Datenschutzvertrag · Art. 28 Abs. 3 DSGVO
Auftragsverarbeitungsvertrag (AVV)
im Sinne von Art. 28 Abs. 3 DSGVO zwischen dem Kunden als Verantwortlichem und der Spark Innovation GmbH als Auftragsverarbeiter
Auftraggeber (Verantwortlicher)
[Firma des Kunden][Straße, Nr.]
[PLZ, Ort]
(nachfolgend „Auftraggeber")
Auftragnehmer (Auftragsverarbeiter)
Spark Innovation GmbHLenneper Str. 32
40591 Düsseldorf
E-Mail: info@wertstapel.de
(nachfolgend „Auftragnehmer")
§ 1 Gegenstand und Laufzeit
§ 2 Verarbeitungsort
§ 3 Weisungen des Auftraggebers
§ 4 Allgemeine Pflichten des Auftragnehmers
Soweit der Auftraggeber als Steuerberater, Wirtschaftsprüfer oder in einem anderen Berufsfeld mit gesetzlicher Schweigepflicht tätig ist, sind die im Rahmen der Plattformnutzung verarbeiteten Mandantendaten dem Steuergeheimnis gemäß § 30 AO und der Verschwiegenheitspflicht gemäß § 57 Abs. 1 StBerG unterworfen. Der Auftragnehmer verpflichtet sich, diese besonderen Anforderungen zu beachten.
§ 5 Technische Sicherheitsmaßnahmen Authentifizierung
Nutzer authentifizieren sich ausschließlich über kryptografisch sichere Einmal-Token (Magic Links, 32 Bytes Entropie, 15 Minuten Gültigkeit, einmalig verwendbar). Es werden keine Benutzerpasswörter gespeichert oder verarbeitet. Session-Tokens werden mit 32 Bytes Entropie erzeugt, serverseitig in der Datenbank vorgehalten und clientseitig als
HttpOnly- und Secure-Cookie übertragen.§ 6 Kontrollrechte des Auftraggebers
§ 7 Einsatz von Unterauftragsverarbeitern
§ 8 Unterstützung bei Betroffenenrechten
§ 9 Meldepflichten und Datenpannen
Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden per E-Mail. Diese kurze Frist ist notwendig, damit der Auftraggeber seine gesetzliche 72-Stunden-Meldefrist gegenüber der Datenschutzbehörde einhalten kann.
§ 10 Vertragsbeendigung und Datenlöschung
§ 11 Schlussbestimmungen
Vertragsschluss (Online-Akzeptanz)
Dieser AVV kommt durch aktive Bestätigung im Rahmen des Bestellprozesses auf wertstapel.de zustande. Der Auftraggeber bestätigt mit dem Abschluss des Hauptvertrags durch Markierung der entsprechenden Checkbox, dass er diesen AVV in der zum Zeitpunkt des Vertragsschlusses gültigen Fassung gelesen und akzeptiert hat. Zeitpunkt und IP-Adresse der Bestätigung werden vom Anbieter protokolliert.
Anlage 1
Auftragsdetails: Art, Zweck und Umfang der Verarbeitung
| Dimension | Konkrete Ausprägung |
|---|---|
| Gegenstand und Zweck | Automatisierte Verarbeitung von Wertpapier-Transaktionsdokumenten (PDF) zur Erzeugung von DATEV-kompatiblen Buchungsdatensätzen (CSV/Buchungsstapel) zum Zweck der Buchführungsvorbereitung für GmbH-Inhaber und deren Steuerberater. |
| Art der Verarbeitung | Erheben (Upload), Speichern, Auslesen, Transformieren (PDF → strukturierte Daten), Zusammenführen, Ausgabe (CSV-Export), Löschen der Eingangsdokumente nach Verarbeitung |
| Verarbeitete Datenarten |
|
| Besondere Datenkategorien (Art. 9 DSGVO) | Keine besonderen Kategorien im Sinne von Art. 9 DSGVO. Es handelt sich ausschließlich um Finanztransaktionsdaten. |
| Betroffene Personengruppen |
|
| Speicherdauer der Eingangsdaten | Hochgeladene PDF-Dokumente werden nach erfolgreicher Verarbeitung unmittelbar, spätestens aber nach 24 Stunden, serverseitig gelöscht. CSV-Exportdateien werden für maximal 24 Stunden nach Auslieferung zum Download bereitgestellt und danach automatisch gelöscht. Verarbeitungsprotokolle (Logs) werden für 90 Tage zu Zwecken der Fehleranalyse und IT-Sicherheit gespeichert. |
| Rechtsgrundlage beim Auftraggeber | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Buchführungsvorbereitung); ggf. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Buchführung, § 238 HGB, § 140 AO) |
