Auftragsverarbeitungsvertrag (AVV)
Stand: Maerz 2026
Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Verarbeitung personenbezogener Daten durch die MOLOTOW Web Development GmbH als Auftragsverarbeiter im Auftrag des Kunden als Verantwortlichem, gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Er wird automatisch Bestandteil des Nutzungsvertrags, wenn Sie sich für Selviqo registrieren.
§ 1 Vertragsparteien
Auftragsverarbeiter:
MOLOTOW Web Development GmbH
Willy-Brandt-Str. 9/2, 77933 Lahr, Deutschland
HRB 720911, Amtsgericht Freiburg
datenschutz@molotow-web.com
Verantwortlicher:
Das jeweilige Unternehmen bzw. die juristische Person, die Selviqo nutzt und als Kunde im Rahmen der Registrierung oder Bestellung identifiziert ist („Auftraggeber“).
§ 2 Gegenstand und Dauer der Verarbeitung
- Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der SaaS-Plattform Selviqo.
- Die Verarbeitung erfolgt für die Dauer der Nutzung der Plattform durch den Auftraggeber. Nach Vertragsende gelten die Regelungen in § 12 dieses AVV.
- Die Art und der Zweck der Verarbeitung, die Kategorien personenbezogener Daten sowie die betroffenen Personen ergeben sich im Einzelnen aus Anlage 1 (Leistungsbeschreibung).
§ 3 Art und Zweck der Verarbeitung
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung, des Betriebs, der Wartung und der Weiterentwicklung der Selviqo-Plattform sowie ergänzender Dienstleistungen.
- Die Verarbeitungstätigkeiten umfassen insbesondere: Speicherung und Verwaltung von Geschäftsdaten, Anzeige und Visualisierung von Daten in der Anwendung, Verarbeitung im Rahmen automatisierter Workflows und Benachrichtigungen, Export und Bereitstellung von Daten für den Auftraggeber sowie Verarbeitung durch vom Auftraggeber aktivierte KI-Dienste.
- Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt, es sei denn, er ist hierzu gesetzlich verpflichtet.
§ 4 Weisungsrecht des Auftraggebers
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
- Weisungen werden in der Regel über die Konfiguration der Plattform, schriftliche Anforderungen oder diesen AVV erteilt. Der Auftraggeber ist berechtigt, ergänzende Weisungen in Textform zu erteilen.
- Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Auftraggeber unverzüglich. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung bis zur Klärung auszusetzen.
§ 5 Vertraulichkeit
- Der Auftragsverarbeiter stellt sicher, dass alle Personen, die befugt sind, die personenbezogenen Daten zu verarbeiten, zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
- Die Vertraulichkeitspflicht besteht auch nach Beendigung dieses AVV fort.
§ 6 Technische und organisatorische Maßnahmen
- Der Auftragsverarbeiter ergreift die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Der Auftragsverarbeiter ist berechtigt, die TOMs weiterzuentwickeln und anzupassen, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt.
§ 7 Unterstützungspflichten
- Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
- Bei Anfragen betroffener Personen zur Ausübung ihrer Rechte nach Art. 15 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) leitet der Auftragsverarbeiter diese unverzüglich an den Auftraggeber weiter. Soweit technisch möglich und zumutbar, unterstützt der Auftragsverarbeiter den Auftraggeber bei der Beantwortung solcher Anfragen.
- Sicherheitsverletzungen gemäß Art. 4 Nr. 12 DSGVO, die personenbezogene Daten des Auftraggebers betreffen, meldet der Auftragsverarbeiter dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, um dem Auftraggeber die Einhaltung seiner eigenen Meldepflichten zu ermöglichen.
- Soweit eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erforderlich ist, unterstützt der Auftragsverarbeiter den Auftraggeber auf Anfrage mit den verfügbaren Informationen.
§ 8 Unterauftragsverarbeiter
- Der Auftraggeber erteilt dem Auftragsverarbeiter die generelle Genehmigung, weitere Auftragsverarbeiter („Unterauftragsverarbeiter“) einzusetzen. Die zum Zeitpunkt des Abschlusses dieses AVV eingesetzten wesentlichen Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
- Der Auftragsverarbeiter informiert den Auftraggeber über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern mit einer Vorlaufzeit von mindestens 30 Tagen, sodass der Auftraggeber die Möglichkeit hat, diesen Änderungen zu widersprechen.
- Widerspricht der Auftraggeber einer beabsichtigten Änderung, können beide Parteien den Vertrag aus wichtigem Grund mit einer Frist von 30 Tagen kündigen, wenn eine einvernehmliche Lösung nicht gefunden werden kann.
- Der Auftragsverarbeiter legt Unterauftragsverarbeitern dieselben Datenschutzpflichten auf wie sie in diesem AVV festgelegt sind, insbesondere ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
- Bei KI-Diensten gilt: Nutzt der Auftraggeber eigene API-Schlüssel eines KI-Anbieters, besteht zwischen dem Auftraggeber und dem KI-Anbieter ein direktes Vertragsverhältnis. In diesem Fall ist der Auftraggeber selbst Verantwortlicher gegenüber dem KI-Anbieter. Die in Anlage 3 genannten KI-Unterauftragsverarbeiter gelten nur für zentral vom Auftragsverarbeiter bereitgestellte KI-Zugänge.
