Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Version: v2.0 · Stand: 20.04.2026

Zwischen der Boniforce GmbH, Kasernenstr. 67, 40213 Düsseldorf, eingetragen im Handelsregister des Amtsgerichts Düsseldorf unter HRB 110768, vertreten durch den Geschäftsführer Cao Hung Nguyen, E-Mail: team@boniforce.de – nachfolgend „Auftragsverarbeiter“ – und dem jeweiligen registrierten Geschäftskunden – nachfolgend „Verantwortlicher“ – wird folgender Auftragsverarbeitungsvertrag geschlossen.

Dieser AVV wird bei Registrierung im Boniforce-Portal elektronisch (Clickwrap) abgeschlossen. Der Verantwortliche bestätigt, vertretungsberechtigt zu sein. Boniforce protokolliert Zeitpunkt, Account, IP-Adresse, User-Agent sowie Version/Hash dieses AVV als Nachweis des Vertragsschlusses.

Kontakt für Datenschutzthemen beim Auftragsverarbeiter: Cao Hung Nguyen, Boniforce GmbH, Am Kaisersbusch 6, 42781 Haan Telefon: +49 211 54257758, E-Mail: team@boniforce.de

§ 1 Anwendungsbereich, Gegenstand, Dauer, Weisung

Anwendungsbereich: Die SaaS-Leistungen des Auftragsverarbeiters richten sich schwerpunktmäßig auf die Prüfung von Unternehmen als Geschäftspartner. In der überwiegenden Mehrzahl der Fälle betrifft die Prüfung juristische Personen (z. B. GmbH, AG, UG, KG, OHG), auf die die DSGVO keine Anwendung findet (Art. 1 Abs. 1 DSGVO). Dieser AVV regelt die Verarbeitung personenbezogener Daten natürlicher Personen durch den Auftragsverarbeiter und kommt insbesondere in folgenden Fällen zur Anwendung:

  • Prüfung von Einzelunternehmern, Freiberuflern und eingetragenen Kaufleuten (e. K.),
  • Verarbeitung personenbezogener Informationen zu gesetzlichen Vertretern (z. B. Name, Geburtsdatum, Anschrift eines Geschäftsführers) im Rahmen der Unternehmensauskunft,
  • Verarbeitung von Nutzer-, Account- und Kontaktdaten der Mitarbeitenden oder Ansprechpartner des Verantwortlichen.

Soweit der Service ausschließlich juristische Personen betrifft und keine personenbezogenen Daten natürlicher Personen verarbeitet werden, entfaltet dieser AVV keine regulatorische Wirkung. Er bleibt vertraglich als Vorsorgeregelung für den Einzelfall anwendbar.

Gegenstand: Der Auftragsverarbeiter erbringt SaaS-Leistungen zur datenverarbeitenden Unterstützung des Verantwortlichen (u. a. Erhebung aus öffentlich zugänglichen Quellen, Aufbereitung, Merkmalsbildung, Score-Berechnung, Reports). Soweit personenbezogene Daten betroffen sind, erfolgt die Verarbeitung ausschließlich nach Weisung des Verantwortlichen.

Klarstellung – ad-hoc-Verarbeitung ohne dauerhafte Speicherung: Bei Bonitätsabfragen erhebt und bewertet der Auftragsverarbeiter Informationen aus öffentlich zugänglichen Quellen ad hoc für den jeweiligen Verantwortlichen. Bonitätsdaten werden durch den Auftragsverarbeiter nicht über den Zeitpunkt der jeweiligen Abfrage hinaus gespeichert. Ausgenommen hiervon sind ausschließlich kurzzeitige, zweckgebundene technische Protokolle (z. B. Sicherheits- und Zugriffslogs) gemäß Anlage 4 sowie vom Verantwortlichen im Portal aktiv gespeicherte Snapshots gemäß § 6. Der Auftragsverarbeiter führt keine Negativ-, Warn- oder „schwarzen Listen“ zur Kreditwürdigkeit.

