Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
[…] markierte Stellen sind noch zu ergänzen.Stand: 2026-06-13
zwischen dem Kunden als Verantwortlichem („Verantwortlicher") und [Firma], [Straße], [PLZ Ort], vertreten durch [Geschäftsführer/in] („Ordnio"). Dieser AVV ist Bestandteil des Nutzungsvertrags (AGB § 9) und wird mit der Registrierung wirksam (Art. 28 Abs. 9 DSGVO: elektronisches Format genügt).
§ 1 Gegenstand und Dauer
(1) Ordnio stellt eine webbasierte Software zur Rechnungsstellung, E-Rechnungs-Erzeugung, Fristen-/Pflichtenverwaltung, Belegablage und Kommunikation bereit und verarbeitet dabei personenbezogene Daten im Auftrag des Verantwortlichen.
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags; § 10 gilt darüber hinaus.
§ 2 Art, Zweck, Datenarten, Betroffene
Ergeben sich aus Anlage 1.
§ 3 Weisungsrecht
(1) Ordnio verarbeitet die Auftragsdaten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen. Weisungen werden in der Regel durch Nutzung der Softwarefunktionen erteilt; darüber hinausgehende Weisungen bedürfen der Textform an [Support-/Datenschutzadresse].
(2) Ordnio informiert unverzüglich, wenn eine Weisung gegen Datenschutzrecht zu verstoßen scheint, und darf die Ausführung bis zur Bestätigung aussetzen.
(3) Eine Verarbeitung zu eigenen Zwecken findet nicht statt.
§ 4 Vertraulichkeit
Ordnio setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden, und unterrichtet sie über die einschlägigen Datenschutzpflichten.
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Ordnio trifft die in Anlage 3 beschriebenen Maßnahmen. Sie dürfen weiterentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.
§ 6 Unterauftragsverhältnisse
(1) Der Verantwortliche genehmigt die in Anlage 2 aufgeführten Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO).
(2) Ordnio informiert über beabsichtigte Änderungen mindestens vier Wochen vorab in Textform. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen; führt der Widerspruch zu keiner Lösung, können beide Parteien den Hauptvertrag zum geplanten Einsatz kündigen.
(3) Ordnio verpflichtet Unterauftragsverarbeiter auf mindestens das Schutzniveau dieses Vertrags.
§ 7 Unterstützung des Verantwortlichen
Ordnio unterstützt bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO) durch die eingebauten Export-, Berichtigungs- und Löschfunktionen sowie bei den Pflichten aus Art. 32–36 DSGVO, soweit möglich. Eingehende Betroffenenanfragen leiten wir unverzüglich an den Verantwortlichen weiter, ohne selbst inhaltlich zu antworten.
§ 8 Meldung von Verletzungen
Ordnio meldet Verletzungen des Schutzes personenbezogener Auftragsdaten unverzüglich nach Bekanntwerden an die Konto-E-Mail-Adresse, mit den Informationen nach Art. 33 Abs. 3 DSGVO, soweit verfügbar.
§ 9 Nachweise und Kontrollen
(1) Ordnio weist die Einhaltung durch geeignete Unterlagen nach (TOM, Verfahrens- dokumentation, auf Anfrage Prüfberichts-Auszüge).
(2) Der Verantwortliche kann nach Ankündigung, höchstens einmal jährlich, zu üblichen Geschäftszeiten und ohne Zugriff auf Daten anderer Mandanten Kontrollen durchführen oder durch einen zur Verschwiegenheit verpflichteten Dritten durchführen lassen.
§ 10 Löschung und Rückgabe
(1) Nach Vertragsende stellt Ordnio die Auftragsdaten 30 Tage zum Selbst-Export bereit.
(2) Anschließend löscht Ordnio die Auftragsdaten; aus verschlüsselten Sicherungskopien rollieren sie innerhalb weiterer 30 Tage automatisch aus. Eine Wiederherstellung gelöschter Auftragsdaten aus Backups erfolgt nicht.
(3) Gesetzliche Aufbewahrungspflichten von Ordnio bleiben unberührt; solche Daten werden gesperrt und nur dafür vorgehalten.
