Auftragsverarbeitungsvertrag (AVV)

Hinweis

Dies ist ein Muster eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Es ist vor Verwendung anwaltlich zu prüfen und an den konkreten Einzelfall anzupassen.

1. Vertragsparteien

Auftraggeber (Verantwortlicher): [Platzhalter: Name und Anschrift des Kunden / der Kanzlei].

Auftragnehmer (Auftragsverarbeiter): [Platzhalter: Firmenname / Anbieter, Anschrift].

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Rahmen der Nutzung von KanzleiSynchron.

2. Gegenstand und Dauer

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers zur Erbringung der vereinbarten Leistungen (Abstimmung von Zahlungs- und Umsatzdaten und Erstellung eines DATEV-EXTF-Exports). Die Dauer des Auftrags entspricht der Laufzeit des zugrunde liegenden Hauptvertrags. [Platzhalter: Laufzeit / Kündigungsregelungen.]

3. Art und Zweck der Verarbeitung

Art und Zweck der Verarbeitung: Import, Abgleich (Reconciliation) und Aufbereitung von Zahlungs- und Verkaufsdaten aus PSP-, Marktplatz- und Bankexporten sowie Erstellung eines prüfbaren DATEV-EXTF-Pakets nebst Begleitdateien (Audit-Log, UStVA-Vorschau, BWA, ZM, SHA-256-Manifest).

4. Kategorien betroffener Personen und Daten

Kategorien betroffener Personen: Kunden, Endkunden und Geschäftspartner des Auftraggebers, deren Transaktionen in den hochgeladenen Daten enthalten sind.

Kategorien personenbezogener Daten: Stammdaten (z. B. Namen, Anschriften, sofern in Exporten enthalten), Transaktions- und Zahlungsdaten (Beträge, Währung, Zeitpunkte, Bestell-/Zahlungs-Referenzen), ggf. Bankverbindungs- und Abrechnungsdaten. [Platzhalter: tatsächliche Datenkategorien je Quelle bestätigen.]

5. Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Er gewährleistet die Vertraulichkeit der zur Verarbeitung befugten Personen und unterstützt den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.

6. Technische und organisatorische Maßnahmen (Anlage TOM)

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Referenz (Anlage): Hosting in Deutschland/EU; Zugriffs- und Berechtigungskonzept mit rollenbasierter Zugangskontrolle; Verschlüsselung der Datenübertragung (TLS); lückenloser Audit-Trail (Protokollierung von Upload, Abschluss und weiteren Aktionen); Vier-Augen-Prinzip beim Periodenabschluss; Festschreibung abgeschlossener Perioden (GoBD-Unveränderbarkeit). [Platzhalter: vollständige TOM-Anlage mit Backup-, Lösch- und Verfügbarkeitskonzept ergänzen.]

7. Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

• Hosting-Anbieter: [Platzhalter: Name, Anschrift, Leistung — Bereitstellung der Server-Infrastruktur in DE/EU].

• FormSubmit (formsubmit.co): Entgegennahme und Weiterleitung der Daten des Marketing-/Demo-Anfrageformulars per E-Mail. [Platzhalter: Anschrift des Betreibers, AVV-Status.]

• Postmark (E-Mail-Versand für den Handoff): [Platzhalter: Anbieter, Anschrift, AVV-Status — sofern eingesetzt].

Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern; der Auftraggeber kann hiergegen Einspruch erheben (Art. 28 Abs. 2 DSGVO).

8. Weisungsrecht des Auftraggebers

Der Auftraggeber ist allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Hält der Auftragnehmer eine Weisung für rechtswidrig, teilt er dies dem Auftraggeber mit.

9. Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen betroffener Personen (Art. 15 bis 22 DSGVO) sowie bei Meldepflichten nach Art. 33 und 34 DSGVO.

10. Löschung und Rückgabe nach Beendigung

Nach Abschluss der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers sämtliche personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO). [Platzhalter: Fristen für Löschung/Rückgabe.]

11. Kontroll- und Auditrechte

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. [Platzhalter: Modalitäten und Vorankündigungsfristen für Audits.]