Datenschutzvertrag · Art. 28 Abs. 3 DSGVO

Auftragsverarbeitungsvertrag (AVV)

im Sinne von Art. 28 Abs. 3 DSGVO zwischen dem Kunden als Verantwortlichem und der Spark Innovation GmbH als Auftragsverarbeiter

Auftraggeber (Verantwortlicher)

[Firma des Kunden]
[Straße, Nr.]
[PLZ, Ort]
(nachfolgend „Auftraggeber")
und

Auftragnehmer (Auftragsverarbeiter)

Spark Innovation GmbH
Lenneper Str. 32
40591 Düsseldorf
E-Mail: info@wertstapel.de
(nachfolgend „Auftragnehmer")

§ 1  Gegenstand und Laufzeit

1.1Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers durch den Auftragnehmer gemäß Art. 28 DSGVO im Rahmen der Nutzung der Online-Plattform wertstapel.de. Die genaue Beschreibung von Art, Umfang und Zweck der Verarbeitung sowie die Kategorien betroffener Personen und Datenarten sind Anlage 1 zu entnehmen.
1.2Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Auftraggeber. Der Auftragnehmer verarbeitet die ihm überlassenen personenbezogenen Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers und der Bestimmungen dieses Vertrags.
1.3Dieser AVV ist untrennbarer Bestandteil des Hauptvertrags (AGB). Er tritt mit Vertragsschluss in Kraft und endet automatisch mit Beendigung des Hauptvertrags, ohne dass es einer gesonderten Kündigung bedarf.

§ 2  Verarbeitungsort

2.1Die Verarbeitung personenbezogener Daten durch den Auftragnehmer findet ausschließlich auf dem Gebiet der Europäischen Union oder eines Vertragsstaats des EWR-Abkommens statt. Der primäre Verarbeitungsort ist Deutschland (Hetzner Online GmbH, Rechenzentrum Nürnberg / Falkenstein).
2.2Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind und der Auftraggeber vorher schriftlich zugestimmt hat. Der Zahlungsdienstleister Stripe Payments Europe, Ltd. (Irland) unterliegt als EU-Unternehmen der DSGVO; er verarbeitet ausschließlich Zahlungsdaten und hat keinen Zugriff auf die Depot- oder Buchungsdaten. Für etwaige US-Datentransfers durch die Stripe-Konzernmutter (Stripe, Inc., USA) ist das EU-US Data Privacy Framework (DPF) maßgeblich; Stripe, Inc. ist unter dem DPF zertifiziert. Ergänzend gelten die Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.

§ 3  Weisungen des Auftraggebers

3.1Der Auftraggeber ist gegenüber dem Auftragnehmer weisungsbefugt bezüglich Art, Umfang und Modalitäten der Datenverarbeitung. Weisungen sind schriftlich oder per E-Mail zu erteilen.
3.2Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung nach seiner Einschätzung gegen gesetzliche Vorschriften verstößt.
3.3Eine Verarbeitung, die von den Weisungen des Auftraggebers abweicht, ist nur zulässig, wenn der Auftragnehmer nach dem Recht der EU oder eines Mitgliedstaats dazu verpflichtet ist.

§ 4  Allgemeine Pflichten des Auftragnehmers

4.1Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich für die in Anlage 1 genannten Zwecke und nicht für eigene Zwecke.
4.2Der Auftragnehmer gewährleistet, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Mitarbeiter erhalten nur Zugang zu personenbezogenen Daten, soweit dies für ihre jeweilige Aufgabe unbedingt erforderlich ist (Least-Privilege-Prinzip).
4.3Steuergeheimnis und berufliche Schweigepflicht:
Soweit der Auftraggeber als Steuerberater, Wirtschaftsprüfer oder in einem anderen Berufsfeld mit gesetzlicher Schweigepflicht tätig ist, sind die im Rahmen der Plattformnutzung verarbeiteten Mandantendaten dem Steuergeheimnis gemäß § 30 AO und der Verschwiegenheitspflicht gemäß § 57 Abs. 1 StBerG unterworfen. Der Auftragnehmer verpflichtet sich, diese besonderen Anforderungen zu beachten.
4.4Der Auftragnehmer setzt die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (TOM) um und überprüft diese regelmäßig (mindestens jährlich) sowie anlassbezogen.

