AVV

Auftragsverarbeitungsvertrag (AVV)

Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO.

Effective

Der Verantwortliche:

Firmenname:
Anschrift:

(im Folgenden Auftraggeber)

und

Der Auftragsverarbeiter:

Wogenfels GmbH

Pribelsdorf 87

9125 Eberndorf

Firmenbuchnummer: 494514b

Firmengericht: Landesgericht Klagenfurt

(im Folgenden Auftragnehmer)

1. Gegenstand der Vereinbarung

(1) Gegenstand

Der Gegenstand des Auftrags ergibt sich aus dem Rahmenvertrag, konkret den Allgemeinen Geschäftsbedingungen (AGB) bzw. dem SaaS-Nutzungsvertrag in der jeweils gültigen Fassung, auf die hier verwiesen wird. Diese Vereinbarung ist als Ergänzung zu diesen AGB zu verstehen.

(2) Art und Zweck der Verarbeitung von Daten

Bereitstellung einer SaaS-Lösung zur Konvertierung von Buchhaltungsdateien, Rechnungen, Bankexporten und sonstigen Belegen (inkl. PDF-Dokumenten) in Import-Dateien für Buchhaltungssysteme (z.B. BMD). Der Zweck umfasst die Entgegennahme, strukturelle Umwandlung und Bereitstellung der konvertierten Daten zum Download. Je nach Einstellung des Auftraggebers werden die Daten entweder nach der Konvertierung umgehend gelöscht oder temporär (für maximal 30 Tage) zwischengespeichert.

(3) Art der Daten

Folgende Datenkategorien werden verarbeitet:

  • Personenstammdaten (Name, Titel)
  • Adress- und Kontaktdaten
  • Bank-, Zahlungs- und Kontodaten
  • Vertrags- und Abrechnungsdaten
  • Sonstige in den hochgeladenen Dokumenten (Buchhaltungsbelege, Lieferscheine, ERP-Exporte, Rechnungen) enthaltene personenbezogene Daten.

(4) Kategorien betroffener Personen

Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:

  • Kunden, Lieferanten und Geschäftspartner des Auftraggebers
  • Mitarbeiter des Auftraggebers (z.B. bei Verarbeitung von Lohnverrechnungsdaten oder Sachbearbeiter-Kennungen auf Rechnungen)

2. Dauer der Vereinbarung

Die Vereinbarung ist auf unbestimmte Zeit geschlossen. Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages (AGB / SaaS-Nutzungsvertrag). Er endet automatisch mit Beendigung des Hauptvertrages. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3. Rechte und Pflichten des Auftraggebers

Für die Beurteilung der Zulässigkeit der beauftragten Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist allein der Auftraggeber verantwortlich. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem elektronischen Format. Der Auftraggeber hat das Recht, dem Auftragnehmer jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder datenschutzrechtliche Unregelmäßigkeiten feststellt.

4. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge und dokumentierten Weisungen des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Erhält der Auftragnehmer einen behördlichen Auftrag oder unterliegt er einer sonstigen gesetzlichen Verpflichtung, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die anfragende Stelle an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

Information bei rechtswidrigen Weisungen: Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen verstößt.

Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen).

Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen.

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen.

Informations- und Nachweispflichten: Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle eingeräumt und der Auftragnehmer ermöglicht Überprüfungen (einschließlich Inspektionen) durch den Auftraggeber oder einen von diesem beauftragten Prüfer.

Rückgabe und Löschung nach Auftragsende: Der Auftragnehmer ist nach Abschluss der Verarbeitungsleistungen verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers entweder an diesen zurückzugeben oder datenschutzkonform zu löschen, sofern keine zwingende rechtliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

5. Ort der Durchführung der Datenverarbeitung

Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt (Physische Serverstandorte in Deutschland).

