Vereinbarung zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO

zwischen dem Kunden des Dienstes sphyr („Verantwortlicher“ oder „Auftraggeber“) und der Carbacan GmbH, Reuterweg 14, 61267 Neu-Anspach, Deutschland („Auftragsverarbeiter“ oder „Auftragnehmer“).

Diese Vereinbarung wird im Online-Bestellprozess elektronisch angenommen und ist Bestandteil des Nutzungsvertrags über den Dienst sphyr („Hauptvertrag“). Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer stellt dem Auftraggeber die Software-as-a-Service-Plattform sphyr bereit (Dokumentenmanagement/Archivierung, E-Mail, Kontaktverwaltung, Rechnungswesen, Projekt- und Zeiterfassung, Personalverwaltung, Chat und KI-Funktionen, jeweils nach gebuchtem Umfang). Dabei verarbeitet er personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zuzüglich der in § 10 geregelten Export- und Löschfristen.

§ 2 Art und Zweck der Verarbeitung

Art der Verarbeitung: Erhebung, Speicherung, Organisation, Veränderung, Auslesen, Abfragen, Verwendung, Übermittlung an vom Auftraggeber bestimmte Empfänger, Einschränkung, Löschung. Zweck ist ausschließlich die Erbringung der im Hauptvertrag vereinbarten Leistungen (Hosting und Betrieb der Kundeninstanz, Datensicherung, Support, Wartung). KI-Funktionen werden ausschließlich auf eigener Infrastruktur des Auftragnehmers in Deutschland ausgeführt; Eingaben werden nicht zum Training von Modellen verwendet.

§ 3 Kategorien personenbezogener Daten

Gegenstand der Verarbeitung sind insbesondere folgende Datenkategorien, soweit der Auftraggeber sie in seiner Instanz verarbeitet:

• Stammdaten (Name, Anschrift, Kontaktdaten) von Beschäftigten, Kunden, Lieferanten und sonstigen Kontakten
• Kommunikationsdaten (E-Mails, Chat-Nachrichten, Notizen, Termine)
• Vertrags-, Angebots- und Abrechnungsdaten (Rechnungen, Angebote, Zahlungsinformationen, Bankverbindungs- und Umsatzdaten bei aktivierter Bankanbindung)
• Dokumente und Dateiinhalte einschließlich darin enthaltener personenbezogener Daten
• Personaldaten (z. B. Beschäftigungsdaten, Abwesenheiten, Arbeitszeiten) bei gebuchten HR-/Zeitfunktionen
• Nutzungs- und Protokolldaten der Nutzer der Instanz (Login-Daten, Audit-Logs, IP-Adressen)

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags, können aber in vom Auftraggeber gespeicherten Dokumenten enthalten sein (z. B. Krankmeldungen im HR-Modul); der Auftraggeber stellt hierfür die erforderliche Rechtsgrundlage sicher.

§ 4 Kategorien betroffener Personen

• Beschäftigte und Bewerber des Auftraggebers
• Kunden, Interessenten und Geschäftspartner des Auftraggebers
• Lieferanten und Dienstleister des Auftraggebers
• Sonstige Personen, deren Daten der Auftraggeber in der Instanz speichert

§ 5 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

(2) Die Nutzung der Funktionen des Dienstes durch den Auftraggeber und seine Nutzer gilt als Weisung. Weitergehende Einzelweisungen bedürfen der Textform.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.

§ 6 Pflichten des Auftragnehmers

• Er setzt nur Personen ein, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
• Er trifft die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 1 und passt sie dem Stand der Technik fortlaufend an, ohne das vereinbarte Schutzniveau zu unterschreiten.
• Er unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Meldungen von Verletzungen, Datenschutz-Folgenabschätzung, Konsultation).
• Er unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO); Anfragen betroffener Personen, die ihn direkt erreichen, leitet er unverzüglich an den Auftraggeber weiter.
• Er meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, nachdem ihm die Verletzung bekannt wurde, und stellt die Informationen nach Art. 33 Abs. 3 DSGVO bereit, soweit verfügbar.
• Er benennt dem Auftraggeber auf Anfrage einen Ansprechpartner für Datenschutzfragen.
• Eine Verarbeitung findet ausschließlich in Rechenzentren in Deutschland statt; eine Verarbeitung in Drittländern durch den Auftragnehmer selbst erfolgt nicht. Für Drittlandbezüge einzelner Subunternehmer gilt Anlage 2.

§ 7 Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Auftraggeber erteilt die allgemeine Genehmigung zur Einschaltung der in Anlage 2 genannten Subunternehmer.

(2) Der Auftragnehmer informiert den Auftraggeber vorab in Textform über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung von Subunternehmern). Der Auftraggeber kann der Änderung innerhalb von 30 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall des Widerspruchs steht beiden Parteien ein Kündigungsrecht hinsichtlich des Hauptvertrags zu, wenn keine zumutbare Alternative bereitgestellt werden kann.

(3) Der Auftragnehmer verpflichtet Subunternehmer durch Vertrag im Wesentlichen auf dieselben Datenschutzpflichten, die in dieser Vereinbarung festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 8 Kontroll- und Auditrechte

(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung.

