Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt die Allgemeinen Geschäftsbedingungen (AGB) zwischen dem Kunden (nachfolgend „Verantwortlicher") und David Oczachowski, Speicherstr. 20, 60327 Frankfurt am Main, E-Mail: info@flotax.io (nachfolgend „Auftragsverarbeiter" oder „FloTax") und konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

Der AVV tritt automatisch mit Abschluss des Nutzungsvertrags (Registrierung und Nutzung des Dienstes FloTax) in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Middleware FloTax.

(2) Gegenstand der Verarbeitung ist die automatisierte Erfassung, Klassifizierung und der Export von E-Commerce-Transaktionsdaten (Bestellungen, Gebühren, Erstattungen, Auszahlungen) für die Finanzbuchhaltung des Verantwortlichen.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung des Vertrags werden die Daten gemäß §7 dieses AVV gelöscht.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere folgende Tätigkeiten:

• Import von Bestelldaten aus Drittanbieter-APIs (insbesondere eBay, Amazon, Shopify, WooCommerce, Etsy, PayPal, Stripe, Billbee, JTL-Wawi, Mirakl-basierte Marktplätze, Refurbed)
• Klassifizierung und Validierung von Transaktionsdaten
• Erstellung von Buchungsexporten (DATEV EXTF, Lexware Office)
• Belegerkennung (OCR) und Auto-Buchung von Eingangsrechnungen via Google Cloud Vision
• Erstellung und Versand von Rechnungen (PDF, ZUGFeRD, E-Mail)
• Erstellung von Serienrechnungen und Gutschriften
• Speicherung von Einkaufsbelegen (§25a Differenzbesteuerung)
• Erstellung von Versandlabels über Carrier-APIs (insbesondere DPD, GLS, DHL, UPS, Internetmarke der Deutschen Post AG)
• Bestandsführung und Lagerbewegungen (optionales Lager-Modul)
• Bank-Import (CAMT.053, MT940) und automatisches Matching von Zahlungseingängen
• UStVA-Aggregation und ELSTER-Übermittlung (optionales Buchhaltungs-Modul)
• OSS-Meldung an das Bundeszentralamt für Steuern (BZSt)
• Automatische Synchronisierung, E-Mail-Automatisierung und Datenexport

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Kundendaten des Verantwortlichen: Name, E-Mail-Adresse, Firmenname, Anschrift
• Käuferdaten aus Marktplatz-Bestellungen: Name, Lieferadresse, E-Mail (soweit über APIs bereitgestellt)
• Transaktionsdaten: Bestellnummern, Beträge, Gebühren, Rechnungsnummern
• Steuerlich relevante Daten: USt-IdNr., Steuersätze, Einkaufspreise
• Authentifizierungsdaten: Passwort-Hashes, OAuth-Tokens (verschlüsselt)
• Technische Verbindungsdaten: IP-Adressen, Datum und Uhrzeit des Zugriffs, Browser- und Gerätedaten (erhoben über Server-Logs)

§ 4 Kategorien betroffener Personen

• Der Verantwortliche selbst (Händler/Mandant)
• Käufer/Endkunden des Verantwortlichen (deren Daten über Marktplatz-APIs importiert werden)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• (a) Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf die Übermittlung in ein Drittland (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich. Die in § 1 und § 2 dieses AVV beschriebenen Verarbeitungstätigkeiten sowie die Standardweisungen, die sich aus dem Funktionsumfang des Dienstes gemäß § 3 der AGB ergeben, gelten als dokumentierte Weisungen des Verantwortlichen. Der Verantwortliche ist berechtigt, ergänzende oder abweichende Weisungen jederzeit in Textform (E-Mail an info@flotax.io) zu erteilen. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn er eine Weisung für rechtswidrig hält (Art. 28 Abs. 3 S. 3 DSGVO).
• (b) Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
• (c) Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe §8).
• (d) Keine weiteren Auftragsverarbeiter ohne vorherige Genehmigung einzusetzen (siehe §6).
• (e) Den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen.
• (f) Den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen.
• (g) Nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen (siehe §7).
• (h) Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen (Audits) zu ermöglichen. Audits sind mit einer Vorankündigung von mindestens vier (4) Wochen in Textform anzukündigen und auf einen zumutbaren Zeitrahmen zu begrenzen. Die Kosten des Audits trägt der Verantwortliche, sofern das Audit keinen Verstoß des Auftragsverarbeiters ergibt.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen per E-Mail. Der Verantwortliche kann der Hinzuziehung eines neuen Unterauftragsverarbeiters innerhalb von 14 Tagen nach Mitteilung schriftlich widersprechen. Im Falle eines berechtigten Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

(2) Aktuelle Unterauftragsverarbeiter:

(3) Mit allen Unterauftragsverarbeitern bestehen Verträge, die mindestens den Datenschutzanforderungen dieses AVV entsprechen.

(4) Eigenständig Verantwortliche / Empfänger personenbezogener Daten: Folgende Dritte sind keine Auftragsverarbeiter, sondern eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Übermittlung personenbezogener Daten an diese Stellen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie ggf. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung). Die jeweiligen Datenschutzbestimmungen der Empfänger gelten ergänzend.

§ 7 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrags hat der Verantwortliche 30 Tage Zeit, seine Daten über die Exportfunktion des Dienstes herunterzuladen.

