Auftragsverarbeitungsvereinbarung (AV-Vertrag / DPA)

Stand: 27. April 2026 — Version 2026-04-27-v1 — ergänzend zu den AGB und der Datenschutzerklärung.

Diese Vereinbarung zur Auftragsverarbeitung („AV-Vertrag“) ist Bestandteil der Nutzungsvereinbarung für die Online-Software „Errhuman“ zwischen

und

1. Gegenstand und Dauer

Dieser AV-Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der SaaS-Plattform „Errhuman“. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags und bis zur Löschung der Daten gemäß Ziffer 12, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter stellt eine Softwareplattform bereit, mit der der Verantwortliche insbesondere kann:

• Kontakt- bzw. Kundendaten speichern und verwalten,
• solche Daten auswerten und organisieren,
• damit zusammenhängende Geschäftsvorgänge durchführen,
• optional: Steuerberater-Zugang — vom Verantwortlichen eingeladene Personen (z. B. Kanzlei) passwortgeschützt und nur lesend auf Steuer-Export-Ansichten zugreifen lassen.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung und Aufrechterhaltung des Dienstes.

3. Arten personenbezogener Daten

Je nach Nutzung können insbesondere folgende Daten betroffen sein:

• Namen und Benutzernamen,
• Kontaktdaten (z. B. E-Mail, Telefon, Messenger-Handles),
• Metadaten (Zeitstempel, Interaktionen, Notizen),
• technische Nutzungsdaten (z. B. IP, User-Agent in Logdateien),
• bei Nutzung des Steuerberater-Zugangs: E-Mail der eingeladenen Person, Authentisierungsdaten (Passwort als Hash), Einladungs-/Sitzungsbezogene Metadaten, sowie die in den Steuer-Export-Ansichten dargestellten Geschäfts- und Buchungsdaten.

Der Verantwortliche bestimmt, welche Daten er in den Dienst einstellt.

4. Kategorien betroffener Personen

• Kunden des Verantwortlichen,
• Interessenten oder Kontakte,
• sonstige Personen, deren Daten der Verantwortliche hochlädt,
• vom Verantwortlichen eingeladene Steuerberater:innen oder andere für den Steuer-Export autorisierte Personen (Kontakt- und Anmeldedaten).

5. Rollen der Parteien

Der Verantwortliche bestimmt Zwecke und Mittel der Verarbeitung. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Auftrag des Verantwortlichen und nach dessen Weisungen — soweit diese sich aus dem Vertrag, dieser Vereinbarung und dem Dienst ergeben — sowie soweit gesetzliche Pflichten dem nicht entgegenstehen.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird insbesondere:

• personenbezogene Daten nur gemäß dokumentierten Weisungen des Verantwortlichen verarbeiten,
• die Vertraulichkeit der mit der Verarbeitung betrauten Personen wahren,
• angemessene technische und organisatorische Maßnahmen (TOM) umsetzen,
• den Verantwortlichen bei der Erfüllung von Betroffenenrechten unterstützen, soweit zumutbar,
• den Verantwortlichen bei einer Datenschutzverletzung unverzüglich informieren, sofern dem Auftragsverarbeiter bekannt,
• nach Beendigung des Dienstes Daten löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrung besteht.

7. Pflichten des Verantwortlichen

Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Erhebung, eine gültige Rechtsgrundlage (z. B. Vertrag, Einwilligung), erforderliche Datenschutzhinweise gegenüber Betroffenen und die Einhaltung anwendbarer Datenschutzgesetze. Der Verantwortliche darf den Dienst nicht für rechtswidrige Tracking- oder Datenverarbeitungszwecke nutzen.

Nutzt der Verantwortliche den Steuerberater-Zugang, stellt er sicher, dass nur befugte Personen eingeladen werden, informiert Betroffene und die Kanzlei nach Bedarf selbstständig und schließt mit der Kanzlei — soweit erforderlich — eine eigene Vereinbarung zur Auftragsverarbeitung oder vergleichbare Regelung. Der Auftragsverarbeiter stellt lediglich die technische Funktion bereit; eine eigenständige Auftragsverarbeitung durch den Auftragsverarbeiter zugunsten der eingeladenen Kanzlei besteht nicht.

