Rechtliches

Auftragsverarbeitungsvertrag

Dieser AVV ist Bestandteil der Nutzungsbedingungen zwischen FolioDoc („Auftragsverarbeiter“) und dem Kunden („Verantwortlicher“).

1. Definitionen

  • „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (DSGVO Art. 4(1)).
  • „Verarbeitung“ bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, ob automatisiert oder nicht (DSGVO Art. 4(2)).
  • „Betroffene Person“ bezeichnet die natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • „Unterauftragsverarbeiter“ bezeichnet einen Dritten, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.
  • „Aufsichtsbehörde“ bezeichnet eine unabhängige öffentliche Stelle, die für die Überwachung der Anwendung der DSGVO zuständig ist (Art. 4(21)).

2. Gegenstand und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen zum Zweck von:

  • Sammlung von Dokumenten und Informationen von den Mandanten des Verantwortlichen (Empfänger)
  • Versand von E-Mail-Benachrichtigungen und Erinnerungen an Empfänger
  • Sichere Speicherung hochgeladener Dateien bis zum Ablauf der Aufbewahrungsfrist oder bis der Verantwortliche sie löscht

3. Art der verarbeiteten personenbezogenen Daten

Empfängernamen, E-Mail-Adressen, Telefonnummern (optional), hochgeladene Dokumente und Freitextantworten gemäß den Weisungen des Verantwortlichen.

4. Kategorien betroffener Personen

Mandanten, Kunden oder Kontakte des Verantwortlichen, die zur Einreichung von Dokumenten aufgefordert werden.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, geltendes Recht erfordert dies
  • Sicherzustellen, dass alle zur Verarbeitung personenbezogener Daten befugten Personen Vertraulichkeitsverpflichtungen unterliegen
  • Angemessene technische und organisatorische Sicherheitsmaßnahmen gemäß DSGVO Art. 32 zu implementieren
  • Keine Unterauftragsverarbeiter ohne vorherige Zustimmung des Verantwortlichen einzusetzen; den Verantwortlichen mindestens 30 Tage vor dem Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters zu benachrichtigen
  • Den Verantwortlichen bei der Beantwortung von Betroffenenanfragen innerhalb von 10 Werktagen zu unterstützen
  • Den Verantwortlichen über Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Kenntniserlangung zu benachrichtigen, angestrebt innerhalb von 72 Stunden
  • Den Verantwortlichen bei Datenschutz-Folgenabschätzungen (DSFAs) zu unterstützen, soweit erforderlich
  • Alle personenbezogenen Daten bei Beendigung des Servicevertrags zu löschen oder zurückzugeben, nach Wahl des Verantwortlichen
  • Dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieses AVV erforderlich sind

6. Auftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung für die unten aufgeführten Auftragsverarbeiter. Der Auftragsverarbeiter wird den Verantwortlichen mindestens 30 Tage vor dem Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters benachrichtigen. Der Verantwortliche kann innerhalb von 14 Tagen widersprechen.

AuftragsverarbeiterZweckVerarbeitete DatenStandort
Hetzner Online GmbHAnwendungshosting, Datenbank, DateispeicherungAlle personenbezogenen DatenEU (Deutschland)
Mailgun (Sinch Email)Transaktionaler E-Mail-VersandEmpfängernamen, E-Mail-AdressenEU
Sentry (Functional Software Inc.)Fehlerüberwachung und AlarmierungNur Fehler-Metadaten (PII bereinigt)USA
Stripe, Inc.Abonnement-Abrechnung und ZahlungsabwicklungE-Mail, Name des Workspace-Eigentümers, PlanauswahlUSA (EU-Daten über Stripe EU-Infrastruktur)
Google LLC (Google Analytics 4)Website-Analyse (nur Marketingseiten)Anonymisierte IP, Seitenaufrufe, Gerätetyp (einwilligungsbasiert)USA

7. Datenaufbewahrung und Löschung

Der Auftragsverarbeiter bewahrt Daten für die in der Aufbewahrungsrichtlinie festgelegte Dauer auf (Standard: 90 Tage nach Abschluss der Anfrage). Der Verantwortliche kann Daten jederzeit über die Plattform löschen. Bei Kontolöschung werden alle Daten einschließlich hochgeladener Dateien dauerhaft gelöscht.

8. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter implementiert folgende technische und organisatorische Maßnahmen gemäß DSGVO Art. 32:

Zugangskontrollen:

  • Rollenbasierte Zugangskontrolle mit Eigentümer-, Admin- und Prüfer-Rollen pro Arbeitsbereich
  • JWT-Authentifizierung mit 15-minütigen Zugangs-Tokens, Refresh-Rotation und Sperrung bei Abmeldung
  • Optionale TOTP-basierte Zwei-Faktor-Authentifizierung (2FA) über Authenticator-Apps
  • Anmeldeversuch-Drosselung pro E-Mail+IP-Kombination zur Brute-Force-Prävention
  • Optionale Zugangscode-Verifizierung für das Empfängerportal mit Sperrung nach wiederholten Fehlversuchen
  • Admin-Zugang auf zugelassene IPs in der Produktion beschränkt

Transportsicherheit:

  • Alle Verbindungen über HTTPS/TLS 1.2+ mit modernen Cipher-Suiten (ECDHE, AES-GCM/CHACHA20) und HSTS-Preloading verschlüsselt
  • Browser-Sicherheitsheader: strenge CSP (kein unsafe-eval), X-Content-Type-Options, X-Frame-Options (DENY), Permissions-Policy, Referrer-Policy (no-referrer)
  • Magic-Link-Tokens vor Referrer-Leaks durch strenge Referrer-Policy geschützt

Datenschutz:

  • Magic-Link-Tokens nur als SHA-256-Hashes gespeichert — Rohtokens werden nie persistiert
  • Passwörter mit PBKDF2 gehasht, mindestens 10 Zeichen erforderlich und längenbegrenzt zur Prävention algorithmischer Komplexitätsangriffe
  • Datei-Upload-Validierung (5-stufig: Größe, Content-Type, Erweiterung, Magic-Byte, pro-Empfänger-Kontingente)
  • Automatische Datenaufbewahrungsdurchsetzung mit konfigurierbaren Bereinigungszeiträumen
  • Sichere Löschworkflows mit Wiederholungsmechanismen für fehlgeschlagene Dateientfernungen
  • Verschlüsselung im Ruhezustand über Hetzner verschlüsselte Volumes

Integrität und Verfügbarkeit:

  • SHA-256-Dateiintegritäts-Prüfsummen beim Upload gespeichert mit periodischer Verifizierung
  • Backup- und Wiederherstellungsverfahren dokumentiert mit definierten RPO/RTO-Zielen
  • CSV-Formel-Injection-Prävention bei allen Datenexporten
  • Container-Härtung mit Netzwerksegmentierung, abgelegten Berechtigungen und Minimalprivilegien-Prozessen

Sicherheitsüberwachung:

  • Anmeldeereignis-Audit-Protokollierung (IP-Adresse, Ergebnis, Zeitstempel)
  • Dokumenteinreichungen und Datenlöschungen mit Zeitstempeln protokolliert
  • Unveränderlicher Lösch-Audit-Trail für DSGVO-Rückverfolgbarkeit
  • Audit-Logs über Dashboard verfügbar und als CSV exportierbar
  • Hintergrundaufgaben-Gesundheitsüberwachung mit Alarmierung
  • Fehlerüberwachung mit PII-Bereinigung (keine Anfragetexte, Tokens oder Zugangsdaten übermittelt)

Hochgeladene Dateien werden automatisch mit ClamAV auf Viren gescannt. Keine Scanlösung ist zu 100 % wirksam; Verantwortliche sollten heruntergeladene Dateien dennoch überprüfen.

9. Datenstandort und internationale Übermittlungen

Personenbezogene Daten werden derzeit innerhalb der EU (Hetzner, Deutschland) verarbeitet und gespeichert. Bestimmte Unterauftragsverarbeiter (Stripe, Sentry, Google Analytics) können begrenzte Daten in den USA unter Standardvertragsklauseln (SCCs), genehmigt von der Europäischen Kommission, und dem EU-U.S. Data Privacy Framework verarbeiten.

10. Laufzeit und Kündigung

  • Dieser AVV gilt für die Dauer des Servicevertrags zwischen dem Auftragsverarbeiter und dem Verantwortlichen.
  • Bei Kündigung kann der Verantwortliche Daten für 30 Tage exportieren, danach werden alle Daten gemäß der Aufbewahrungsrichtlinie gelöscht.
  • Die Löschung umfasst alle Dateien, Antworten, Empfängerdaten und Benachrichtigungshistorie.

11. Haftung

Die Haftung jeder Partei unter diesem AVV unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen.

12. Anwendbares Recht

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.