Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO – Stand: März 2026
§ 1 Gegenstand und Dauer
1.1 Dieser Auftragsverarbeitungsvertrag ergänzt die Allgemeinen Geschäftsbedingungen und regelt die Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden (Verantwortlicher) durch den Anbieter (Auftragsverarbeiter).
Auftragsverarbeiter:
Gaetano Ficarra | gaetanoficarra.de | Bielefeld | E-Mail: kontakt@gaetanoficarra.de
1.2 Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV.
§ 2 Gegenstand und Zweck der Verarbeitung
2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Namen des Verantwortlichen im Rahmen der Bereitstellung der GoBD-Suite, insbesondere:
- Erstellung und Verwaltung GoBD-konformer Verfahrensdokumentationen
- Mandantenverwaltung (Stammdaten, Onboarding-Informationen)
- KI-gestützte Verarbeitung von Mandantendaten zur Textgenerierung
- Versionierung und revisionssichere Archivierung von Dokumenten
- Versand transaktionaler E-Mails (Einladungen, Statusmeldungen)
§ 3 Art der Daten und Kategorien betroffener Personen
3.1 Art der personenbezogenen Daten:
- Stammdaten (Name, E-Mail, Unternehmensbezeichnung, Adresse)
- Betriebliche Daten zur Buchführung und IT-Infrastruktur, soweit im Rahmen der Verfahrensdokumentation erfasst
- Nutzungsdaten und technische Daten (IP-Adresse, Browserinformationen, Login-Zeitpunkte)
- Kommunikationsdaten (E-Mail-Inhalte im Rahmen transaktionaler E-Mails)
3.2 Kategorien betroffener Personen:
- Mandanten des Verantwortlichen (Berater/Agentur-Plan)
- Mitarbeitende und Verantwortliche des Mandanten, soweit in der Verfahrensdokumentation erfasst
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
- Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
- Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen.
- Den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen.
- Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO).
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO zur Verfügung zu stellen und Überprüfungen zu ermöglichen.
§ 5 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen:
- Zutrittskontrolle: Server-Hosting bei Netcup in deutschen Rechenzentren mit physischer Zugangskontrolle.
- Zugangskontrolle: Authentifizierung über sichere Auth-Systeme mit Passwort-Hashing, optionale Multi-Faktor-Authentifizierung.
- Zugriffskontrolle: Row-Level-Security in der Datenbank, rollenbasierte Berechtigungen, vollständige Mandantentrennung.
- Verschlüsselung: TLS/SSL-Verschlüsselung für alle Datenübertragungen, Verschlüsselung sensibler Daten at rest.
- Verfügbarkeitskontrolle: Redundante Infrastruktur, regelmäßige Backups, Systemmonitoring.
- Trennungskontrolle: Mandantenfähiges System mit vollständiger Datentrennung zwischen allen Nutzerkonten.
- Auditierbarkeit: Revisionssichere Versionierung aller Dokumentänderungen mit Änderungshistorie und Zeitstempel.
§ 6 Unterauftragsverarbeiter
6.1 Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung und gibt dem Verantwortlichen die Möglichkeit, Einspruch zu erheben.
6.2 Aktuell eingesetzte Unterauftragsverarbeiter:
| Unterauftragnehmer | Zweck | Standort |
|---|---|---|
| Netcup GmbH | Server-Hosting, Infrastruktur, Self-hosted Supabase (Datenbank, Authentifizierung, Edge Functions) | Deutschland |
| OpenAI, Inc. | KI-Textgenerierung (GPT-4 API) | USA (DPF/SCCs) |
| Resend, Inc. | Transaktionaler E-Mail-Versand | USA (DPF) |
| Funnelpay / Stripe | Zahlungsabwicklung | EU |
Für Unterauftragsverarbeiter außerhalb der EU sind geeignete Garantien sichergestellt, insbesondere EU-US Data Privacy Framework oder EU-Standardvertragsklauseln.
§ 7 Löschung und Rückgabe von Daten
7.1 Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7.2 Der Verantwortliche kann seine Daten innerhalb von 30 Tagen nach Vertragsbeendigung in einem gängigen Format exportieren.
7.3 Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.
§ 8 Kontrollrechte des Verantwortlichen
8.1 Der Verantwortliche hat das Recht, die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen sowie der Bestimmungen dieses AVV zu überprüfen. Der Auftragsverarbeiter stellt die hierfür erforderlichen Informationen zur Verfügung.
8.2 Inspektionen und Audits sind mit einer Vorankündigungsfrist von mindestens 14 Tagen und unter Wahrung der Geschäftsgeheimnisse durchzuführen.
8.3 Der Auftragsverarbeiter kann den Nachweis der Einhaltung auch durch Vorlage geeigneter Zertifizierungen oder Prüfberichte erbringen.
§ 9 Haftung bei Datenschutzverletzungen
9.1 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch eine nicht DSGVO-konforme Verarbeitung entstehen, soweit er die Pflichtverletzung zu vertreten hat.
9.2 Der Auftragsverarbeiter haftet nicht für Schäden, die auf unrichtige, unvollständige oder datenschutzrechtlich unzulässige Weisungen des Verantwortlichen zurückzuführen sind.
§ 10 Schlussbestimmungen
10.1 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
10.2 Es gilt das Recht der Bundesrepublik Deutschland.
10.3 Änderungen dieses AVV bedürfen der Textform.