KlaroFin LogoKlaroFin.
EinloggenKostenlos starten
Zurück

Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026.

Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

zwischen dem Nutzer von KlaroFin (nachfolgend „Verantwortlicher“)

und Kay Maik Fotografie, Inhaber Kay Maikowske, Tönisberger Str. 33, 47509 Rheurdt (nachfolgend „Auftragsverarbeiter“).

Der Auftragsverarbeiter stellt die webbasierte Anwendung KlaroFin bereit. Soweit der Verantwortliche dabei personenbezogene Daten Dritter (z. B. seiner Kunden) verarbeitet, erfolgt dies im Auftrag und nach Weisung des Verantwortlichen. Dieser Vertrag wird mit Abschluss des Nutzungsvertrags wirksam.

§ 1 Gegenstand, Art, Zweck und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten zur Bereitstellung der KlaroFin-Funktionen (Rechnungen, Angebote, Mahnungen, Kontakte, Ausgaben/Einnahmen, Belege).

Art und Zweck umfassen Speicherung, Organisation, Anzeige, Veränderung und Löschung der vom Verantwortlichen eingegebenen Daten ausschließlich zur Vertragserfüllung.

Die Verarbeitung gilt für die Laufzeit des Nutzungsvertrags; darüber hinaus nur im Rahmen gesetzlicher Aufbewahrungspflichten.

§ 2 Art der Daten und Kategorien betroffener Personen

Verarbeitet werden Stammdaten (Name, Anschrift, Kontaktdaten), Unternehmens-/Steuerdaten (Firmenname, USt-IdNr., Steuernummer), Vertrags-/Abrechnungsdaten sowie in Belegen enthaltene Daten. Betroffen sind Kunden, Geschäftspartner und sonstige Kontakte des Verantwortlichen.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; der Verantwortliche verpflichtet sich, solche Daten nicht in der Anwendung zu verarbeiten.

§ 3 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung; die Nutzung der Anwendung gilt als Weisung.
  • Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit.
  • Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 1).
  • Keine Verarbeitung zu eigenen Zwecken; keine Weitergabe außer an die in Anlage 2 genannten Unterauftragsverarbeiter.

§ 4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen Maßnahmen und darf sie weiterentwickeln, solange das Schutzniveau nicht unterschritten wird.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Über beabsichtigte Änderungen wird der Verantwortliche informiert und kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Unterauftragsverarbeiter werden auf gleichwertige Pflichten verpflichtet (Art. 28 Abs. 4 DSGVO).

§ 6 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei Betroffenenrechten (Art. 12–22), Sicherheit der Verarbeitung, Meldepflichten (Art. 33/34) und Datenschutz-Folgenabschätzungen. Funktionen zu Auskunft, Berichtigung, Export und Löschung stehen in der Anwendung zur Verfügung.

§ 7 Meldung von Verletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes der im Auftrag verarbeiteten Daten unverzüglich nach Bekanntwerden.

§ 8 Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags werden die im Auftrag verarbeiteten Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Aufbewahrungspflichtige Unterlagen (insb. Rechnungen, § 147 AO / § 14b UStG, 10 Jahre) werden bis zum Fristablauf gesperrt aufbewahrt und danach gelöscht. Der Verantwortliche kann seine Daten vorab über die Exportfunktion sichern.

§ 9 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt die zum Nachweis erforderlichen Informationen bereit (Art. 28 Abs. 3 lit. h) und ermöglicht angemessene Überprüfungen, z. B. durch Dokumentationen oder Zertifikate der Unterauftragsverarbeiter.

§ 10 Drittlandübermittlung

Eine Übermittlung in Drittländer findet nur statt, soweit in Anlage 2 ausgewiesen, und ausschließlich auf Grundlage geeigneter Garantien (EU-Standardvertragsklauseln bzw. EU-US Data Privacy Framework).

§ 11 Schlussbestimmungen

Es gilt deutsches Recht. In Datenschutzfragen gehen die Regelungen dieses AVV dem Nutzungsvertrag vor. Die Unwirksamkeit einzelner Bestimmungen lässt die übrigen unberührt.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Zugangs-/Zugriffskontrolle: Authentifizierung per E-Mail/Passwort (Passwörter nur als Hash); Mandantentrennung auf Datenbankebene (Row Level Security) — jeder Nutzer sieht ausschließlich eigene Daten.
  • Verschlüsselung: TLS/HTTPS bei der Übertragung; verschlüsselte Speicherung bei den Infrastruktur-Dienstleistern. Sensible Zugangstoken werden geschützt gespeichert.
  • Integrität: revisionssichere Festschreibung ausgestellter Rechnungen mit Änderungsprotokoll (GoBD).
  • Verfügbarkeit: regelmäßige Backups durch die Infrastruktur-Dienstleister.
  • Least-Privilege-Rechtevergabe und laufende Überprüfung der Zugriffsregeln.

Anlage 2 — Unterauftragsverarbeiter

  • Supabase, Inc. — Datenbank, Authentifizierung, Server-Funktionen — Ort: EU (West-EU, Irland).
  • Cloudflare, Inc. — Datei-/Objektspeicher (Belege, Dokumente, Logos) — Ort: EU.
  • Google (Vertex AI / Gemini) — KI-gestützte Erkennung von Belegen, Kontakten und Terminen (optional) — Ort: EU (europe-west4, Niederlande).
  • Stripe Payments Europe, Ltd. — Abwicklung kostenpflichtiger Abonnements (E-Mail, Kundenkennung, Zahlungsstatus) — Ort: EU (Irland).
  • Google (Firebase Hosting) — Auslieferung der Anwendung — Ort: EU/global, Garantie bei Drittland: SCC / EU-US Data Privacy Framework.
  • Google Ireland Ltd. / Google LLC (Google Calendar / Google-Anmeldung) — Kalender-Synchronisation und Single-Sign-on (optional); verarbeitet werden Termindaten inkl. Teilnehmer-E-Mail-Adressen sowie Anmelde-/Profildaten — Ort: EU/USA, Garantie bei Drittland: SCC / EU-US Data Privacy Framework.
  • Finnhub Inc. / Yahoo Finance — Wertpapier-Kursdaten im Portfolio-Tool (optional); übermittelt werden ausschließlich Wertpapierkennungen (ISIN/Ticker), keine personenbezogenen Daten — Ort: USA.