AgencyDeck Agentur-ERP
← Anmelden
Hinweis für den Betreiber: Pflichtangaben enthalten noch Platzhalter. Werte über Umgebungsvariablen DECK_LEGAL_* setzen (siehe app/legal.py).
Vertrag gem. Art. 28 DSGVO

Auftragsverarbeitungs­vereinbarung (AVV)

Diese AVV regelt das Verhältnis zwischen dem Workspace-Betreiber als Verantwortlichem und [Betreiber bitte eintragen] als Auftrags­verarbeiter für die Nutzung von AgencyDeck. Sie wird durch Anmeldung und Workspace-Erstellung wirksam.

§ 1 — Gegenstand und Dauer

(1) Gegenstand ist die Verarbeitung personen­bezogener Daten im Rahmen der Bereitstellung der SaaS-Plattform AgencyDeck. Funktionsumfang: CRM, Faktura, Belegerfassung, Buchhaltungs­export, Banking-Import, Projekt­management, Zeit­erfassung.

(2) Die AVV beginnt mit Aktivierung des Workspaces und endet automatisch mit Vertragsende. Eine Kündigung der AVV ohne Kündigung des Hauptvertrags ist nicht möglich.

§ 2 — Art und Zweck der Verarbeitung

Der Auftrags­verarbeiter verarbeitet personen­bezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — diese Weisungen ergeben sich aus der bestimmungs­gemäßen Nutzung der Plattform. Eine Verarbeitung zu eigenen Zwecken findet nicht statt. Ausnahme: anonymisierte Nutzungs­statistiken für Kapazitäts­planung und Sicherheit.

§ 3 — Kategorien betroffener Personen und Daten

Betroffene Personen:

  • Mitarbeiter und Geschäfts­führer des Verantwortlichen (Nutzer-Accounts)
  • Kunden, Lieferanten und Geschäfts­partner des Verantwortlichen
  • Mitarbeiter dieser Geschäfts­partner (Ansprechpartner)

Datenkategorien:

  • Kontakt- und Stammdaten (Name, Anschrift, E-Mail, Telefon)
  • Vertrags- und Rechnungsdaten
  • Bank- und Zahlungsdaten
  • Steuer­identi­fika­tions­merkmale (USt-ID, Steuernummer)
  • Projekt- und Leistungsdaten, erfasste Arbeitszeiten
  • Kommunikations­inhalte (Belege, Notizen)

§ 4 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Zutrittskontrolle: Hosting in zertifiziertem Rechenzentrum (ISO 27001) bei Hetzner Online GmbH.
  • Zugangskontrolle: Authentifizierung per Passwort (Argon2id-Hashing) + optionalem TOTP-2FA. Rate-Limiting + Brute-Force-Schutz.
  • Zugriffskontrolle: Row-Level-Security in der Datenbank, rollen­basiertes Berechtigungs­system, Audit-Log.
  • Weitergabekontrolle: Transport­verschlüsselung TLS 1.3; verschlüsselte Backups; keine unverschlüsselte Datenträger.
  • Eingabekontrolle: Audit-Log aller Betreiber-Aktionen mit Zeitstempel, Akteur, Ziel.
  • Auftragskontrolle: Subprozessoren wie unten gelistet; Verträge mit allen abgeschlossen.
  • Verfügbarkeitskontrolle: Tägliche Backups, Monitoring, Disaster-Recovery-Plan.
  • Trennungskontrolle: Strikte Mandanten-Trennung per FORCE RLS — Cross-Tenant-Zugriff technisch unmöglich.

§ 5 — Subprozessoren

Der Verantwortliche erteilt dem Auftrags­verarbeiter die allgemeine Genehmigung zum Einsatz folgender Subprozessoren:

Subprozessor Zweck Standort Datenkategorien
Hetzner Online GmbH Server-Hosting, Datenbank, Backup-Storage Deutschland (Falkenstein, Nürnberg) Sämtliche Mandantendaten (verschlüsselt at-rest)
Microsoft Ireland Operations Ltd. Transaktionale E-Mails über Microsoft Graph (M365) Irland (EU) E-Mail-Adresse, Versand-Metadaten, Mailbody
Mindee SAS OCR-Belegerkennung (Eingangsrechnungen, Quittungen) Frankreich (EU) Belegbilder, extrahierte Rechnungsdaten
DATEV eG Buchhaltungs-Export (DATEV-Schnittstelle) Deutschland Buchungssätze, Belegmetadaten, Kontenrahmen
Anthropic, PBC KI-gestützte Kategorisierung von Buchungen (optional, Add-On) USA — Standard­vertragsklauseln (SCC) gem. Beschluss 2021/914/EU Verwendungszweck-Text, Betrag, IBAN (gehasht)

Wechsel oder Hinzunahme eines Subprozessors werden mindestens 30 Tage vorab per E-Mail an den Workspace-Admin angekündigt. Ein Widerspruchs­recht aus wichtigem Grund bleibt unberührt; der Verantwortliche kann in dem Fall den Hauptvertrag fristlos kündigen.

§ 6 — Pflichten des Auftrags­verarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung (Art. 28 Abs. 3 lit. a).
  • Verpflichtung der Mitarbeiter zur Vertraulichkeit (Art. 28 Abs. 3 lit. b).
  • Unterstützung des Verantwortlichen bei Betroffenen­rechten (Art. 28 Abs. 3 lit. e).
  • Meldung von Daten­schutz­verletzungen unverzüglich, spätestens 48 h nach Kenntnis (Art. 33).
  • Löschung oder Rückgabe aller Daten bei Vertragsende — wahlweise per JSON-Export (DSGVO-Konsole) oder Cascade-Löschung. Nachweis durch Audit-Log.

§ 7 — Kontroll­rechte des Verantwortlichen

Der Verantwortliche ist berechtigt, sich von der Einhaltung dieser Vereinbarung beim Auftrags­verarbeiter zu überzeugen. Auf Anfrage stellen wir Nachweise der TOM (Pen-Test-Reports, Compliance-Auditierungen des Rechenzentrums) bereit. Vor-Ort-Audits sind nach Voranmeldung und Kostenübernahme möglich.

§ 8 — Daten­schutz­verletzungen

Wir informieren den Verantwortlichen unverzüglich, spätestens 48 Stunden nach Bekanntwerden, über Daten­schutz­vorfälle, die seine Daten betreffen — mit Angabe von Art, Umfang, betroffener Personen­anzahl, Folgen und Gegen­maßnahmen. Die Pflicht zur Meldung an die Aufsichts­behörde (Art. 33 DSGVO) trifft den Verantwortlichen.

§ 9 — Beendigung

Mit Vertragsende wählt der Verantwortliche zwischen:

  1. Datenexport — vollständiger JSON-Dump per Self-Service oder über uns; alle Daten werden anschließend gelöscht.
  2. Direkte Löschung — Cascade-Delete aller mandanten­bezogenen Daten innerhalb von 30 Tagen.

Das Audit-Log bleibt zur Beweissicherung bestehen (User-IDs werden zu NULL gesetzt, E-Mails denormalisiert erhalten). Steuerrechtliche Aufbewahrungs­pflichten (§ 147 AO, § 257 HGB) bleiben für die jeweils betroffenen Dokumente unberührt.

§ 10 — Schlussbestimmungen

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Gerichtsstand ist [PLZ + Ort], soweit gesetzlich zulässig.