zu einer weitergehenden Verarbeitung verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt (Art. 28 Abs. 3 UAbs. 2 DSGVO).

§ A5 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).

§ A6 Technische und organisatorische Maßnahmen (TOM)
(1) Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen umfassen insbesondere: TLS-Verschlüsselung sämtlicher Datenübertragungen, verschlüsselte Speicherung sensibler Daten und Passwörter (Hashing), rollenbasierte Zugriffskontrollen, Passkeys (WebAuthn) für administrative und privilegierte Zugänge, gerätegebundene PIN-Authentifizierung für Mitarbeiterkonten (Bindung an registrierte Endgeräte), regelmäßige verschlüsselte Backups, Hosting in ISO-27001-zertifizierten Rechenzentren in der EU, Protokollierung sicherheitsrelevanter Ereignisse sowie regelmäßige Sicherheits-Updates und -Audits.
(2) Eine ausführliche, jeweils aktuelle Beschreibung der TOM wird auf Anfrage unter privacy@dev.mambil.com bereitgestellt. Der Auftragsverarbeiter ist berechtigt, die TOM weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

§ A7 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt mit Abschluss dieses AVV dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 Satz 1 DSGVO zur Hinzuziehung weiterer Unterauftragsverarbeiter. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in der Datenschutzerklärung des Auftragsverarbeiters (Abschnitt 11) benannt; der Verantwortliche stimmt diesen ausdrücklich zu.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern mit einer Vorlauffrist von mindestens 30 Tagen (per E-Mail oder über das Kundenportal). Der Verantwortliche kann der Änderung innerhalb von 30 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall eines berechtigten Widerspruchs sind beide Parteien berechtigt, den Hauptvertrag außerordentlich zu kündigen.
(3) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind, insbesondere die Verpflichtung zu hinreichenden Garantien gemäß Art. 28 Abs. 4 DSGVO.
(4) Abweichend von Absatz 2 ist der Auftragsverarbeiter berechtigt, einen Unterauftragsverarbeiter ohne Einhaltung der dortigen Vorlauffrist auszutauschen, wenn dies zur Abwehr einer akuten Störung, eines Ausfalls oder eines Sicherheitsrisikos oder wegen des Wegfalls der Verfügbarkeit oder Erreichbarkeit des bisherigen Unterauftragsverarbeiters erforderlich ist und ein Aufschub den ordnungsgemäßen Plattformbetrieb gefährden würde. Der neue Unterauftragsverarbeiter muss denselben Datenschutzpflichten gemäß Absatz 3 unterliegen und ein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleisten; bei Übermittlungen in Drittländer müssen die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sein. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich nach dem Austausch. Das Widerspruchsrecht und das Kündigungsrecht nach Absatz 2 bleiben unberührt und können nachträglich ausgeübt werden.

§ A8 Drittlandtransfers
(1) Die Kernverarbeitung (Hosting der Bestell-, Reservierungs- und Stammdaten) erfolgt innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.
(2) Im Rahmen der in der Datenschutzerklärung des Auftragsverarbeiters (Abschnitt 11) benannten Unter-Auftragsverarbeiter findet eine Übermittlung personenbezogener Daten in die USA statt, insbesondere zur Bereitstellung transaktionaler E-Mails (Resend, Plus Five Five, Inc.), Push-Benachrichtigungen (Firebase Cloud Messaging durch Google LLC; die Zustellung auf iOS-Geräten erfolgt durch Weiterleitung über den Apple Push Notification Service, den Google LLC hierfür als eigenen Unter-Auftragsverarbeiter einsetzt) sowie CDN- und Sicherheitsdienste (Cloudflare, Inc.). Mit Annahme dieses AVV genehmigt der Verantwortliche diese Übermittlungen ausdrücklich.
(3) Die Übermittlungen sind durch geeignete Garantien im Sinne der Art. 44 ff. DSGVO abgesichert. Die unmittelbaren US-Empfänger – Plus Five Five, Inc. (Resend), Google LLC und Cloudflare, Inc. – sind unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss, Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10. Juli 2023); die Übermittlungen stützen sich auf diesen Angemessenheitsbeschluss. Ergänzend stützt der Auftragsverarbeiter diese Übermittlungen zusätzlich auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, Modul 2 bzw. Modul 3). Etwaige Weiterübermittlungen durch diese Unter-Auftragsverarbeiter an eigene Unter-Auftragsverarbeiter (insbesondere die Weiterleitung von Push-Benachrichtigungen durch Google LLC über den Apple Push Notification Service) werden durch den jeweiligen Unter-Auftragsverarbeiter im Rahmen seines eigenen Vertrags abgesichert. Eine Kopie der jeweiligen Garantien stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage zur Verfügung.
(4) Eine Übermittlung in weitere, oben nicht genannte Drittländer erfolgt nicht ohne vorherige Information des Verantwortlichen und Sicherstellung der Voraussetzungen der Art. 44 ff. DSGVO.

