Legal · Version v0.1-draft

Auftragsverarbeitungsvertrag (AVV)

zwischen Ihrer Beratungsstelle (Verantwortlicher) und Mando (Auftragsverarbeiter) gemäß Art. 28 DSGVO.

Hinweis: Diese Version ist ein DRAFT (v0.1) und ersetzt keine anwaltliche Beratung. Vor Produktivnutzung wird die finale Version durch einen Anwalt geprueft und veroeffentlicht; bestehende Tenants werden dann zur Re-Akzeptanz aufgefordert.

§ 1 — Gegenstand und Dauer

Gegenstand dieses Vertrages ist die Verarbeitung von personenbezogenen Daten der Mandant:innen des Auftraggebers (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO) durch den Auftragnehmer (Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO).

Der Auftragnehmer stellt eine cloudbasierte Software-as-a-Service-Plattform fuer Lohnsteuerhilfevereine bereit. Die Plattform umfasst Dokumentenmanagement, KI-gestuetzte Klassifizierung, Steuerberechnung sowie Kommunikationsfunktionen.

Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages und endet automatisch mit dessen Beendigung.

§ 2 — Art und Zweck der Datenverarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich zur Erfuellung des Hauptvertrages, insbesondere fuer Hosting, Texterkennung (OCR), KI-basierte Klassifizierung von Belegen, Berechnung der Steuerlast und sichere Kommunikation zwischen Beratungsstelle und Mandant:innen.

Die Daten werden auf Servern in der Europaeischen Union (Standort: Falkenstein, Deutschland) gespeichert. Ein Transfer in Drittlaender findet nicht statt, ausser fuer den ausdruecklich gelisteten Subprozessor Anthropic (siehe § 7).

§ 3 — Art der Daten und Kreis der Betroffenen

Verarbeitet werden insbesondere: Stammdaten der Mandant:innen (Name, Adresse, Geburtsdatum, Steuer-ID, Bankverbindung), Einkommensdaten, Belege (PDF/Bild), Korrespondenz und Klaerungen, Bescheide.

Betroffen sind: Mandant:innen des Auftraggebers, Mitarbeiter:innen der Beratungsstelle (bs_admin, berater).

§ 4 — Technische und organisatorische Massnahmen (TOMs)

Der Auftragnehmer trifft folgende Massnahmen zur Sicherstellung der Datenintegritaet und -vertraulichkeit:

(a) Verschluesselung: TLS 1.2+ fuer alle Verbindungen; HSTS; Subaccount-Isolation pro Tenant auf File-System-Ebene; AES-256-GCM-Envelope-Encryption fuer sensible Konfigurationsdaten.

(b) Zugriffskontrolle: Row-Level-Security in der Datenbank; rollenbasierte Berechtigungen (bs_admin / berater / kunde); 2-Faktor-Authentifizierung verpflichtend fuer Verwaltungsrollen.

(c) Audit-Log: Saemtliche sensitive Aktionen (Anmeldungen, Daten-Aenderungen, KI-Entscheidungen) werden mit Zeitstempel, Actor und Reasoning protokolliert.

(d) Backup und Wiederherstellung: Taegliche Snapshots der Datenbank; Storage-Backend-Replikation gemaess Anbieter-Standard.

(e) Mitarbeiter: Alle Mitarbeiter des Auftragnehmers sind auf das Datengeheimnis verpflichtet.

§ 5 — Rechte des Auftraggebers / Weisungsrecht

Der Auftragnehmer verarbeitet Daten ausschliesslich auf Weisung des Auftraggebers und im Rahmen dieses Vertrages.

Der Auftraggeber kann jederzeit Auskunft, Berichtigung, Loeschung oder Einschraenkung der Verarbeitung verlangen. Auftragnehmer stellt hierfuer Self-Service-Funktionen ueber die Plattform bereit (z. B. Export der Mandantendaten als JSON, Loeschworkflow am Ende der Geschaeftsbeziehung).

§ 6 — Mitteilung bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzueglich, spaetestens aber innerhalb von 24 Stunden, ueber jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).

Die Meldung erfolgt per Email an die hinterlegte Kontaktadresse des Auftraggebers und enthaelt alle gemaess Art. 33 Abs. 3 DSGVO erforderlichen Angaben.

§ 7 — Unterauftragsverarbeiter (Subprozessoren)

Der Auftraggeber stimmt der Einschaltung folgender Subprozessoren zu:

• Hetzner Online GmbH (Deutschland, Falkenstein) — Hosting, Storage Box, Object Storage

• Supabase Inc. (Sitz: Wilmington, USA; Datenverarbeitung EU-Region) — Datenbank, Authentifizierung

• Anthropic Ireland Ltd. (Dublin, Irland) — KI-Modell-API fuer Dokumenten-Klassifizierung und Chat. Datenverarbeitung gemaess Anthropic Data Processing Agreement.

• Resend Inc. (Sitz: USA; SMTP via TLS) — Optionaler transaktionaler Email-Versand. Kann durch eigenen SMTP-Server ersetzt werden.

• Twilio Inc. (Sitz: USA) — Optionaler SMS-Versand fuer 2FA-PINs an Mandant:innen.

Aenderungen der Subprozessor-Liste werden dem Auftraggeber 30 Tage im Voraus mitgeteilt; ein Widerspruchsrecht besteht.

§ 8 — Kontroll- und Auditrechte

Der Auftraggeber kann sich von der Einhaltung der TOMs durch geeignete Massnahmen ueberzeugen, z. B. durch schriftliche Berichte oder Stichprobenpruefungen mit angemessener Vorankuendigung (mindestens 14 Kalendertage).

Auftragnehmer stellt jaehrlich auf Anfrage einen Bericht ueber durchgefuehrte interne Audits bereit.

§ 9 — Loeschung und Rueckgabe nach Vertragsende

Nach Beendigung des Hauptvertrages werden alle vom Auftraggeber bereitgestellten Daten innerhalb von 30 Tagen geloescht oder dem Auftraggeber in einem strukturierten, maschinenlesbaren Format zur Verfuegung gestellt — Wahl des Auftraggebers.

Backups werden gemaess Aufbewahrungsfristen automatisch ausgesondert (maximal 90 Tage nach Vertragsende).

§ 10 — Haftung

Die Haftung richtet sich nach den Bestimmungen des Hauptvertrages sowie nach Art. 82 DSGVO.

§ 11 — Schlussbestimmungen

Aenderungen und Ergaenzungen dieses Vertrages beduerfen der Schrift- oder Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im uebrigen wirksam.

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.

Mando · 2026