Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Version: v1.0 • Stand: 01.10.2025


Zwischen Boniforce (Cao Hung Nguyen), Am Kaisersbusch 6, 42781 Haan, E-Mail: info@boniforce.de – nachfolgend „Auftragsverarbeiter“ – und dem jeweiligen registrierten Geschäftskunden – nachfolgend „Verantwortlicher“ – wird folgender Auftragsverarbeitungsvertrag geschlossen. Dieser AVV wird bei Registrierung im Boniforce-Portal elektronisch (Clickwrap) abgeschlossen. Der Verantwortliche bestätigt, vertretungsberechtigt zu sein. Boniforce protokolliert Zeitpunkt, Account, (zulässig) IP/UA sowie Version/Hash dieses AVV.

§1 Gegenstand, Dauer, Weisung

  1. Gegenstand: Der Auftragsverarbeiter erbringt SaaS-Leistungen zur datenverarbeitenden Unterstützung des Verantwortlichen (u. a. Erhebung aus öffentlich zugänglichen Quellen, Aufbereitung, Merkmalsbildung, Score-Berechnung, Reports) ausschließlich nach Weisung des Verantwortlichen.
  2. Dauer: Gültig ab Vertragsschluss bis Beendigung des Hauptvertrags.
  3. Weisungen: Weisungen erfolgen schriftlich oder in Textform, einschließlich Portal-Einstellungen, Ticket/E-Mail oder API-Calls. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragsverarbeiter dokumentiert Weisungen und deren Umsetzung.

§2 Art und Zweck der Verarbeitung, Datenarten, Betroffene

  1. Zweck: Unterstützung bei B2B-Bonitäts-/Risikoprüfungen inkl. Erhebung aus öffentlich zugänglichen Quellen, Aufbereitung und Score-Berechnung gemäß Weisung.
  2. Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen/Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen.
  3. Datenarten (je nach Einsatz; final bestimmt der Verantwortliche): Unternehmensdaten (Firma, Registerdaten, Adressen, Brancheninfos); personenbezogene Daten im B2B-Kontext (Name, Funktion, geschäftliche Kontaktdaten), amtliche/öffentliche Negativmerkmale, Nutzungs-/Protokolldaten (Portal), Meta/Log-Daten. Besondere Kategorien nach Art. 9 DSGVO werden nicht beauftragt.
  4. Betroffene Personengruppen: Ansprechpartner/Beschäftigte von Unternehmen, Einzelunternehmer/Freiberufler/e. K., gesetzliche Vertreter.

§3 Pflichten des Verantwortlichen

  1. Der Verantwortliche ist für Rechtsgrundlagen (Art. 6 DSGVO), Zweckbindung, Transparenz (Art. 13/14 DSGVO), Betroffenenrechte (Art. 15–22) und ggf. Interessenabwägungen/DSFA verantwortlich.
  2. Transparenz/Art. 13–14: Der Verantwortliche entscheidet eigenverantwortlich, ob die Transparenz durch individuelle Benachrichtigung erfolgt oder ob gesetzliche Ausnahmen (insb. Art. 14 Abs. 5 lit. b DSGVO) anwendbar sind. Nutzt der Verantwortliche eine Ausnahme, stellt er angemessene Ersatz-Transparenz sicher (z. B. gut auffindbare Art-14-Informationsseite, Widerspruchs-/Opt-out-Kanal, DSB-Kontakt) und dokumentiert die Begründung.
  3. Der Verantwortliche nutzt die Leistungen nicht zur ausschließlich automatisierten Entscheidungsfindung i. S. v. Art. 22 DSGVO; er stellt einen Human-Review sicher.
  4. Der Verantwortliche weist den Auftragsverarbeiter eindeutig an, prüft die Rechtmäßigkeit seiner Weisungen und benennt Kontaktstellen für Weisungen/Datenschutz.

§4 Pflichten des Auftragsverarbeiters

  1. Weisungsbindung: Verarbeitung nur auf dokumentierte Weisung; bei erkennbarer Rechtswidrigkeit Hinweis an den Verantwortlichen; Aussetzung bis Klärung möglich.
  2. Vertraulichkeit: Mitarbeitende sind auf Vertraulichkeit verpflichtet.
  3. TOMs: Umsetzung der in Anlage 2 beschriebenen technisch-organisatorischen Maßnahmen (Art. 32 DSGVO); Anpassungen ohne Absenkung des Schutzniveaus möglich.
  4. Unterstützung: Angemessene Unterstützung bei Betroffenenrechten, Sicherheit, Meldungen von Verletzungen und DSFA; Aufwände werden vergütet, sofern gesetzlich nicht anders bestimmt oder anderweitig vereinbart.
  5. Meldung von Datenschutzverletzungen: Unverzügliche Mitteilung nach Kenntnis mit Angaben gem. Art. 33 Abs. 3 DSGVO.
  6. Nachweise & Audits: Bereitstellung geeigneter Nachweise; Audits/Inspektionen nach Ankündigung (mind. 14 Tage), während üblicher Zeiten, max. 1×/Jahr, Sonderaudit bei berechtigtem Anlass.
  7. Verzeichnis: Führen eines Verzeichnisses nach Art. 30 Abs. 2 DSGVO.
  8. Drittlandbezug: Verarbeitung außerhalb des EWR nur gem. §7 und ggf. mit SCC/TIA.

