Modvio
ModuleWhite-LabelPreiseFür wen
Anmelden Kostenlos testen

Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

1. Gegenstand & Rollen

Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Modvio-Software (SaaS). Der Kunde (Betrieb, der Modvio nutzt) ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Barzik Studio (Einzelunternehmen, Inhaber Alexander Barzik), Melanchthonstraße 73, 33615 Bielefeld („Modvio") ist Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) und verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung des Kunden.

2. Gegenstand, Art & Zweck der Verarbeitung

Bereitstellung und Betrieb der vom Kunden gebuchten Module (z. B. Rechnungswesen, Reservierungen) als mandantengetrennte SaaS-Lösung. Verarbeitet wird, soweit der Kunde dies im Rahmen der Nutzung veranlasst.

3. Dauer

Die Verarbeitung dauert für die Laufzeit des Hauptvertrags (Nutzungsvertrag/AGB). Beendigung richtet sich nach Ziffer 9.

4. Kategorien betroffener Personen

Kunden/Gäste des Verantwortlichen, dessen Beschäftigte, Lieferanten und Kontakte — je nach genutztem Modul.

5. Kategorien personenbezogener Daten

Stammdaten (Name, Anschrift, Kontakt), Vertrags-/Rechnungsdaten, Reservierungs-/Termindaten, ggf. Beschäftigtendaten (Dienstplan/Zeiterfassung) — abhängig von den vom Kunden eingegebenen Daten und gebuchten Modulen. Besondere Kategorien (Art. 9) sind nicht Gegenstand, soweit der Kunde sie nicht eigenverantwortlich einbringt.

6. Pflichten des Auftragsverarbeiters

Modvio verarbeitet Daten nur weisungsgebunden; verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 b, Art. 29, 32 Abs. 4); ergreift die technischen und organisatorischen Maßnahmen nach Art. 32 (Ziffer 7); unterstützt den Verantwortlichen bei Betroffenenanfragen (Art. 12–23) sowie bei Pflichten nach Art. 32–36; meldet Datenschutzverletzungen unverzüglich; ermöglicht und unterstützt Audits/Nachweise (Art. 28 Abs. 3 h).

7. Technische & organisatorische Maßnahmen (Art. 32)

Maßnahmen-Dokumentation zum angegebenen Stand („angemessene Sicherheit nach dem Stand der Technik", Art. 32 DSGVO):