6. Sub-Auftragsverarbeiter

Der Auftragnehmer kann Sub-Auftragsverarbeiter zur unmittelbaren Erbringung der Hauptdienstleistung hinzuziehen. Der Auftraggeber stimmt der Beauftragung der nachfolgend angeführten Sub-Auftragsverarbeiter hiermit zu:

  1. Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland)
    Dienstleistung: Server-Hosting (Backend, Konvertierungstool), KI-LLM Hosting.
    Verarbeitungsort: Deutschland (Nürnberg, Falkenstein).
  2. WebBuilds B.V. / ploi.io (Amperestraat 16J, 3861NC Nijkerk, Niederlande)
    Dienstleistung: Servermanagement, Deployment und automatisierte Updates.
    Verarbeitungsort: EU (Niederlande).

Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel bestehender Unterauftragnehmer sind zulässig, soweit der Auftragnehmer dies dem Auftraggeber eine angemessene Zeit vorab in Textform anzeigt und der Auftraggeber nicht schriftlich Einspruch erhebt.

Dabei stellt der Auftragnehmer sicher, dass dem Sub-Auftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegt werden, die in diesem Vertrag zwischen Auftraggeber und Auftragnehmer festgelegt sind (gemäß Art. 28 Abs. 4 DSGVO). Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber vollumfänglich für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Ort, Datum Ort, Datum

Für den Auftraggeber Für den Auftragnehmer (Wogenfels GmbH)

\pagebreak

Anhang – Technisch-organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit

  • Zutrittskontrolle: Physischer Schutz der Datenverarbeitungsanlagen wird durch die strengen Richtlinien der ISO 27001 zertifizierten Rechenzentren der Hetzner Online GmbH sichergestellt (elektronische Zutrittskontrollsysteme, Videoüberwachung, 24/7 Sicherheitspersonal, Hochsicherheitszäune).
  • Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch zwingende Passwortrichtlinien. Zugang zu den Servern erfolgt ausschließlich netzwerkseitig abgesichert per SSH (Public-Key-Verfahren, keine reinen Passwort-Logins). Für Zugänge zu den Verwaltungsoberflächen der Infrastruktur (Hetzner, Ploi) wird Zwei-Faktor-Authentifizierung (2FA) eingesetzt.
  • Zugriffskontrolle: Vergabe von Berechtigungen auf “Need-to-know”-Basis. Es besteht ein Berechtigungskonzept für Mitarbeiter.
  • Trennungskontrolle: Logische Mandantentrennung in der Software-Architektur. Daten unterschiedlicher Auftraggeber werden in der SaaS-Applikation strikt getrennt verarbeitet.

2. Integrität

  • Weitergabekontrolle: Sämtliche Datenübertragungen zwischen dem Client (Browser des Kunden) und den Servern erfolgen zwingend verschlüsselt nach aktuellem Stand der Technik (SSL/TLS).
  • Eingabekontrolle: Protokollierung von Systemereignissen (Logfiles) zur Nachvollziehbarkeit von Datenverarbeitungsprozessen.
  • System-Updates: Automatisierte und zeitnahe Einspielung von Sicherheitsupdates und Patches auf Serverebene (gesteuert via ploi.io), um Sicherheitslücken präventiv zu schließen.

3. Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Die Infrastruktur wird in hochverfügbaren Rechenzentren (redundante Stromversorgung, Klimatisierung, Brandschutz) betrieben.
  • Backups: Es werden regelmäßige Sicherungen über den Hetzner Backup Service durchgeführt, um Daten im Falle eines physischen oder technischen Zwischenfalls rasch wiederherstellen zu können.
  • Löschkonzept (Privacy by Design): Die Software verfügt über automatisierte Löschroutinen. Konvertierungsdaten werden entsprechend den vom Auftraggeber vorgenommenen Einstellungen im System entweder unverzüglich nach dem Download oder automatisiert nach maximal 30 Tagen unwiderruflich gelöscht.

4. Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung der Infrastruktur-Sicherheit.
  • Datenschutzfreundliche Voreinstellungen der Software (“Privacy by Default” - z.B. Standardeinstellung zur raschen Löschung von Quelldateien).