(2) Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen, in der Regel durch Einholung von Selbstauskünften, aktuellen Testaten oder geeigneten Nachweisen. Inspektionen vor Ort oder durch einen beauftragten Prüfer sind nach angemessener Vorankündigung während der üblichen Geschäftszeiten möglich; sie dürfen den Geschäftsbetrieb des Auftragnehmers und die Vertraulichkeit der Daten anderer Kunden nicht unverhältnismäßig beeinträchtigen.

§ 9 Verzeichnis; Nachweise

Der Auftragnehmer führt ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und stellt dem Auftraggeber auf Anforderung die ihn betreffenden Angaben bereit.

§ 10 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber für 30 Tage die Möglichkeit bereit, die in der Instanz gespeicherten Daten in einem gängigen, maschinenlesbaren Format zu exportieren.

(2) Nach Ablauf der Exportfrist löscht der Auftragnehmer die Kundeninstanz einschließlich aller personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht des Auftragnehmers besteht. Daten in Sicherungskopien werden im Rahmen des regulären Backup-Zyklus (spätestens nach 30 Tagen) überschrieben bzw. gelöscht; bis dahin werden sie nicht aktiv verarbeitet.

(3) Auf Wunsch bestätigt der Auftragnehmer die Löschung in Textform.

§ 11 Haftung; Schlussbestimmungen

(1) Für die Haftung gelten Art. 82 DSGVO sowie ergänzend die Haftungsregelungen des Hauptvertrags.

(2) Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieser Vereinbarung vor. Es gilt deutsches Recht; Gerichtsstand ist der im Hauptvertrag vereinbarte Gerichtsstand.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs, Art. 32 DSGVO)

1. Vertraulichkeit

• Zutrittskontrolle: Betrieb ausschließlich in zertifizierten Rechenzentren der Hetzner Online GmbH in Deutschland (Zutrittskontrollsysteme, Videoüberwachung, Sicherheitspersonal des Rechenzentrumsbetreibers).
• Zugangskontrolle: Administrativer Zugriff auf Server ausschließlich über SSH mit Public-Key-Authentifizierung; kein Passwort-Login; personalisierte Administrationszugänge; Anwendungszugriff nur über individuelle Benutzerkonten mit Passwort-Richtlinien und tokenbasierter Authentifizierung.
• Zugriffskontrolle: Rollen- und Berechtigungskonzept innerhalb der Anwendung (RBAC, Berechtigungsgruppen); Protokollierung administrativer und fachlicher Zugriffe (Audit-Log).
• Mandantentrennung (pro-Tenant-Isolation): Jeder Kunde erhält eine eigene Instanz mit eigener Datenbank, eigenem Anwendungs-Stack (Container) und eigenen kryptographischen Geheimnissen (Secrets, Signatur-Schlüssel); kein gemeinsamer Datenbestand zwischen Kunden; Objektspeicher mit kundenspezifischen Buckets.

2. Integrität

• Verschlüsselung in Übertragung (in-transit): Sämtliche externe Verbindungen ausschließlich über TLS/HTTPS (Let's-Encrypt-Zertifikate, automatische Erneuerung).
• Verschlüsselung im Ruhezustand (at-rest): Verschlüsselung der Speicher-/Datenebene auf den Servern bzw. im Objektspeicher; Sicherungen werden verschlüsselt abgelegt.
• Eingabekontrolle: Versionierung von Dokumenten, revisionssichere Archivfunktionen, Audit-Logs über ändernde Zugriffe.

3. Verfügbarkeit und Belastbarkeit

• Datensicherung: Regelmäßige, automatisierte Backups der Datenbanken und des Objektspeichers mit definierter Aufbewahrung (30 Tage); Sicherungen werden getrennt vom Produktivsystem und verschlüsselt gespeichert; regelmäßige Wiederherstellungstests.
• Infrastruktur: Redundante Stromversorgung und Netzanbindung der Rechenzentren (Hetzner); Monitoring der Dienste; Update- und Patch-Management.
• Wiederherstellbarkeit: Dokumentierte Wiederherstellungsverfahren (Runbooks) für Instanzen und zentrale Komponenten.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Auftragskontrolle: klare vertragliche Regelungen (diese Vereinbarung), Weisungsbindung, sorgfältige Auswahl der Subunternehmer.
• Regelmäßige Überprüfung der Wirksamkeit der Maßnahmen (interne Audits, automatisierte Sicherheits- und Abhängigkeitsprüfungen in der Build-Pipeline).
• Incident-Response-Prozess für Sicherheitsvorfälle und Datenschutzverletzungen.

Anlage 2: Genehmigte Subunternehmer

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting/Rechenzentrumsleistungen (Server, Speicher). Verarbeitung ausschließlich in Rechenzentren in Deutschland.
• Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — Zahlungsabwicklung für das Vertragsverhältnis. Möglicher Drittlandtransfer an Stripe, Inc. (USA) auf Grundlage des EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Hinweis: Stripe verarbeitet Zahlungsdaten des Auftraggebers, nicht die Inhaltsdaten der Kundeninstanz.
• finAPI GmbH, Adams-Lehmann-Straße 44, 80797 München, Deutschland — Banking-Schnittstelle (Kontoinformationsdienst, BaFin-reguliert, Unternehmen der SCHUFA-Gruppe); nur bei aktiv genutzter Bankanbindung. Verarbeitung in Deutschland.

Stand: 12. Juni 2026 (ENTWURF)