Rechtliches · B2B

Auftragsverarbeitungs-Vereinbarung — Vorlage

Vertragsvorlage gemäß Art. 28 DSGVO für B2B-Nutzer, die im Rahmen der Nutzung von ERPforgeAI personenbezogene Daten Dritter (z. B. Mandantendaten in ATC-XML-Exports) verarbeiten.

Stand: 2026-05-07 · Selbst verfasst, BvD-Struktur-orientiert, ohne anwaltliche Prüfung — Review nach BAFA-Beratungsförderungs-Bewilligung vorgesehen. Für kritische Vertragsbeziehungen empfehlen wir parallel eine eigene anwaltliche Prüfung.

Verwendungshinweis: Diese Vorlage ist für den Druck und die manuelle Unterzeichnung gedacht. Sie kann von beiden Vertragsparteien angepasst werden. Falls Sie eine geänderte Version unterzeichnen möchten, senden Sie diese vor Vertragsschluss an [email protected].

Vereinbarung zur Auftragsverarbeitung

zwischen

Auftraggeber (Verantwortlicher gem. Art. 4 Nr. 7 DSGVO):
[Firmenname]
[Straße, Hausnummer]
[PLZ, Ort, Land]
Vertreten durch: [Name, Funktion]
— nachfolgend „Auftraggeber“ —

und

Auftragsverarbeiter (gem. Art. 4 Nr. 8 DSGVO):
ERPforgeAI / Youssef Boukachabine
Deutz-Kalker Str. 13
50679 Köln, Deutschland
USt-IdNr.: DE451519848
— nachfolgend „ERPforgeAI“ —

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

ERPforgeAI verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der ERPforgeAI-Plattform-Dienstleistungen (Custom-Code-Audit, Forms-Audit, DB-Volume-Audit, Code-Reparatur, CDS-Generator, Berechtigungskonzept-Generator). Die Vereinbarung beginnt mit dem Vertragsschluss und läuft auf unbestimmte Zeit; sie endet zum Zeitpunkt der vollständigen Löschung der personenbezogenen Daten gem. § 11 dieser Vereinbarung.

§ 2 Art und Zweck der Verarbeitung

Art der Verarbeitung: Hochladen, Parsen, Klassifizieren, Speichern (zeitweise), Generieren von White-Label-Reports, Bereitstellen für Download.

Zweck der Verarbeitung: Erstellung der vom Auftraggeber beauftragten Audit- und Code-Generierungs-Outputs.

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

Folgende personenbezogene Daten können typischerweise verarbeitet werden:

Kategorien betroffener Personen: Mitarbeiter und Berater des Auftraggebers, ggf. Mitarbeiter der Endkunden des Auftraggebers (bei Beratungshäusern). Keine sensiblen personenbezogenen Daten gem. Art. 9 DSGVO sollen vom Auftraggeber im Rahmen dieser Vereinbarung verarbeitet werden.

§ 4 Pflichten von ERPforgeAI

  1. ERPforgeAI verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den Weisungen des Auftraggebers, sofern keine gesetzliche Verpflichtung zu einer anderen Verarbeitung besteht. Mündliche Weisungen werden unverzüglich schriftlich (E-Mail genügt) bestätigt.
  2. ERPforgeAI gestaltet die interne Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird; siehe TOMs (/toms.html) gem. Art. 32 DSGVO.
  3. ERPforgeAI verpflichtet alle bei der Verarbeitung eingesetzten Personen schriftlich auf das Datengeheimnis und unterweist sie regelmäßig zum Datenschutz.
  4. ERPforgeAI unterstützt den Auftraggeber bei der Wahrnehmung der Rechte betroffener Personen (Art. 12–23 DSGVO) im Rahmen der eigenen technischen Möglichkeiten.
  5. ERPforgeAI informiert den Auftraggeber unverzüglich, falls eine Weisung gegen geltendes Datenschutzrecht verstößt.

§ 5 Pflichten des Auftraggebers

  1. Der Auftraggeber bleibt für die rechtmäßige Erhebung und Bereitstellung der personenbezogenen Daten allein verantwortlich (Art. 24 DSGVO).
  2. Der Auftraggeber prüft seine Audit-Inputs (ATC-XML, SYCM-ZIP, Forms-Inventory, DB-Volume-Inventory) vor Upload auf personenbezogene Daten und pseudonymisiert oder löscht diese, soweit nicht zwingend für den Audit-Zweck erforderlich.
  3. Der Auftraggeber stellt sicher, dass alle Personen, denen Zugang zu den ERPforgeAI-Diensten gewährt wird, zur Vertraulichkeit verpflichtet sind.
  4. Der Auftraggeber meldet ERPforgeAI Datenschutzvorfälle, die er bei der Nutzung des Dienstes feststellt, unverzüglich.

