Auftragsverarbeitungsvertrag (AVV)

1. Vertragsgegenstand und Dauer: Der Anbieter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Kunden im Rahmen der Nutzung der SaaS-Lösung easy to run. Der Vertrag gilt solange, wie der Hauptvertrag besteht.                             
2. Zweck und Art der Verarbeitung: Die Verarbeitung dient ausschließlich zur Erbringung der vereinbarten Leistungen (z.B. Warenwirtschaft, Kassenabwicklung, Online-Shop-Betrieb, Erfüllung gesetzlicher Pflichten wie TSE-Signierung und DSFinV-K-Exporte). Verarbeitungen erfolgen durch Eingabe, Speicherung, Auswertung, Übermittlung (z.B. fiskaly, Shopware, E-Mail-Versand), Sicherungen und Löschung.                                                                                                                      
3. Kategorien personenbezogener Daten: Verarbeitet werden insbesondere Kunden-, Lieferanten-, Transaktions-, Mitarbeiter-, Kommunikations- und Protokolldaten, abhängig von der Nutzung durch den Kunden. Besondere Kategorien (z.B. Gesundheitsdaten) sind grundsätzlich nicht vorgesehen.                                                       
4. Pflichten des Kunden: Der Kunde verantwortet die Rechtmäßigkeit der Datenverarbeitung, gibt Weisungen zur Verarbeitung, überwacht die Einhaltung der technischen und organisatorischen Maßnahmen (TOM), bearbeitet Betroffenenrechte und dokumentiert Verarbeitungstätigkeiten.                                                                             
5. Pflichten des Anbieters: Der Anbieter verarbeitet Daten nur nach Weisung, stellt Vertraulichkeit sicher, informiert über Datenschutzvorfälle, unterstützt bei Betroffenenanfragen und Datenschutz-Folgenabschätzungen, dokumentiert Verarbeitungstätigkeiten und ermöglicht Kontrollen durch den Kunden.                                
6. Technische und organisatorische Maßnahmen (TOM): Der Anbieter gewährleistet insbesondere:
7. Zugangskontrolle durch Authentifizierung
8. Mandantentrennung und rollenbasierte Zugriffskontrolle
9. Datenverschlüsselung (TLS, Passwort-Hashing)
10. Sicherung und Wiederherstellbarkeit (tägliche Backups)
11. Vertraulichkeit und Schulung des Personals
12. Protokollierung relevanter Verarbeitungsschritte
13. Unterauftragsverarbeiter: Der Kunde genehmigt den Einsatz erforderlicher Subunternehmer (insbesondere Hosting: All-Inkl, TSE: fiskaly, Shop-System: Shopware). Der Anbieter informiert über Änderungen der Subunternehmer rechtzeitig und ermöglicht Widerspruch.                                                                                                
14. Vertragsende: Nach Vertragsende löscht der Anbieter personenbezogene Daten innerhalb von 30 Tagen oder übergibt sie auf Wunsch in einem gängigen Format. Nachweise zur Verarbeitung dürfen zum Nachweiszweck aufbewahrt werden.                        
15. Haftung: Die Haftung richtet sich nach den Regelungen des Hauptvertrages, soweit gesetzlich zulässig.                                                                                                                    
16. Schlussbestimmungen: Der AVV geht bei datenschutzrechtlichen Konflikten dem Hauptvertrag vor. Änderungen bedürfen der Textform. Es gilt deutsches Recht.

Der AVV tritt automatisch mit dem Hauptvertrag in Kraft und bedarf keiner separaten Unterschrift.

Stand: April 2025