Logo

Auftragsverarbeitungsvertrag (AVV) - steuercheck.net

Zwischen [Kanzlei/Unternehmen, Anschrift] („Verantwortlicher“) und ITax Solutions GmbH, Kirschäckerstraße 9, 96052 Bamberg(„Auftragsverarbeiter“).

Stand: [05.01.2026]
Version: 1.0.0

1. Gegenstand & Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung und Nutzung der SaaS-Plattform steuercheck.net zur Erfassung, Strukturierung und Bearbeitung von Mandantenanfragen einschließlich Dokumenten-Uploads sowie der Bereitstellung von Mandantenzugängen.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Beendigung gelten die Lösch- und Rückgaberegelungen dieses AVV.

Die Verarbeitung von Mandanten- und Kanzleidaten erfolgt grundsätzlich ausschließlich in Deutschland bzw. innerhalb der Europäischen Union. Eine Übermittlung in Drittländer ist nicht vorgesehen. Sollte eine Übermittlung in begründeten Ausnahmefällen erforderlich werden, erfolgt sie nur nach vorheriger Information des Verantwortlichen und unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (z. B. geeignete Garantien wie Standardvertragsklauseln).

2. Art & Zweck der Verarbeitung

  • Bereitstellung der Plattform, Authentifizierung, Nutzer- und Rollenverwaltung
  • Erfassung von Fragebogendaten, Upload und Speicherung von Dokumenten
  • Bereitstellung von Mandantenzugängen zur Einsicht und zum Abruf eigener Daten sowie zur Löschung einzelner Inhalte, sofern von der Kanzlei vorgesehen; ein Upload über den Mandantenzugang ist nicht vorgesehen.
  • Automatisierte, regelbasierte Hinweise zu Vollständigkeit, Plausibilität und Fristen (unterstützend)
  • Protokollierung von Zugriffen und Änderungen (Audit-Logs)
  • Support, Fehleranalyse, Wartung und Sicherheitsmaßnahmen

3. Kategorien betroffener Personen

  • Mandanten und Interessenten des Verantwortlichen
  • Mitarbeitende des Verantwortlichen (Kanzlei-Nutzer)
  • Ansprechpartner und vertretungsberechtigte Personen des Verantwortlichen (z. B. Kanzleiinhaber, Geschäftsführer, Kontaktpersonen)
  • Bevollmächtigte oder Vertreter der Mandanten

4. Kategorien personenbezogener Daten

  • Stammdaten und Kontaktdaten
  • Mandantenangaben aus Fragebögen
  • Dokumente und Uploads (PDF, Scan, Foto) inkl. Metadaten
  • Nutzungs- und Protokolldaten (Logins, Aktionen, Audit-Logs)
  • Nachweis- und Bestätigungsdaten (Zeitstempel, IP, User-Agent, IDs, Hashwerte)

Je nach Nutzung können auch besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) betroffen sein. Der Verantwortliche entscheidet allein über Inhalte und Umfang.

5. Pflichten des Verantwortlichen

  • Rechtmäßigkeit der Verarbeitung und Erfüllung der Informationspflichten
  • Erteilung dokumentierter Weisungen
  • Prüfung der technischen und organisatorischen Maßnahmen
  • Konfiguration von Rollen, Berechtigungen und Mandantenzugängen

6. Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung
  • Vertraulichkeit der zur Verarbeitung befugten Personen
  • Umsetzung geeigneter TOMs (siehe Anlage 1)
  • Unterstützung bei Betroffenenrechten im Rahmen des Zumutbaren
  • Meldung von Datenschutzverletzungen ohne unangemessene Verzögerung

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Diese verarbeiten personenbezogene Daten grundsätzlich ausschließlich innerhalb der Europäischen Union.

Für bestimmte unterstützende, automatisierte Auswertungen setzt der Auftragsverarbeiter externe technische Systeme ein. Die hierbei übermittelten Inhalte bestehen ausschließlich aus strukturierten, pseudonymisierten Falldaten ohne direkte Identifikationsmerkmale.

Sofern solche Systeme im Einzelfall als Unterauftragsverarbeiter im Sinne des Art. 28 DSGVO einzustufen sind, werden sie vor Einsatz in Anlage 2 aufgenommen bzw. es werden die gesetzlichen Anforderungen (Art. 28, Art. 44 ff. DSGVO) erfüllt.

