Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien aus dem zwischen ihnen geschlossenen Nutzungsvertrag über die KOSI Portal Plattform (im Folgenden „Hauptvertrag“). Er findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer (KOSI Portal) im Auftrag des Auftraggebers (Kanzlei/Beratungsstelle) personenbezogene Daten verarbeitet.

Vertragsparteien

Klarstellung zur Steuersoft GmbH:Die Steuersoft GmbH (HRB 24335, Amtsgericht Saarbrücken) ist nicht Partei dieses Auftragsverarbeitungsvertrages. Sie übernimmt für Lizenznehmer ihres Steuersoft-Steuerprogramms ausschließlich Vertriebs- und First-Level-Support-Funktionen ohne Zugriff auf Mandanteninhalte der Plattform. Das Supportformular der Steuersoft GmbH enthält einen Warnhinweis, keine Mandanten-/Belege-/ Steuerdaten oder Screenshots mit personenbezogenen Inhalten zu senden. Ticket-Weiterleitungen erfolgen nur mit Datenminimierung bzw. Redaktion personenbezogener Inhalte. Falls dennoch Mandantendaten eingehen, werden diese gemäß interner SOP unverzüglich an die Steuer-Online MF GmbH weitergeleitet und aus den Steuersoft-Systemen innerhalb von 7 Tagen gelöscht. Sollte die Steuersoft GmbH im Einzelfall doch personenbezogene Mandantendaten verarbeiten müssen, erfolgt dies ausschließlich auf Weisung des Auftraggebers; ein gesonderter AV-/Sub-AV-Status wird im Zweifel separat geregelt.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung sind alle Tätigkeiten, die der Auftragnehmer im Rahmen der Bereitstellung und des Betriebs der KOSI Portal Plattform für den Auftraggeber durchführt. Der konkrete Leistungsumfang ergibt sich aus dem Hauptvertrag und der jeweils aktuellen Produktbeschreibung.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Eine separate Kündigung dieses AVV ist nicht möglich, solange der Hauptvertrag besteht.

(3) Art und Zweck der Verarbeitung: Bereitstellung eines sicheren digitalen Mandanten- bzw. Mitgliederportals zur Kommunikation, Beleg­sammlung, Dokumenten­verwaltung, digitalen Unterschrift, Termin­verwaltung und Steuerprozess­begleitung. Die Verarbeitung erfolgt ausschließlich auf weisungs­gebundener Basis im Auftrag des Auftraggebers.

§ 2 Art der personenbezogenen Daten und betroffene Personengruppen

(1) Folgende Datenkategorien werden verarbeitet. Die vollständige, versionierte Liste ist als Anlage 4 (Datenarten) Bestandteil dieses Vertrags:

