Auftragsverarbeitungs-Vertrag (AVV / DPA)
Version 1.0 · Stand April 2026 · Art. 28 DSGVO
📥 PDF-Download folgt
Die durchsignierte PDF-Version wird nach Abschluss des Onboarding-Flows automatisch generiert und per E-Mail versandt. Diese Web-Fassung ist rechtsgleich bindend.
Zwischen
Der Kunde (nachfolgend „Verantwortlicher")
und
Hesselmann Beratung UG (haftungsbeschränkt), Dortmund (nachfolgend „Auftragsverarbeiter")
§ 1 Gegenstand · Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der SaaS „fibuio". Dauer entspricht der Laufzeit des Hauptvertrags (AGB § 8).
§ 2 Art & Zweck der Verarbeitung
- Buchhaltung + Belegverwaltung (§§ 238, 257 HGB, §§ 140-147 AO)
- Rechnungsstellung + E-Rechnung (ZUGFeRD / XRechnung / Peppol)
- Banking-Sync via FinTS / GoCardless-Integration
- Liquiditätsplanung + Forecast (aggregiert, keine Dritt-Weitergabe)
- CRM + Kommunikation (E-Mail, SMS, Aircall bei Opt-In)
- Optional: KI-Analysen (Claude / OpenAI · nur mit Einwilligung)
§ 3 Art der Daten · Kategorien Betroffener
Daten: Stammdaten, Kontaktdaten, Bankdaten, Belegbilder, Transaktionsmetadaten, Audit-Log-Einträge.
Betroffene: Mitarbeiter, Kunden, Lieferanten, Kontakte des Verantwortlichen.
§ 4 Rechte & Pflichten
- Weisungsbindung: Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
- Vertraulichkeit: sämtliche Mitarbeiter auf Vertraulichkeit verpflichtet (§ 28 Abs. 3 lit. b DSGVO).
- Sicherheit: angemessene technische & organisatorische Maßnahmen (Anlage 1).
- Unterauftragsverarbeiter: nur mit vorheriger schriftlicher Zustimmung. Liste in Anlage 2.
- Betroffenenrechte: Unterstützung bei Auskunft / Berichtigung / Löschung / Export.
- Meldepflicht: Datenschutzverletzungen binnen 48h.
- Löschung / Rückgabe: nach Vertragsende (siehe AGB § 9).
- Nachweise: jährliche Audit-Berichte, SOC 2 Type II geplant 2026.
§ 5 Technische & organisatorische Maßnahmen (Anlage 1)
- Verschlüsselung TLS 1.3 in-transit, AES-256-GCM at-rest (Supabase / Vercel).
- Zugriffsschutz: JWT HS256, bcrypt-gehashte Passwörter, 2FA optional (Business+).
- Zugriffskontrolle via Row-Level-Security pro Mandant (tenant_id).
- Audit-Log: unveränderbar (append-only), 5 Jahre Aufbewahrung.
- Backup: täglich, 30 Tage Point-in-Time-Recovery (Supabase).
- Penetration-Test: jährlich durch externen Dienstleister.
- Notfall-Plan: Wiederanlaufzeit (RTO) 4 Stunden, Datenverlust (RPO) 1 Stunde.
§ 6 Unterauftragsverarbeiter (Anlage 2)
| Dienst | Zweck | Standort | Absicherung |
|---|---|---|---|
| Supabase Inc. | Postgres + Auth + Storage | EU (Frankfurt) | SCC + DPA |
| Vercel Inc. | Next.js-Hosting | EU (FRA1 / CDG1) | SCC + DPA |
| Anthropic PBC | KI (Claude) · Opt-In | EU-Region | DPA · No-Train |
| Mittwald CM Service | SMTP / Domain | DE (Espelkamp) | AVV |
§ 7 Haftung · Gerichtsstand
Haftung nach Art. 82 DSGVO i.V.m. AGB § 7. Gerichtsstand Dortmund.
§ 8 Schlussbestimmungen
Änderungen bedürfen der Textform (§ 126b BGB). Bei Widerspruch zwischen AGB und AVV gilt der AVV. Kollidiert dieser AVV mit unbedingt geltendem Datenschutz-Recht, geht das Gesetz vor.
Durch Buchung eines kostenpflichtigen Tarifs erklärt sich der Kunde mit diesem AVV einverstanden. Eine durchsignierte Version kann unter datenschutz@hesselmann-service.de angefordert werden.