Auftragsverarbeitungsvertrag (AVV)
Dieser Auftragsverarbeitungsvertrag („AVV“) gemäß Art. 28 DSGVO wird geschlossen zwischen dem Kunden der Norman-Plattform (im Folgenden „Verantwortlicher“) und der Norman AI GmbH, Kolonnenstr. 8, 10827 Berlin, Deutschland, E-Mail: compliance@norman.finance (im Folgenden „Auftragsverarbeiter“) — gemeinsam die „Parteien“.
1. Gegenstand und Dauer
1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Norman-Plattform und der zugehörigen Dienste, wie in den Allgemeinen Geschäftsbedingungen unter https://norman.finance/de/terms-and-conditions beschrieben (der „Hauptvertrag“).
1.2 Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Dieser AVV endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten aus Abschnitt 10.
2. Umfang, Art und Zweck der Verarbeitung
2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der Leistungen aus dem Hauptvertrag, insbesondere:
– Erstellung und Übermittlung von Steuererklärungen über ELSTER
– Buchführungs- und Buchhaltungsleistungen
– Erstellung und Übermittlung von Umsatzsteuervoranmeldungen
– Dokumentenverwaltung und -speicherung
– Rechnungsverarbeitung und -verwaltung
– KI-gestützte Steuer- und Buchhaltungsanalyse
2.2 Die Verarbeitung umfasst das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten.
3. Arten personenbezogener Daten
Folgende Arten personenbezogener Daten können verarbeitet werden:
– Name, Anschrift, Geburtsdatum
– E-Mail-Adresse, Telefonnummer
– Steuerliche Identifikationsnummern (Steuer-ID, Steuernummer)
– Bankverbindungsdaten (IBAN, BIC)
– Einnahmen- und Ausgabendaten
– Rechnungsdaten (einschließlich Namen, Anschriften und Steuernummern der Kunden des Verantwortlichen)
– Beschäftigtendaten
– Dokumente zur Identitätsprüfung
– Daten im Zusammenhang mit Steuererklärungen und Steuerbescheiden
– Sonstige personenbezogene Daten, die der Verantwortliche über die Plattform bereitstellt
4. Kategorien betroffener Personen
Die Verarbeitung personenbezogener Daten betrifft folgende Kategorien betroffener Personen:
– den Verantwortlichen (als Einzelperson, Freiberufler oder Vertreter einer juristischen Person)
– Beschäftigte des Verantwortlichen (sofern zutreffend)
– Kunden und Auftraggeber des Verantwortlichen (soweit in Rechnungen, Belegen und Buchhaltungsunterlagen enthalten)
– Geschäftspartner und Lieferanten des Verantwortlichen
5. Pflichten des Auftragsverarbeiters
5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
5.2 Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung) erforderlichen Maßnahmen, wie in Abschnitt 7 näher beschrieben.
5.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Art. 15–22 DSGVO) nachzukommen.
5.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten.
5.6 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und unterstützt Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
6. Unterauftragsverarbeiter
6.1 Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Die aktuelle Liste der Unterauftragsverarbeiter ist unter https://norman.finance/sub-processors abrufbar oder auf Anfrage unter compliance@norman.finance erhältlich.
6.2 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen damit die Möglichkeit, innerhalb von 14 Tagen nach Benachrichtigung Einspruch gegen diese Änderungen zu erheben. Erfolgt innerhalb dieser Frist kein Einspruch, gilt die Änderung als genehmigt.
6.3 Erhebt der Verantwortliche aus berechtigten Datenschutzgründen Einspruch gegen einen neuen Unterauftragsverarbeiter, suchen die Parteien nach Treu und Glauben eine Lösung. Kann keine Lösung gefunden werden, kann der Verantwortliche den Hauptvertrag mit Wirkung zu dem Zeitpunkt kündigen, zu dem der neue Unterauftragsverarbeiter die Verarbeitung aufnehmen würde.
6.4 Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind, insbesondere hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
6.5 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters.
7. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter ergreift und unterhält folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
a) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
– Zugangskontrolle: Rollenbasierte Zugriffskontrollen, Multi-Faktor-Authentifizierung, verschlüsselte Zugangsdaten
– Zugriffskontrolle: Zugriff auf personenbezogene Daten ist auf befugtes Personal nach dem Need-to-know-Prinzip beschränkt
– Trennungskontrolle: Logische Trennung der Daten verschiedener Verantwortlicher
b) Integrität (Art. 32 Abs. 1 lit. b DSGVO)
– Weitergabekontrolle: Verschlüsselung der Daten bei der Übertragung (TLS 1.2+)
– Eingabekontrolle: Protokollierung von Eingabe, Änderung und Löschung von Daten
c) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
– Verfügbarkeitskontrolle: Regelmäßige Backups, Disaster-Recovery-Verfahren, redundante Infrastruktur
– Rasche Wiederherstellbarkeit: Dokumentierte Verfahren zur zeitnahen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall
d) Regelmäßige Überprüfung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)
– Laufende Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen
– Verfahren zum Incident-Response-Management
e) Datenverschlüsselung
– Verschlüsselung personenbezogener Daten im Ruhezustand (AES-256 oder gleichwertig)
– Verschlüsselung personenbezogener Daten bei der Übertragung (TLS 1.2+)
8. Meldung von Datenschutzverletzungen
8.1 Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, nachdem er davon Kenntnis erlangt hat. Die Meldung enthält mindestens:
– eine Beschreibung der Art der Verletzung
– die Kategorien und die ungefähre Zahl der betroffenen Personen
– die Kategorien und die ungefähre Zahl der betroffenen Datensätze
– eine Beschreibung der wahrscheinlichen Folgen der Verletzung
– eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung
8.2 Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich der damit zusammenhängenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.
9. Datenübermittlung in Drittländer
9.1 Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht ohne vorherige schriftliche Genehmigung des Verantwortlichen in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR), es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet.
9.2 Soweit Übermittlungen in Drittländer für die Erbringung der Leistungen erforderlich sind, stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, beispielsweise durch:
– einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO)
– EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
– verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
– das EU-U.S. Data Privacy Framework (soweit anwendbar)
10. Löschung und Rückgabe personenbezogener Daten
10.1 Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht das Recht der Union oder der Mitgliedstaaten eine Speicherung der personenbezogenen Daten vorschreibt.
10.2 Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.
10.3 Gesetzliche Aufbewahrungspflichten (z. B. nach deutschem Steuerrecht, in der Regel 8 bzw. 10 Jahre) bleiben unberührt.
11. Prüfrechte
11.1 Der Verantwortliche hat das Recht, Überprüfungen — einschließlich Inspektionen — durchzuführen, um die Einhaltung dieses AVV durch den Auftragsverarbeiter zu kontrollieren. Der Verantwortliche kündigt Überprüfungen mit angemessener Frist an und führt sie während der üblichen Geschäftszeiten mit möglichst geringer Beeinträchtigung des Geschäftsbetriebs des Auftragsverarbeiters durch.
11.2 Der Auftragsverarbeiter kann Prüfanfragen durch Vorlage einschlägiger Zertifizierungen, Prüfberichte (z. B. SOC 2, ISO 27001) oder sonstiger Compliance-Nachweise erfüllen, soweit diese zum Nachweis der Einhaltung ausreichen.
12. Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO in Verbindung mit den Haftungsregelungen des Hauptvertrags.
13. Schlussbestimmungen
13.1 Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in Bezug auf Datenschutzfragen Vorrang.
13.2 Dieser AVV unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Berlin, Deutschland.
13.3 Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
Wirksamkeit: Dieser AVV wird mit der Annahme der Allgemeinen Geschäftsbedingungen durch den Verantwortlichen oder mit der Nutzung der Norman-Plattform wirksam.
Norman AI GmbH, Kolonnenstr. 8, 10827 Berlin, Deutschland — compliance@norman.finance