Keine Verwendung für eigene Zwecke: Die vom Verantwortlichen übermittelten Daten und die auf deren Grundlage erzeugten Ausgaben werden vom Auftragsverarbeiter nicht für eigene Zwecke verarbeitet. Insbesondere findet kein Training, keine Weiterentwicklung und keine Evaluation eigener oder fremder Modelle des maschinellen Lernens auf Basis dieser Daten statt.

Dauer: Gültig ab Vertragsschluss bis Beendigung des Hauptvertrags bzw. des Nutzungsverhältnisses.

Weisungen: Weisungen erfolgen in Textform, einschließlich Portal-Einstellungen, Ticket/E-Mail oder API-Calls. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragsverarbeiter dokumentiert Weisungen und deren Umsetzung.

§ 2 Art und Zweck der Verarbeitung, Datenarten, Betroffene

Zweck: Unterstützung bei B2B-Bonitäts-/Risikoprüfungen inkl. Erhebung aus öffentlich zugänglichen Quellen, Aufbereitung und Score-Berechnung gemäß Weisung.

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen/Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen.

Ad-hoc-Verarbeitung: Die Verarbeitung im Rahmen von Bonitätsabfragen erfolgt situationsbezogen und ad hoc zur unmittelbaren Bereitstellung an den Verantwortlichen. Eine Speicherung personenbezogener Bonitätsdaten über den Abfragezeitpunkt hinaus findet nicht statt, mit Ausnahme der vom Verantwortlichen aktiv angelegten Snapshots (§ 6).

Datenarten (je nach Einsatz; final bestimmt der Verantwortliche): Unternehmensdaten (Firma, Registerdaten, Adressen, Brancheninfos); personenbezogene Daten im B2B-Kontext (Name, Funktion, geschäftliche Kontaktdaten); amtliche und öffentliche Negativmerkmale; Nutzer- und API-Zugriffsdaten (Benutzerkennungen, API-Keys); technische Protokolldaten (IP-Adressen, Zeitstempel, Request-/Response-Daten). Besondere Kategorien nach Art. 9 DSGVO werden nicht beauftragt.

Betroffene Personengruppen: Ansprechpartner und Beschäftigte von Unternehmen, Einzelunternehmer, Freiberufler, eingetragene Kaufleute, gesetzliche Vertreter.

§ 3 Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtsgrundlagen (Art. 6 DSGVO), Zweckbindung, Transparenz (Art. 13/14 DSGVO), Betroffenenrechte (Art. 15–22 DSGVO) und ggf. Interessenabwägungen sowie Datenschutz-Folgenabschätzungen verantwortlich.

Transparenz nach Art. 13–14 DSGVO: Der Verantwortliche erfüllt seine Informationspflichten gegenüber betroffenen Personen eigenverantwortlich. Soweit er sich auf eine gesetzliche Ausnahme nach Art. 14 Abs. 5 DSGVO stützen möchte, prüft und dokumentiert er deren Voraussetzungen selbst und stellt ggf. geeignete alternative Transparenzmaßnahmen sicher (z. B. leicht auffindbare Informationsseite, Widerspruchs- bzw. Opt-out-Kanal, Kontakt zum Datenschutzbeauftragten).

Automatisierte Entscheidungen: Der Verantwortliche nutzt die Leistungen nicht zur ausschließlich automatisierten Entscheidungsfindung gegenüber natürlichen Personen im Sinne von Art. 22 DSGVO; er stellt stets eine menschliche Einzelfallprüfung (Human Review) sicher.

Scoring-Compliance (§ 31 BDSG): Soweit der Verantwortliche Score-Berechnungen anweist, die natürliche Personen betreffen, stellt er die Einhaltung von § 31 BDSG sicher (aktuelle, qualitätsgesicherte Daten, fachlich anerkanntes und validiertes Verfahren).

Weisungen und Kontaktstellen: Der Verantwortliche weist den Auftragsverarbeiter eindeutig an, prüft die Rechtmäßigkeit seiner Weisungen und benennt Kontaktstellen für Weisungen und Datenschutzthemen.