§ 5  Technische Sicherheitsmaßnahmen Authentifizierung

5.1Passwortlose Authentifizierung (Magic Link):
Nutzer authentifizieren sich ausschließlich über kryptografisch sichere Einmal-Token (Magic Links, 32 Bytes Entropie, 15 Minuten Gültigkeit, einmalig verwendbar). Es werden keine Benutzerpasswörter gespeichert oder verarbeitet. Session-Tokens werden mit 32 Bytes Entropie erzeugt, serverseitig in der Datenbank vorgehalten und clientseitig als HttpOnly- und Secure-Cookie übertragen.

§ 6  Kontrollrechte des Auftraggebers

6.1Der Auftraggeber ist berechtigt, die Einhaltung der Bestimmungen dieses Vertrags jederzeit in angemessenem Umfang zu kontrollieren, insbesondere durch Einholen von Auskünften, Einsicht in Dokumentation oder – nach Terminvereinbarung – durch Vor-Ort-Prüfungen.
6.2Der Auftragnehmer kann Kontrollrechte auch durch Vorlage eines aktuellen Datenschutz-Audits oder einer ISO-27001-Zertifizierung erfüllen.

§ 7  Einsatz von Unterauftragsverarbeitern

7.1Der Auftragnehmer ist zum Einsatz von Unterauftragsverarbeitern berechtigt. Die zum Zeitpunkt des Vertragsschlusses bestehenden Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
7.2Beabsichtigt der Auftragnehmer, neue Unterauftragsverarbeiter einzusetzen, informiert er den Auftraggeber mindestens vier Wochen vorher per E-Mail. Der Auftraggeber kann innerhalb von zwei Wochen Widerspruch einlegen, wenn er begründete datenschutzrechtliche Einwände hat.
7.3Unterauftragsverarbeiter in Drittstaaten dürfen nur eingesetzt werden, wenn die Anforderungen der Art. 44 ff. DSGVO erfüllt sind. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter durch vertragliche Regelungen denselben Datenschutzverpflichtungen unterworfen werden.

§ 8  Unterstützung bei Betroffenenrechten

8.1Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12–22 DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit).
8.2Ersucht eine betroffene Person den Auftragnehmer direkt, leitet er die Anfrage unverzüglich – in der Regel innerhalb von 48 Stunden – an den Auftraggeber weiter.

§ 9  Meldepflichten und Datenpannen

9.172-Stunden-Pflicht (Art. 33 DSGVO):
Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden per E-Mail. Diese kurze Frist ist notwendig, damit der Auftraggeber seine gesetzliche 72-Stunden-Meldefrist gegenüber der Datenschutzbehörde einhalten kann.
9.2Verstöße gegen diesen Vertrag sind dem Auftraggeber ebenfalls unverzüglich mitzuteilen.

§ 10  Vertragsbeendigung und Datenlöschung

10.1Hochgeladene PDF-Dokumente werden unmittelbar nach Verarbeitung, spätestens nach 24 Stunden, automatisch gelöscht. Erzeugte Exportdateien werden 24 Stunden nach Auslieferung automatisch gelöscht. Verbleibende personenbezogene Daten löscht der Auftragnehmer spätestens innerhalb von 30 Tagen nach Vertragsende, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
10.2Der Auftragnehmer bestätigt die vollständige Löschung auf Verlangen des Auftraggebers schriftlich mit Datumsangabe.

§ 11  Schlussbestimmungen

11.1Änderungen dieses Vertrags bedürfen der Textform (E-Mail genügt).
11.2Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragnehmers (Düsseldorf), soweit gesetzlich zulässig.
11.3Für die Haftung gilt Art. 82 DSGVO sowie ergänzend die Haftungsregelungen des Hauptvertrags (AGB des Anbieters).

