Dieser Auftragsverarbeitungsvertrag (AVV) regelt die datenschutzrechtliche Beziehung zwischen dem Kunden als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO und OrgPOS als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO bei der Nutzung der OrgPOS-Kassensoftware.
§ 1 Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter erbringt für den Verantwortlichen folgende Leistungen: Bereitstellung einer webbasierten, GoBD-konformen Kassensoftware (SaaS) unter orgpos.de, einschließlich Datenspeicherung, TSE-Anbindung und Exportfunktionen.
Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des Nutzungsvertrags. Nach Beendigung des Vertrags werden personenbezogene Daten nach Ablauf der Aufbewahrungsfrist gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (GoBD: 10 Jahre) entgegenstehen.
§ 2 Art und Zweck der Verarbeitung
| Merkmal | Beschreibung |
|---|---|
| Zweck | Bereitstellung und Betrieb der OrgPOS-Kassensoftware; Speicherung von Kassenbucheinträgen, Rechnungen und Auswertungen; TSE-Fiskalisierung; Zahlungsabwicklung |
| Art der Verarbeitung | Erhebung, Speicherung, Verwendung, Übermittlung, Verknüpfung, Löschung (soweit gesetzlich zulässig) |
| Kategorien betroffener Personen | Kunden des Verantwortlichen (Endkunden der Kassenbuchungen), Mitarbeiter des Verantwortlichen, der Verantwortliche selbst |
| Kategorien personenbezogener Daten | Name, E-Mail-Adresse, Adressdaten (Rechnungskunden); Zahlungsdaten (via Stripe, nicht direkt gespeichert); Buchungsdaten (Betrag, Datum, Artikel); Login-Daten (E-Mail, gehashtes Passwort); IP-Adresse, Browser-Informationen |
§ 3 Pflichten des Auftragsverarbeiters
OrgPOS (Auftragsverarbeiter) verpflichtet sich:
- Personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten – es sei denn, eine gesetzliche Verpflichtung erfordert eine anderweitige Verarbeitung (Art. 28 Abs. 3 lit. a DSGVO)
- Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
- Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen (TOMs) zu ergreifen – siehe § 6 dieses Vertrags
- Die in § 7 genannten Unterauftragsverarbeiter nur unter den Bedingungen der Art. 28 Abs. 2 und 4 DSGVO einzusetzen
- Den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO (Datensicherheit, Meldepflichten, DSFA) zu unterstützen
- Alle Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen zu ermöglichen
§ 4 Pflichten des Verantwortlichen
Der Verantwortliche (Kunde) verpflichtet sich:
- Alle zur Verarbeitung notwendigen Weisungen schriftlich oder per E-Mail zu erteilen
- Alle korrekten Stammdaten (Firmenname, Adresse, Steuernummer) in OrgPOS zu pflegen
- Die TSE zu aktivieren und regelmäßig auf Funktionsfähigkeit zu prüfen
- Korrekte Steuersätze für alle Artikel einzutragen
- Betroffenenrechte (Auskunft, Löschung, Berichtigung) gegenüber seinen eigenen Kunden selbst wahrzunehmen
- Sicherzustellen, dass das Personal über die datenschutzrechtlichen Anforderungen informiert ist
§ 5 Datenpannen und Meldepflichten
Im Falle einer Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) informiert OrgPOS den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden.
Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien, betroffene Personen, wahrscheinliche Folgen, ergriffene Maßnahmen.
Die Pflicht zur Meldung einer Datenpanne an die zuständige Aufsichtsbehörde (LfDI Baden-Württemberg) obliegt dem Verantwortlichen.
