Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 Datenschutz-Grundverordnung (DSGVO) | Stand: April 2026

§ 1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird geschlossen zwischen:

Auftragsverarbeiter (Auftragnehmer):
Gonzi Tech UG (haftungsbeschränkt)
An der Mannsfaust 10, 60599 Frankfurt am Main, Deutschland
Geschäftsführer: David Joswig
E-Mail: [email protected]
Registergericht: Amtsgericht Frankfurt am Main, HRB 139764
USt-IdNr.: DE458062905

Verantwortlicher (Auftraggeber):
Die natürliche oder juristische Person, die sich bei Kostly registriert und den Dienst nutzt (im Folgenden "Auftraggeber"). Die Identifikation des Auftraggebers ergibt sich aus den bei der Registrierung hinterlegten Daten.

Der Auftraggeber ist im Sinne des Art. 4 Nr. 7 DSGVO der Verantwortliche. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.

§ 2 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Bereitstellung des SaaS-Dienstes "Kostly" (Recurring Expense Tracker) unter der Domain kostly.gonzi.cloud.

Die Verarbeitung beginnt mit der elektronischen Zustimmung zu diesem AVV im Rahmen der Registrierung und endet mit der vollständigen Löschung des Kundenkontos. Der Zeitpunkt der elektronischen Zustimmung wird mit Datum, Uhrzeit, IP-Adresse und User-Agent des Auftraggebers dokumentiert.

Dieser AVV kann von beiden Parteien mit einer Frist von 30 Tagen zum Monatsende gekündigt werden. Das Recht zur außerordentlichen Kündigung bleibt unberührt. Bei Kündigung des Hauptvertrags (Nutzung von Kostly) endet dieser AVV automatisch.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von wiederkehrenden Ausgaben des Auftraggebers
  • Berechnung und Darstellung von Kosten-Übersichten und Analysen
  • Versand transaktionaler E-Mails (Registrierung, Passwort-Reset, Zahlungsbenachrichtigungen)
  • Zahlungsabwicklung über Stripe bei kostenpflichtigen Plänen
  • Team-Verwaltung und Einladungen (bei Team- und Enterprise-Plänen)

Der Zweck der Verarbeitung ist ausschließlich die Erbringung des vertraglich vereinbarten Dienstes. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

§ 4 Art der personenbezogenen Daten

  • Stammdaten: Name, E-Mail-Adresse
  • Nutzungsdaten: Ausgaben-Einträge (Bezeichnung, Betrag, Währung, Intervall, Kategorie, Notizen, Startdatum, Fälligkeitsdatum)
  • Abrechnungsdaten: Stripe-Kunden-ID, Plan-Zuordnung, Rechnungsdaten (Name, E-Mail, ggf. Rechnungsadresse - werden an Lexoffice zur Buchhaltung übermittelt). Keine Speicherung von Kreditkartendaten durch den Auftragnehmer.
  • Technische Daten: IP-Adresse, User-Agent, Session-Token (zur Authentifizierung)
  • Kommunikationsdaten: E-Mail-Adresse für transaktionale Nachrichten
  • Team-Daten: Team-Name, Einladungs-E-Mails, Rollenbezeichnungen (OWNER, ADMIN, MEMBER)
  • Steuerrelevante Daten: Steuersatz, Reverse-Charge-Kennzeichnung (nur bei Solo-Plan und höher)

§ 5 Kategorien betroffener Personen

  • Der Auftraggeber selbst (als registrierter Nutzer)
  • Team-Mitglieder, die vom Auftraggeber eingeladen wurden
  • Dritte, deren personenbezogene Daten der Auftraggeber in Ausgaben-Einträgen erfasst (z.B. Dienstleister-Namen in Notizen)

§ 6 Weisungsrecht des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet.

Weisungen können schriftlich oder in Textform (E-Mail an [email protected]) erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

§ 7 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO)
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zu treffen (siehe Anlage 1)
  • Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (Art. 28 Abs. 2 und 4 DSGVO)
  • Den Auftraggeber unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Pflichten gem. Art. 32-36 DSGVO zu unterstützen
  • Den Auftraggeber bei der Erfüllung der Betroffenenrechte gem. Art. 15-22 DSGVO zu unterstützen
  • Nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (nach Wahl des Auftraggebers)
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen

§ 8 Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung gem. Art. 28 Abs. 2 DSGVO zum Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter:

AnbieterZweckStandort / Rechtsgrundlage
Hetzner Online GmbHHosting, Datenbank, Load BalancerDeutschland (Falkenstein, Nürnberg) - EU
Cloudflare, Inc.DNS, DDoS-Schutz, SSL-TerminationUSA - EU-US Data Privacy Framework (Art. 45 DSGVO)
Brevo (Sendinblue GmbH)Transaktionale E-Mails, NewsletterDeutschland / Frankreich - EU
Stripe Payments Europe, Ltd.ZahlungsabwicklungIrland (EU) - EU-US DPF für US-Transfers
Haufe-Lexware GmbH & Co. KG (Lexoffice)Rechnungsstellung, Buchhaltung (Stripe-Rechnungsdaten)Deutschland (Freiburg) - EU

Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail. Der Auftraggeber kann gegen solche Änderungen innerhalb von 14 Tagen nach Benachrichtigung Einspruch erheben. Wird kein Einspruch erhoben, gilt die Zustimmung als erteilt.

Der Auftragnehmer stellt sicher, dass den Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden wie in diesem AVV festgelegt (Art. 28 Abs. 4 DSGVO).

§ 9 Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt nur, wenn die Voraussetzungen der Art. 44-49 DSGVO erfüllt sind. Derzeit erfolgen Drittlandtransfers ausschließlich in die USA auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO).