Vertragsschluss (Online-Akzeptanz)

Dieser AVV kommt durch aktive Bestätigung im Rahmen des Bestellprozesses auf wertstapel.de zustande. Der Auftraggeber bestätigt mit dem Abschluss des Hauptvertrags durch Markierung der entsprechenden Checkbox, dass er diesen AVV in der zum Zeitpunkt des Vertragsschlusses gültigen Fassung gelesen und akzeptiert hat. Zeitpunkt und IP-Adresse der Bestätigung werden vom Anbieter protokolliert.

Anlage 1

Auftragsdetails: Art, Zweck und Umfang der Verarbeitung

DimensionKonkrete Ausprägung
Gegenstand und ZweckAutomatisierte Verarbeitung von Wertpapier-Transaktionsdokumenten (PDF) zur Erzeugung von DATEV-kompatiblen Buchungsdatensätzen (CSV/Buchungsstapel) zum Zweck der Buchführungsvorbereitung für GmbH-Inhaber und deren Steuerberater.
Art der VerarbeitungErheben (Upload), Speichern, Auslesen, Transformieren (PDF → strukturierte Daten), Zusammenführen, Ausgabe (CSV-Export), Löschen der Eingangsdokumente nach Verarbeitung
Verarbeitete Datenarten
  • Name und Adresse des Depotinhabers
  • Depotnummer / Kundennummer bei der Bank
  • IBAN und Kontonummern (soweit im Dokument enthalten)
  • Transaktionsdaten (Kaufdatum, Verkaufsdatum, Ausführungspreis, Stückzahl)
  • Wertpapierbezeichnung, ISIN, WKN
  • Dividenden- und Ertragsausschüttungen
  • Steuerrelevante Kennzahlen (Teilfreistellungsquoten, Anschaffungskosten, Vorabpauschale, Kirchensteuer, Kapitalertragsteuer, Solidaritätszuschlag)
  • Buchungstexte und Referenznummern
Besondere Datenkategorien (Art. 9 DSGVO)Keine besonderen Kategorien im Sinne von Art. 9 DSGVO. Es handelt sich ausschließlich um Finanztransaktionsdaten.
Betroffene Personengruppen
  • GmbH-Gesellschafter / GmbH-Eigentümer als Depotinhaber
  • Ggf. Geschäftsführer der GmbH (bei betrieblichen Depots)
  • Ggf. Mandanten von Steuerberatungskanzleien
Speicherdauer der EingangsdatenHochgeladene PDF-Dokumente werden nach erfolgreicher Verarbeitung unmittelbar, spätestens aber nach 24 Stunden, serverseitig gelöscht. CSV-Exportdateien werden für maximal 24 Stunden nach Auslieferung zum Download bereitgestellt und danach automatisch gelöscht. Verarbeitungsprotokolle (Logs) werden für 90 Tage zu Zwecken der Fehleranalyse und IT-Sicherheit gespeichert.
Rechtsgrundlage beim AuftraggeberArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Buchführungsvorbereitung); ggf. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Buchführung, § 238 HGB, § 140 AO)

Anlage 2

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO

Stand: Mai 2026 · Überprüfungsintervall: jährlich sowie anlassbezogen

1. Zutrittskontrolle (physischer Schutz)

  • Serverinfrastruktur ausschließlich in zertifizierten Rechenzentren der Hetzner Online GmbH (ISO 27001, DE/EU)
  • Kein physischer Zugang des Anbieters zu Serverkabinetten

2. Zugangskontrolle (IT-Systeme)

  • Anmeldung an allen Produktivsystemen ausschließlich mit individuellem Benutzernamen und starkem Passwort
  • Zwei-Faktor-Authentifizierung (2FA) für alle Administrationszugänge
  • Automatische Bildschirmsperre nach Inaktivität (max. 5 Minuten)