• Stammdaten Mitglied/Mandant: Name, Anschrift, Geburtsdatum, Steuer-Identifikationsnummer, Steuernummer
• Kontaktdaten: E-Mail, Telefonnummer
• Bankverbindungs- und Zahlungsdaten (IBAN, BIC)
• Religionszugehörigkeit(über das Kirchensteuermerkmal) — besondere Kategorie nach Art. 9 Abs. 1 DSGVO. Die Rechtsgrundlage für die Verarbeitung besonderer Kategorien (Art. 9 DSGVO) bestimmt der Auftraggeber als Verantwortlicher. In Betracht kommen insbesondere Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG, Art. 9 Abs. 2 lit. f DSGVO sowie Art. 9 Abs. 2 lit. g DSGVO i. V. m. § 22 Abs. 1 Nr. 2 BDSG (erhebliches öffentliches Interesse — Steuerverfahren)
• Gesundheitsdatenüber außergewöhnliche Belastungen (Krankheitskosten, Pflege, Behinderten-Pauschbetrag) — Art. 9 DSGVO
• Gewerkschaftszugehörigkeitüber Werbungskosten (Gewerkschaftsbeiträge) — Art. 9 DSGVO
• Daten von Kindern(Kindergeld, Kinderbetreuungskosten, Schulgeld, Ausbildungskosten); gesondert ausgewiesen wegen besonderer Schutzbedürftigkeit
• Familienstände, Familienangehörige (soweit steuerlich relevant)
• Berufs- und Einkommensdaten
• Steuerbescheide, Vorauszahlungsbescheide, Belege, hochgeladene Dokumente
• Vollmachten und digitale Unterschriften
• Kommunikations-Verläufe (Nachrichten, Aufgaben-Texte, Termin-Notizen)
• Identifizierungs-Dokumente nach Geldwäschegesetz (Ausweis-Scans) — Zweck: § 11 GwG; Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 11 GwG; Ablichtungen gem. § 20 Abs. 2 PAuswG eindeutig und dauerhaft als Kopie erkennbar; das Identifizierungsmodul ist nicht standardmäßig aktiv, sondern wird nur für Mandate aktiviert, in denen der Auftraggeber eine gesetzliche Identifizierungspflicht nach § 11 GwG bestätigt; als mildere Mittel kommen eID, VideoIdent oder kurze Sichtprüfung ohne dauerhafte Kopie in Betracht; Verwendung ausschließlich zum Identifizierungszweck; Löschung 5 Jahre nach § 8 GwG
• Audit-Logs mit Zugriffszeitpunkten, Akteur, geänderten Datensatzfeldern
• Nutzungs- und Login-Daten (Anmeldezeit, pseudonymisierte IP-Adresse, Browser)

(2) Betroffene Personengruppen:

• Mandanten und Mitglieder des Auftraggebers
• Ehegatten und Familien­mitglieder, soweit für die Steuer relevant
• Kinder (mit besonderer Schutzbedürftigkeit)
• Mitarbeitende des Auftraggebers (Berater, Sekretariat)

§ 3 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet personen­bezogene Daten ausschließlich im Rahmen dieses Vertrags und nach dokumentierten Weisungen des Auftraggebers. Gesetzliche Verpflichtungen, denen der Auftragnehmer ggf. unterliegt, bleiben unberührt; in diesem Fall teilt der Auftragnehmer dem Auftraggeber die rechtlichen Anforderungen vor der Verarbeitung mit, sofern dies gesetzlich zulässig ist.

(2) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutz­vorschriften verstößt. Er ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird; eine rechtswidrige Weisung darf er verweigern.

(3) Weisungen sind grundsätzlich in Textform zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(4) Das Weisungsrecht umfasst ausdrücklich auch Übermittlungen personenbezogener Daten in Drittländer oder an internationale Organisationen. Eine solche Übermittlung erfolgt nur auf dokumentierte Weisung des Auftraggebers oder zur Erfüllung einer den Auftragnehmer treffenden zwingenden Rechtsvorschrift; im letzteren Fall teilt der Auftragnehmer dem Auftraggeber die rechtliche Anforderung vor der Verarbeitung mit, sofern dies gesetzlich zulässig ist. Derzeit findet keine Drittlanduebermittlungstatt (siehe § 5 Abs. 4).

§ 4 Technische und organisatorische Maßnahmen (TOM)

(1) Der Auftragnehmer trifft alle erforderlichen Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO. Die getroffenen Maßnahmen sind in der Anlage TOM ausführlich beschrieben und Bestandteil dieses Vertrags.

(2) Der Auftragnehmer behält sich vor, die getroffenen Maßnahmen weiter­zuentwickeln, sofern dabei das vereinbarte Schutzniveau nicht unter­schritten wird. Wesentliche Änderungen werden dem Auftraggeber in Textform mitgeteilt.

§ 5 Unter­auftrags­verarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine Genehmigung zum Einsatz von Unter­auftrags­verarbeitern gemäß Art. 28 Abs. 2 DSGVO. Die aktuell eingesetzten Unter­auftrags­verarbeiter sind in Anlage 2aufgeführt. Vertragsverhältnisse mit den Unter­auftrags­verarbeitern bestehen ausschließlich zwischen der Steuer-Online MF GmbH und dem jeweiligen Unter­auftrags­verarbeiter.