Die übermittelten Daten enthalten insbesondere keine Namen, Adressen, Steuer-Identifikationsnummern oder sonstige eindeutige Zuordnungsmerkmale. Eine Re-Identifizierung der betroffenen Personen durch den eingesetzten Dienstleister ist technisch und organisatorisch nach dem Stand der Technik soweit wie möglich ausgeschlossen.

Die Verarbeitung erfolgt ausschließlich zur einmaligen, anlassbezogenen Analyse im Rahmen des jeweiligen Vorgangs. Eine Speicherung, Profilbildung oder Nutzung der Inhalte zu Trainings- oder sonstigen eigenen Zwecken durch den eingesetzten Dienstleister ist vertraglich ausgeschlossen.

Der Auftragsverarbeiter stellt sicher, dass eingesetzte Dienstleister und Systeme vertraglich auf ein gleichwertiges Datenschutzniveau verpflichtet sind.

Änderungen (neue oder ersetzte Unterauftragsverarbeiter) werden dem Verantwortlichen in angemessener Frist vorab angekündigt. Der Verantwortliche kann aus wichtigem Grund widersprechen. In diesem Fall werden die Parteien eine zumutbare alternative Lösung abstimmen; andernfalls bleibt das Recht zur außerordentlichen Kündigung aus wichtigem Grund unberührt.

8. Löschung / Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags werden personenbezogene Daten nach Weisung gelöscht oder exportiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Standard: Export innerhalb von 30 Tagen, Löschung innerhalb von 60 Tagen nach Abschluss des Exports.

9. Nachweise & Audits

Geeignete Nachweise (z. B. TOM-Übersicht) werden bereitgestellt. Audits vor Ort nur nach vorheriger Abstimmung.

Anlage 1 - Technische und organisatorische Maßnahmen (TOMs)

Die folgenden technischen und organisatorischen Maßnahmen beschreiben den zum Zeitpunkt des Vertragsschlusses umgesetzten Mindeststandard gemäß Art. 32 DSGVO. Konkrete Ausprägungen können je nach Infrastruktur, Deployment oder eingesetztem Dienstleister variieren, unterschreiten jedoch nicht das beschriebene Schutzniveau.

A. Zugriffskontrolle

  • Rollen- und Berechtigungskonzept nach dem Prinzip der geringsten Rechte (Least Privilege)
  • Passwortanforderungen nach gängigen Sicherheitsstandards; optionale Zwei-Faktor-Authentifizierung (2FA), sofern aktiviert
  • Session-Management, Schutz vor Brute-Force-Angriffen (z. B. Rate-Limiting, Sperrmechanismen)

B. Transport- und Speicherverschlüsselung

  • Verschlüsselung der Datenübertragung mittels TLS nach dem Stand der Technik
  • Verschlüsselte Speicherung von Daten auf System- und Speicherebene nach dem Stand der Technik (z. B. Provider- oder KMS-gestützt)
  • Schlüsselmanagement nach Best Practices; Zugriff auf kryptographische Schlüssel nur für berechtigte Systeme und Personen

C. Protokollierung und Nachvollziehbarkeit

  • Protokollierung sicherheitsrelevanter Aktionen (z. B. Logins, Rollen- und Berechtigungsänderungen, Zugriffe)
  • Monitoring und Alerting zur Erkennung von Angriffen, Fehlverhalten und Stabilitätsproblemen

D. Integrität und Verfügbarkeit

  • Regelmäßige Backups nach definiertem Sicherungsrhythmus sowie Wiederherstellungstests in angemessenen Intervallen
  • Patch- und Update-Management für eingesetzte Systeme und Komponenten
  • Schutz vor Schadsoftware sowie Einsatz von Firewalls und Sicherheitsgruppen

E. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

  • Datenminimierung durch Beschränkung auf erforderliche Datenfelder
  • Logische Mandantentrennung und Zugriffsbeschränkung innerhalb der Plattform
  • Löschkonzepte und Aufbewahrungsregelungen gemäß vertraglichen und gesetzlichen Vorgaben

Anlage 2 - Unterauftragsverarbeiter (Subprozessoren)

Der Auftragsverarbeiter setzt zur Erbringung der vertraglich geschuldeten Leistungen die nachfolgend aufgeführten Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO. Die Verarbeitung erfolgt ausschließlich im beschriebenen Umfang und unter Beachtung der Vorgaben dieses Auftragsverarbeitungsvertrags.

