Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen


dem Nutzer der firmio-Plattform (Unternehmen/Firma, wie bei der Registrierung angegeben)
 (nachfolgend "Verantwortlicher" oder "Auftraggeber")


und


finext GmbH
Grüner Weg 8a
33098 Paderborn
 (nachfolgend "Auftragnehmer" oder "Auftragsverarbeiter")


Präambel

Der Auftraggeber nutzt die Business-Plattform firmio des Auftragnehmers. Im Rahmen dieser Nutzung können personenbezogene Daten verarbeitet werden. Der Auftragnehmer verarbeitet diese Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.

Dieser Auftragsverarbeitungsvertrag wird automatisch mit jedem Nutzer geschlossen, der sich auf der firmio-Plattform registriert und gilt ab dem Zeitpunkt der Registrierung. Die Identität des Auftraggebers ergibt sich aus den bei der Registrierung angegebenen Unternehmensdaten.

Dieser Vertrag regelt die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO).


§ 1 Gegenstand und Dauer der Auftragsverarbeitung

1.1 Gegenstand

Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung und Nutzung der firmio-Plattform. Dies umfasst insbesondere:

  • Bereitstellung von KI-Assistenten zur Verarbeitung von Anfragen und Generierung von Inhalten

  • Speicherung und Verarbeitung von Dateien über die Dateitransfer-Funktion

  • Verarbeitung von Daten im Zusammenhang mit Templates und Vorlagen

  • Technische Bereitstellung und Betrieb der Plattform

  • Support-Leistungen


1.2 Dauer

Dieser Vertrag tritt mit Beginn der Nutzung der firmio-Plattform durch den Auftraggeber in Kraft und gilt für die Dauer des Nutzungsverhältnisses. Der Vertrag endet automatisch mit Beendigung des Nutzungsvertrags.


§ 2 Art und Zweck der Datenverarbeitung

2.1 Art der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen:

  • Speicherung auf Servern innerhalb der EU/des EWR

  • Verarbeitung durch KI-Assistenten (ausschließlich auf eigenen Servern, keine Weitergabe an Dritte)

  • Übermittlung von Dateien an vom Auftraggeber benannte Empfänger

  • Technische Administration und Wartung

  • Sicherung und Wiederherstellung (Backup)


2.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung und Nutzung der firmio-Plattform gemäß dem Nutzungsvertrag. Der Auftragnehmer verarbeitet die Daten nur nach dokumentierten Weisungen des Auftraggebers.


§ 3 Art der Daten und Kategorien betroffener Personen

3.1 Art der personenbezogenen Daten

Die vom Auftragnehmer verarbeiteten personenbezogenen Daten können umfassen:

  • Stammdaten (Namen, Adressen, Kontaktdaten)

  • Vertragsdaten (Vertragsbeziehungen, Angebote, Rechnungen)

  • Kommunikationsdaten (E-Mail-Inhalte, Nachrichten)

  • Geschäftsdaten (Geschäftsvorgänge, Projekte)

  • Weitere Daten, die der Auftraggeber im Rahmen der Nutzung der Plattform eingibt oder hochlädt


Hinweis: Die konkrete Art der Daten liegt in der Verantwortung und Kontrolle des Auftraggebers. Der Auftragnehmer hat keine Kenntnis über die spezifischen Inhalte.


3.2 Kategorien betroffener Personen

Je nach Nutzung durch den Auftraggeber können folgende Kategorien betroffener Personen betroffen sein:

  • Kunden des Auftraggebers

  • Mitarbeiter des Auftraggebers

  • Geschäftspartner und Lieferanten des Auftraggebers

  • Interessenten und Kontakte des Auftraggebers

  • Sonstige Personen, deren Daten der Auftraggeber verarbeitet


3.3 Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, biometrische Daten) ist nicht vorgesehen und nicht gestattet. Der Auftraggeber verpflichtet sich, keine solchen Daten über die Plattform zu verarbeiten.


§ 4 Pflichten des Auftragnehmers

4.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Die Weisung erfolgt durch:

  • Die Allgemeinen Geschäftsbedingungen (AGB) von firmio

  • Die Nutzung der Plattform durch den Auftraggeber

  • Schriftliche oder elektronische Einzelweisungen


Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt.


4.2 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.


