Zum Hauptinhalt springen

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: 25. Mai 2026 (Version 1.1)
DSGVO Art. 28 konform
Hinweis

Dieser Auftragsverarbeitungsvertrag wird automatisch Bestandteil des Vertrages bei Nutzung der BISpicy Warenwirtschaft und gilt zwischen dem Kunden (Auftraggeber/Verantwortlicher) und dem Anbieter (Auftragnehmer/Auftragsverarbeiter).

Paragraph 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand: Die Verarbeitung personenbezogener Daten erfolgt im Rahmen der Nutzung der Cloud-Software "BISpicy Warenwirtschaft".

(2) Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages. Nach Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(3) Art der Verarbeitung:

  • Erhebung, Speicherung und Verwendung von Kundenstammdaten
  • Verarbeitung von Bestelldaten und Transaktionen
  • Erstellung von Rechnungen und Lieferscheinen
  • Übermittlung an Versanddienstleister zur Auftragserfüllung
  • KI-gestützte Funktionen (sofern aktiviert): Erkennung/Extraktion von Eingangsrechnungen, KI-Artikelanlage, KI-Repricing

Paragraph 2 Kategorien betroffener Personen und Daten

2.1 Kategorien betroffener Personen

  • Kunden/Endkunden des Auftraggebers
  • Lieferanten des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Ansprechpartner bei Geschäftspartnern

2.2 Kategorien personenbezogener Daten

Datenkategorie Beispiele
Kontaktdaten Name, Adresse, E-Mail, Telefonnummer
Vertragsdaten Bestellungen, Rechnungen, Kundennummern
Zahlungsdaten Bankverbindung, Zahlungshistorie (verschlüsselt)
Versanddaten Lieferadressen, Sendungsnummern

Paragraph 3 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

  1. Weisungsgebundenheit: Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  2. Vertraulichkeit: Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
  3. Sicherheitsmaßnahmen: Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
  4. Unterauftragnehmer: Weitere Auftragsverarbeiter nur mit vorheriger Genehmigung des Auftraggebers einzusetzen (Art. 28 Abs. 2 DSGVO)
  5. Unterstützung: Den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO zu unterstützen
  6. Löschung: Nach Beendigung alle personenbezogenen Daten zu löschen oder zurückzugeben
  7. Nachweispflicht: Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen

Paragraph 4 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

4.1 Vertraulichkeit

  • Zutrittskontrolle: Rechenzentren mit physischer Zugangskontrolle (DigitalOcean EU)
  • Zugangskontrolle: Passwortgeschützte Benutzerkonten, 2-Faktor-Authentifizierung optional
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem
  • Trennungskontrolle: Mandantentrennung durch separate Datenbanken

4.2 Integrität

  • Weitergabekontrolle: TLS 1.3 Verschlüsselung aller Datenübertragungen
  • Eingabekontrolle: Protokollierung aller Dateneingaben und -änderungen

4.3 Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: 99,9% Uptime-Garantie, redundante Systeme
  • Wiederherstellbarkeit: Tägliche automatische Backups, getestete Restore-Verfahren

4.4 Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Sicherheitsaudits
  • Penetrationstests durch externe Dienstleister
  • Überwachung der Systeme rund um die Uhr

Paragraph 5 Unterauftragnehmer

(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragnehmer zu:

Unterauftragnehmer Standort Verarbeitungszweck
DigitalOcean LLC Frankfurt (EU) Backend-Hosting, Datenbank, Cloud-Backups (Spaces, S3-kompatibel)
Stripe Payments Europe Ltd. Dublin (EU) Zahlungsabwicklung Software-Lizenz
Google LLC (Firebase Cloud Messaging) EU/USA (Standardvertragsklauseln) Push-Benachrichtigungen an angebundene Kassen-Geräte (keine personenbezogenen Inhalte)
Anthropic PBC (nur bei Nutzung der KI-Funktionen) USA (Standardvertragsklauseln, Art. 46 DSGVO) KI-gestützte Erkennung von Eingangsrechnungen, KI-Artikelanlage und KI-Repricing. Keine Nutzung der übermittelten Daten zum Modelltraining (Anthropic Commercial Terms / DPA).
Fiskaly GmbH (bei aktiver Kassen-Anbindung) Deutschland / Österreich (EU) Cloud-TSE (KassenSichV) und RKSV-Cloud-Signierung
Versanddienstleister (DHL, DPD, GLS, Hermes, UPS, FedEx) — bei Aktivierung EU Versandlabel-Erstellung, Track & Trace (auf Weisung)
Marktplätze und Shops (Amazon, eBay, Etsy, Shopify, Magento, WooCommerce, Shopware) — bei Aktivierung EU / weltweit (je nach Anbieter) Bestell- und Artikel-Synchronisation auf Weisung des Auftraggebers

(2) Der Auftragnehmer informiert den Auftraggeber vor Beauftragung weiterer Unterauftragnehmer. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen.

(3) Hinweis zu Versanddienstleistern: Die Übermittlung von Empfängerdaten an Versanddienstleister erfolgt ausschließlich auf ausdrückliche Weisung des Auftraggebers (durch Erstellung eines Versandlabels in der Software) zur Erfüllung des Versandauftrags.

Paragraph 6 Rechte der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen (Art. 12-22 DSGVO):

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

(2) Der Auftragnehmer stellt eine Export-Funktion bereit, die alle personenbezogenen Daten in maschinenlesbarem Format (CSV/JSON) exportiert.

Paragraph 7 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Betroffene Datenkategorien und ungefähre Anzahl
  • Wahrscheinliche Folgen
  • Ergriffene oder vorgeschlagene Maßnahmen

Paragraph 8 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrages werden alle personenbezogenen Daten:

  • Auf Wunsch des Auftraggebers in einem gängigen Format exportiert und übergeben
  • Nach Ablauf von 30 Tagen unwiderruflich gelöscht

(2) Ausnahmen gelten für Daten, die aufgrund gesetzlicher Aufbewahrungspflichten länger gespeichert werden müssen (z.B. Rechnungen: 10 Jahre).

Paragraph 9 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages zu überprüfen.

(2) Der Auftragnehmer stellt hierfür bereit:

  • Nachweise über technische und organisatorische Maßnahmen
  • Aktuelle Zertifizierungen und Audit-Berichte
  • Auf Anfrage: Vor-Ort-Inspektionen (nach Terminvereinbarung)

Paragraph 10 Schlussbestimmungen

(1) Anwendbares Recht: Es gilt deutsches Recht unter Berücksichtigung der DSGVO.

(2) Änderungen: Änderungen dieses Vertrages bedürfen der Textform.

(3) Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

PDF-Download

Sie können diesen Auftragsverarbeitungsvertrag auch als PDF herunterladen:

Als PDF drucken/speichern
Kontakt Datenschutz

Email: [email protected]
Weitere Informationen: Datenschutzerklärung

Letzte Aktualisierung: 25. Mai 2026