  • 1. Vertraulichkeit
    • Zutrittskontrolle: Verarbeitung ausschließlich in einem zertifizierten Rechenzentrum der Hetzner Online GmbH in Deutschland (physische Zutrittssicherung durch den Hosting-Dienstleister); vorgelagerte WAF-/DDoS-Abwehr durch Cloudflare.
    • Zugangskontrolle (Systemzugang): Passwörter mit scrypt + zeitkonstantem Vergleich gehasht; serverseitige, HttpOnly/Secure/SameSite-Session-Cookies (kein Token im Browser-Speicher); account-bezogene Anmeldesperre nach Fehlversuchen zusätzlich zum IP-Rate-Limit (Auth-Routen streng begrenzt); generische Anmeldefehler (keine Konto-Aufzählung); optionale Zwei-Faktor-Authentifizierung (TOTP, RFC 6238) mit Replay-Schutz.
    • Zugriffskontrolle (Datenzugang): jede API-Route serverseitig auth-gegated (401/403); Berechtigung pro Produkt (Entitlement) und rollenbasiert innerhalb des Mandanten; Objektbezug stets aus der authentifizierten Sitzung, nie aus Client-IDs.
    • Trennungskontrolle (Mandantentrennung): physische Datenbank-pro-Mandant (eigene Datei je Betrieb) zzgl. datei-getrennter Mandanten-Daten → Mandantenvermischung ist physikalisch ausgeschlossen; durch Penetrationstest bestätigt.
  • 2. Integrität
    • Weitergabekontrolle: durchgängige Transportverschlüsselung (TLS, HTTPS-Pflicht, HSTS); Sicherheits-Header (CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy); keine personenbezogenen Daten oder Geheimnisse in Protokollen.
    • Eingabekontrolle: Protokollierung sicherheitsrelevanter Aktionen (Audit-Log); serverseitige Eingabevalidierung; ausschließlich parametrisierte Datenbankabfragen (keine SQL-Injection); Ausgabe-Encoding (kein XSS).
  • 3. Verfügbarkeit & Belastbarkeit
    • Verfügbarkeitskontrolle: tägliche, konsistente und integritätsgeprüfte Backups je Mandant (14 Tage Vorhaltung); vorgelagerte DDoS-/WAF-Abwehr; globaler Fehler-Handler + Prozess-Wächter; automatisiertes Monitoring der Dienste/Endpunkte alle 5 Minuten mit Alarmierung.
    • Rasche Wiederherstellbarkeit: getesteter Wiederherstellungsprozess (round-trip-bewiesen) mit Vor-Wiederherstellungs-Sicherung.
  • 4. Verfahren zur regelmäßigen Überprüfung, Bewertung & Evaluierung
    • Auftragskontrolle: Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) mit allen Unterauftragsverarbeitern (siehe Ziffer 8); Drittland-Transfers über SCC bzw. EU-US Data Privacy Framework abgesichert.
    • Datenschutz durch Technikgestaltung & Voreinstellungen (Art. 25): Mandanten-Isolation auf Architektur-Ebene; serverseitige Sitzungen statt Tokens; keine Geheimnisse im Quellcode (Secret-Scanning).
    • Regelmäßige Überprüfung: adversariales Sicherheits-Audit mit Härtung + Regressionstests; automatisierte Tests in der CI bei jedem Push; wöchentliches Dependency-/Schwachstellen-Scanning; Trennung von Test- und Produktivumgebung.

8. Unterauftragsverarbeiter (Subprozessoren)

Der Kunde stimmt dem Einsatz folgender Subprozessoren zu. Änderungen werden mit angemessener Frist mitgeteilt; ein Widerspruchsrecht bleibt unberührt.

SubprozessorZweckOrt / Hinweis
Hetzner Online GmbHServer & HostingDeutschland (EU)
Cloudflare, Inc.CDN / DNS / DDoS-Schutz (Proxy)USA (SCC / EU-US DPF)
Zoho Corp. (ZeptoMail)Transaktionaler E-Mail-VersandEU-Rechenzentrum gewählt
Stripe Payments Europe, Ltd.Zahlungsabwicklung (Abonnement)Irland (EU)
Google Ireland Ltd.Login mit Google (optional)Irland (ggf. USA, SCC/DPF)
Anthropic, PBC (KI-Assistent)Chat-Assistent (sofern aktiv)USA (EU-SCC, Art. 46 DSGVO)

9. Löschung & Rückgabe nach Vertragsende

Nach Beendigung stellt Modvio dem Kunden seine Daten in einem gängigen Format zur Verfügung (Export als PDF/CSV bzw. GoBD-/DATEV-Export) und löscht die Daten anschließend, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10. Weisungen

Weisungen erfolgen grundsätzlich über die Funktionen der Software bzw. in Textform an [email protected]. Hält Modvio eine Weisung für rechtswidrig, wird der Kunde informiert.

11. Haftung

Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags (AGB) entsprechend. Im Außenverhältnis gegenüber betroffenen Personen haften Verantwortlicher und Auftragsverarbeiter nach Maßgabe des Art. 82 DSGVO. Im Innenverhältnis trägt jede Partei die Verantwortung für den ihr zuzurechnenden Verstoß.

Stand: Juni 2026. Bei Widersprüchen zwischen AVV und AGB geht dieser AVV in Datenschutzfragen vor. Siehe auch Datenschutzerklärung.