Auftragsverarbeitungsvertrag (AVV)¶
gemäß Art. 28 DSGVO
Stand: März 2026
Anbieter: easySale (nachfolgend: „Auftragsverarbeiter")
Kunde: [Firmenname des Kunden] (nachfolgend: „Verantwortlicher")
Präambel¶
Der Verantwortliche beabsichtigt, die SaaS-Plattform easySale zur Verwaltung von Produktkatalogen, Kundendaten und Auftragsabwicklungen zu nutzen. Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.
Dieser Vertrag regelt die Rechte und Pflichten beider Parteien hinsichtlich der Verarbeitung personenbezogener Daten gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).
§ 1 – Gegenstand und Dauer der Verarbeitung¶
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen des Hauptvertrags über die Nutzung der easySale-Plattform (ERP-System und/oder Shop-App).
(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags. Nach Beendigung des Hauptvertrags gelten die Regelungen in § 9 dieses Vertrags.
§ 2 – Art und Zweck der Verarbeitung¶
(1) Art der Verarbeitung: - Erheben, Speichern, Lesen, Abfragen, Verwenden - Übermitteln (innerhalb der Plattform zwischen ERP und Shop) - Löschen und Vernichten
(2) Zweck der Verarbeitung: - Verwaltung von Kundenstammdaten (B2B-Kunden des Verantwortlichen) - Abwicklung und Dokumentation von Bestellvorgängen - Benachrichtigungen (Push-Nachrichten, E-Mail-Transaktionen) - Authentifizierung und Zugriffsverwaltung - Analytik und Reporting (Verkaufsstatistiken, Dashboard-Daten)
§ 3 – Art der betroffenen Daten und Kategorien betroffener Personen¶
(1) Kategorien betroffener Personen: - Mitarbeiter und Anwender des Verantwortlichen (ERP-Nutzer) - Kunden und Einkäufer des Verantwortlichen (Shop-Nutzer)
(2) Kategorien personenbezogener Daten:
| Datenkategorie | Beispiele |
|---|---|
| Stammdaten | Name, Firmenname, Anschrift |
| Kontaktdaten | E-Mail-Adresse, Telefonnummer |
| Authentifizierungsdaten | E-Mail (als Login), verschlüsselte Zugangsdaten |
| Transaktionsdaten | Bestellungen, Bestellpositionen, Bestellhistorie |
| Nutzungsdaten | Login-Zeitpunkte, App-Nutzung (für Error-Tracking) |
| Gerätedaten | Gerätetyp, OS-Version (für Push-Benachrichtigungen) |
Es werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet.
§ 4 – Pflichten des Auftragsverarbeiters¶
Der Auftragsverarbeiter verpflichtet sich:
(1) Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (einschließlich der in diesem Vertrag und im Hauptvertrag niedergelegten Weisungen).
(2) Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Alle erforderlichen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO zu implementieren (siehe Anlage 1).
(4) Den Verantwortlichen unverzüglich zu informieren, wenn eine erteilte Weisung nach Einschätzung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
(5) Den Verantwortlichen bei der Erfüllung seiner Pflichten (Auskunftsersuchen, Löschanfragen, Meldung von Datenpannen) zu unterstützen.
(6) Datenpannen (Art. 33, 34 DSGVO) dem Verantwortlichen innerhalb von 24 Stunden nach Bekanntwerden zu melden.
§ 5 – Pflichten des Verantwortlichen¶
(1) Der Verantwortliche ist allein für die Rechtmäßigkeit der Datenverarbeitung (Rechtsgrundlage, Zweckbindung) verantwortlich.
(2) Der Verantwortliche erteilt alle Weisungen schriftlich oder in dokumentierter elektronischer Form.
(3) Der Verantwortliche ist für die sichere Verwaltung von Admin-Zugängen verantwortlich und gibt Zugangsdaten nicht an unbefugte Dritte weiter.
(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über alle Umstände, die für die ordnungsgemäße Verarbeitung relevant sind.
§ 6 – Unterauftragsverarbeiter¶
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen vor Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.