3. Zugriffskontrolle (Berechtigungen)

  • Rollenbasiertes Berechtigungskonzept (RBAC): Mitarbeiter erhalten nur Zugriff auf Daten, die für ihre konkrete Aufgabe erforderlich sind (Least-Privilege-Prinzip)
  • Strikte Mandanten-Datentrennung

4. Weitergabekontrolle (Verschlüsselung und Transport)

  • Alle Datenübertragungen ausschließlich über TLS 1.2 oder höher (HTTPS)
  • HSTS (HTTP Strict Transport Security) ist aktiviert
  • Hochgeladene Dateien und Datenbankbestände werden at-rest verschlüsselt (AES-256)

5. Eingabe- und Protokollkontrolle

  • Lückenlose Protokollierung von Upload-, Verarbeitungs- und Exportvorgängen mit Zeitstempel und Benutzer-ID
  • Protokolldaten werden mindestens 90 Tage aufbewahrt

6. Verfügbarkeitskontrolle und Belastbarkeit

  • Tägliche automatische Backups aller Produktivdaten; Backup-Aufbewahrung: 30 Tage
  • Backups werden verschlüsselt und geografisch getrennt vom Primärsystem gespeichert
  • Angestrebte Verfügbarkeit: 99 % im Jahresmittel

7. Datenschutz bei Subunternehmern

  • Abschluss von DSGVO-konformen AVVs mit allen relevanten Subunternehmern vor Beauftragung

8. Organisatorische Maßnahmen

  • Datenschutz-Schulung aller Mitarbeiter vor Aufnahme der Tätigkeit und jährlich wiederkehrend
  • Incident-Response-Plan für Datenpannen mit der 24-Stunden-Meldepflicht an den Auftraggeber

Anlage 3

Liste der Unterauftragsverarbeiter zum Zeitpunkt des Vertragsschlusses

Unternehmen / AnschriftBeschreibung der LeistungLandRechtsgrundlage
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen
DPA
Cloud-Hosting und Serverinfrastruktur; Speicherung und Verarbeitung aller Kunden- und Prozessdaten auf Hetzner-Servern in deutschen und finnischen RechenzentrenDeutschland / EUArt. 28 DSGVO (AVV mit Hetzner abgeschlossen)
Stripe Payments Europe, Ltd.
The One Building, 1 Grand Canal Street Lower
Dublin 2, Irland
Stripe DPA
Zahlungsabwicklung und Abonnementverwaltung. Stripe verarbeitet ausschließlich Zahlungsdaten. Stripe hat keinen Zugriff auf Depot- oder Buchungsdaten.Irland (EU)Art. 28 DSGVO (Stripe DPA); für US-Datentransfers: SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO
Plausible Analytics OÜ
Västriku tn 2, 50403 Tartu, Estland
Plausible Datenschutz
Datenschutzfreundliche Website-Analyse. Plausible verarbeitet keine personenbezogenen Daten im DSGVO-Sinne (kein Cookie-Einsatz, keine persistente Nutzer-ID). Ausschließlich aggregierte, nicht-personalisierte Metriken.Estland (EU)Kein AVV erforderlich (keine PbD-Verarbeitung); hilfsweise Art. 28 DSGVO
Brevo SAS (ehem. Sendinblue)
106 boulevard Haussmann, 75008 Paris, Frankreich
Brevo DPA
Transaktionaler E-Mail-Versand. Brevo verarbeitet hierfür Name und E-Mail-Adresse des Empfängers sowie den jeweiligen E-Mail-Inhalt. Kein Zugriff auf Depot- oder Buchungsdaten.Frankreich (EU)Art. 28 DSGVO (Brevo DPA)
Kein Drittlandtransfer

Diese Liste wird bei Änderungen gemäß § 7.2 dieses AVV aktualisiert. Die jeweils aktuelle Version ist unter wertstapel.de/avv abrufbar.