Zurück

Auftragsverarbeitungsvertrag

nach Art. 28 DSGVO zwischen Berater (Verantwortlicher) und Plattformbetreiber (Auftragsverarbeiter)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Pflichten zwischen dem Berater (nachfolgend „Verantwortlicher") und The Engineers of Finance AG (nachfolgend „Auftragsverarbeiter") im Rahmen der Nutzung der Plattform SMR Analyse. Er ist Bestandteil des Hauptvertrags (siehe AGB) und gilt automatisch mit dessen Abschluss.

§ 1 Gegenstand und Dauer

(1) Gegenstand der Auftragsverarbeitung sind alle personenbezogenen Daten, die der Verantwortliche im Rahmen der Nutzung der Plattform verarbeitet oder erheben lässt.

(2) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter stellt die technische Infrastruktur zur Speicherung und Verarbeitung der vom Verantwortlichen eingestellten Daten bereit. Zweck ist die Erbringung der vertraglich geschuldeten SaaS-Leistung (Ruhestandsanalyse-Plattform).

§ 3 Art der Daten

  • Stammdaten der Mandanten (Name, Geburtsdatum, Anschrift)
  • Finanzdaten (Einkommen, Verträge, Vermögenswerte, Immobilien)
  • Kontaktdaten (E-Mail-Adresse)
  • Berechnete Analyse-Ergebnisse

§ 4 Kategorien betroffener Personen

  • Mandanten des Verantwortlichen (Endkunden / Beratungs-Klienten)
  • Interessenten (Cold-Leads) aus dem Self-Onboarding-Funnel

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich:

  • im Rahmen der dokumentierten Weisungen des Verantwortlichen
  • zum vereinbarten Zweck

(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter trifft alle nach Art. 32 DSGVO erforderlichen Maßnahmen (siehe Anlage 1 — TOM).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO.

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche bleibt für die Rechtmäßigkeit der Datenverarbeitung selbst verantwortlich. Er insbesondere:

  • holt die erforderlichen Einwilligungen seiner Mandanten ein
  • informiert seine Mandanten gemäß Art. 13 DSGVO
  • weist die Datenverarbeitung in eigener Verantwortung an

§ 7 Unterauftragsverarbeiter (Subprocessors)

Der Verantwortliche stimmt der Beauftragung folgender Unterauftrags- verarbeiter zu:

AnbieterZweckSitz / Region
Clerk Inc.AuthentifizierungUSA (SCC)
Resend Inc.Transaktionale E-MailsUSA (SCC)
Vercel Inc.HostingEU-Region Frankfurt
Neon Inc.DatenbankEU-Region Frankfurt

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen mit einer Frist von 30 Tagen. Der Verantwortliche kann der Änderung aus wichtigem Grund widersprechen.

§ 8 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen Betroffener (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) durch geeignete technische und organisatorische Maßnahmen.

§ 9 Datenschutzpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis.

§ 10 Löschung und Rückgabe der Daten

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter die Daten des Verantwortlichen innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch erhält der Verantwortliche zuvor einen Datenexport.

§ 11 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich von der Einhaltung der Datenschutzpflichten beim Auftragsverarbeiter zu überzeugen. Auf Anfrage stellt der Auftragsverarbeiter Nachweise (z. B. aktuelle Zertifizierungen, Audit-Berichte der Unterauftragsverarbeiter) zur Verfügung.

Anlage 1 — Technisch-Organisatorische Maßnahmen (TOM)

Zutritts-, Zugangs- und Zugriffskontrolle

  • Multi-Faktor-Authentifizierung der Berater (über Clerk)
  • Magic-Link-Authentifizierung mit zeitlich begrenzten Tokens für Endkunden
  • Mandanten-Isolation auf Datenbank-Ebene (Multi-Tenant per teamId-Foreign-Key)
  • Audit-Log aller schreibenden Zugriffe im Platform-Admin-View-as-Modus

Weitergabekontrolle

  • TLS-Verschlüsselung aller Verbindungen (HTTPS)
  • AES-256-GCM-Verschlüsselung sensibler API-Zugangsdaten in der Datenbank

Eingabekontrolle

  • Audit-Logs für sensible Aktionen
  • Pseudonymisierung anonymer Quick-Onboarding-Leads

Verfügbarkeitskontrolle

  • Tägliche Backups (Neon-Postgres-Snapshot)
  • EU-Region (Frankfurt) für Datenspeicherung

Trennungskontrolle

  • Strikte Multi-Tenant-Isolation: Berater sehen ausschließlich Daten ihres eigenen Teams