(2) Dem Verantwortlichen steht ein Widerspruchsrecht (14 Tage nach Information) zu. Bei berechtigtem Widerspruch und fehlender Alternative kann das Vertragsverhältnis außerordentlich gekündigt werden.
(3) Aktuell eingesetzte Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Leistung | Standort | Datenschutzgrundlage |
|---|---|---|---|
| Google Ireland Limited | Firebase (Auth, Firestore, Storage, Cloud Functions, Hosting) | EU / europe-west3 (Frankfurt) |
Google Firebase DPA |
| Sentry.io | Error-Tracking & Monitoring | USA (SCCs) | Sentry DPA |
Alle Produktionsdaten werden ausschließlich in der Region europe-west3 (Frankfurt, Deutschland) gespeichert und verarbeitet.
§ 7 – Technische und Organisatorische Maßnahmen (Kurzübersicht)¶
Detaillierte TOM in Anlage 1. Zusammenfassung:
| Maßnahme | Umsetzung |
|---|---|
| Datenisolation | Jeder Mandant erhält ein eigenes Firebase-Projekt – keine geteilte Datenbank |
| Verschlüsselung in Transit | TLS 1.2+ für alle Verbindungen |
| Verschlüsselung at Rest | Durch Google Firebase AES-256 |
| Zugriffskontrolle | Firestore Security Rules, rollenbasierte Rechtevergabe (RBAC), Rate Limiting |
| Speicherregeln | Dateigrößenbeschränkung (max. 10 MB), Typ-Validierung |
| Sicherheitsregeln Hosting | CORS-Konfiguration je Umgebung |
| Monitoring | Sentry Error-Tracking, Audit-Logging |
| App-Sicherheit (mobil) | Jailbreak-/Root-Erkennung, SSL Certificate Pinning, Device Integrity Checks |
| Zertifizierung Infrastruktur | Google Cloud: ISO 27001, SOC 2, SOC 3 zertifiziert |
§ 8 – Kontrollrechte des Verantwortlichen¶
(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der vereinbarten TOM zu überprüfen. Dies kann durch: - Anforderung von Dokumentationen und Nachweisen, - Fragebögen, - Angekündigte Audits (mit mindestens 4 Wochen Vorlauf, max. 1x pro Jahr)
erfolgen. Kosten trägt der Verantwortliche, sofern keine schwerwiegenden Mängel festgestellt werden.
(2) Der Auftragsverarbeiter kann zur Nachweiserbringung auch aktuelle Zertifikate (z. B. ISO 27001 des Infrastrukturanbieters Google) vorlegen.
§ 9 – Löschung und Rückgabe nach Vertragsende¶
(1) Nach Kündigung oder Ablauf des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen für 30 Tage einen Datenexport bereit (Firestore-Dump, Storage-Dateien).
(2) Nach Ablauf der Export-Frist werden alle personenbezogenen Daten des Verantwortlichen unwiederbringlich gelöscht, einschließlich: - Firestore-Datenbank des mandantenspezifischen Projekts - Firebase Storage (Bilder, Dokumente) - Firebase Authentication (Nutzerdaten) - Cloud Functions Logs
(3) Der Auftragsverarbeiter bestätigt die Löschung schriftlich.
(4) Gesetzliche Aufbewahrungspflichten bleiben unberührt. In diesem Fall wird die Verarbeitung auf das rechtlich notwendige Minimum eingeschränkt.
§ 10 – Haftung¶
(1) Für Schäden, die einem Betroffenen durch eine nicht dieser Vereinbarung entsprechende Verarbeitung entstehen, haften die Parteien nach Maßgabe des Art. 82 DSGVO.
(2) Im Innenverhältnis gilt: Hat der Auftragsverarbeiter einen Schaden verursacht, weil er gegen ausdrückliche Weisungen des Verantwortlichen verstoßen hat, trägt er den Schaden allein. Andernfalls trägt der Verantwortliche den Schaden.
§ 11 – Schlussbestimmungen¶
(1) Dieser Vertrag gilt für die Dauer des Hauptvertrags. § 9 gilt über das Vertragsende hinaus.