(2) Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor dem Beizug oder Wechsel eines weiteren Unter­auftrags­verarbeiters in Textform. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Mitteilung aus wichtigem Grund widersprechen; in diesem Fall kann der Auftragnehmer den Hauptvertrag mit einer Frist von zwei Monaten ordentlich kündigen.

(3) Der Auftragnehmer schließt mit jedem Unter­auftrags­verarbeiter einen Vertrag, der mindestens das in diesem AVV vereinbarte Schutzniveau gewährleistet.

Interne Verarbeitungssysteme der Steuersoft-Gruppe (Videoberatung, OCR-/Beleg-Erkennung sowie der interne Zahlungs-Wrapper der Steuer-Online MF GmbH) werden ausschließlich auf eigener Infrastruktur in Deutschland betrieben und sind keine externen Sub-Auftragsverarbeiter. Für Online-Zahlungen ruft der Zahlungs-Wrapper den externen Zahlungsdienstleister PayPal (Europe) S.à r.l. (Luxemburg) auf; PayPal ist als optionaler Sub-AV / Zahlungsdienstleister in der vorstehenden Tabelle geführt.

Hinweis zur Sonderstellung von PayPal:PayPal handelt im Verhältnis Zahlungsabwicklung nach überwiegender Auffassung als eigenständig Verantwortlicherim Rahmen der Erfüllung von Zahlungsdiensten nach PSD2; soweit jedoch Zahlungs-Metadaten im Auftrag der Steuer-Online MF GmbH verarbeitet werden, gilt PayPal ergänzend als Sub-Auftragsverarbeiter. Der Vertrag zwischen Steuer-Online MF GmbH und PayPal regelt beide Komponenten.

Technische Drittkontakte ohne Mandantendaten-Zugriff: Für die Ausstellung von TLS-Zertifikaten der öffentlich erreichbaren Domains findet ein technischer Kontakt zu Let’s Encrypt(Internet Security Research Group, USA) statt. Verarbeitet werden ausschließlich öffentlich auflösbare Domainnamen sowie der bei der Ausstellung erzeugte öffentliche Schlüssel. Eine Übermittlung von Mandanten- oder Geschäftsdaten findet nicht statt; Let’s Encrypt ist daher kein Sub-Auftragsverarbeiteri. S. v. Art. 28 DSGVO.

(4) Drittlandtransfers:Keine Mandanten- und Geschäftsdaten verlassen Deutschland. Sämtliche Verarbeitungen personenbezogener Mandantendaten erfolgen ausschließlich in deutschen Rechenzentren. Im Rahmen der ACME-Zertifikatsausstellung mit Let’s Encrypt (USA) werden ausschließlich öffentliche Domainnamen verarbeitet.

§ 6a Admin- und Supportzugriff

(1) Der Auftragnehmer greift auf personenbezogene Daten des Auftraggebers ausschließlich weisungsgebunden zu. Es wird zwischen drei Zugriffsarten unterschieden:

1. Technische Wartung(Datenbank-Migrationen, Deployment, Monitoring, Backup): kein direkter Zugriff auf entschlüsselte Inhaltsdaten; Wartungstätigkeiten werden protokolliert.
2. Supportzugriff auf konkrete Inhaltsdaten: nur nach dokumentierter Anforderungdes Auftraggebers, beschränkt auf das anlassbezogen Erforderliche, vollständig im Audit-Log protokolliert; das Audit-Log ist auf Verlangen des Auftraggebers offenzulegen.
3. Inhaltsbezogener Notfallzugriff (Break-Glass): nur bei akutem Sicherheitsvorfall oder zwingender Rechtspflicht; erfolgt im Vier-Augen-Prinzip (Freigabe durch zweite berechtigte Person), wird vollständig dokumentiert; der Auftraggeber wird innerhalb von 72 Stundennachträglich informiert, sofern keine gesetzliche Geheimhaltungspflicht entgegensteht.

