Vereinbarung zur Auftragsverarbeitung (AVV)
gemäß Art. 28 DSGVO — Stand: 12. Juni 2026
zwischen dem jeweiligen Kunden der Software „Operix" (nachfolgend „Verantwortlicher") und
Nico Maurer — Form-3d, St.-Georg-Siedlung 12, 83043 Bad Aibling, E-Mail: 3ddrucknm@gmail.com (nachfolgend „Auftragsverarbeiter").
Diese Vereinbarung wird Vertragsbestandteil des Nutzungsvertrags über die Software Operix (siehe AGB) und gilt mit dessen Abschluss als vereinbart. Auf Wunsch wird sie beidseitig in Textform gegengezeichnet (Anfrage an 3ddrucknm@gmail.com).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen die mandantenfähige ERP-Software Operix als Software as a Service bereit und verarbeitet dabei personenbezogene Daten, die der Verantwortliche in die Software einspeist oder über angebundene Schnittstellen importiert, ausschließlich in dessen Auftrag und nach dessen Weisung (Art. 4 Nr. 8, Art. 28 DSGVO).
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.
§ 2 Art und Zweck der Verarbeitung
Erhebung, Speicherung, Anzeige, Übermittlung an angebundene Marktplätze und Versanddienstleister, Sicherung und Löschung personenbezogener Daten zum Zweck der Abwicklung des E-Commerce-Geschäfts des Verantwortlichen (Artikel-, Auftrags-, Lager-, Versand-, Rechnungs- und Kundenverwaltung).
§ 3 Kategorien betroffener Personen und Datenarten
| Betroffene | Datenarten |
|---|---|
| Endkunden des Verantwortlichen (Käufer) | Name, Liefer-/Rechnungsanschrift, E-Mail-Adresse, Telefonnummer, Bestell- und Zahlungsdaten, Sendungsnummern, Käufernachrichten |
| Mitarbeiter/Benutzer des Verantwortlichen | Name, E-Mail-Adresse, Benutzerrolle, Anmeldedaten (Passwort-Hash), Protokolldaten |
| Lieferanten/Händler des Verantwortlichen | Name, E-Mail-Adresse, Korrespondenz, Belegdaten |
§ 4 Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen — die Nutzung der Softwarefunktionen durch den Verantwortlichen gilt als Weisung; abweichende Weisungen bedürfen der Textform.
- Verpflichtung aller mit der Verarbeitung befassten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
- Umsetzung der technischen und organisatorischen Maßnahmen nach Anlage 1 (Art. 32 DSGVO).
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) — die Software stellt hierfür Export-, Berichtigungs-, Lösch- und Anonymisierungsfunktionen bereit.
- Unterstützung bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
- Unverzügliche Information des Verantwortlichen — spätestens innerhalb von 72 Stunden — bei Verletzungen des Schutzes personenbezogener Daten, die dessen Daten betreffen.
- Information des Verantwortlichen, wenn eine Weisung nach Einschätzung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
- Nach Vertragsende: Löschung aller personenbezogenen Daten nach Ablauf der 30-tägigen Exportfrist (vgl. AGB § 10 Abs. 4), sofern keine gesetzliche Aufbewahrungspflicht besteht; auf Wunsch vorab Herausgabe über die Exportfunktionen.
- Bereitstellung aller zum Nachweis der Pflichten erforderlichen Informationen und Ermöglichung von Überprüfungen (§ 7).
§ 5 Unterauftragsverarbeiter (Art. 28 Abs. 2, 4 DSGVO)
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen mindestens 4 Wochen im Voraus in Textform; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
(2) Mit jedem Unterauftragsverarbeiter werden Verträge geschlossen, die die Pflichten dieser Vereinbarung weitergeben.
§ 6 Ort der Verarbeitung und Drittlandtransfer
(1) Die Verarbeitung der Anwendungsdaten erfolgt ausschließlich auf Servern in Deutschland (Rechenzentrum Hetzner, Anlage 2).
(2) Eine Übermittlung in Drittländer findet nur statt, soweit der Verantwortliche selbst Schnittstellen zu Drittanbietern (z. B. Marktplätze wie eBay oder Amazon, Versanddienstleister, Dropshipping-Anbieter) aktiviert; diese Anbieter sind eigenständige Verantwortliche und nicht Unterauftragsverarbeiter. Für die E-Mail-Kommunikation gilt Anlage 2 (Google, EU-US Data Privacy Framework).
§ 7 Kontrollrechte
Der Verantwortliche kann sich vor Beginn und während der Verarbeitung von der Einhaltung dieser Vereinbarung überzeugen — vorrangig durch Einholung von Auskünften und Nachweisen in Textform; Vor-Ort-Kontrollen nach Terminabstimmung zu üblichen Geschäftszeiten, sofern Auskünfte nicht ausreichen.
§ 8 Haftung und Schlussbestimmungen
(1) Für die Haftung gilt Art. 82 DSGVO sowie ergänzend die Haftungsregelung der AGB (§ 8).
(2) Es gilt deutsches Recht. Bei Widersprüchen zwischen dieser Vereinbarung und den AGB geht diese Vereinbarung in datenschutzrechtlichen Fragen vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Vereinbarung im Übrigen wirksam.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Zutritts-/Zugangskontrolle
- Server in ISO-27001-zertifiziertem Rechenzentrum (Hetzner, Deutschland)
- Serverzugriff ausschließlich per SSH mit Schlüssel-Authentifizierung; Administrationszugänge zusätzlich über privates VPN (Tailscale) abgesichert
- Login-Pflicht mit bcrypt-gehashten Passwörtern, Rate-Limiting gegen Brute-Force
Zugriffskontrolle und Trennungsgebot
- Rollen- und Rechtesystem (admin, manager, warehouse, shipping, readonly)
- Strikte Mandantentrennung: jede Datenbankabfrage ist an die Mandanten-ID gebunden; zusätzliche Absicherung auf Datenbankebene (Row-Level-Security)
- Audit-Log für sicherheits- und buchhaltungsrelevante Aktionen
Übertragungs- und Eingabekontrolle
- Sämtliche Verbindungen ausschließlich verschlüsselt: HTTPS/TLS für Browser-Zugriff, TLS für alle API-Anbindungen (eBay, Amazon, Versand, Dropshipping)
- Authentifizierung gegenüber Marktplatz-APIs über OAuth2-Token; Zugangsdaten werden nicht im Klartext protokolliert
- CSRF-Schutz, Security-Header (CSP, HSTS, X-Frame-Options)
Verfügbarkeitskontrolle
- Tägliche automatische Datensicherungen, Aufbewahrung mind. 7 Tage, zusätzlich räumlich getrenntes Offsite-Backup
- Container-Isolation (Docker), Healthchecks, Monitoring
Verfahren zur Überprüfung
- Regelmäßige Sicherheitsaudits und dokumentierte Änderungsprozesse (Änderungsprotokoll nach GoBD)
Anlage 2 — Genehmigte Unterauftragsverarbeiter
| Unternehmen | Sitz | Leistung | Garantien |
|---|---|---|---|
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen | Deutschland | Server-Hosting (Serverstandort Deutschland) | AVV nach Art. 28 DSGVO, ISO 27001 |
| Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 | Irland (EU) | E-Mail-Kommunikation (Gmail) für Support und Systemnachrichten | AVV nach Art. 28 DSGVO; für US-Transfers: EU-US Data Privacy Framework (Art. 45 DSGVO) |
| Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA | USA | DNS-Verwaltung der Domain form-3d.net | EU-US Data Privacy Framework (Art. 45 DSGVO), EU-Standardvertragsklauseln |