§ 6 Technische und Organisatorische Maßnahmen (TOMs)
OrgPOS hat gemäß Art. 32 DSGVO folgende TOMs implementiert:
| Maßnahmenkategorie | Konkrete Maßnahme |
|---|---|
| Vertraulichkeit | |
| Zugangskontrolle | Passwortschutz mit bcrypt (Cost 12); Session-Timeout nach 24 Stunden; serverseitige Sessions (kein localStorage) |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept (Admin / Mitarbeiter); User-ID-Validierung bei jedem API-Aufruf |
| Trennungskontrolle | Mandantentrennung durch user_id auf allen Tabellen; kein Datenzugriff zwischen verschiedenen Kunden |
| Pseudonymisierung | Keine Klarnamen in Log-Dateien; IP-Adressen nur im Audit-Log |
| Integrität | |
| Weitergabekontrolle | HTTPS/TLS-Verschlüsselung auf allen Verbindungen; keine unverschlüsselte Datenübertragung |
| Eingabekontrolle | Unveränderliches Audit-Log (kasse_audit_log); alle Änderungen mit Vorher/Nachher-Werten protokolliert |
| GoBD-Unveränderbarkeit | Kein DELETE auf Kasseneinträge; kein UPDATE auf abgeschlossene Belege; lückenlose Belegnummern via atomarer Transaktionen |
| Verfügbarkeit & Belastbarkeit | |
| Datensicherung | Tägliche automatische Backups; IONOS-Infrastruktur Deutschland; Backups verschlüsselt |
| Verfügbarkeit | Hosting bei IONOS SE (SLA); Ziel-Verfügbarkeit 99 % monatlich |
| Wiederherstellung | Wiederherstellungstest der Backups regelmäßig |
| Überprüfbarkeit | |
| Auftragskontrolle | AVV mit allen Unterauftragsverarbeitern; Dokumentation der Datenflüsse |
| Datenschutzkontrolle | Unveränderliches Audit-Log für alle Datenverarbeitungsvorgänge; GoBD-Export für Behörden |
§ 7 Unterauftragsverarbeiter
OrgPOS setzt folgende Unterauftragsverarbeiter ein. Mit allen besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO:
| Dienstleister | Zweck | Sitz | Datenschutz |
|---|---|---|---|
| IONOS SE | Webhosting, Datenbank, Backups | Deutschland (Montabaur) | ionos.de |
| fiskaly GmbH | Cloud-TSE (BSI-zertifiziert nach TR-03153) | Deutschland (Berlin) | fiskaly.com |
| Stripe Inc. | Zahlungsabwicklung (Kreditkarte, SEPA) | USA / Irland (EU-Niederlassung) | stripe.com |
| OrgPlace (Michael Müller) | Plattform-Synchronisation Kundenstammdaten | Deutschland (Karlsruhe) | orgplace.de |
Der Verantwortliche stimmt dem Einsatz der oben genannten Unterauftragsverarbeiter mit Abschluss dieses Vertrags generell zu. OrgPOS informiert über geplante Änderungen bei Unterauftragsverarbeitern mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.
§ 8 Betroffenenrechte
OrgPOS unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) durch technische Funktionen im Dashboard (Datenexport, Kontoeinstellungen).
§ 9 Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Nutzungsvertrags stellt OrgPOS dem Verantwortlichen alle Daten für einen Zeitraum von 30 Tagen zum Export zur Verfügung. Danach werden personenbezogene Daten unwiderruflich gelöscht, mit Ausnahme von Daten, die der gesetzlichen 10-jährigen Aufbewahrungspflicht unterliegen.
Auf schriftlichen Wunsch des Verantwortlichen bestätigt OrgPOS die erfolgte Löschung.
§ 10 Laufzeit und Kündigung
Dieser AVV ist mit dem Nutzungsvertrag verknüpft und tritt mit dessen Abschluss in Kraft. Er endet automatisch mit Beendigung des Nutzungsvertrags. Die Regelungen zur Aufbewahrung und Löschung bleiben nach Vertragsende wirksam.
§ 11 Schlussbestimmungen
Für diesen Vertrag gilt deutsches Recht. Gerichtsstand ist Karlsruhe.
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Änderungen dieses Vertrags bedürfen der Schriftform oder der Textform (E-Mail).
Bestätigung und Unterschrift
Durch Unterzeichnung bestätigen beide Parteien, diesen Auftragsverarbeitungsvertrag gelesen und verstanden zu haben und erkennen ihn als rechtsverbindlich an. Alternativ gilt der AVV mit Abschluss des OrgPOS-Nutzungsvertrags als elektronisch akzeptiert (Checkbox bei Registrierung).
Eggenstein-Leopoldshafen, –