Auftragsverarbeitungsvertrag (AVV)

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien, die sich aus der Nutzung der SaaS-Plattform „ZBill Core ERP“ ergeben. Er ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung.

(2) Auftraggeber (Verantwortlicher im Sinne der DSGVO) ist der Kunde, der ZBill nutzt. Auftragnehmer(Auftragsverarbeiter) ist die Zer GmbH, Schächtelburg 9A, 63589 Linsengericht (Amtsgericht Hanau, HRB 96625), vertreten durch den Geschäftsführer Thomas Zer.

(3) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages. Der AVV endet automatisch mit Beendigung des Hauptvertrages.

(1) Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt ausschließlich im Rahmen der Bereitstellung der SaaS-Plattform ZBill und umfasst insbesondere:

• Speicherung und Verwaltung von Kundendaten (CRM)
• Erstellung und Versand von Rechnungen, Angeboten und Aufträgen
• Zeiterfassung und Stundennachweise mit Mitarbeiterbezug
• Projektverwaltung und Auftragsmanagement
• E-Mail-Versand im Auftrag des Kunden (z. B. Rechnungsversand)
• PDF-Generierung und Dokumentenspeicherung
• Automatisierte Mahnläufe und Zahlungserinnerungen

(2) Die Verarbeitung erfolgt ausschließlich auf Weisung des Auftraggebers. Der Auftragnehmer verarbeitet die Daten nicht für eigene Zwecke.

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

• Endkunden des Auftraggebers: Kunden der Handwerksbetriebe, für die Rechnungen, Angebote und Aufträge erstellt werden.
• Mitarbeiter des Auftraggebers: Mitarbeiter, die in der Zeiterfassung, Projektplanung oder als Benutzer der Plattform erfasst werden.
• Lieferanten und Geschäftspartner: Personen, deren Kontaktdaten im Rahmen der Lieferantenverwaltung oder von Eingangsrechnungen verarbeitet werden.

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Kontaktdaten: Name, Firmenname, Anschrift, E-Mail-Adresse, Telefonnummer
• Finanzdaten: Rechnungsbeträge, Steuernummern, Zahlungsstatus, Bankverbindungen (soweit vom Auftraggeber eingegeben)
• Beschäftigtendaten: Name, Arbeitszeiten, Stundensätze, Projektzuordnungen
• Kommunikationsdaten: E-Mail-Korrespondenz im Rahmen des Rechnungsversands
• Standortdaten: GPS-Daten bei Nutzung des Außendienst-Moduls (nur bei ausdrücklicher Aktivierung)

(1) Der Auftragnehmer verpflichtet sich insbesondere:

• Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
• Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen.
• Den Auftraggeber unverzüglich zu informieren, wenn nach seiner Auffassung eine Weisung gegen Datenschutzvorschriften verstößt.
• Den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen.
• Den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu informieren (Art. 33 DSGVO).

(1) Der Auftraggeber stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu:

(2) Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus über beabsichtigte Änderungen in Bezug auf den Einsatz neuer oder die Ersetzung bestehender Unterauftragsverarbeiter. Der Auftraggeber hat das Recht, Einspruch gegen solche Änderungen zu erheben.

(3) Mit allen Unterauftragsverarbeitern hat der Auftragnehmer Verträge abgeschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen. Für Datenübermittlungen in Drittländer werden EU-Standardvertragsklauseln eingesetzt.

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit

• Zutrittskontrolle: Serverinfrastruktur bei zertifizierten Rechenzentren
• Zugangskontrolle: Authentifizierung per E-Mail/Passwort, gehashte Passwörter, Session-basierte Tokens
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem und Row-Level-Security
• Mandantentrennung: Strikte Isolation durch tenant_id mit RLS-Enforcement

Integrität

• Verschlüsselung: TLS 1.2+ für Übertragungen, AES-256 für ruhende Daten
• Eingabekontrolle: Protokollierung datenverändernder Zugriffe mit Zeitstempel und Benutzer-ID

Verfügbarkeit und Belastbarkeit

• Regelmäßige automatisierte Backups der Datenbank
• Hochverfügbare Infrastruktur mit 99,5 % SLA
• Monitoring und automatisches Alerting bei Ausfällen

Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
• Zeitnahes Einspielen von Sicherheitsupdates
• Dokumentation aller Maßnahmen und Vorfälle

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO).

(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird dieser die Anfrage unverzüglich an den Auftraggeber weiterleiten.

(3) Die Anwendung bietet dem Auftraggeber Funktionen zum Export und zur Löschung personenbezogener Daten, um Betroffenenanfragen eigenständig zu erfüllen.

(1) Nach Beendigung des Hauptvertrages hat der Auftraggeber 30 Tage Zeit, alle personenbezogenen Daten über die Exportfunktion der Anwendung herunterzuladen.

(2) Nach Ablauf der 30-Tage-Frist löscht der Auftragnehmer sämtliche personenbezogenen Daten des Auftraggebers unwiderruflich, soweit nicht gesetzliche Aufbewahrungspflichten eine weitere Speicherung erfordern.

(3) Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage des Auftraggebers schriftlich.

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses AVV und der technischen und organisatorischen Maßnahmen zu überprüfen. Kontrollen können durch schriftliche Anfragen oder bei begründetem Anlass durch Vor-Ort-Inspektionen nach angemessener Vorankündigung erfolgen.

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.

(3) Der Auftragnehmer kann aktuelle Zertifizierungen, Prüfberichte oder Auszüge daraus als Nachweis der Einhaltung vorlegen.