Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen:

Verantwortlicher (Auftraggeber)

Der Kunde, der die BISpicy POS Software nutzt
(nachfolgend "Auftraggeber")

Auftragsverarbeiter

Bernhard Binder
88/3 M1 Chaiyaphon Withi 14
Bang Lamung, Nong Prue
Chonburi 20150, Thailand
(nachfolgend "Auftragnehmer")

§1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der BISpicy POS Kassensoftware und zugehöriger Cloud-Dienste.

1.2 Dauer

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages über die Nutzung der BISpicy POS Software.

§2 Art und Zweck der Verarbeitung

2.1 Art der Datenverarbeitung
  • Speicherung von Kassendaten und Transaktionen
  • Cloud-Backup und Synchronisation
  • TSE-Signaturdienste (Technische Sicherheitseinrichtung)
  • Lizenzmanagement und Authentifizierung
  • Terminsynchronisation (sofern aktiviert)
2.2 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich der Bereitstellung der vertraglich vereinbarten Kassensoftware-Funktionen und der Erfüllung gesetzlicher Anforderungen (KassenSichV, GoBD, DSGVO).

§3 Art der personenbezogenen Daten

Datenkategorie Beispiele
Kundendaten Name, Adresse, E-Mail, Telefonnummer (sofern erfasst)
Transaktionsdaten Kaufbeträge, Zahlungsarten, Zeitstempel
Mitarbeiterdaten Name, PIN-Code (verschlüsselt), Berechtigungen
Termindaten Termindetails, Kundenbuchungen (sofern Terminmodul genutzt)
Gerätedaten Device-ID, App-Version, Betriebssystem

§4 Kategorien betroffener Personen

  • Endkunden des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Lieferanten und Geschäftspartner (sofern erfasst)

§5 Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Eine darüber hinausgehende Verarbeitung findet nicht statt, es sei denn, der Auftragnehmer ist nach Unionsrecht oder dem Recht der Mitgliedstaaten hierzu verpflichtet.

5.2 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Unterstützung

Der Auftragnehmer unterstützt den Auftraggeber bei:

  • Beantwortung von Anfragen betroffener Personen
  • Meldung von Datenschutzverletzungen
  • Datenschutz-Folgenabschätzungen
  • Vorherigen Konsultationen mit Aufsichtsbehörden
5.4 Löschung

Nach Beendigung der Auftragsverarbeitung werden alle personenbezogenen Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§6 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragnehmer gewährleistet folgende Sicherheitsmaßnahmen gemäß Art. 32 DSGVO:

  • AES-256-GCM Verschlüsselung für Cloud-Backups
  • TLS 1.3 für alle Datenübertragungen
  • Verschlüsselte Speicherung sensibler Daten (PIN-Codes, TSE-Credentials)

  • Authentifizierung über Firebase Authentication
  • Geräte-Fingerprinting und Bindung
  • PIN-basierte Mitarbeiterzugriffe
  • Rollenbasierte Zugriffsrechte

  • Firebase/Google Cloud Platform Infrastruktur (ISO 27001 zertifiziert)
  • Automatische Backups mit Geo-Redundanz
  • TSE-Signaturen für Transaktionsintegrität
  • Audit-Logging aller sicherheitsrelevanten Ereignisse

  • Lokale Datenspeicherung für Offline-Betrieb
  • Automatische Wiederherstellung nach Systemausfällen
  • Regelmäßige Sicherheitsupdates

§7 Unterauftragsverarbeiter

Der Auftragnehmer bedient sich folgender genehmigter Unterauftragsverarbeiter:

Unterauftragsverarbeiter Zweck Standort
Google LLC (Firebase) Cloud-Infrastruktur, Authentication, Database EU (Frankfurt)
Fiskaly GmbH TSE-Cloud-Dienste (KassenSichV-Compliance) Deutschland
Stripe Inc. Zahlungsabwicklung (Lizenzen) EU (Dublin)

Der Auftraggeber stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Bei Änderungen wird der Auftraggeber vorab informiert und hat ein Widerspruchsrecht.

§8 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrung folgender Rechte betroffener Personen:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

§9 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl betroffener Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen

§10 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages zu überprüfen durch:

  • Einholen von Auskünften
  • Einsichtnahme in Nachweise und Zertifikate
  • Vor-Ort-Kontrollen (nach vorheriger Ankündigung)

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§11 Schlussbestimmungen

11.1 Anwendbares Recht

Es gilt deutsches Recht. Gerichtsstand ist Berlin.

11.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

11.3 Änderungen

Änderungen dieses Vertrages bedürfen der Schriftform.

Stand: November 2025

Version 1.0

Fragen zum AVV?

Bei Fragen zu diesem Auftragsverarbeitungsvertrag kontaktieren Sie uns:

[email protected]