AUFTRAGSVERARBEITUNGSVERTRAG (AVV) gemäß Art. 28 DSGVO zwischen Auftraggeber: https://beko.portal.sb-code-solutions.de (Tenant des SB-Portal-SaaS) und Auftragnehmer: SB Code Solutions Inhaber: Bekir Ciftci info@sb-code-solutions.de Stand: 2026-06-01 ────────────────────────────────────────────────────────────────────── § 1 — Gegenstand ────────────────────────────────────────────────────────────────────── Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform "SB Portal" (Auftrags- + Kundenverwaltung, Buchhaltung, Mitarbeiter- Disposition). ────────────────────────────────────────────────────────────────────── § 2 — Art und Zweck der Verarbeitung ────────────────────────────────────────────────────────────────────── Erhebung, Speicherung, Veränderung, Auslesen, Übermittlung an Subprozessoren (siehe § 6), Löschung. Zweck: Erbringung der vertraglich geschuldeten Software-Leistung. ────────────────────────────────────────────────────────────────────── § 3 — Art der personenbezogenen Daten ────────────────────────────────────────────────────────────────────── - Stammdaten Mitarbeiter (Name, E-Mail, Telefon, Rolle) - Stammdaten Kunden (Name, Anschrift, E-Mail, Telefon, ggf. IBAN/BIC) - Auftragsdaten (Ort, Datum, beteiligte Mitarbeiter, GPS-Stempel) - Rechnungsdaten (Beträge, Zahlungsstatus, SEPA-Mandate) - Fotos / Dokumente, soweit vom Auftraggeber hochgeladen ────────────────────────────────────────────────────────────────────── § 4 — Kategorien betroffener Personen ────────────────────────────────────────────────────────────────────── - Mitarbeiter des Auftraggebers - Kunden des Auftraggebers - Kontaktpersonen / Ansprechpartner der Kunden ────────────────────────────────────────────────────────────────────── § 5 — Pflichten des Auftragnehmers ────────────────────────────────────────────────────────────────────── (1) Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a). (2) Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen (Art. 28 Abs. 3 lit. b). (3) Technische + organisatorische Maßnahmen siehe § 7. (4) Unterstützung bei Betroffenenrechten (Art. 12-23) — der Auftraggeber kann via /api/v1/customers/{id}/gdpr-export einen Vollexport ziehen. (5) Meldung Datenpannen binnen 72 h nach Kenntnis (Art. 33). (6) Nach Vertragsende: Rückgabe oder Löschung aller Daten nach Wahl des Auftraggebers. ────────────────────────────────────────────────────────────────────── § 6 — Subprozessoren ────────────────────────────────────────────────────────────────────── Der Auftragnehmer setzt folgende Subprozessoren ein (Stand: 2026-06-01): - IONOS SE, Karlsruhe — Hosting (Server) + SMTP (Welcome-/Reset-Mails) - Stripe Payments Europe Ltd., Irland — Zahlungsabwicklung (Provisionierungs- & Subscription-Zahlungen). DPA: https://stripe.com/legal/dpa - Vercel Inc., USA — Hosting der Marketing-Website + Serverless-Proxies für die Trial-Registrierung. Standardvertragsklauseln nach Art. 46 abgeschlossen, kein Drittstaat-Risiko für Tenant-Produktivdaten (alle Tenant-DBs laufen ausschließlich bei IONOS in DE). DPA: https://vercel.com/legal/dpa - EmailJS (EmailJS LLC, USA) — Anti-Spam-Versand der Marketing-Site- Kontaktformulare. Nutzt SCC. Keine Tenant-Daten — nur Marketing-Site- Anfragen ("ich möchte eine Demo"). - hCaptcha (Intuition Machines Inc., USA) — Anti-Bot auf der Provisionierungs-Seite + Kontaktformular, Standardvertragsklauseln nach Art. 46. DPA: https://www.hcaptcha.com/privacy Änderungen werden mindestens 30 Tage im Voraus angekündigt; der Auftraggeber hat ein Widerspruchsrecht (Art. 28 Abs. 2). ────────────────────────────────────────────────────────────────────── § 7 — Technische + organisatorische Maßnahmen (TOM) ────────────────────────────────────────────────────────────────────── - Transport-Verschlüsselung TLS 1.2+, HSTS-Preload - Sensible Felder (IBAN, BIC, SEPA-Mandat) AES-256-GCM at-rest - Passwörter bcrypt cost 13 - JWT-Tokens mit jti-Blacklist; 2 h Lebensdauer - Multi-Tenant-Isolation: separate DB + separater Prozess pro Tenant - Backup täglich, verschlüsselt, 30 Tage Aufbewahrung - Audit-Log für administrative Aktionen, 90 Tage Retention - Per-IP Rate-Limit auf Auth-Endpunkten ────────────────────────────────────────────────────────────────────── § 8 — Rechte des Auftraggebers (Kontrollrechte) ────────────────────────────────────────────────────────────────────── Der Auftraggeber kann nach Anmeldung mit angemessener Frist die Einhaltung der TOM prüfen — Vor-Ort-Audit nach Voranmeldung. ────────────────────────────────────────────────────────────────────── § 9 — Haftung ────────────────────────────────────────────────────────────────────── Es gilt Art. 82 DSGVO. Im Innenverhältnis haftet der Auftragnehmer für eigenes Verschulden uneingeschränkt; sonstige Haftung ist nach den Allgemeinen Geschäftsbedingungen begrenzt. ────────────────────────────────────────────────────────────────────── § 10 — Inkrafttreten + Schlussbestimmungen ────────────────────────────────────────────────────────────────────── Dieser Vertrag wird mit Abschluss des Hauptvertrags (SaaS-Nutzung) automatisch wirksam und endet mit dessen Beendigung. Für vor diesem Stand bereits aktive Tenants gilt er rückwirkend ab Vertragsbeginn. Bei Fragen oder zur schriftlichen Gegenzeichnung: info@sb-code-solutions.de