Vereinbarung zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO — Stand: 12. Juni 2026

zwischen dem jeweiligen Kunden der Software „Operix" (nachfolgend „Verantwortlicher") und

Nico Maurer — Form-3d, St.-Georg-Siedlung 12, 83043 Bad Aibling, E-Mail: 3ddrucknm@gmail.com (nachfolgend „Auftragsverarbeiter").

Diese Vereinbarung wird Vertragsbestandteil des Nutzungsvertrags über die Software Operix (siehe AGB) und gilt mit dessen Abschluss als vereinbart. Auf Wunsch wird sie beidseitig in Textform gegengezeichnet (Anfrage an 3ddrucknm@gmail.com).

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen die mandantenfähige ERP-Software Operix als Software as a Service bereit und verarbeitet dabei personenbezogene Daten, die der Verantwortliche in die Software einspeist oder über angebundene Schnittstellen importiert, ausschließlich in dessen Auftrag und nach dessen Weisung (Art. 4 Nr. 8, Art. 28 DSGVO).

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

§ 2 Art und Zweck der Verarbeitung

Erhebung, Speicherung, Anzeige, Übermittlung an angebundene Marktplätze und Versanddienstleister, Sicherung und Löschung personenbezogener Daten zum Zweck der Abwicklung des E-Commerce-Geschäfts des Verantwortlichen (Artikel-, Auftrags-, Lager-, Versand-, Rechnungs- und Kundenverwaltung).

§ 3 Kategorien betroffener Personen und Datenarten

BetroffeneDatenarten
Endkunden des Verantwortlichen (Käufer)Name, Liefer-/Rechnungsanschrift, E-Mail-Adresse, Telefonnummer, Bestell- und Zahlungsdaten, Sendungsnummern, Käufernachrichten
Mitarbeiter/Benutzer des VerantwortlichenName, E-Mail-Adresse, Benutzerrolle, Anmeldedaten (Passwort-Hash), Protokolldaten
Lieferanten/Händler des VerantwortlichenName, E-Mail-Adresse, Korrespondenz, Belegdaten

§ 4 Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)

  1. Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen — die Nutzung der Softwarefunktionen durch den Verantwortlichen gilt als Weisung; abweichende Weisungen bedürfen der Textform.
  2. Verpflichtung aller mit der Verarbeitung befassten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
  3. Umsetzung der technischen und organisatorischen Maßnahmen nach Anlage 1 (Art. 32 DSGVO).
  4. Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) — die Software stellt hierfür Export-, Berichtigungs-, Lösch- und Anonymisierungsfunktionen bereit.
  5. Unterstützung bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
  6. Unverzügliche Information des Verantwortlichen — spätestens innerhalb von 72 Stunden — bei Verletzungen des Schutzes personenbezogener Daten, die dessen Daten betreffen.
  7. Information des Verantwortlichen, wenn eine Weisung nach Einschätzung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
  8. Nach Vertragsende: Löschung aller personenbezogenen Daten nach Ablauf der 30-tägigen Exportfrist (vgl. AGB § 10 Abs. 4), sofern keine gesetzliche Aufbewahrungspflicht besteht; auf Wunsch vorab Herausgabe über die Exportfunktionen.
  9. Bereitstellung aller zum Nachweis der Pflichten erforderlichen Informationen und Ermöglichung von Überprüfungen (§ 7).

§ 5 Unterauftragsverarbeiter (Art. 28 Abs. 2, 4 DSGVO)

(1) Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen mindestens 4 Wochen im Voraus in Textform; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

(2) Mit jedem Unterauftragsverarbeiter werden Verträge geschlossen, die die Pflichten dieser Vereinbarung weitergeben.

§ 6 Ort der Verarbeitung und Drittlandtransfer

(1) Die Verarbeitung der Anwendungsdaten erfolgt ausschließlich auf Servern in Deutschland (Rechenzentrum Hetzner, Anlage 2).

(2) Eine Übermittlung in Drittländer findet nur statt, soweit der Verantwortliche selbst Schnittstellen zu Drittanbietern (z. B. Marktplätze wie eBay oder Amazon, Versanddienstleister, Dropshipping-Anbieter) aktiviert; diese Anbieter sind eigenständige Verantwortliche und nicht Unterauftragsverarbeiter. Für die E-Mail-Kommunikation gilt Anlage 2 (Google, EU-US Data Privacy Framework).

§ 7 Kontrollrechte

Der Verantwortliche kann sich vor Beginn und während der Verarbeitung von der Einhaltung dieser Vereinbarung überzeugen — vorrangig durch Einholung von Auskünften und Nachweisen in Textform; Vor-Ort-Kontrollen nach Terminabstimmung zu üblichen Geschäftszeiten, sofern Auskünfte nicht ausreichen.

§ 8 Haftung und Schlussbestimmungen

(1) Für die Haftung gilt Art. 82 DSGVO sowie ergänzend die Haftungsregelung der AGB (§ 8).

(2) Es gilt deutsches Recht. Bei Widersprüchen zwischen dieser Vereinbarung und den AGB geht diese Vereinbarung in datenschutzrechtlichen Fragen vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Vereinbarung im Übrigen wirksam.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Zutritts-/Zugangskontrolle

Zugriffskontrolle und Trennungsgebot

Übertragungs- und Eingabekontrolle

Verfügbarkeitskontrolle

Verfahren zur Überprüfung

Anlage 2 — Genehmigte Unterauftragsverarbeiter

UnternehmenSitzLeistungGarantien
Hetzner Online GmbH, Industriestr. 25, 91710 GunzenhausenDeutschlandServer-Hosting (Serverstandort Deutschland)AVV nach Art. 28 DSGVO, ISO 27001
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4Irland (EU)E-Mail-Kommunikation (Gmail) für Support und SystemnachrichtenAVV nach Art. 28 DSGVO; für US-Transfers: EU-US Data Privacy Framework (Art. 45 DSGVO)
Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USAUSADNS-Verwaltung der Domain form-3d.netEU-US Data Privacy Framework (Art. 45 DSGVO), EU-Standardvertragsklauseln