§ 4 Pflichten des Auftragsverarbeiters

Weisungsbindung: Verarbeitung nur auf dokumentierte Weisung; bei erkennbarer Rechtswidrigkeit einer Weisung Hinweis an den Verantwortlichen; Aussetzung bis zur Klärung möglich.

Vertraulichkeit: Die zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet und werden über die datenschutzrechtlichen Pflichten belehrt.

TOMs: Umsetzung der in Anlage 2 beschriebenen technisch-organisatorischen Maßnahmen (Art. 32 DSGVO); Anpassungen ohne Absenkung des Schutzniveaus sind möglich.

Unterstützung: Angemessene Unterstützung bei Betroffenenrechten, Sicherheit, Meldungen von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen; Aufwände werden vergütet, sofern gesetzlich nicht anders bestimmt oder anderweitig vereinbart.

Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft, unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, mit Angaben gemäß Art. 33 Abs. 3 DSGVO in Textform.

Nachweise und Audits: Bereitstellung geeigneter Nachweise zur Einhaltung der Pflichten nach Art. 28 DSGVO. Audits und Inspektionen nach Ankündigung von mindestens 14 Tagen während der üblichen Geschäftszeiten. Außerordentliche oder behördlich veranlasste Prüfungen bleiben hiervon unberührt.

Verzeichnis: Führen eines Verzeichnisses nach Art. 30 Abs. 2 DSGVO.

Drittlandbezug: Verarbeitung außerhalb des EWR nur gemäß § 7 und ggf. mit Standarddatenschutzklauseln (SCC) und Transfer-Impact-Assessment (TIA).

§ 5 Unterauftragsverarbeiter (Sub-Prozessoren)

Boniforce setzt zum Zeitpunkt des Vertragsschlusses die in der jeweils aktuellen Liste unter https://www.boniforce.de/sub-prozessoren aufgeführten Unterauftragsverarbeiter ein. Zum Stand dieser AVV umfasst dies insbesondere einen deutschen Hosting-Anbieter sowie einen KI-Modellanbieter mit Verarbeitung innerhalb der Europäischen Union. Mit dem Abschluss dieses AVV erteilt der Verantwortliche eine allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 Satz 2 DSGVO zur Hinzuziehung der in der Liste genannten und künftiger Unterauftragsverarbeiter nach Maßgabe der folgenden Regelungen.

Die Beauftragung weiterer Unterauftragsverarbeiter erfolgt ausschließlich unter Einhaltung von Art. 28 DSGVO. Boniforce informiert den Verantwortlichen in Textform mindestens 30 Kalendertage vor der Hinzunahme oder dem Austausch eines Unterauftragsverarbeiters.

Der Verantwortliche kann der Beauftragung eines neuen Unterauftragsverarbeiters innerhalb von 14 Kalendertagen nach Zugang der Information aus wichtigem datenschutzrechtlich begründetem Grund in Textform widersprechen. Erhebt der Verantwortliche innerhalb der Frist keinen Widerspruch, gilt der Unterauftragsverarbeiter als genehmigt.

Boniforce stellt durch eine dem Schutzniveau dieses AVV im Wesentlichen gleichwertige Vereinbarung sicher, dass der Unterauftragsverarbeiter die gleichen Datenschutzpflichten erfüllt, die Boniforce aufgrund dieses AVV treffen.

§ 6 Löschung und Rückgabe von Daten

Nach Abschluss der Auftragsverarbeitung bzw. Vertragsende löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche personenbezogenen Auftragsdaten zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Besonderheit Bonitätsabfragen: Da personenbezogene Bonitätsdaten nicht über den Abfragezeitpunkt hinaus gespeichert werden, entfallen Rückgabe- oder Löschhandlungen in Bezug auf diese Daten. Technische Protokolle werden gemäß Anlage 4 fristgerecht gelöscht.

Lösch- und Überschreibzyklen einschließlich Backups und Logs ergeben sich aus Anlage 4 (Löschkonzept). Löschvorgänge werden protokolliert; auf Wunsch erhält der Verantwortliche eine Bestätigung.

Snapshots: Für die vom Verantwortlichen im Portal aktiv gespeicherten Snapshots gelten die vom Verantwortlichen vorgegebenen Lösch- bzw. Aufbewahrungsfristen. Ohne Weisung löscht der Auftragsverarbeiter Snapshots nach 360 Tagen ab Erstellung (Standard). Der Verantwortliche kann Snapshots jederzeit im Portal löschen oder die Löschung anweisen.

§ 7 Drittlandübermittlungen

Die Verarbeitung personenbezogener Daten erfolgt innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR). Einzelheiten zu Verarbeitungsorten und Subprozessoren ergeben sich aus der Liste unter https://www.boniforce.de/sub-prozessoren und aus Anlage 3.

Soweit künftig Übermittlungen in Drittländer erfolgen sollten, werden diese nur nach Art. 44 ff. DSGVO durchgeführt (insbesondere Standarddatenschutzklauseln gemäß Durchführungsbeschluss (EU) 2021/914, Transfer-Impact-Assessment und ggf. ergänzende Maßnahmen). Entsprechende Änderungen werden gemäß § 5 vorab angekündigt.

§ 8 Vertraulichkeit, Geschäftsgeheimnisse

Vertraulicher Umgang mit allen im Auftrag erlangten Informationen. Schutz von Geschäftsgeheimnissen; Offenlegung nur bei gesetzlicher Pflicht.

Keine Negativlisten: Der Auftragsverarbeiter führt keine Negativ-, Warn- oder „schwarzen Listen“ zur Kreditwürdigkeit.

§ 9 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO, sowie nach den Haftungsregelungen der AGB bzw. des Hauptvertrages, soweit datenschutzrechtlich zulässig.

Der Auftragsverarbeiter haftet für schuldhafte Verletzungen seiner Pflichten nach der DSGVO und diesem AVV; für das Verhalten von Unterauftragsverarbeitern steht er wie für eigenes Verschulden ein.

Score-Only-Entscheidungen sowie der Verzicht auf menschliche Einzelfallprüfung liegen im alleinigen Verantwortungsbereich des Verantwortlichen.

§ 10 Rangfolge, Änderungen, Schluss

Rangfolge: Bei Widersprüchen gilt folgende Rangfolge: (1) dieser AVV, (2) AGB/Hauptvertrag, (3) Anlagen.

Änderungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt deutsches Recht. Gerichtsstand ist, soweit zulässig, Düsseldorf.

Anlage 1 – Details zur Verarbeitung

Gegenstand und Zweck: SaaS-Unterstützung bei B2B-Risikoprüfungen (Bonitäts- und Zahlungsausfall-Scoring, Berichte, Monitoring), inkl. Erhebung aus öffentlich zugänglichen Quellen, Datenaufbereitung, Merkmalsbildung, Score-Berechnung, Bereitstellung im Portal und über API.

Leistungsschwerpunkt: Die Leistungen richten sich schwerpunktmäßig auf die Prüfung juristischer Personen (z. B. GmbH, AG, UG, KG, OHG); personenbezogene Daten werden nur im Einzelfall verarbeitet (siehe § 1 dieses AVV).

Datenkategorien: Ident- und Kontaktdaten (geschäftlich), Unternehmensdaten, öffentliche Negativmerkmale, Nutzer- und API-Zugriffsdaten, System- und Protokolldaten. Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO).

Hinweis: Die Bonitätsdaten-Verarbeitung erfolgt ad hoc; personenbezogene Bonitätsdaten werden nicht über den Abfragezeitpunkt hinaus gespeichert. Eine Ausnahme bilden die vom Verantwortlichen aktiv angelegten Snapshots (§ 6).

Betroffene: Ansprechpartner und Beschäftigte, Einzelunternehmer, Freiberufler, eingetragene Kaufleute, gesetzliche Vertreter.

Speicherorte: Europäische Union (Deutschland für das Hosting, Irland für den KI-Modellzugriff). Einzelheiten: siehe Subprozessoren-Liste.

Dauer: Vertragslaufzeit; Fristen siehe Anlage 4.

Anlage 2 – Technische und organisatorische Maßnahmen (TOMs)

Organisation und Governance: Datenschutz-Management, dokumentiertes Rollen- und Rechtekonzept nach dem Least-Privilege-Prinzip, Verpflichtung der tätigen Personen auf Vertraulichkeit, Weisungs- und Zugriffsprotokoll, dokumentierter Incident-Response-Prozess.

Physische und Infrastruktur-Sicherheit: Die Verarbeitung erfolgt in Rechenzentren des eingesetzten Hosting-Anbieters in Deutschland (Zutrittskontrolle, Videoüberwachung, Sicherheitspersonal gemäß Standards des Anbieters). Boniforce betreibt keine eigenen Rechenzentren.

Logische Zugriffskontrolle: Multi-Faktor-Authentisierung für administrative Zugänge, Passwortrichtlinie mit Mindestlänge und Komplexitätsanforderungen, Netzwerksegmentierung, rollenbasierte Berechtigungsvergabe (RBAC), regelmäßige Überprüfung der Zugriffsrechte.

Verschlüsselung: TLS 1.2 oder höher für die Übertragung, AES-256 für die Speicherung (at rest) im Rahmen der eingesetzten Hosting- und Speicherdienste; sichere Schlüssel- und Geheimnisverwaltung.

Trennung und Pseudonymisierung: Logische Mandantentrennung; Pseudonymisierung und Hashing, soweit mit dem Zweck der Verarbeitung vereinbar.

Integrität und Verfügbarkeit: Regelmäßige Datensicherungen über die Backup-Mechanismen des Hosting-Anbieters, Change-Management, Code-Reviews, CI/CD-Kontrollen. Soweit externe Penetrationstests durchgeführt werden, wird eine Zusammenfassung auf Anfrage bereitgestellt.

Privacy by Design und by Default: Datenminimierung, systemseitige Umsetzung der Retention- und Löschregeln, Protokollierung sicherheitsrelevanter Zugriffe und Abfragen.

Anlage 3 – Unterauftragsverarbeiter (Sub-Prozessoren)

Die jeweils aktuelle Liste der eingesetzten Unterauftragsverarbeiter einschließlich Verarbeitungsregionen ist abrufbar unter: https://www.boniforce.de/sub-prozessoren

Zum Stand dieser AVV umfasst die Liste insbesondere einen deutschen Hosting-Anbieter (Verarbeitung in Deutschland) sowie einen KI-Modellanbieter mit Verarbeitung in der Europäischen Union (Irland).

Sollten künftig Unterauftragsverarbeiter mit Drittlandbezug eingesetzt werden, werden die erforderlichen Schutzmechanismen (Standarddatenschutzklauseln, Transfer-Impact-Assessment, ggf. ergänzende Maßnahmen) umgesetzt. Änderungen werden gemäß § 5 vorab angekündigt.

Anlage 4 – Löschkonzept und Rückgabe

Grundsätze: Zweckbindung; Standard-Löschfrist nach Vertragsende: 30 Tage, sofern keine andere Weisung des Verantwortlichen vorliegt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Bonitätsabfragen: Keine Speicherung personenbezogener Bonitätsdaten über den Abfragezeitpunkt hinaus (ad-hoc-Bereitstellung).

Snapshots: Ohne abweichende Weisung Löschung nach 360 Tagen ab Erstellung.

Lösch- und Überschreibzyklen: Produktivdatenbanken binnen 30 Tagen nach Löschanlass; Backups ringförmig 30–60 Tage; Logs 90–180 Tage (je nach Erforderlichkeit).

Rückgabeformat: Auf Weisung des Verantwortlichen Rückgabe in gängigem, maschinenlesbarem Format (z. B. CSV, JSON) über einen gesicherten Kanal. Löschvorgänge werden protokolliert; auf Anforderung wird eine Löschbestätigung erteilt.

Elektronischer Abschluss (Clickwrap)

Mit der Registrierung und Aktivierung seines Accounts bestätigt der Verantwortliche den Abschluss dieses AVV in der vorstehenden Version. Boniforce speichert einen elektronischen Nachweis (Zeitstempel, Account-Kennung, Version/Hash des AVV).