Betroffen sind: Cloudflare (DNS/CDN) und Stripe (Zahlungsabwicklung, soweit Daten an die US-Muttergesellschaft weitergeleitet werden). Beide Unternehmen sind unter dem EU-US DPF zertifiziert.

§ 10 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Rechte betroffener Personen gem. Art. 15-22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

Richtet eine betroffene Person Anfragen direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter und teilt der betroffenen Person mit, dass der Auftraggeber der Verantwortliche ist.

§ 11 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, per E-Mail an die hinterlegte E-Mail-Adresse des Auftraggebers. Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze
  • Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Minderung der Folgen

Die 48-Stunden-Frist beginnt mit dem Zeitpunkt, an dem der Auftragnehmer von der Verletzung Kenntnis erlangt. Liegt zu diesem Zeitpunkt noch keine vollständige Information vor, erfolgt die Meldung in Phasen.

§ 12 Löschung und Rückgabe von Daten

Nach Beendigung der Auftragsverarbeitung löscht der Auftragnehmer sämtliche personenbezogenen Daten des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht besteht (insbesondere § 147 AO, § 257 HGB).

Der Auftraggeber kann vor der Löschung seine Daten in maschinenlesbarem Format (JSON) über die Kontoeinstellungen exportieren. Die Löschung erfolgt durch vollständiges und unwiderrufliches Entfernen des Kundenkontos und aller zugehörigen Daten aus den Produktivsystemen (Hard Delete). Daten in Backups werden im Rahmen des regulären Backup-Rotationszyklus überschrieben.

§ 13 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages zu überprüfen, einschließlich Inspektionen vor Ort nach angemessener Vorankündigung (mindestens 14 Werktage). Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.

Der Auftragnehmer kann den Nachweis auch durch Vorlage aktueller Zertifizierungen, Berichte unabhängiger Prüfer oder geeignete Selbstauskünfte erbringen.

§ 14 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Der Auftragnehmer haftet für Schäden, die durch eine nicht den gesetzlichen Vorschriften oder den Weisungen des Auftraggebers entsprechende Verarbeitung verursacht werden.

§ 15 Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für den Verzicht auf das Textformerfordernis.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Bestimmung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Frankfurt am Main.

Dieser AVV wird durch elektronische Zustimmung bei der Registrierung für den Dienst Kostly abgeschlossen. Der Zeitpunkt der Zustimmung, die IP-Adresse und der User-Agent werden als Nachweis des Vertragsschlusses gespeichert und dem Auftraggeber per E-Mail bestätigt.

Anlage 1: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

A. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Server bei Hetzner Online GmbH in zertifizierten Rechenzentren (ISO 27001, SOC 2 Type II) in Deutschland. Physischer Zugang ist auf autorisiertes Hetzner-Personal beschränkt.
  • Zugangskontrolle: Zugang zu Produktivsystemen ausschließlich über VPN-Tunnel (kein öffentlicher SSH-Zugang). Authentifizierung über SSH-Keys. Kein Passwort-basierter Zugang.
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) in der Anwendung. Sämtliche Datenbankabfragen sind nach userId bzw. teamId gefiltert (Mandantentrennung). Admin-Zugriff nur über separates, VPN-geschütztes Interface.
  • Trennungskontrolle: Mandantentrennung durch logische Trennung auf Datenbankebene. Jede Query enthält eine WHERE-Klausel auf userId/teamId. Kein Cross-Tenant-Zugriff möglich.
  • Pseudonymisierung: Zahlungsdaten werden nicht beim Auftragnehmer gespeichert, sondern direkt bei Stripe verarbeitet. Der Auftragnehmer speichert nur die Stripe-Kunden-ID als Referenz.

B. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: SSL/TLS-Verschlüsselung für alle Datenübertragungen. HSTS (HTTP Strict Transport Security) mit max-age=31536000. Hetzner Load Balancer terminiert SSL. Content Security Policy (CSP) konfiguriert.
  • Eingabekontrolle: Server-seitige Validierung aller Eingaben mittels Zod-Schema-Validierung. Rate Limiting auf allen API-Endpunkten. Audit-Log für sicherheitsrelevante Aktionen (Kontolöschung, Plan-Änderungen, AVV-Abschluss).

C. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • Verfügbarkeitskontrolle: PostgreSQL 16 Datenbank auf dediziertem Server. Docker-Container mit Healthchecks (30s Intervall) und automatischem Restart (unless-stopped). Hetzner Load Balancer als einziger öffentlicher Endpunkt.
  • Rasche Wiederherstellbarkeit: Regelmäßige Datenbank-Backups. Infrastruktur als Code (Docker Compose) für schnelle Wiederherstellung. Kein Single Point of Failure auf Netzwerkebene.
  • Monitoring: Prometheus-basiertes Monitoring mit Alerting für Systemausfälle und Anomalien.

D. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Datenschutz-Management: Regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen.
  • Incident-Response: Definierter Prozess zur Erkennung, Meldung und Behandlung von Datenschutzverletzungen (Meldung an Auftraggeber innerhalb von 48 Stunden).
  • Unterauftragsverarbeiter-Kontrolle: Regelmäßige Überprüfung der Unterauftragsverarbeiter auf Einhaltung der vertraglichen und gesetzlichen Datenschutzanforderungen.
  • Sicherheitsupdates: Zeitnahe Einspielung von Sicherheitsupdates für Betriebssystem, Datenbank und Anwendungs-Dependencies.

PDF-Download

Nutze die Druckfunktion deines Browsers um diese AVV als PDF zu speichern.

Gonzi Tech UG (haftungsbeschränkt) | An der Mannsfaust 10, 60599 Frankfurt am Main | Stand: April 2026