Auftragsverarbeitungsvertrag

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Übersicht

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch NachweisHub im Auftrag unserer Kunden gemäß Art. 28 DSGVO.

  • DSGVO-konforme Datenverarbeitung
  • Nur EU-basierte Unterauftragsverarbeiter
  • Technische und organisatorische Sicherheitsmaßnahmen

Automatische Akzeptanz

Mit der Registrierung und Nutzung von NachweisHub akzeptieren Sie diesen Auftragsverarbeitungsvertrag automatisch. Eine separate schriftliche Unterschrift ist nicht erforderlich.

Rechtsgrundlage: Gemäß Art. 28 Abs. 9 DSGVO kann ein Auftragsverarbeitungsvertrag in elektronischer Form abgeschlossen werden. Das Schriftformerfordernis wird durch elektronische Mittel erfüllt (§ 126b BGB).

Für Ihre Unterlagen

Speichern Sie eine Kopie dieser Vereinbarung für Ihre Dokumentation.

§ 1 Vertragsparteien

Auftragsverarbeiter

Daniel Klose
Talstraße 62
55218 Ingelheim
Deutschland

E-Mail: daniel@nachweishub.de
Telefon: 0171/1656423

Verantwortlicher

Der Kunde, der einen Servicevertrag für NachweisHub abgeschlossen hat (nachfolgend „Verantwortlicher").

§ 2 Gegenstand und Dauer der Verarbeitung

Gegenstand

Der Auftragsverarbeiter stellt die SaaS-Plattform „NachweisHub" zur Dokumentenverwaltung bereit. In diesem Rahmen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Dauer

Die Verarbeitung beginnt mit der Registrierung für NachweisHub und endet mit der Beendigung des Servicevertrags. Nach Beendigung werden die Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung hochgeladener Dokumente (Bescheinigungen, Genehmigungen etc.)
  • Verwaltung von Geschäftskontaktdaten
  • Versand von E-Mail-Benachrichtigungen an Kontakte
  • Bearbeitung von Dokumentenanfragen
  • KI-basierte Dokumentenanalyse zur Typ- und Datumserkennung
  • E-Mail-Eingang für Dokumentenempfang
  • Compliance-Tracking und Berichterstattung

Der Zweck ist ausschließlich die Erbringung des NachweisHub-Dienstes wie in den AGB beschrieben.

§ 4 Arten personenbezogener Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Kontaktdaten

  • • Namen
  • • E-Mail-Adressen
  • • Telefonnummern
  • • Firmennamen
  • • Adressen

Dokumentendaten

  • • Dokumenteninhalte (Bescheinigungen, Genehmigungen)
  • • Gültigkeitsdaten
  • • Steuerrelevante Informationen (§13b-Bescheinigungen)
  • • Dokumenten-Metadaten

Nutzungsdaten

  • • Anmeldezeitstempel
  • • IP-Adressen
  • • Aktivitätsprotokolle

Kommunikationsdaten

  • • E-Mail-Inhalte (eingegangene E-Mails)
  • • Anfragenachrichten
  • • Benachrichtigungsverlauf

§ 5 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Personenkategorien:

  • Mitarbeiter des Verantwortlichen
  • Geschäftskontakte des Verantwortlichen (Subunternehmer, Partner, Lieferanten)
  • Ansprechpartner bei Geschäftspartnern
  • In hochgeladenen Dokumenten genannte Personen

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Sicherzustellen, dass zur Verarbeitung befugte Personen sich zur Vertraulichkeit verpflichtet haben
  • Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen (Sicherheit der Verarbeitung)
  • Den Verantwortlichen bei der Wahrung der Betroffenenrechte zu unterstützen (Art. 15-22 DSGVO)
  • Bei Datenschutz-Folgenabschätzungen zu unterstützen, falls erforderlich
  • Alle personenbezogenen Daten nach Ende der Leistung zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen
  • Alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind
  • Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung gegen Datenschutzvorschriften verstößt

§ 7 Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:

Laravel Cloud (Laravel LLC)

USA (EU-Datenverarbeitung)

Hosting

Plattform-Hosting, Datenbank, Speicher. Datenverarbeitung in der EU (Frankfurt).

Mailgun (Sinch Email)

USA (EU-Datenverarbeitung)

E-Mail

E-Mail-Versand und -Empfang. EU-Endpoint wird verwendet (api.eu.mailgun.net).

Mistral AI

Frankreich (EU)

KI-Analyse

Dokumenten-OCR und Typerkennung. Datenverarbeitung in der EU. Keine Datenspeicherung durch Mistral.