§5 Unterauftragsverarbeiter (Sub-Prozessoren)

  1. Der Auftragnehmer setzt zum Zeitpunkt des Vertragsschlusses keine Unterauftragsverarbeiter ein. Die Beauftragung weiterer Unterauftragsverarbeiter erfolgt ausschließlich unter Einhaltung von Art. 28 DSGVO. Der Auftragnehmer informiert den Auftraggeber mindestens 15 Kalendertage vor der Hinzunahme oder dem Austausch eines Unterauftragsverarbeiters. Eine jeweils aktuelle Liste wird bei Einsatz von Unterauftragsverarbeitern auf https://www.boniforce.de/sub-prozessoren veröffentlicht. Der Auftraggeber kann aus wichtigem datenschutzrechtlich begründetem Grund widersprechen.

§6 Löschung und Rückgabe von Daten

  1. Nach Abschluss der Auftragsverarbeitung/Vertragsende löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche personenbezogenen Auftragsdaten zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  2. Lösch-/Überschreibzyklen inkl. Backups/Logs gemäß Anlage 4 (Löschkonzept).
  3. Löschvorgänge werden protokolliert; auf Wunsch erhält der Verantwortliche eine Bestätigung.

§7 Drittlandübermittlungen

  1. Übermittlungen in Drittländer erfolgen nur nach Art. 44 ff. DSGVO (z. B. EU-SCC, TIA, ergänzende Maßnahmen).
  2. Entsprechende Vereinbarungen werden mit Sub-Prozessoren geschlossen und in Anlage 3 dokumentiert.

§8 Vertraulichkeit, Geschäftsgeheimnisse

  1. Vertraulicher Umgang mit allen im Auftrag erlangten Informationen.
  2. Schutz von Geschäftsgeheimnissen; Offenlegung nur bei gesetzlicher Pflicht.

§9 Haftung

  1. Haftung richtet sich nach dem Hauptvertrag.
  2. Der Auftragsverarbeiter haftet für schuldhafte Verletzungen seiner DSGVO-Pflichten; bei Sub-Prozessoren wie für eigenes Verschulden.
  3. Score-Only-Entscheidungen oder fehlender Human-Review liegen im Verantwortungsbereich des Verantwortlichen.

§10 Rangfolge, Änderungen, Schluss

  1. Rangfolge: AVV → Hauptvertrag/AGB → Anlagen.
  2. Änderungen in Textform.
  3. Salvatorische Klausel.
  4. Recht/Gerichtsstand: Deutsches Recht; Gerichtsstand gemäß Hauptvertrag (regelmäßig Düsseldorf).

Anlage 1 – Details zur Verarbeitung

Gegenstand & Zweck: SaaS-Unterstützung bei B2B-Risikoprüfungen (Bonitäts-/Zahlungsausfall-Scoring, Berichte, Monitoring), inkl. Erhebung aus öffentlich zugänglichen Quellen, Datenaufbereitung, Merkmalsbildung, Score-Berechnung, Bereitstellung im Portal/API.
Datenkategorien: Ident-/Kontaktdaten (geschäftlich), Unternehmensdaten, öffentliche Negativmerkmale, System-/Protokolldaten. Keine besonderen Kategorien (Art. 9 DSGVO).
Betroffene: Ansprechpartner/Beschäftigte, Einzelunternehmer/Freiberufler/e. K., gesetzliche Vertreter.
Speicherorte: EU-Regionen (z. B. Frankfurt/Irland).
Dauer: Vertragslaufzeit; Fristen siehe Anlage 4.

Anlage 2 – Technische und organisatorische Maßnahmen (TOMs)

  • Organisation & Governance: Datenschutz-Management, Rollen/Rechte (Least Privilege), Schulungen, Weisungs- & Zugriffsprotokoll, Incident-Response.
  • Physische/Infra-Sicherheit: ISO-27001-Rechenzentren (über Provider), Zutrittskontrolle, Redundanzen.
  • Logische Zugriffskontrolle: MFA (Admins), starke Passwörter, Netzwerksegmentierung, RBAC, regelmäßige Rezertifizierung.
  • Verschlüsselung: TLS 1.2+ in Transit, AES-256 at Rest; sichere Schlüsselverwaltung.
  • Trennung & Pseudonymisierung: Mandantentrennung; Pseudonymisierung/Hashing soweit möglich.
  • Integrität & Verfügbarkeit: Tägliche Backups, Restore-Tests, definierte RPO/RTO, Change-Management, Code-Reviews, CI/CD-Kontrollen, jährliche Pen-Tests (Summary).
  • Privacy by Design/Default: Datenminimierung, Retention/Löschregeln im System, Protokollierung von Zugriffen/Abfragen.

Anlage 3 – Unterauftragsverarbeiter (Sub-Prozessoren)

Aktuelle Liste und Regionen: https://www.boniforce.de/legal/subprocessors
Drittlandbezug: Bei Zugriffen aus Drittländern werden EU-SCC + TIA + ggf. zusätzliche Maßnahmen implementiert. Änderungen werden gemäß §5 vorab angekündigt.

Anlage 4 – Löschkonzept & Rückgabe

Grundsätze: Zweckbindung; Standard-Löschfrist nach Vertragsende: 30 Tage, sofern keine andere Weisung.
Lösch-/Überschreibzyklen: Produktivdatenbanken binnen 30 Tagen; Backups ringförmig 30–60 Tage; Logs 90–180 Tage (erforderlichkeitsabhängig).
Rückgabeformat: auf Weisung CSV/JSON über gesicherten Kanal. Löschvorgänge werden protokolliert.

Elektronischer Abschluss (Clickwrap): Mit Registrierung/Aktivierung des Accounts bestätigt der Verantwortliche den Abschluss dieses AVV in obiger Version. Boniforce speichert einen elektronischen Nachweis (Zeitstempel, Account, Version/Hash).