4.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen TOMs sind in Anlage 1 zu diesem Vertrag aufgeführt und werden regelmäßig überprüft und bei Bedarf angepasst.


4.4 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber nach besten Kräften bei:

  • Der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, etc.)

  • Der Erfüllung der Pflichten gemäß Art. 32-36 DSGVO (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)

  • Der Durchführung von Datenschutz-Folgenabschätzungen, soweit erforderlich


Die Unterstützung erfolgt im Rahmen des vereinbarten Leistungsumfangs. Zusätzlicher Aufwand wird nach Aufwand berechnet.


4.5 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Auf Wunsch des Auftraggebers können die Daten vor der Löschung in einem gängigen Format herausgegeben werden.


Ausnahme: Daten, die zur Erfüllung gesetzlicher Aufbewahrungspflichten (z.B. Rechnungsdaten für 10 Jahre gemäß § 147 AO) erforderlich sind, werden erst nach Ablauf dieser Fristen gelöscht.


§ 5 Subunternehmer (Unterauftragsverarbeiter)

5.1 Genehmigung von Subunternehmern

Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zur Beauftragung von Subunternehmern. 


5.2 Aktuelle Subunternehmer

Der Auftragnehmer setzt derzeit folgende Subunternehmer ein: siehe Anlage 2.

Alle Subunternehmer sind vertraglich zu denselben Datenschutzpflichten verpflichtet wie der Auftragnehmer.


5.3 Haftung für Subunternehmer

Der Auftragnehmer bleibt dem Auftraggeber gegenüber für die Erfüllung der Pflichten des Subunternehmers verantwortlich.


§ 6 Rechte und Pflichten des Auftraggebers

6.1 Weisungsbefugnis

Der Auftraggeber ist befugt, Weisungen zur Art und Weise der Datenverarbeitung zu erteilen. Weisungen bedürfen der Textform (E-Mail ausreichend).


6.2 Kontrolle und Audit

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch den Auftragnehmer zu überprüfen. Dies kann erfolgen durch:

  • Einholung von Auskünften und Nachweisen (z.B. Zertifikate, Auditberichte)

  • Inspektionen vor Ort nach vorheriger Ankündigung und Terminvereinbarung (während der Geschäftszeiten)

Inspektionen dürfen den Geschäftsbetrieb des Auftragnehmers nicht unangemessen beeinträchtigen. Die Kosten für vom Auftraggeber beauftragte externe Auditoren trägt der Auftraggeber.


6.3 Verantwortung für Rechtmäßigkeit

Der Auftraggeber ist allein verantwortlich für:

  • Die Rechtmäßigkeit der Datenverarbeitung

  • Die Einhaltung der Informationspflichten gegenüber betroffenen Personen

  • Die Einholung erforderlicher Einwilligungen

  • Die Prüfung, ob eine Datenschutz-Folgenabschätzung erforderlich ist

  • Die Art und den Inhalt der über die Plattform verarbeiteten Daten


§ 7 Meldepflichten bei Datenpannen

7.1 Meldung an den Auftraggeber

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.

Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung

  • Kategorien und ungefähre Anzahl betroffener Personen und Datensätze

  • Wahrscheinliche Folgen der Verletzung

  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensbegrenzung


7.2 Unterstützung bei Meldepflichten

Der Auftragnehmer unterstützt den Auftraggeber bei dessen Verpflichtungen zur Meldung von Datenpannen an die Aufsichtsbehörde und ggf. an betroffene Personen.


§ 8 Ort der Datenverarbeitung

Alle Datenverarbeitungen erfolgen ausschließlich auf Servern innerhalb der EU bzw. des EWR, primär in Deutschland. Eine Übermittlung in Drittstaaten außerhalb der EU/des EWR findet nicht statt. Ausgenommen sind Zahlungsabwicklungen über den Zahlungsdienstleister Stripe. Diese können auch außerhalb der EU verarbeitet werden.


§ 9 Haftung und Schadensersatz

9.1 Haftung nach DSGVO

Die Haftung richtet sich nach den Bestimmungen der Art. 82 ff. DSGVO. Sowohl Auftraggeber als auch Auftragnehmer haften für Schäden, die sie durch eine nicht rechtmäßige Verarbeitung oder eine gegen die DSGVO verstoßende Handlung verursachen.