§ A9 Unterstützung des Verantwortlichen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO).
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Datenschutz-Folgenabschätzung und vorherigen Konsultationen.
(3) Erhält der Auftragsverarbeiter Anfragen von betroffenen Personen, leitet er diese unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht selbst, sofern der Verantwortliche dies nicht abweichend angewiesen hat.

§ A10 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, über Verletzungen des Schutzes personenbezogener Daten, die im Verantwortungsbereich des Auftragsverarbeiters eingetreten sind, damit der Verantwortliche die 72-Stunden-Frist gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO sicher einhalten kann. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit diese verfügbar sind. Die Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO sowie die Benachrichtigung betroffener Personen gemäß Art. 34 DSGVO obliegen dem Verantwortlichen.

§ A11 Löschung und Rückgabe
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung der Daten besteht (Art. 28 Abs. 3 lit. g DSGVO).
(2) Die konkreten Lösch- und Vormerkfristen richten sich nach § 17 dieser AGB. Die endgültige Löschung erfolgt nach Ablauf der jeweils geltenden Vormerkphase – bei Löschung auf Antrag des Verantwortlichen 45 Tage nach deren Wirksamwerden (§ 17 Abs. 5), bei inaktivitätsbedingter Löschung eines Free-Kontos nach sechs Monaten ohne Anmeldung zuzüglich einer 30-tägigen Vorankündigungsfrist (§ 17 Abs. 6) –, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, werden gemäß § 17 Abs. 7 dieser AGB in einem zugriffsbeschränkten Langzeitspeicher aufbewahrt und nach Ablauf der jeweiligen Aufbewahrungsfrist unverzüglich gelöscht.
(3) Die Rückgabe der personenbezogenen Daten erfolgt durch den Verantwortlichen selbst über die im Kundenportal bereitgestellte Exportfunktion (Art. 20 DSGVO). Ein kumulierter Endexport steht während der jeweiligen Vormerkphase gemäß § 12 Abs. 2 dieser AGB zum Abruf bereit. Nach endgültiger Löschung ist eine Datenherausgabe nicht mehr möglich.

§ A12 Nachweise und Audits
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten gemäß Art. 28 Abs. 3 lit. h DSGVO zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei.
(2) Der Auftragsverarbeiter kann seinen Nachweispflichten primär durch Vorlage geeigneter Zertifizierungen (z. B. ISO 27001 der Hosting-Anbieter), Testate und aktueller Auditberichte erfüllen.
(3) Vor-Ort-Audits durch den Verantwortlichen sind nach vorheriger schriftlicher Ankündigung mit angemessener Vorlauffrist (mindestens 30 Tage), während der üblichen Geschäftszeiten und ohne Störung des Geschäftsbetriebs möglich, höchstens einmal jährlich, sofern kein konkreter Anlass eine zusätzliche Prüfung rechtfertigt. Die Kosten eines Vor-Ort-Audits trägt der Verantwortliche, sofern nicht ein erheblicher Datenschutzverstoß des Auftragsverarbeiters Anlass des Audits ist.

§ A13 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen des Hauptvertrages. Im Innenverhältnis haftet die Partei, der die Verletzung zuzurechnen ist; im Übrigen gelten die Haftungsregeln des Hauptvertrages entsprechend.

§ A14 Schlussbestimmungen
(1) Im Falle von Widersprüchen zwischen den Regelungen dieses AVV und den AGB des Hauptvertrages haben die Regelungen dieses AVV Vorrang, soweit datenschutzrechtliche Pflichten betroffen sind.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters.