← Zurück zu Asorio
Auftragsverarbeitungsvertrag (AV-Vertrag)
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen:
Auftraggeber: Der Nutzer von Asorio (Etsy-Verkäufer, nachfolgend „Auftraggeber")
Auftragsverarbeiter: Der Anbieter von Asorio (nachfolgend „Auftragnehmer")
§ 1 Gegenstand und Dauer
- Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten
dessen Kunden (Käufer) zum Zweck der automatisierten Rechnungserstellung aus
Etsy-Bestellungen.
- Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags
(SaaS-Abonnement). Der Vertrag endet automatisch mit Kündigung des Dienstes.
- Dieser AV-Vertrag ist Bestandteil der AGB und wird mit der
Registrierung bei Asorio wirksam.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst:
- Automatisierte Übernahme von Bestelldaten aus der Etsy-API
- Erstellung von Rechnungen (PDF) gemäß § 14 UStG
- Speicherung der Rechnungen und zugehöriger Daten
- Versand von Rechnungen per E-Mail an Käufer (auf Weisung des Auftraggebers)
- Export von Rechnungsdaten für die Buchhaltung
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Stammdaten: Name, Anschrift der Käufer
- Kontaktdaten: E-Mail-Adresse der Käufer
- Bestelldaten: Bestellnummer, Bestellpositionen, Mengen, Preise
- Rechnungsdaten: Rechnungsnummer, Beträge, Steuersätze, Zahlungsstatus
- Versanddaten: Lieferadresse (sofern abweichend)
§ 4 Kategorien betroffener Personen
Betroffene Personen sind die Kunden (Käufer) des Auftraggebers, die über die
Plattform Etsy Bestellungen getätigt haben und für die Rechnungen erstellt werden.
§ 5 Pflichten des Auftragsverarbeiters
- Weisungsgebundenheit: Der Auftragnehmer verarbeitet personenbezogene Daten
ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung des Dienstes stellt
die Weisung dar. Weitergehende Weisungen können schriftlich oder per E-Mail erteilt werden.
- Vertraulichkeit: Der Auftragnehmer stellt sicher, dass sich alle mit der
Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet haben oder einer
angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
- Technische und organisatorische Maßnahmen: Der Auftragnehmer trifft die
in § 7 dieses Vertrags beschriebenen TOMs und erhält diese aufrecht.
- Unterstützung: Der Auftragnehmer unterstützt den Auftraggeber bei der
Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.) durch geeignete
technische und organisatorische Maßnahmen.
- Meldepflichten: Der Auftragnehmer unterstützt den Auftraggeber bei der
Einhaltung seiner Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung,
Meldepflichten).
- Löschung: Nach Beendigung der Verarbeitung löscht der Auftragnehmer alle
personenbezogenen Daten gemäß § 8 dieses Vertrags.
- Nachweispflicht: Der Auftragnehmer stellt dem Auftraggeber alle
erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten
Pflichten zur Verfügung.
§ 6 Unterauftragsverarbeiter
Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
| Dienst | Zweck | Standort |
|---|
| Hosting-Anbieter | Server-Infrastruktur, Datenbank | Deutschland |
| S3-kompatibler Storage | Speicherung von Rechnungs-PDFs | EU |
| SMTP-Provider | Versand von Rechnungen per E-Mail | EU |
| LemonSqueezy | Zahlungsabwicklung | USA |
| Etsy (Etsy Inc.) | Bestelldaten-Synchronisation | USA |
- Änderungen bei Unterauftragsverarbeitern werden dem Auftraggeber mindestens 30 Tage
vor dem geplanten Einsatz per E-Mail oder im Dienst mitgeteilt.
- Der Auftraggeber kann dem Einsatz eines neuen Unterauftragsverarbeiters innerhalb von
14 Tagen nach Mitteilung widersprechen. Bei Widerspruch hat der Anbieter das Recht,
den Vertrag zum Änderungszeitpunkt zu kündigen.
- Der Auftragnehmer stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge
nach Art. 28 Abs. 4 DSGVO bestehen. Für Datenübermittlungen in die USA gelten die
EU-Standardvertragsklauseln.
§ 7 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:
7.1 Zutrittskontrolle
- Server werden in einem professionellen Rechenzentrum in Deutschland betrieben
- Physischer Zugang nur für autorisiertes Rechenzentrumspersonal
7.2 Zugangskontrolle
- Zugang zum Server ausschließlich über SSH-Key-Authentifizierung
- Kein direkter Root-Zugang
- Regelmäßige Sicherheitsupdates des Betriebssystems
7.3 Zugriffskontrolle
- Multi-Tenant-Isolation: Jeder Nutzer sieht ausschließlich seine eigenen Daten
- Session-basierte Authentifizierung mit signierten Cookies
- Automatische Session-Invalidierung
7.4 Trennbarkeit
- Strikte Datentrennung durch
tenant_id auf Datenbankebene
- Jede Datenbankabfrage ist auf den jeweiligen Tenant beschränkt
7.5 Verschlüsselung
- TLS/HTTPS-Verschlüsselung für alle Datenübertragungen
- Signierte Session-Cookies (kein Klartext)
- OAuth-Tokens werden verschlüsselt in der Datenbank gespeichert
7.6 Verfügbarkeit
- Regelmäßige Backups der Datenbank
- Docker-basiertes Deployment für schnelle Wiederherstellung
- Monitoring der Dienstverfügbarkeit
7.7 Belastbarkeit
- Rate Limiting zum Schutz vor Überlastung und Missbrauch
- Request-Size-Limits zum Schutz vor übergroßen Anfragen
§ 8 Löschung nach Vertragsende
- Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle im Auftrag
verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen.
- Ausgenommen sind Daten, für die gesetzliche Aufbewahrungspflichten bestehen
(insbesondere § 147 AO: 10 Jahre für Rechnungsdaten). Diese werden nach Ablauf der
gesetzlichen Frist gelöscht.
- Der Auftragnehmer bestätigt die vollständige Löschung auf Verlangen des Auftraggebers.
§ 9 Kontrollrechte des Auftraggebers
- Der Auftraggeber hat das Recht, die Einhaltung dieses AV-Vertrags und der TOMs zu
überprüfen. Dies kann durch Anforderung von Informationen, Nachweisen oder — in
begründeten Fällen — durch Inspektionen erfolgen.
- Der Auftragnehmer stellt die für eine Überprüfung erforderlichen Informationen
zur Verfügung und ermöglicht Überprüfungen nach angemessener Vorankündigung.
- Die Kosten einer Überprüfung trägt der Auftraggeber, sofern kein Verstoß
festgestellt wird.
§ 10 Datenschutzverletzungen
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens
jedoch innerhalb von 72 Stunden nach Kenntnisnahme, über jede Verletzung
des Schutzes personenbezogener Daten.
- Die Meldung enthält mindestens:
- Art der Datenschutzverletzung
- Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen der Verletzung
- Ergriffene und vorgeschlagene Maßnahmen zur Behebung und Schadensbegrenzung
- Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner
Meldepflichten gemäß Art. 33 und 34 DSGVO.
§ 11 Schlussbestimmungen
- Dieser AV-Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.
- Änderungen dieses Vertrags bedürfen der Textform.
- Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die
Wirksamkeit der übrigen Bestimmungen davon unberührt.
- Im Falle von Widersprüchen zwischen diesem AV-Vertrag und den AGB gehen die
Bestimmungen dieses AV-Vertrags bezüglich des Datenschutzes vor.
Stand: März 2026