financly
Anmelden Kostenlos testen

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: April 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch financly im Auftrag des Nutzers gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Der AVV wird Bestandteil des Nutzungsvertrags, der durch die Registrierung bei financly zustande kommt.

Der Nutzer (nachfolgend „Verantwortlicher") beauftragt Rico Wagner, Dorfstraße 11/1, 79350 Sexau (nachfolgend „Auftragsverarbeiter") mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Plattform financly.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der webbasierten Software financly, über die der Verantwortliche kaufmännische Dokumente (Angebote, Rechnungen, Auftragsbestätigungen) erstellt und verwaltet sowie Kunden- und Belegdaten pflegt.

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Nutzungsvertrags. Nach dessen Beendigung werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst das Speichern, Anzeigen, Bearbeiten und Löschen von Daten, die der Verantwortliche in die Plattform eingibt. Zweck ist ausschließlich die Erbringung der vertraglich vereinbarten Softwareleistungen. Eine darüber hinausgehende Nutzung der Daten durch den Auftragsverarbeiter findet nicht statt.

3. Art der personenbezogenen Daten

Im Rahmen der Nutzung von financly werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

  • Name und Anschrift von Kunden und Geschäftspartnern
  • E-Mail-Adressen und Telefonnummern
  • Bankverbindungen (IBAN) auf Rechnungsdokumenten
  • Steuer- und Umsatzsteueridentifikationsnummern
  • Rechnungs- und Zahlungsdaten
  • Kontodaten des Verantwortlichen (E-Mail, Firmenname, Adresse)

Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO werden nicht verarbeitet.

4. Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

  • Kunden und Geschäftspartner des Verantwortlichen
  • Mitarbeiter des Verantwortlichen, soweit deren Daten eingegeben werden
  • Der Verantwortliche selbst als Nutzer der Plattform

5. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen – es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten hierzu verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Weisungen erteilt der Verantwortliche durch die Nutzung der bereitgestellten Funktionen der Plattform sowie schriftlich per E-Mail an info@rwnex.de.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
  • Alle erforderlichen technisch-organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen
  • Die Bedingungen für die Hinzuziehung von Unterauftragsverarbeitern einzuhalten
  • Den Verantwortlichen bei der Wahrung der Rechte betroffener Personen zu unterstützen
  • Den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen
  • Nach Abschluss der Verarbeitung alle Daten zu löschen oder zurückzugeben
  • Dem Verantwortlichen alle für Audits erforderlichen Informationen bereitzustellen

7. Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus:

Vertraulichkeit

  • Verschlüsselung aller Datenübertragungen per TLS/HTTPS
  • Verschlüsselte Speicherung von Passwörtern (bcrypt) und SMTP-Zugangsdaten (AES-256-GCM)
  • Zugriffsbeschränkung auf Datenbankebene durch Row-Level Security (RLS)
  • Strikte Mandantentrennung – kein Nutzer kann auf Daten eines anderen Mandanten zugreifen

Integrität

  • Eingabevalidierung und -bereinigung auf Server- und Datenbankebene
  • Protokollierung sicherheitsrelevanter Ereignisse

Verfügbarkeit und Belastbarkeit

  • Hosting ausschließlich auf Servern in Deutschland (Hetzner Online GmbH)
  • Regelmäßige automatisierte Datenbankbackups
  • Datenbankinfrastruktur nicht öffentlich erreichbar

Überprüfung und Bewertung

  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen
  • Dependency-Updates und Sicherheits-Patches werden zeitnah eingespielt

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zur Hinzuziehung folgender Unterauftragsverarbeiter:

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland

Zweck: Hosting der Webanwendung und Datenbankinfrastruktur

Stripe Payments Europe, Ltd.

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Zweck: Zahlungsabwicklung für kostenpflichtige Tarife

Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, gegen solche Änderungen Einspruch zu erheben.

Unterauftragsverarbeitern werden dieselben datenschutzrechtlichen Pflichten auferlegt wie dem Auftragsverarbeiter in diesem AVV.

9. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, Anfragen betroffener Personen zu beantworten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

Entsprechende Anfragen sind an info@rwnex.de zu richten und werden innerhalb von 72 Stunden bearbeitet.

10. Meldung von Datenpannen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Meldepflichten nach Art. 33 und 34 DSGVO. Werden dem Auftragsverarbeiter Verletzungen des Schutzes personenbezogener Daten bekannt, wird er den Verantwortlichen unverzüglich – und soweit möglich innerhalb von 24 Stunden – informieren, damit dieser seiner eigenen Meldepflicht gegenüber der Aufsichtsbehörde nachkommen kann.

11. Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen vollständig und unwiderruflich, einschließlich aller Kopien auf Backup-Systemen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Auf Wunsch des Verantwortlichen wird vor der Löschung ein Datenexport bereitgestellt. Der Verantwortliche ist selbst dafür verantwortlich, diesen Export rechtzeitig vor der Kündigung anzufordern.

12. Nachweise und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen, und ermöglicht Überprüfungen – einschließlich Inspektionen – durch den Verantwortlichen oder einen von ihm beauftragten Prüfer.

Anfragen sind schriftlich an info@rwnex.de zu richten. Aufwände, die durch Audits entstehen, trägt der Verantwortliche.

13. Schlussbestimmungen

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Änderungen und Ergänzungen bedürfen der Schriftform. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Mit der Registrierung bei financly und der Akzeptanz der Nutzungsbedingungen erklärt sich der Verantwortliche mit dem Abschluss dieses AVV einverstanden.