Anlage 2
Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
Stand: Mai 2026 · Überprüfungsintervall: jährlich sowie anlassbezogen
1. Zutrittskontrolle (physischer Schutz)
- Serverinfrastruktur ausschließlich in zertifizierten Rechenzentren der Hetzner Online GmbH (ISO 27001, DE/EU)
- Kein physischer Zugang des Anbieters zu Serverkabinetten
2. Zugangskontrolle (IT-Systeme)
- Anmeldung an allen Produktivsystemen ausschließlich mit individuellem Benutzernamen und starkem Passwort
- Zwei-Faktor-Authentifizierung (2FA) für alle Administrationszugänge
- Automatische Bildschirmsperre nach Inaktivität (max. 5 Minuten)
3. Zugriffskontrolle (Berechtigungen)
- Rollenbasiertes Berechtigungskonzept (RBAC): Mitarbeiter erhalten nur Zugriff auf Daten, die für ihre konkrete Aufgabe erforderlich sind (Least-Privilege-Prinzip)
- Strikte Mandanten-Datentrennung
4. Weitergabekontrolle (Verschlüsselung und Transport)
- Alle Datenübertragungen ausschließlich über TLS 1.2 oder höher (HTTPS)
- HSTS (HTTP Strict Transport Security) ist aktiviert
- Hochgeladene Dateien und Datenbankbestände werden at-rest verschlüsselt (AES-256)
5. Eingabe- und Protokollkontrolle
- Lückenlose Protokollierung von Upload-, Verarbeitungs- und Exportvorgängen mit Zeitstempel und Benutzer-ID
- Protokolldaten werden mindestens 90 Tage aufbewahrt
6. Verfügbarkeitskontrolle und Belastbarkeit
- Tägliche automatische Backups aller Produktivdaten; Backup-Aufbewahrung: 30 Tage
- Backups werden verschlüsselt und geografisch getrennt vom Primärsystem gespeichert
- Angestrebte Verfügbarkeit: 99 % im Jahresmittel
7. Datenschutz bei Subunternehmern
- Abschluss von DSGVO-konformen AVVs mit allen relevanten Subunternehmern vor Beauftragung
8. Organisatorische Maßnahmen
- Datenschutz-Schulung aller Mitarbeiter vor Aufnahme der Tätigkeit und jährlich wiederkehrend
- Incident-Response-Plan für Datenpannen mit der 24-Stunden-Meldepflicht an den Auftraggeber
Anlage 3
Liste der Unterauftragsverarbeiter zum Zeitpunkt des Vertragsschlusses
| Unternehmen / Anschrift | Beschreibung der Leistung | Land | Rechtsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen DPA | Cloud-Hosting und Serverinfrastruktur; Speicherung und Verarbeitung aller Kunden- und Prozessdaten auf Hetzner-Servern in deutschen und finnischen Rechenzentren | Deutschland / EU | Art. 28 DSGVO (AVV mit Hetzner abgeschlossen) |
| Stripe Payments Europe, Ltd. The One Building, 1 Grand Canal Street Lower Dublin 2, Irland Stripe DPA | Zahlungsabwicklung und Abonnementverwaltung. Stripe verarbeitet ausschließlich Zahlungsdaten. Stripe hat keinen Zugriff auf Depot- oder Buchungsdaten. | Irland (EU) | Art. 28 DSGVO (Stripe DPA); für US-Datentransfers: SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Plausible Analytics OÜ Västriku tn 2, 50403 Tartu, Estland Plausible Datenschutz | Datenschutzfreundliche Website-Analyse. Plausible verarbeitet keine personenbezogenen Daten im DSGVO-Sinne (kein Cookie-Einsatz, keine persistente Nutzer-ID). Ausschließlich aggregierte, nicht-personalisierte Metriken. | Estland (EU) | Kein AVV erforderlich (keine PbD-Verarbeitung); hilfsweise Art. 28 DSGVO |
| Brevo SAS (ehem. Sendinblue) 106 boulevard Haussmann, 75008 Paris, Frankreich Brevo DPA | Transaktionaler E-Mail-Versand. Brevo verarbeitet hierfür Name und E-Mail-Adresse des Empfängers sowie den jeweiligen E-Mail-Inhalt. Kein Zugriff auf Depot- oder Buchungsdaten. | Frankreich (EU) | Art. 28 DSGVO (Brevo DPA) Kein Drittlandtransfer |
Diese Liste wird bei Änderungen gemäß § 7.2 dieses AVV aktualisiert. Die jeweils aktuelle Version ist unter wertstapel.de/avv abrufbar.