(2) Der Auftragnehmer stellt durch organisatorische Trennung sicher, dass Mitarbeitende der technischen Wartung keinen Zugriff auf entschlüsselte Inhaltsdaten haben. Persönliche Administrator-Accounts werden nicht geteilt; 2FA ist verpflichtend. Halbjährliche Berechtigungsreviews sind dokumentiert.

(3) Reichweite der Aussage „kein Zugriff auf entschlüsselte Inhaltsdaten“:Diese Aussage bezieht sich auf die mit AES-256-GCM verschlüsselte Dateiablage(Belege, Dokumente, Identifizierungsdokumente). PostgreSQL-Inhalte (Stammdaten, Nachrichten, Aufgaben, Audit-Logs) sind derzeit nicht spaltenweise verschlüsselt; technische Wartung und Break-Glass-Zugriffe können diese im Klartext sehen. Zusätzliche DB-spezifische Schutzmaßnahmen: getrennte PostgreSQL-Rollen (Anwendungsrolle, Read-Only-Reporting-Rolle, Admin-Rolle); kein generischer SELECT-Zugrifffür reguläre Admins — DB-Dumps und Inhaltsabfragen nur im Break-Glass-Modus mit Vier-Augen-Freigabe und Protokollierung; alle Inhaltszugriffe auf die DB werden im Audit-Log und Server-Log dokumentiert. Geplante Maßnahme Q3/Q4 2026: spaltenweise Verschlüsselung oder LUKS-/dm-crypt-Volume-Encryption für DB-Volumes.

§ 6 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich entsprechend Art. 28 Abs. 3 lit. a–h DSGVO insbesondere zu Folgendem:

1. Weisungsgebundene Verarbeitung(lit. a): Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers; siehe § 3.
2. Vertraulichkeit(lit. b): Vertrauliche Behandlung der anvertrauten Daten. Mitarbeitende werden zur Vertraulichkeit verpflichtet; siehe Anlage 3 zur Verschwiegenheit und zum Berufsgeheimnis (§ 203 StGB, § 62a StBerG).
3. Technisch-organisatorische Maßnahmen (lit. c): Umsetzung der Maßnahmen nach Art. 32 DSGVO entsprechend Anlage 1 (TOM).
4. Unterauftragnehmer(lit. d): Inanspruchnahme nur unter den Voraussetzungen des § 5.
5. Unterstützung Betroffenenrechte (lit. e): Unterstützung des Auftraggebers bei der Wahrnehmung der Rechte betroffener Personen (Art. 15–22 DSGVO) im erforderlichen Umfang.
6. Unterstützung Art. 32–36 (lit. f): Unterstützung bei Datenschutz- Folgeabschätzungen (Art. 35 DSGVO) und der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) sowie bei der Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO).
7. Löschung / Rückgabe(lit. g): Siehe § 9 (Löschung und Rückgabe).
8. Nachweise und Audits(lit. h): Bereitstellung aller zum Nachweis erforderlichen Informationen, Ermöglichung von Überprüfungen entsprechend § 8.
9. Meldung von Datenschutzverletzungen: Unverzüglich, spätestens 48 Stunden nach Bekanntwerden, mit den Mindestinhalten nach Art. 33 Abs. 3 DSGVO (Art und Umfang der Verletzung; betroffene Datenkategorien und ungefähre Zahl Betroffener; benannte Kontaktstelle; wahrscheinliche Folgen; ergriffene oder vorgeschlagene Maßnahmen). Der Auftragnehmer aktualisiert die Meldung laufend, sobald neue Erkenntnisse vorliegen, und wirkt vollumfänglich an der Aufklärung mit.
10. Datenschutzbeauftragter: Bestellung und Bekanntgabe eines betrieblichen Datenschutzbeauftragten, sofern gesetzlich verpflichtend.
11. Berufsgeheimnis: Einhaltung der Anlage 3 zu § 203 StGB und § 62a StBerG.

