← Zurück zu AKTARIO

Vertrag über die Auftragsverarbeitung

Stand: 03.06.2026 · gemäß Art. 28 Abs. 3 DSGVO

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien des zugrunde liegenden Nutzungsvertrags über die Software AKTARIO (vgl. AGB) und gilt mit Vertragsschluss als dessen Bestandteil.

Parteien

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde (Nutzer der Software, nachfolgend „Auftraggeber").

Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist:
David Loebert, Rechtswirt (FSH), Ludwig-Erhard-Allee 10, 76131 Karlsruhe
(nachfolgend „Auftragnehmer")

§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers ausschließlich zum Zweck der Bereitstellung und des Betriebs der Software AKTARIO (cloudbasierte Speicherung, Verwaltung und Verarbeitung der vom Auftraggeber eingegebenen Fall- und Klientendaten, Erstellung von Schriftstücken und Auswertungen, Versand von Benachrichtigungen).

(2) Art, Umfang, Zweck der Verarbeitung, die Art der Daten und die Kategorien betroffener Personen ergeben sich abschließend aus Anlage 1.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Eine Verarbeitung außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums findet nicht statt.

§ 2 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

(2) Die Nutzung der Software durch den Auftraggeber im Rahmen ihres bestimmungsgemäßen Funktionsumfangs gilt als Einzelweisung. Darüber hinausgehende Weisungen erfolgen in Textform.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer

• verarbeitet die Daten nur im Rahmen des Auftrags und dieser Vereinbarung;
• gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
• trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen gemäß Anlage 2;
• unterstützt den Auftraggeber nach Möglichkeit mit geeigneten Maßnahmen bei der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO);
• unterstützt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung);
• stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen (§ 6);
• löscht oder gibt die Daten nach Beendigung des Auftrags gemäß § 7 zurück.

§ 4 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden, in der Regel innerhalb von 48 Stunden. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar. Der Auftragnehmer unterstützt den Auftraggeber bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).

§ 5 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen getroffen und hält sie während der Vertragslaufzeit ein. Er ist berechtigt, die Maßnahmen an den Stand der Technik anzupassen, solange das Schutzniveau nicht unterschritten wird.

§ 6 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Auftragnehmer weist die Einhaltung in der Regel durch geeignete Nachweise (z. B. aktuelle Dokumentation der TOM, Bestätigungen, ggf. Testate) nach. Vor-Ort-Kontrollen erfolgen nach rechtzeitiger Ankündigung mit angemessener Frist, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs.

§ 7 Unterauftragsverhältnisse

(1) Der Auftraggeber genehmigt den Einsatz der in Anlage 3 aufgeführten Unterauftragsverarbeiter.

(2) Der Auftragnehmer informiert den Auftraggeber rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann einer Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von zwei Wochen widersprechen.

(3) Der Auftragnehmer verpflichtet jeden Unterauftragsverarbeiter zu denselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 8 Rückgabe und Löschung nach Auftragsende

Nach Abschluss der Verarbeitungstätigkeiten löscht der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Bis zur Löschung stellt der Auftragnehmer dem Auftraggeber die Daten für mindestens 30 Tage zum Export bereit (vgl. § 12 AGB).

§ 9 Haftung

Für die Haftung gilt Art. 82 DSGVO. Im Innenverhältnis gelten ergänzend die Haftungsregelungen des Nutzungsvertrags (§ 10 AGB), soweit diese mit Art. 82 DSGVO vereinbar sind.

§ 10 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und den AGB gehen hinsichtlich der Datenverarbeitung die Regelungen dieses AVV vor.

(2) Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit des Übrigen unberührt.

Anlage 1 — Gegenstand und Einzelheiten der Verarbeitung

Art der Verarbeitung	Erheben, Erfassen, Speichern, Organisieren, Verändern, Auslesen, Verwenden, Übermitteln (E-Mail-Versand auf Veranlassung des Auftraggebers) und Löschen personenbezogener Daten im Rahmen der Softwarenutzung.
Zweck	Bereitstellung und Betrieb der Software AKTARIO zur Unterstützung von Schuldenregulierung und Fallmanagement durch den Auftraggeber.
Art der Daten	Stammdaten (Name, Anschrift, Kontaktdaten, Geburtsdatum), Vertrags- und Falldaten, Finanz- und Vermögensdaten (Einkommen, Konten, Verbindlichkeiten), Gläubiger- und Forderungsdaten, Korrespondenz und Dokumente, ggf. Daten zu Familienstand und Unterhaltspflichten. Es können besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) auftreten, soweit der Auftraggeber solche eingibt.
Kategorien betroffener Personen	Klienten (Schuldner) des Auftraggebers, deren Angehörige und Unterhaltsberechtigte, Gläubiger und deren Vertreter, sonstige im Verfahren beteiligte Personen.
Dauer	Für die Laufzeit des Nutzungsvertrags zzgl. des Portierungs- und Löschzeitraums (§ 8).

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

• Zutrittskontrolle: Serverbetrieb in einem zertifizierten Rechenzentrum in Deutschland (Dresden) mit Zutrittssicherung durch den Hoster.
• Zugangskontrolle: Zugang zur Software nur über persönliche Zugangsdaten; Passwörter werden ausschließlich als sichere Hashwerte gespeichert; optionale Zwei-Faktor-Authentifizierung.
• Zugriffskontrolle: Rollen- und Mandantenkonzept; jeder Auftraggeber sieht ausschließlich seine eigenen Daten (Mandantentrennung); Berechtigungsvergabe nach dem Need-to-know-Prinzip.
• Trennungskontrolle: Logische Trennung der Daten je Mandant; Trennung von Test- und Produktivumgebung.

Integrität

• Weitergabekontrolle: Verschlüsselte Übertragung (TLS/HTTPS) zwischen Endgerät und Server.
• Eingabekontrolle: Protokollierung relevanter Vorgänge (Audit-Trail) zur Nachvollziehbarkeit von Eingabe, Änderung und Löschung.

Verfügbarkeit und Belastbarkeit

• Regelmäßige Datensicherungen durch den Hoster; Schutzmaßnahmen gegen unbefugten Zugriff (Firewall, aktuelle Systeme).
• Verfahren zur Wiederherstellung der Verfügbarkeit nach einem physischen oder technischen Zwischenfall.

Verfahren zur regelmäßigen Überprüfung

• Datenschutz-Management durch fortlaufende Überprüfung und Anpassung der Maßnahmen; Auftragsverarbeitung mit dem Hoster vertraglich geregelt (Art. 28 DSGVO).

Anlage 3 — Genehmigte Unterauftragsverarbeiter

Unterauftragsverarbeiter	Leistung	Ort der Verarbeitung
ALL-INKL.COM — Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf	Hosting / Serverinfrastruktur, Rechenzentrumsbetrieb, Datensicherung	Rechenzentrum Dresden, Deutschland (EU)
Stripe Payments Europe, Ltd., Dublin, Irland (ggf. Stripe, Inc., USA)	Zahlungsabwicklung des Vertragsverhältnisses zwischen Anbieter und Auftraggeber — keine Verarbeitung personenbezogener Daten der Betroffenen (Klienten/Schuldner)	Irland (EU); ggf. USA mit EU-US Data Privacy Framework / EU-Standardvertragsklauseln

Hinweis: Der Zahlungsdienstleister wird ausschließlich zur Abwicklung der Vergütung zwischen Anbieter und Auftraggeber eingesetzt. Er erhält keinen Zugriff auf die im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten der Betroffenen und ist insoweit kein Unterauftragsverarbeiter im Sinne dieses Vertrages; die Aufnahme in diese Anlage erfolgt zur Transparenz.