Auftragsverarbeitungsvertrag
Gemäß Art. 28 DSGVO — Stand: Mai 2026
Zwischen dem Kunden des Dienstes Accountix (nachfolgend „Verantwortlicher")
und der SKE Solutions GmbH, Brandenburgische Str. 55 A, 10707 Berlin (nachfolgend „Auftragsverarbeiter")
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Allgemeinen Geschäftsbedingungen und wird mit Beginn der Nutzung des Dienstes geschlossen.
und der SKE Solutions GmbH, Brandenburgische Str. 55 A, 10707 Berlin (nachfolgend „Auftragsverarbeiter")
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Allgemeinen Geschäftsbedingungen und wird mit Beginn der Nutzung des Dienstes geschlossen.
§ 1 Gegenstand und Dauer
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Rechnungssoftware Accountix.
- Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrages. Nach Beendigung des Vertrages gelten die Regelungen in § 10 dieses AVV.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient der Bereitstellung folgender Funktionen:
- Erstellung und Verwaltung von Rechnungen (eingehend und ausgehend)
- Kunden- und Lieferantenverwaltung
- Zahlungsabgleich über das FinTS-Protokoll
- Mahnwesen und Forderungsmanagement
- Revisionssichere Archivierung und Audit-Protokollierung
- Dokumentenerzeugung (PDF/A-3, Factur-X / ZUGFeRD)
§ 3 Kategorien betroffener Personen und Daten
| Betroffene Personen | Datenkategorien |
|---|---|
| Kunden/Lieferanten des Verantwortlichen | Name, Firma, Adresse, E-Mail, Telefon, IBAN, USt-IdNr., Rechnungsdaten |
| Mitarbeiter des Verantwortlichen | Name, E-Mail, Benutzerrolle, Login-Zeiten, Audit-Einträge |
| Kontaktpersonen auf Rechnungen | Name, E-Mail, Telefon (sofern auf Rechnungen angegeben) |
| Banktransaktions-Beteiligte | Name des Absenders/Empfängers, IBAN, Verwendungszweck (aus FinTS-Umsätzen) |
§ 4 Pflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht der Mitgliedstaaten hierzu verpflichtet ist.
- Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
- Der Auftragsverarbeiter trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe § 6).
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten aus Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldung von Verletzungen).
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO).
§ 5 Unterauftragsverarbeiter
- Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:
| Unterauftragsverarbeiter | Leistung | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting & E-Mail-Versand (auf eigener Infrastruktur) | Falkenstein/Nürnberg, Deutschland |
- Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters und gibt dem Verantwortlichen Gelegenheit, innerhalb von 14 Tagen Einspruch zu erheben.
- Der Auftragsverarbeiter stellt sicher, dass dem Unterauftragsverarbeiter mindestens die gleichen Datenschutzpflichten auferlegt werden wie in diesem AVV.
§ 6 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
6.1 Vertraulichkeit
- Zutrittskontrolle: Rechenzentrum Hetzner mit physischer Zugangskontrolle (Biometrie, Videoüberwachung, Schleusen)
- Zugangskontrolle: SSH-Zugang nur über Ed25519-Schlüssel, beschränkt auf autorisierte IP-Adressen, Fail2Ban-Schutz
- Zugriffskontrolle: Rollenbasierte Berechtigungen innerhalb der Anwendung, JWT-Token mit 15-Minuten-Ablauf
- Trennungskontrolle: Logische Mandantentrennung auf Datenbankebene
6.2 Integrität
- Weitergabekontrolle: TLS 1.2/1.3 für alle Verbindungen, FinTS-Kommunikation nur über verschlüsselte Kanäle
- Eingabekontrolle: Unveränderlicher Audit-Log protokolliert jeden datenverändernden Vorgang mit Benutzer, Zeitstempel und Art der Änderung
6.3 Verfügbarkeit und Belastbarkeit
- Verfügbarkeit: Tägliche automatische Backups (Datenbank und Dokumente), regelmäßige Wiederherstellungstests
- Belastbarkeit: Rate-Limiting, DDoS-Schutz auf Netzwerkebene, systemd-Dienste mit automatischem Neustart
6.4 Pseudonymisierung und Verschlüsselung
- Verschlüsselung (Transport): TLS 1.2 / 1.3, moderne Cipher-Suiten (ECDHE + AES-256-GCM / ChaCha20-Poly1305)
- Verschlüsselung (Speicherung): AES-256-GCM (Envelope-Encryption) für personenbezogene Daten und Bankzugangsdaten
- Passwort-Hashing: bcrypt mit adaptivem Kostenfaktor
§ 7 Meldung von Datenschutzverletzungen
- Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich (in der Regel innerhalb von 24 Stunden), nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
- Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl betroffener Personen, Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, Beschreibung der wahrscheinlichen Folgen und der ergriffenen bzw. vorgeschlagenen Maßnahmen.
§ 8 Kontrollrechte des Verantwortlichen
- Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen, einschließlich durch Inspektionen oder Audits.
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
- Vor-Ort-Inspektionen bedürfen einer angemessenen Vorankündigung (mindestens 14 Tage) und dürfen den Geschäftsbetrieb nicht unverhältnismäßig stören.
§ 9 Datenübermittlung in Drittstaaten
Eine Übermittlung personenbezogener Daten in Drittstaaten (außerhalb des EWR) findet nicht statt. Sämtliche Datenverarbeitung erfolgt auf Servern in Deutschland.
§ 10 Beendigung und Datenlöschung
- Nach Beendigung des Nutzungsvertrages stellt der Auftragsverarbeiter dem Verantwortlichen seine Daten für 90 Tage zum Export bereit (GoBD-Exportformat, CSV oder JSON).
- Nach Ablauf der Exportfrist löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen unwiderruflich, sofern nicht gesetzliche Aufbewahrungspflichten (insbesondere §§ 147 AO, 257 HGB) eine längere Speicherung erfordern.
- Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage des Verantwortlichen.
§ 11 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der AGB.
§ 12 Schlussbestimmungen
- Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
- Bei Widersprüchen zwischen diesem AVV und den AGB haben die Regelungen dieses AVV Vorrang, soweit es den Schutz personenbezogener Daten betrifft.
- Es gilt das Recht der Bundesrepublik Deutschland.