§ 6 Anfragen betroffener Personen

Wenden sich Betroffene direkt an ERPforgeAI, leitet ERPforgeAI die Anfrage unverzüglich an den Auftraggeber weiter. Auf Weisung des Auftraggebers unterstützt ERPforgeAI bei der Beantwortung im technisch möglichen Rahmen (z. B. Datenexport im Originalformat, manuelle Löschung von Datensätzen).

§ 7 Technisch-organisatorische Maßnahmen

ERPforgeAI implementiert technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO. Eine ausführliche Beschreibung ist auf /toms.html veröffentlicht und Bestandteil dieser Vereinbarung. Die TOMs können sich während der Vertragslaufzeit weiterentwickeln; die Schutzwirkung darf das vereinbarte Niveau nicht unterschreiten.

§ 8 Subprozessoren

Der Auftraggeber stimmt der Beauftragung der auf /subprozessoren.html aufgeführten Subprozessoren bei Vertragsschluss zu. ERPforgeAI informiert den Auftraggeber mindestens 30 Tage vor jeder wesentlichen Änderung der Subprozessoren-Liste per E-Mail.

Der Auftraggeber kann gegen eine geplante Änderung schriftlich Widerspruch einlegen. Führt der Widerspruch zu einer wesentlichen Beeinträchtigung der Leistungserbringung, kann ERPforgeAI das Vertragsverhältnis mit einer Frist von 30 Tagen außerordentlich beenden.

§ 9 Datenschutzvorfälle

ERPforgeAI informiert den Auftraggeber unverzüglich (spätestens innerhalb von 48 Stunden ab Kenntnis) über Datenschutzvorfälle gem. Art. 33 DSGVO und unterstützt bei der Erfüllung der Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen. Die Meldung erfolgt schriftlich an die vom Auftraggeber benannte Kontaktstelle.

§ 10 Auskunftsrecht und Audits

Der Auftraggeber kann sich nach vorheriger schriftlicher Ankündigung (i. d. R. mindestens 14 Tage Vorlauf) von der Einhaltung der getroffenen Verpflichtungen überzeugen, insbesondere durch Einsicht in die Dokumentation der TOMs (/toms.html) und der Subprozessoren (/subprozessoren.html). Vor-Ort-Audits sind nach Absprache möglich; die Kosten trägt der Auftraggeber, sofern keine schwerwiegenden Verstöße von ERPforgeAI festgestellt werden.

§ 11 Datenlöschung nach Vertragsende

Nach Beendigung des Hauptvertrags löscht ERPforgeAI alle vom Auftraggeber bereitgestellten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung umfasst: Audit-Inputs, generierte Reports, Code-Outputs, Account-Daten. Backups werden im Rahmen der regulären 14-Tage-Rotation überschrieben (siehe /loeschkonzept.html). Auf Wunsch des Auftraggebers werden personenbezogene Daten zusätzlich aktiv im aktuellen Backup-Set gelöscht.

§ 12 Schlussbestimmungen

  1. Für diese Vereinbarung gilt deutsches Recht. Gerichtsstand ist Köln, soweit gesetzlich zulässig.
  2. Änderungen und Ergänzungen bedürfen der Schriftform (E-Mail genügt).
  3. Sollten einzelne Bestimmungen unwirksam sein, bleiben die übrigen Bestimmungen davon unberührt.
  4. Die jeweils aktuelle Fassung dieser AVV-Vorlage ist unter https://erpforgeai.de/avv-vorlage.html abrufbar.

Unterschriften

Für den Auftraggeber:

_______________________________

Ort, Datum, Name, Funktion, Unterschrift

Für ERPforgeAI:

_______________________________

Köln, [Datum], Youssef Boukachabine, Inhaber

Hinweis · Self-disclosed Limitation: Diese AVV-Vorlage ist selbst verfasst, ohne anwaltliche Prüfung. Sie orientiert sich an der BvD-Standardstruktur und der Mindestanforderungen aus Art. 28 DSGVO. Für kritische Vertragsbeziehungen (z. B. mit öffentlichen Auftraggebern, KRITIS-Anbietern, Banken) empfehlen wir eine zusätzliche eigene anwaltliche Prüfung. Eine anwaltlich geprüfte Folge-Version ist im Rahmen einer BAFA-geförderten Beratung vorgesehen.

← Startseite · AGB · Datenschutz · Subprozessoren · TOMs · Löschkonzept · AI Act · Markenrecht