Stripe Payments Europe

Irland (EU)

Zahlungen

Zahlungsabwicklung und Abonnementverwaltung. PCI-DSS-konform.

Userlike UG

Deutschland (EU)

Support

Live-Chat-Support-Widget. Nur mit Nutzereinwilligung aktiv.

LinkedIn Ireland

Irland (EU)

Marketing

Conversion-Tracking und Zielgruppenbildung für LinkedIn Ads. Nur mit Nutzereinwilligung aktiv.

Hinweis: Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informieren und ihm so die Möglichkeit geben, gegen solche Änderungen Einspruch zu erheben.

§ 8 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt folgende Sicherheitsmaßnahmen gemäß Art. 32 DSGVO um:

Zugangskontrolle

  • • Zwei-Faktor-Authentifizierung verfügbar (TOTP, WebAuthn, E-Mail-OTP)
  • • Rollenbasierte Zugriffskontrolle (Admin, Mitglied)
  • • Automatischer Sitzungsablauf
  • • Starke Passwortanforderungen

Verschlüsselung

  • • TLS/SSL-Verschlüsselung für alle Daten während der Übertragung
  • • Verschlüsselung ruhender Daten
  • • Signierte URLs für Dokumentenzugriff (10 Minuten Gültigkeit)

Datentrennung

  • • Multi-Tenant-Architektur mit strikter Datenisolierung
  • • Daten jedes Kunden in separaten logischen Partitionen
  • • Dokumentenspeicherung auf Unternehmensebene

Verfügbarkeit & Wiederherstellung

  • • Automatisierte Backups
  • • CDN mit DDoS-Schutz
  • • Hochverfügbare Infrastruktur
  • • Anwendungsüberwachung (Laravel Nightwatch)

§ 9 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Dies umfasst:

  • Einholung von Informationen und Nachweisen über die umgesetzten technischen und organisatorischen Maßnahmen
  • Durchführung von Inspektionen während der regulären Geschäftszeiten mit angemessener Vorankündigung
  • Beauftragung von Prüfungen durch unabhängige Prüfer

Der Auftragsverarbeiter wird bei jeder Prüfung kooperieren und alle erforderlichen Informationen bereitstellen. Die Kosten für Prüfungen trägt der Verantwortliche, es sei denn, die Prüfung deckt erhebliche Compliance-Verstöße auf.

§ 10 Beendigung und Datenrückgabe

Bei Beendigung des Servicevertrags:

  • Der Verantwortliche hat 30 Tage Zeit, alle Daten über die Plattform zu exportieren
  • Der Auftragsverarbeiter wird alle personenbezogenen Daten innerhalb von 30 Tagen nach der Exportfrist löschen
  • Backups werden gemäß der regulären Backup-Rotation gelöscht (max. 90 Tage)
  • Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, werden entsprechend aufbewahrt und dann gelöscht

Auf Anfrage wird der Auftragsverarbeiter die Löschung schriftlich bestätigen.

Version: 1.0
Gültig ab: Februar 2026

Cookie-Einstellungen

Wir verwenden Cookies, um Ihre Erfahrung zu verbessern. Einige sind für die Funktion der Website unerlässlich, während andere uns helfen zu verstehen, wie Sie unsere Website nutzen.

Cookie-Einstellungen

Verwalten Sie Ihre Cookie-Einstellungen unten. Sie können verschiedene Arten von Cookies aktivieren oder deaktivieren.

Notwendige Cookies

Immer aktiv

Diese Cookies sind für das ordnungsgemäße Funktionieren der Website unerlässlich. Sie ermöglichen Kernfunktionen wie Sicherheit, Sitzungsverwaltung und Barrierefreiheit. Sie können diese Cookies nicht deaktivieren.

  • • Sitzungs-Cookies für den Anmeldestatus
  • • CSRF-Schutz-Token
  • • Zwei-Faktor-Authentifizierungs-Vertrauen

Funktionale Cookies

Diese Cookies ermöglichen erweiterte Funktionen und Personalisierung, wie z.B. Live-Chat-Support. Wenn Sie diese deaktivieren, funktionieren einige Funktionen möglicherweise nicht richtig.

  • • Userlike Live-Chat-Widget

Analyse-Cookies

Diese Cookies helfen uns zu verstehen, wie Besucher mit unserer Website interagieren, indem sie Informationen anonym sammeln und melden.

  • • Google Analytics (Nutzungsstatistiken)

Marketing-Cookies

Diese Cookies werden verwendet, um Besucher über Websites hinweg zu verfolgen und relevante Werbung anzuzeigen.

  • • LinkedIn Insight Tag (Conversion-Tracking, Zielgruppenbildung)