8. Sicherheitsmaßnahmen

Der Auftragsverarbeiter setzt angemessene Sicherheitsmaßnahmen ein, einschließlich insbesondere Verschlüsselung während der Übertragung (HTTPS), Zugangskontrolle und Authentifizierung, Systemüberwachung und Protokollierung sowie regelmäßiger Updates und bewährter Sicherheitspraxis.

9. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen, unter Einhaltung der gesetzlichen Vorgaben (z. B. Art. 28 Abs. 2, 4 DSGVO). Die aktuelle Liste ist unter /legal/subprocessors/ bzw. legal_subprocessors.php einsehbar. Wesentliche Änderungen werden — soweit erforderlich — angekündigt.

10. Internationale Datenübermittlungen

Daten können in den Vereinigten Staaten von Amerika und anderen Ländern verarbeitet werden. Für Übermittlungen aus der EU/des EWR in Drittländer kommen — soweit erforderlich — geeignete Garantien zum Einsatz, insbesondere die Standardvertragsklauseln der EU-Kommission und/oder andere anerkannte Mechanismen.

11. Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage angemessene Informationen zur Verfügung, um die Einhaltung dieser Vereinbarung nachzuweisen. Audits können erfolgen, soweit gesetzlich vorgeschrieben, unter angemessenen Einschränkungen (z. B. Geheimhaltung, Betriebsablauf).

12. Löschung der Daten

Nach Beendigung des Dienstverhältnisses werden personenbezogene Daten innerhalb eines angemessenen Zeitraums gelöscht oder dem Verantwortlichen auf dessen Verlangen herausgegeben, es sei denn, eine gesetzliche Aufbewahrungspflicht steht dem entgegen.

13. Haftung

Die Haftung richtet sich nach den AGB, vorbehaltlich zwingender gesetzlicher Regelungen.

14. Annahme

Dieser AV-Vertrag gilt als vom Verantwortlichen angenommen durch die Annahme der AGB und/oder die Nutzung des Dienstes. Eine gesonderte Bestätigung per Checkbox bei der Registrierung dient der zusätzlichen Dokumentation, ist aber nicht die einzige Grundlage der Annahme.

15. Steuerberater-Zugang (Weisung; keine Unterauftragsverarbeitung zugunsten der Kanzlei)

Der Verantwortliche kann über den Dienst eingeladene Personen (nachfolgend „eingeladene Berater:innen“) zu einem nur lesenden Zugang auf die Steuer-Export-Ansichten berechtigen. Die Einladung und der Widerruf erfolgen durch den Verantwortlichen; die Bereitstellung des Zugangs durch den Auftragsverarbeiter erfolgt als Weisung im Sinne von Art. 28 DSGVO im Rahmen des Nutzungsvertrags.

Der Auftragsverarbeiter verarbeitet hierzu insbesondere die E-Mail-Adresse der eingeladenen Berater:in, Authentisierungsdaten (Passwort als Einweg-Hash), Einladungs- und Anmelde-Metadaten sowie die in der Exportansicht verarbeiteten Inhaltsdaten des Verantwortlichen einschließlich der im CRM gespeicherten Daten, soweit sie in der Ansicht erscheinen. In der Berater-Ansicht werden Endkund:innen des Verantwortlichen soweit technisch vorgesehen pseudonymisiert dargestellt; der Verantwortliche bleibt gegenüber diesen Betroffenen dennoch Verantwortlicher, soweit personenbezogene Daten verarbeitet werden.

Eingeladene Berater:innen gelten nicht als Unterauftragsverarbeiter des Auftragsverarbeiters im Sinne von Ziffer 9; sie handeln in der Regel im Auftrag oder Mandat des Verantwortlichen. Eine Weitergabe an die eingeladene Person erfolgt auf Anordnung des Verantwortlichen durch Nutzung der Einladungsfunktion.

16. Kontakt

Datenschutzanfragen: kontakt@errhuman.store

Impressum Datenschutz AGB Unterauftragsverarbeiter Startseite Login