§ 7 Pflichten des Auftraggebers

1. Der Auftraggeber ist als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte Betroffener verantwortlich.
2. Der Auftraggeber unterrichtet den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bezüglich datenschutz­rechtlicher Bestimmungen oder vereinbarter Pflichten feststellt.
3. Der Auftraggeber benennt einen Ansprechpartner für Datenschutz­fragen.

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der vertraglichen Pflichten durch den Auftragnehmer zu überzeugen. Der Auftragnehmer stellt hierfür die Anlage TOM, aktuelle Prüf­berichte (z. B. nach ISO 27001/IT-Grundschutz, sofern vorliegend) sowie eine Liste der eingesetzten Unter­auftrags­verarbeiter zur Verfügung.

(2) Vor-Ort-Kontrollen sind grundsätzlich mit einer Frist von vier Wochen anzukündigen und während der üblichen Geschäftszeiten ohne erhebliche Störung des Betriebs durchzuführen. Eine routinemäßige Kontrolle pro Kalenderjahr ist kostenlos; weitere routinemäßige Kontrollen werden gegen angemessene Aufwandserstattung ermöglicht.

(3) Unberührt bleibt das Recht des Auftraggebers, anlassbezogene Auditsbei Datenschutzverletzungen, bei Anfragen oder Anordnungen der zuständigen Aufsichtsbehörde oder bei sonstigem konkreten Anlass jederzeit zumutbar zu ermöglichen. Solche Audits sind unabhängig von der Kostenregelung in Abs. 2 unverzüglich zu ermöglichen.

§ 9 Löschung, Rückgabe und Archiv-Abgrenzung

(1) Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer die verarbeiteten Daten nach Wahl des Auftraggebers zurück. Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (in der Regel ZIP mit Originaldateien zuzüglich JSON-Metadaten). Der Auftragnehmer bestätigt die ordnungsgemäße Löschung auf Verlangen schriftlich.

(2) Die Löschung aus Sicherheits-Backups erfolgt im Rahmen des dokumentierten Backup-Zyklus (vgl. Anlage 1 TOM). Eine sofortige selektive Löschung aus unveränderlichen Backups ist technisch nicht zugesagt; aus Backups wiederhergestellte Daten unterliegen den vertraglichen Lösch- und Aufbewahrungsregeln.

(3) Von der Löschungspflicht ausgenommen sind Daten, die der Auftragnehmer aufgrund gesetzlicher Pflichten selbst aufbewahren muss (z. B. eigene Rechnungsbelege nach § 147 AO und § 257 HGB, Audit-/Log-Daten zur Erfüllung von Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO). Diese Daten werden ausschließlich für den jeweiligen gesetzlichen Zweck aufbewahrt und nach Wegfall des Zwecks gelöscht.

(4) KOSI Portal ist eine Transport- und Arbeitsplattform und kein revisionssicheres Archiv im Sinne der GoBD oder § 147 AO.Die Erfüllung gesetzlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB, Berufsrecht) obliegt dem Auftraggeber bzw. dem Mandanten in den jeweils dafür vorgesehenen Steuer- und DMS-Systemen. Daten werden im Portal nach Weisung des Auftraggebers oder spätestens 12 Monate nach Abschluss des Steuerjahres aus der aktiven Datenhaltung gelöscht.

§ 10 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den allgemeinen Haftungs­regelungen des Hauptvertrags. Bei Verstößen eines Sub-Auftragnehmers haftet der Auftragnehmer wie für eigenes Verhalten.

§ 11 Schluss­bestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(2) Änderungen und Ergänzungen bedürfen der Textform. Dies gilt auch für die Änderung dieser Textform­klausel.

(3) Es gilt deutsches Recht. Gerichtsstand ist Saarlouis, soweit der Auftraggeber Kaufmann i.S.d. HGB, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sonder­vermögen ist.

Anlagen

• Anlage 1: Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
• Anlage 2: Liste der Unter­auftrags­verarbeiter (siehe § 5 oben)
• Anlage 3: Verschwiegenheit und Berufsgeheimnis (§ 203 StGB, § 62a StBerG)
• Anlage 4: Datenarten und betroffene Personengruppen (versionierte Datenkategorien)