9.2 Haftungsbeschränkungen

Für die Haftung des Auftragnehmers gelten im Übrigen die Haftungsregelungen der Allgemeinen Geschäftsbedingungen (AGB) von firmio.


§ 10 Änderungen des Vertrags

Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Der Auftragnehmer ist berechtigt, die technischen und organisatorischen Maßnahmen (Anlage 1) und die Liste der Subunternehmer (Anlage 2) anzupassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Über wesentliche Änderungen wird der Auftraggeber informiert.


§ 11 Schlussbestimmungen

11.1 Anwendbares Recht

Für diesen Vertrag gilt ausschließlich das Recht der Bundesrepublik Deutschland.


11.2 Rangfolge

Dieser AVV hat Vorrang vor abweichenden Regelungen in den AGB, soweit datenschutzrechtliche Fragen betroffen sind.


11.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.


11.4 Vertragsabschluss und Vertragsparteien

Dieser Vertrag wird automatisch zwischen dem Auftragnehmer (finext GmbH) und dem jeweiligen Nutzer (Auftraggeber) geschlossen, sobald dieser sich auf der firmio-Plattform registriert und die Nutzungsbedingungen akzeptiert.

Die Identität und Kontaktdaten des Auftraggebers ergeben sich aus den bei der Registrierung angegebenen Unternehmensdaten. Der Auftraggeber bestätigt durch Annahme der AGB und Nutzung der Plattform die Kenntnisnahme und Anerkennung dieses AVV sowie dessen Anlagen.


Dieser standardisierte AVV gilt gleichermaßen für alle Nutzer der firmio-Plattform.


finext GmbH



————————————


Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:


1. Zutrittskontrolle (Physischer Zugang)


Ziel: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren


Maßnahmen:

  • Serverstandorte in gesicherten, zertifizierten Rechenzentren innerhalb der EU/des EWR

  • Zutrittskontrollen durch Sicherheitspersonal und Zugangsberechtigungssysteme

  • Videoüberwachung sensibler Bereiche

  • Besucherregistrierung und -begleitung

  • Separate Sicherheitszonen für Server-Räume


2. Zugangskontrolle (Systemzugang)


Ziel: Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden


Maßnahmen:

  • Benutzerauthentifizierung durch Benutzername und Passwort

  • Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßige Änderung)

  • Automatische Sitzungstrennung bei Inaktivität (Session-Timeout)

  • Protokollierung von Login-Versuchen

  • Multi-Faktor-Authentifizierung für administrative Zugänge

  • Verschlüsselte Verbindungen (TLS/SSL)


3. Zugriffskontrolle (Datenzugriff)


Ziel: Sicherstellen, dass Berechtigte nur auf die ihnen zugewiesenen Daten zugreifen können


Maßnahmen:

  • Rollenbasiertes Berechtigungskonzept

  • Datenkapselung auf Account-Ebene (Nutzer sehen nur eigene Daten)

  • Restriktive Rechtevergabe (Need-to-know-Prinzip)

  • Regelmäßige Überprüfung und Anpassung von Berechtigungen

  • Protokollierung von Datenzugriffen durch Administratoren


4. Weitergabekontrolle (Datenübertragung)


Ziel: Sicherstellen, dass personenbezogene Daten bei Übertragung nicht unbefugt gelesen, kopiert oder entfernt werden


Maßnahmen:

  • Verschlüsselte Datenübertragung (TLS 1.2 oder höher) für alle Verbindungen

  • Ende-zu-Ende-Verschlüsselung für sensible Dateitransfers

  • Protokollierung von Datenübertragungen

  • Keine Weitergabe an externe KI-Dienste oder Drittanbieter außerhalb der EU/des EWR

  • Sichere Schnittstellen (APIs) mit Authentifizierung


5. Eingabekontrolle (Datenverarbeitung)


Ziel: Nachvollziehbarkeit, welche Daten wann von wem eingegeben, verändert oder entfernt wurden


Maßnahmen:

  • Protokollierung von Datenänderungen (Logging)

  • Versionierung von Dokumenten und Templates

  • Zeitstempel für alle Transaktionen

  • Revisionssichere Speicherung von Änderungshistorien (soweit technisch umsetzbar)

  • Nachvollziehbarkeit von Löschvorgängen


6. Auftragskontrolle


Ziel: Sicherstellen, dass Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden


Maßnahmen:

  • Schriftliche Auftragsverarbeitungsverträge mit allen Subunternehmern

  • Regelmäßige Überprüfung der Subunternehmer

  • Dokumentation der Weisungen in AGB und Nutzungsverträgen

  • Technische Beschränkung auf vertraglich vereinbarte Verarbeitungszwecke


7. Verfügbarkeitskontrolle


Ziel: Schutz vor zufälliger oder mutwilliger Zerstörung bzw. Verlust


Maßnahmen:

  • Regelmäßige automatisierte Backups (täglich)

  • Geografisch getrennte Backup-Speicherung innerhalb der EU

  • Unterbrechungsfreie Stromversorgung (USV) in Rechenzentren

  • Redundante Systeme und Failover-Mechanismen

  • Notfallwiederherstellungsplan (Disaster Recovery Plan)

  • Brandschutz- und Klimatisierungsanlagen in Rechenzentren

  • Hochverfügbarkeits-Architektur (angestrebte Verfügbarkeit: 99% pro Jahr)


9. Datenintegrität


Ziel: Sicherstellen der Korrektheit und Aktualität der Daten


Maßnahmen:

  • Checksummen und Hash-Verfahren zur Integritätsprüfung

  • Validierung von Eingabedaten

  • Schutz vor SQL-Injection und anderen Angriffen

  • Regelmäßige Integritätsprüfungen der Datenbanken


10. Incident Response Management


Ziel: Schnelle Reaktion auf Sicherheitsvorfälle


Maßnahmen:

  • Dokumentiertes Incident-Response-Verfahren

  • 24/7-Monitoring kritischer Systeme

  • Intrusion Detection Systems (IDS)

  • Definierte Eskalationsprozesse

  • Regelmäßige Sicherheitsupdates und Patch-Management

  • Meldung von Datenpannen an Auftraggeber innerhalb von 24 Stunden


11. Datenschutz-Management


Ziel: Organisatorische Umsetzung der Datenschutzanforderungen


Maßnahmen:

  • [Falls vorhanden] Bestellung eines Datenschutzbeauftragten

  • Regelmäßige Schulungen der Mitarbeiter zu Datenschutz und IT-Sicherheit

  • Vertraulichkeitsverpflichtungen aller Mitarbeiter

  • Datenschutz-Richtlinien und -Prozesse

  • Regelmäßige Überprüfung und Aktualisierung der Maßnahmen

  • Privacy by Design und Privacy by Default bei Systementwicklung


12. Verschlüsselung


Maßnahmen:

  • Verschlüsselte Datenübertragung (HTTPS/TLS 1.2+)

  • Verschlüsselte Speicherung sensibler Daten (Passwörter mit modernen Hashing-Algorithmen)

  • Verschlüsselung von Backups

  • Nutzung aktueller kryptographischer Standards


13. Löschkonzept


Maßnahmen:

  • Automatische Löschung nach definierten Fristen (z.B. 30 Tage nach Vertragsende)

  • Nutzer können Daten jederzeit selbst löschen

  • Sichere Löschung (Überschreiben) bei physischer Entsorgung von Datenträgern

  • Berücksichtigung gesetzlicher Aufbewahrungsfristen


Die beschriebenen Maßnahmen werden regelmäßig überprüft und dem Stand der Technik entsprechend angepasst.


Anlage 2: Liste der Subunternehmer 


1. Hosting-Provider


Name: AWS
Anschrift: Weismüllerstraße 25, 60314 Frankfurt am Main (FRA52) und die Eschborner Landstraße 100, 60489 Frankfurt am Main (FRA54)
Leistung: Bereitstellung der Server-Infrastruktur und Rechenzentrumsleistungen
Verarbeitungsort: EU/EWR (Deutschland)
Datenkategorien: Alle über die Plattform verarbeiteten Daten
AVV vorhanden: Ja


2. Zahlungsdienstleister


Name: Stripe Technology Company Limited (STC)
Anschrift: One Wilton Park, Wilton Place, Dublin 2, D02 FX04, Irland
Leistung: Abwicklung von Zahlungen für kostenpflichtige Tarife
Verarbeitungsort: USA/EU/EWR
Datenkategorien: Zahlungsdaten (IBAN, Kreditkartendaten), Transaktionsdaten
AVV vorhanden: Ja



Stand: 22.01.2026
finext GmbH