(2) Änderungen und Ergänzungen bedürfen der Schriftform.
(3) Es gilt deutsches Recht. Gerichtsstand ist [Sitz von easySale].
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
Unterschriften¶
Auftragsverarbeiter (easySale)
Ort, Datum: _________
Name / Funktion: _________
Unterschrift: _________
Verantwortlicher ([Kundenname])
Ort, Datum: _________
Name / Funktion: _________
Unterschrift: _________
Anlage 1 – Technische und Organisatorische Maßnahmen (TOM)¶
Technische und organisatorische Maßnahmen als Anhang zum Dienstleistervertrag gemäß Art. 32 DSGVO
Die DSGVO sieht in Art. 32 DSGVO vor, dass geeignete technische und organisatorische Maßnahmen (TOM) ergriffen werden, um die Rechte und Freiheiten von natürlichen Personen zu schützen.
Nachfolgend werden die von der Tech Schuppen GmbH ergriffenen Technischen und Organisatorischen Maßnahmen beschrieben.
1. Vertraulichkeit¶
Der Verantwortliche hat nach Art. 32 Abs. 1 lit. b in Verbindung mit ErwGr 39 und 83 DSGVO hinreichend zu gewährleisten, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die IT-Systeme, mit denen diese verarbeitet werden, benutzt werden können und die Daten außerdem gemäß Art. 5 Abs. 1 lit. f DSGVO vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust geschützt sind.
Das Gebot der Vertraulichkeit wird bei der Tech Schuppen GmbH wie folgt realisiert:
- Jeder Mitarbeiter besitzt ein eigenes Benutzerkonto.
- Die Anmeldung an Endgeräten erfolgt über Benutzername und Kennwort.
- Das Benutzerkonto wird nach mehrmaliger Fehleingabe von Benutzername und Kennwort automatisiert, zeitabhängig gesperrt.
- Passwörter müssen regelmäßig geändert werden.
- Zugänge zu Verzeichnisdiensten sind durch Authentifikation geregelt.
- Regelungen zum Verlassen des Arbeitsplatzes sind definiert (Clean Desk).
- Regelungen zum Ausscheiden von Mitarbeitern sind getroffen.
- Erfolgt keine Eingabe in Endgeräte, werden diese inaktiv gesetzt (automatisierte Bildschirmsperre).
- Ein manuelles Schließsystem ist implementiert.
- Zeitliche Zugangsbeschränkungen sind implementiert.
- Eine am Zweck orientierte Passwort-Richtlinie ist implementiert.
- Administrationsrechte sind einer minimalen Anzahl von Personen vergeben.
- Datenträger der Endgeräte sind verschlüsselt.
- Produktiv- und Testsysteme sind voneinander getrennt.
Ergänzend (Auftragsverarbeiter easySale): - Mandantentrennung durch dedizierte Firebase-Projekte – keine gemeinsame Datenbank zwischen Kunden - Rollenbasiertes Zugriffsmodell (RBAC) in der Plattform mit definierten Berechtigungsstufen - Admin-Zugriff auf Infrastruktur ausschließlich für autorisierte easySale-Mitarbeiter via Google Cloud IAM (Minimalprinzip) - Authentifizierung via Firebase Authentication; Passwörter werden als bcrypt-Hash gespeichert
1.1 Integrität¶
Nach Art. 32 Abs. 1 lit. b in Verbindung mit Art. 5 Abs. 1 lit. f DSGVO ist zu gewährleisten, dass Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt sind, die Daten also vollständig, unverändert und unversehrt sind.
Das Gebot der Datenintegrität wird bei der Tech Schuppen GmbH wie folgt realisiert:
- Ein Virenschutz ist auf den Endgeräten implementiert.
