Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen

dem Kunden der Norman-Plattform (nachfolgend „Verantwortlicher")

und

Norman AI GmbH Kolonnenstraße 8, 10827 Berlin, Deutschland E-Mail: compliance@norman.finance

(nachfolgend „Auftragsverarbeiter")

gemeinsam die „Parteien"


1. Gegenstand und Dauer

1.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Norman-Plattform und der damit verbundenen Dienstleistungen, wie in den Allgemeinen Geschäftsbedingungen unter norman.finance/terms-and-conditions beschrieben (der „Hauptvertrag").

1.2. Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Dieser AVV endet automatisch mit Beendigung des Hauptvertrags, vorbehaltlich der Pflichten aus Abschnitt 10.


2. Umfang, Art und Zweck der Verarbeitung

2.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der Leistungen im Rahmen des Hauptvertrags, insbesondere:

  • Erstellung und Abgabe von Steuererklärungen über ELSTER

  • Buchhaltungs- und Buchführungsdienstleistungen

  • Erstellung und Abgabe von Umsatzsteuervoranmeldungen

  • Dokumentenverwaltung und -speicherung

  • Rechnungsverarbeitung und -verwaltung

  • KI-gestützte Steuer- und Buchhaltungsanalyse

2.2. Die Verarbeitung umfasst das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen und Vernichten von personenbezogenen Daten.


3. Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten können verarbeitet werden:

  • Name, Anschrift, Geburtsdatum

  • E-Mail-Adresse, Telefonnummer

  • Steuerliche Identifikationsnummern (Steuer-ID, Steuernummer)

  • Bankverbindungsdaten (IBAN, BIC)

  • Einnahmen- und Ausgabendaten

  • Rechnungsdaten (einschließlich Namen, Adressen und Steuer-IDs der Kunden/Auftraggeber des Verantwortlichen)

  • Beschäftigungsdaten

  • Identitätsnachweisdokumente

  • Daten im Zusammenhang mit Steuererklärungen und -bescheiden

  • Sonstige personenbezogene Daten, die der Verantwortliche über die Plattform bereitstellt


4. Kategorien betroffener Personen

Die verarbeiteten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

  • Den Verantwortlichen (als Einzelperson, Freiberufler oder Vertreter einer juristischen Person)

  • Mitarbeiter des Verantwortlichen (sofern zutreffend)

  • Kunden und Auftraggeber des Verantwortlichen (wie in Rechnungen, Belegen und Buchhaltungsunterlagen enthalten)

  • Geschäftspartner und Lieferanten des Verantwortlichen


5. Pflichten des Auftragsverarbeiters

5.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen personenbezogener Daten in ein Drittland, es sei denn, er ist nach dem Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern dieses Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

5.2. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3. Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung) erforderlichen Maßnahmen, wie in Abschnitt 7 näher beschrieben.

5.4. Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Verantwortlichen zur Beantwortung von Anträgen auf Ausübung der Betroffenenrechte (Art. 15–22 DSGVO).

5.5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

5.6. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen – einschließlich Inspektionen – bei, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung seiner Ansicht nach gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.


6. Unterauftragsverarbeiter

6.1. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter einzusetzen. Die aktuelle Liste der Unterauftragsverarbeiter ist unter norman.finance/de/sub-processors verfügbar oder kann unter compliance@norman.finance angefordert werden.

6.2. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen damit die Möglichkeit, innerhalb von 14 Tagen nach Benachrichtigung Einspruch gegen solche Änderungen zu erheben. Erfolgt innerhalb dieser Frist kein Einspruch, gilt die Änderung als genehmigt.

6.3. Widerspricht der Verantwortliche einem neuen Unterauftragsverarbeiter aus berechtigten datenschutzrechtlichen Gründen, werden die Parteien in gutem Glauben eine Lösung besprechen. Kann keine Einigung erzielt werden, kann der Verantwortliche den Hauptvertrag mit Wirkung zum Zeitpunkt kündigen, zu dem der neue Unterauftragsverarbeiter mit der Verarbeitung beginnen würde.

6.4. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind, insbesondere hinsichtlich der Gewährleistung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

6.5. Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber vollständig für die Erfüllung der Pflichten des Unterauftragsverarbeiters.


7. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter implementiert und pflegt folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

a) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Rollenbasierte Zugriffskontrollen, Multi-Faktor-Authentifizierung, verschlüsselte Anmeldedaten

  • Zugriffskontrolle: Zugang zu personenbezogenen Daten auf autorisiertes Personal nach dem Need-to-know-Prinzip beschränkt

  • Trennungskontrolle: Logische Trennung von Daten verschiedener Verantwortlicher

b) Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Verschlüsselung der Daten bei Übertragung (TLS 1.2+)

  • Eingabekontrolle: Protokollierung von Dateneingabe-, Änderungs- und Löschungsaktivitäten

c) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle: Regelmäßige Backups, Disaster-Recovery-Verfahren, redundante Infrastruktur

  • Rasche Wiederherstellbarkeit: Dokumentierte Verfahren zur zeitnahen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall

d) Regelmäßige Überprüfung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)

  • Laufende Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen

  • Incident-Response-Management-Verfahren

e) Datenverschlüsselung

  • Verschlüsselung personenbezogener Daten im Ruhezustand (AES-256 oder gleichwertig)

  • Verschlüsselung personenbezogener Daten bei Übertragung (TLS 1.2+)


8. Meldung von Datenschutzverletzungen

8.1. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem er eine Verletzung des Schutzes personenbezogener Daten festgestellt hat. Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten

  • Die Kategorien und die ungefähre Zahl der betroffenen Personen

  • Die Kategorien und die ungefähre Zahl der betroffenen personenbezogenen Datensätze

  • Eine Beschreibung der voraussichtlichen Folgen der Verletzung

  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung

8.2. Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich der zugrundeliegenden Fakten, der Auswirkungen und der ergriffenen Abhilfemaßnahmen.


9. Datenübermittlung in Drittländer

9.1. Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) ohne vorherige schriftliche Zustimmung des Verantwortlichen, es sei denn, er ist dazu nach Unions- oder Mitgliedstaatsrecht verpflichtet.

9.2. Soweit Übermittlungen in Drittländer für die Erbringung der Dienstleistungen erforderlich sind, stellt der Auftragsverarbeiter ein angemessenes Datenschutzniveau sicher, beispielsweise durch:

  • Einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO)

  • Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

  • Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)

  • Das EU-U.S. Data Privacy Framework (sofern anwendbar)


10. Löschung und Rückgabe personenbezogener Daten

10.1. Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht des Mitgliedstaats eine Pflicht zur Speicherung der Daten besteht.

10.2. Der Auftragsverarbeiter bestätigt die Löschung auf Verlangen schriftlich.

10.3. Gesetzliche Aufbewahrungspflichten (z. B. nach deutschem Steuerrecht, in der Regel 6–10 Jahre) bleiben unberührt.


11. Kontrollrechte

11.1. Der Verantwortliche hat das Recht, Überprüfungen einschließlich Inspektionen durchzuführen, um die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Der Verantwortliche kündigt jede Überprüfung mit angemessener Frist an und führt solche Überprüfungen während der üblichen Geschäftszeiten mit minimaler Beeinträchtigung des Betriebs des Auftragsverarbeiters durch.

11.2. Der Auftragsverarbeiter kann Überprüfungsanfragen durch Vorlage einschlägiger Zertifizierungen, Prüfberichte (z. B. SOC 2, ISO 27001) oder anderer Nachweise der Einhaltung nachkommen, sofern diese ausreichend sind, um die Einhaltung nachzuweisen.


12. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO in Verbindung mit den Haftungsbestimmungen des Hauptvertrags.


13. Schlussbestimmungen

13.1. Im Falle eines Widerspruchs zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in Bezug auf Datenschutzangelegenheiten Vorrang.

13.2. Dieser AVV unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Berlin, Deutschland.

13.3. Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.

Inkrafttreten: Dieser AVV tritt mit Annahme der Allgemeinen Geschäftsbedingungen oder Nutzung der Norman-Plattform durch den Verantwortlichen in Kraft.

Norman AI GmbH Kolonnenstraße 8, 10827 Berlin, Deutschland
compliance@norman.finance

← Zurück zu Norman