Amazon Web Services EMEA SARL (AWS)

Leistung: Hosting- und Compute-Infrastruktur für Backend/API

Ort der Verarbeitung: eu-central-1 (Frankfurt am Main, Deutschland)

Datenkategorien: Plattformdaten, Nutzungsdaten, Logdaten

Die Verarbeitung erfolgt ausschließlich in der Region eu-central-1. Eine produktive Verarbeitung außerhalb der Europäischen Union findet nicht statt.

Mehr erfahren

IONOS SE

Leistung: Hosting und Auslieferung der Web-Frontends

Ort der Verarbeitung: Deutschland

Datenkategorien: Zugriffsdaten, Nutzungsdaten, technisch notwendige Kommunikationsdaten

Die Verarbeitung erfolgt ausschließlich in deutschen Rechenzentren.

Mehr erfahren

IONOS SE

Leistung: Datenbankdienste

Ort der Verarbeitung: Deutschland

Datenkategorien: Plattformdaten, Kanzleidaten, Mandantenstammdaten, Fragebogenangaben

Speicherung und Verarbeitung erfolgen ausschließlich innerhalb Deutschlands.

Mehr erfahren

Amazon Web Services EMEA SARL (AWS S3)

Leistung: Objekt- und Dokumentenspeicher (Uploads, Anhänge)

Ort der Speicherung: eu-central-1 (Frankfurt am Main, Deutschland)

Zugriff / Endpoint: Zugriff erfolgt ausschließlich über einen in Deutschland betriebenen Endpoint der IONOS SE. Es werden keine öffentlichen oder direkten AWS-Endpunkte genutzt.

Datenkategorien: Hochgeladene Dokumente (PDF, Scan, Foto), Metadaten, Hashwerte, Profilbilder, Firmenlogos

Der Datenzugriff ist technisch auf in Deutschland betriebene Systeme beschränkt.

Mehr erfahren

Brevo (Sendinblue GmbH)

Leistung: Versand von transaktionalen E-Mails (Systembenachrichtigungen, Mandanten- und Kanzlei-Kommunikation)

Ort der Verarbeitung: Europäische Union

Datenkategorien: E-Mail-Adresse, Versandmetadaten, ggf. E-Mail-Inhalte und Dateianhänge

Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet nicht statt.

Mehr erfahren

PostHog Inc.

Leistung: Web-Analytics und Event-Tracking zur statistischen Auswertung der Nutzung von Landing Pages und - sofern aktiviert - einzelner Plattformfunktionen (z. B. Fragebögen) zur Verbesserung der Benutzerführung und Systemstabilität.

Ort der Verarbeitung: Europäische Union

Datenkategorien: Nutzungs- und Ereignisdaten (z. B. Seitenaufrufe, Interaktionen, Zeitstempel), technische Metadaten (z. B. Browsertyp, Gerätetyp), pseudonymisierte Identifikatoren (z. B. Session-IDs). Keine Speicherung von Klardaten wie Namen, E-Mail-Adressen, Steuerdaten oder Dokumenteninhalten.

  • Einsatz ausschließlich nach datenschutzfreundlicher Konfiguration
  • Keine Nutzung der Daten zu eigenen Trainings- oder Werbezwecken
  • Verarbeitung erfolgt auf Grundlage eines Vertrags zur Auftragsverarbeitung
  • Speicherung zeitlich begrenzt entsprechend dem definierten Zweck
  • Verarbeitung erfolgt auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Mehr erfahren

Der Auftragsverarbeiter stellt sicher, dass die eingesetzten externen Systeme mindestens ein gleichwertiges Schutzniveau gewährleisten und die Verarbeitung ausschließlich zur Erbringung der vertraglich geschuldeten unterstützenden Auswertung erfolgt. Soweit nach den Umständen des Einzelfalls durch die übermittelten pseudonymisierten Inhalte beim eingesetzten Dienstleister kein eigenständiger Personenbezug begründet wird, erfolgt die Verarbeitung als technische Unterstützungsleistung unter den Schutzvorgaben dieses AVV.