(2) Nach Ablauf der 30-Tage-Frist werden sämtliche personenbezogenen Daten des Verantwortlichen unwiderruflich gelöscht. Die Löschung erfolgt vollständig und automatisiert, einschließlich aller zugehörigen Dateien (insbesondere Beleg-Fotos). Datensicherungen (Backups), die personenbezogene Daten des Verantwortlichen enthalten, werden im Rahmen der ordnungsgemäßen Backup-Rotation innerhalb von vierzehn (14) Tagen nach der regulären Löschung überschrieben. In dieser Übergangsphase findet keine aktive Verarbeitung der gesicherten Daten statt; sie werden ausschließlich zur Wiederherstellung im Fehlerfall passiv vorgehalten.

(3) Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.

§ 8 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

Vertraulichkeit

• Verschlüsselte Datenübertragung (TLS 1.2+ / HTTPS), HSTS aktiv
• Passwörter: bcrypt-gehasht (nicht im Klartext gespeichert)
• Sensible Felder verschlüsselt at-Rest mit Fernet (AES-128-CBC + HMAC-SHA256, entsprechend BSI TR-02102-1): OAuth-Tokens, API-Schlüssel, 2FA-TOTP-Geheimnisse, SMTP-Passwörter, Carrier-Credentials
• Authentifizierung über httpOnly-Cookies (Secure, SameSite=Lax) mit 2-Stunden Access-Token und 14-Tage Refresh-Token; CSRF-Schutz über Origin-/Referer-Header-Prüfung
• Optionale 2-Faktor-Authentisierung (TOTP) für Benutzerkonten
• OAuth-State persistiert mit One-Shot-Consume gegen Replay-Angriffe

Integrität

• Mandantentrennung auf Datenbankebene (Row-Level über tenant_id, in jeder Query erzwungen)
• Eingabevalidierung auf API-Ebene; Magic-Number-Validierung für Datei-Uploads (libmagic)
• GoBD-konforme Festschreibung von Buchungen und Rechnungen (unveränderbar nach Lock)
• Idempotency-Keys für Mutations-Endpoints (24h-TTL) zur Verhinderung von Doppelbuchungen bei Retries
• Audit-Logs für sicherheitsrelevante Vorgänge (Login-Versuche, Admin-Zugriffe)

Verfügbarkeit

• Hosting bei Hetzner Online GmbH (ISO 27001 zertifiziert)
• Serverstandort: Deutschland (Falkenstein, Nürnberg)
• Docker-Container mit automatischem Restart und Health-Checks
• PostgreSQL 16 mit persistentem Volume und täglichen Backups
• Container-Hardening: non-root-User, Linux-Capabilities gedroppt, AppArmor und Seccomp-Default aktiv

Belastbarkeit

• Automatische Datenbank-Backups; Rotation nach vierzehn (14) Tagen
• Rate-Limiting (slowapi) und Exponential Backoff für API-Zugriffe
• Überwachung über Server-Logs und Anwendungs-Logs
• Reverse-Proxy mit DDoS-Mitigation und Security-Headern (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy)

Zutrittskontrolle

• Serverinfrastruktur bei Hetzner (physische Zutrittskontrolle durch Hetzner gemäß ISO 27001)
• SSH-Zugang ausschließlich über Schlüsselauthentifizierung (Public-Key); kein Passwort-Login

Zugangskontrolle

• Individuelle Benutzerkonten mit bcrypt-Passwort-Authentifizierung und optionalem 2FA
• Rollen-basierte Zugriffsberechtigung: Owner, Admin, Buchhalter (Accountant), Lager (Warehouse), Picker
• Login-Audit-Log: jede Anmeldung, jeder Fehlversuch, jeder Passwort-Reset und 2FA-Vorgang wird mit Zeitstempel, IP-Adresse, versuchter E-Mail und Ereignis-Typ protokolliert (Speicherdauer: 12 Monate)
• Timing-Maskierung gegen Account-Enumeration: Anmeldeversuche bei unbekannten oder inaktiven Konten erzeugen vergleichbare Antwortzeiten wie bei falschem Passwort
• Admin-Impersonation-Log: Wenn ein Mitarbeiter des Auftragsverarbeiters auf einen Tenant-Account zugreifen muss, wird die Session mit Admin-Identität, Grund, Quell-IP, Start- und Endzeitpunkt protokolliert. Der Verantwortliche kann diese Sessions im Dashboard einsehen. Aufbewahrung gestaffelt: 12 Monate aktiv abrufbar im Dashboard, weitere 5 Jahre archiviert zur Erfüllung von Nachweispflichten gemäß GoBD (BMF-Schreiben vom 11.07.2019, Rn. 100 ff. — Verfahrensdokumentation und Zugriffsschutz auf steuerlich relevante Systeme); Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung gegen Manipulationen). Anschließend automatische Löschung

Auftragskontrolle und Trennungsgebot

• Eingabe-, Weitergabe- und Auftragskontrolle: jede Plattform-Integration läuft pro Tenant in isolierten Credentials-Sets
• Eine Vermischung von Daten unterschiedlicher Verantwortlicher ist durch die tenant_id-Filterung in jeder Query technisch ausgeschlossen

§ 9 Informationspflichten und Meldepflichten

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden — soweit möglich innerhalb von 24 Stunden — nach Kenntniserlangung, wenn er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung erfolgt per E-Mail an die vom Verantwortlichen hinterlegte E-Mail-Adresse und enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen.

§ 10 Schlussbestimmungen

(1) Dieser AVV unterliegt deutschem Recht.

(2) Änderungen dieses AVV bedürfen der Textform (E-Mail genügt).

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Gerichtsstand ist Frankfurt am Main.