Ergänzend (Auftragsverarbeiter easySale): - Alle Datenübertragungen via TLS 1.2+ (Verschlüsselung in Transit) - Verschlüsselung at Rest durch Google Firebase (AES-256) - CORS-Konfiguration verhindert unbefugte Cross-Origin-Anfragen - Firestore Security Rules und Storage Rules mit Typ- und Größenvalidierung (max. 10 MB)
1.2 Verfügbarkeit¶
Nach Art. 32 Abs. 1 lit. b DSGVO ist zu gewährleisten, dass die Daten ihrem Zwecke nach jederzeit nutzbar sind. Zusätzlich muss gemäß Art. 32 Abs. 1 lit. c DSGVO die Fähigkeit existieren, die Verfügbarkeit und den Zugang zu den Daten bei einem physischen oder technischen Zwischenfall wiederherstellen zu können.
Das Gebot der Verfügbarkeit von Daten wird bei der Tech Schuppen GmbH wie folgt realisiert:
- Das Speichern von Daten auf lokalen Datenspeichern und Endgeräten ist durch eine organisatorische Maßnahme unterbunden.
Ergänzend (Auftragsverarbeiter easySale): - Automatische Backups durch Google Cloud Firestore (Point-in-Time Recovery) - Google Cloud SLA: 99,95 % Uptime für Firestore - Monitoring und Alarmierung via Google Cloud Monitoring
1.3 Belastbarkeit¶
Nach Art. 32 Abs. 1 lit. b DSGVO ist die Robustheit von IT-Systemen und Diensten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten auf Dauer sicherzustellen.
Das Gebot der Belastbarkeit von IT-Systemen und Diensten wird bei der Tech Schuppen GmbH wie folgt realisiert:
- Feuer- und Rauchmeldeanlagen sind installiert.
- Feuerlöscher sind installiert.
- Die eingesetzten IT-Komponenten verfügen über die notwendige Leistungsfähigkeit.
- Die Geschäftsräume sind der Geschäftstätigkeit angemessen.
Ergänzend (Auftragsverarbeiter easySale): - Infrastruktur ausschließlich in Google Cloud Rechenzentren (ISO 27001, SOC 2, SOC 3 zertifiziert) - Rate Limiting auf Cloud Functions-Ebene (Schutz vor Überlastung und Missbrauch)
1.4 Richtigkeit¶
Nach Art. 5 Abs. 1 lit. d DSGVO ist zu gewährleisten, dass die verarbeiteten Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind und Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Das Gebot der Richtigkeit von Daten wird bei der Tech Schuppen GmbH wie folgt realisiert:
- Unrichtige Daten werden unverzüglich gelöscht.
Ergänzend (Auftragsverarbeiter easySale): - Betroffenenrechte (Auskunft, Berichtigung, Löschung) können durch den Verantwortlichen direkt über die ERP-Administrationsoberfläche ausgeübt werden. - Unterstützung durch den Auftragsverarbeiter auf Anfrage gemäß § 4 Abs. 5 dieses AVV.
1.5 Rechenschaftspflicht¶
Die DSGVO sieht in Art. 5 Abs. 2 DSGVO vor, dass der Verantwortliche die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen kann. Unabhängig davon muss er gemäß Art. 32 Abs. 1 lit. d DSGVO in der Lage sein, die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmäßig überprüfen, bewerten und evaluieren zu können. Außerdem muss er gemäß ErwGr 87 DSGVO sofort feststellen können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können.
Das Gebot der Rechenschaftspflicht wird bei der Tech Schuppen GmbH wie folgt realisiert:
- Anmeldevorgänge werden protokolliert.
Ergänzend (Auftragsverarbeiter easySale): - Audit-Logging: Kritische Operationen in der Plattform werden protokolliert. - Sentry Error-Tracking für Laufzeitfehler (ohne personenbezogene Inhalte im Default-Konfiguration). - Datenpannen werden dem Verantwortlichen innerhalb von 24 Stunden nach Bekanntwerden gemeldet (vgl. § 4 Abs. 6 dieses AVV).
Dieses Dokument ist ein Entwurf und ersetzt keine rechtliche Beratung. Vor Unterzeichnung wird eine Prüfung durch einen Datenschutzbeauftragten oder Rechtsanwalt empfohlen.