§ 11 Haftung, Schlussbestimmungen
(1) Die Haftung richtet sich nach Art. 82 DSGVO und dem Hauptvertrag.
(2) Bei Widersprüchen geht in Bezug auf die Verarbeitung personenbezogener Daten dieser AVV vor.
(3) Es gilt deutsches Recht.
Anlage 1 — Gegenstand der Verarbeitung
Zwecke: Erstellung/Verwaltung/Versand von Angeboten, Rechnungen (inkl. E-Rechnung), Stornos und Mahnungen; Verwaltung von Kunden-, Kontakt- und Artikeldaten; Fristen- und Pflichtenverwaltung; Entgegennahme von Dateien über Upload-Links; Belegarchivierung; Exporte.
Datenarten: Stammdaten der Geschäftspartner (Name, Firma, Anschrift, E-Mail, Telefon, USt-IdNr./Leitweg-ID), Vertrags- und Abrechnungsdaten, Kommunikationsdaten (Versandprotokolle), Inhalte hochgeladener Dateien, technische Protokolldaten.
Betroffene: Kunden, Interessenten, Lieferanten und sonstige Geschäftspartner des Verantwortlichen; deren Ansprechpartner; Nutzer von Upload-Links.
Ordnio ist nicht für besondere Kategorien (Art. 9 DSGVO) ausgelegt; der Verantwortliche stellt sicher, dass über Upload-Links keine solchen Daten ohne Rechtsgrundlage verarbeitet werden.
Anlage 2 — Genehmigte Unterauftragsverarbeiter
| Unternehmen | Sitz | Leistung |
|---|---|---|
| [Anbieter] | [Sitz] | Hosting (Server, Rechenzentrum in Deutschland) |
| [Anbieter] | [Sitz] | Versand von System- und Geschäfts-E-Mails (Plattform-SMTP) |
| [Anbieter] | [Sitz] | Verschlüsselte Sicherungskopien (falls abweichend vom Hoster) |
Hinterlegt der Verantwortliche einen eigenen SMTP-Zugang, handelt dessen Anbieter nicht als Unterauftragsverarbeiter von Ordnio.
Anlage 3 — Technische und organisatorische Maßnahmen (Ist-Stand)
- Zutritt/Zugang: Rechenzentrum mit Zutrittskontrolle; Serverzugang nur per SSH-Schlüssel; Administrationszugänge passwort- und MFA-geschützt.
- Zugriff/Mandantentrennung: strikte Trennung je Firma auf Anwendungsebene und in der Datenbank (PostgreSQL Row-Level-Security mit FORCE; App-Rolle ohne Umgehungsrechte); Rollen-/Rechtemodell je Firma; Personalzugriff nur im Supportfall und protokolliert.
- Verschlüsselung: TLS (HSTS); Passwörter als Argon2id-Hash; Bankverbindungen, SMTP-Zugangsdaten und MFA-Geheimnisse AES-256-GCM-verschlüsselt; Dateien vor dem Speichern verschlüsselt, Integritätsprüfung (SHA-256) bei jedem Abruf; Backups AES-256-verschlüsselt.
- Integrität/Nachvollziehbarkeit: unveränderliche Belege nach Festschreibung (DB-Trigger), lückenlose Nummernvergabe, manipulationserkennbares Audit-Log (Hash-Kette, append-only), E-Mail-Versandprotokolle.
- Verfügbarkeit: tägliche verschlüsselte Gesamtsicherung mit 30-Tage-Aufbewahrung, dokumentierte Wiederherstellungsprozedur, Gesundheitsüberwachung der Dienste.
- Eingabekontrolle: sicherheitsrelevante Aktionen werden mit Zeitpunkt, Konto und IP-Adresse protokolliert.
- Schadsoftware/Missbrauch: Prüfung hochgeladener Dateien (Signatur-/Typprüfung, Virenscan), Ratenbegrenzung, Sperrung nach Fehlanmeldungen.
- Organisation: Need-to-know-Prinzip, Vertraulichkeitsverpflichtung, Verfahrensdokumentation, Lösch- und Aufbewahrungskonzept.