§ 9 Kontrollrechte des Auftraggebers
- Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung.
- Der Auftraggeber ist berechtigt, Überprüfungen und Audits durchzuführen oder durch einen Dritten durchführen zu lassen, sofern dieser einer Vertraulichkeitspflicht unterliegt. Überprüfungen sind mindestens 4 Wochen vorab schriftlich anzukündigen, auf das notwendige Maß zu beschränken und dürfen den Betrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.
- Alternativ akzeptiert der Auftragsverarbeiter anerkannte Zertifizierungen, Prüfberichte (z. B. SOC 2, ISO 27001) oder Verhaltenskodizes als Nachweis gleichwertiger Garantien, soweit diese relevant sind.
- Kosten für Audits trägt der Auftraggeber, soweit diese über eine Standarddokumentation hinausgehen.
§ 10 Haftung
- Für die Haftung der Parteien im Rahmen dieses AVV gelten die allgemeinen Haftungsregelungen des zugrunde liegenden Nutzungsvertrags sowie die gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.
- Jede Partei haftet dem Betroffenen gegenüber für den Schaden, den sie durch einen Verstoß gegen die DSGVO verursacht hat. Eine Partei ist von der Haftung befreit, wenn sie nachweist, dass sie für den schadensverursachenden Umstand nicht verantwortlich ist.
§ 11 Zusammenarbeit mit Aufsichtsbehörden
Der Auftragsverarbeiter kooperiert auf Anfrage mit der zuständigen Datenschutzaufsichtsbehörde bei der Erfüllung ihrer Aufgaben und informiert den Auftraggeber unverzüglich, wenn er von einer Behörde zu Verarbeitungstätigkeiten des Auftraggebers befragt wird.
§ 12 Rückgabe und Löschung der Daten
- Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Auftraggeber für einen Zeitraum von in der Regel 30 Tagen eine Exportfunktion bereit, um die eigenen Daten herunterzuladen.
- Nach Ablauf des Exportzeitraums werden die personenbezogenen Daten des Auftraggebers in aktiven Systemen binnen 90 Tagen gelöscht oder dauerhaft anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Daten, die gesetzlichen Aufbewahrungsfristen unterliegen (insbesondere steuer- und handelsrechtliche Unterlagen), werden gesperrt und erst nach Ablauf der jeweiligen Frist gelöscht. Das Löschkonzept ist in Anlage 4 beschrieben.
- Auf Anfrage bestätigt der Auftragsverarbeiter dem Auftraggeber die Löschung in Textform, soweit dies ohne unverhältnismäßigen Aufwand möglich ist.
§ 13 Laufzeit
Dieser AVV tritt mit Abschluss des Nutzungsvertrags in Kraft und endet automatisch mit vollständiger und nachgewiesener Löschung aller personenbezogenen Daten des Auftraggebers gemäß § 12. Im Übrigen gelten die Regelungen zur Laufzeit und Kündigung aus dem Nutzungsvertrag entsprechend.
§ 14 Anwendbares Recht und Gerichtsstand
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.
Anlage 1: Leistungsbeschreibung und Verarbeitungsübersicht
Die folgende Tabelle beschreibt die im Rahmen der Nutzung von Selviqo verarbeiteten Datenkategorien und betroffenen Personengruppen nach Modul.
| Modul | Verarbeitete Datenkategorien | Betroffene Personen |
|---|---|---|
| CRM | Stammdaten (Name, Adresse, Steuernummer, Bankverbindung), Kontaktdaten (E-Mail, Telefon), Kommunikationshistorie, Notizen, Tags, Bewertungen | Kunden, Lieferanten, Kontakte, Interessenten |
| Vertrieb (Angebote, Aufträge, Rechnungen) | Angebots- und Auftragsdaten, Rechnungsdaten, Bankverbindungen, Zahlungsbedingungen, Steuerdaten, Adress-Snapshots | Kunden, Kontakte |
| Projekte & Zeiterfassung | Arbeitszeiten, Aufgabenzuweisungen, Kommentare, Fortschrittsdaten, Leistungsnachweise | Beschäftigte des Auftraggebers, Kunden |
| Verträge | Vertragsdaten, Laufzeiten, Verlängerungsoptionen, Vertragsparteien, wiederkehrende Abrechnungsdaten | Kunden, ggf. Lieferanten |
| Helpdesk | Ticketinhalte, Korrespondenz, SLA-Daten, Anhänge, Kontaktdaten der Anfragenden | Kunden, Kontakte |
| Buchhaltung & Banking | Buchungsdaten, Zahlungsverläufe, Bankverbindungen, IBAN/BIC, Kontobewegungen, DATEV-Exportdaten | Kunden, Lieferanten |
| Dokumentenmanagement (DMS) | Dokumente, Anhänge, OCR-Ergebnisse, Metadaten, Dateibezeichnungen, ggf. Inhalte gescannter Dokumente | Alle betroffenen Personengruppen |
| E-Mail-Integration | E-Mail-Inhalte, Betreffzeilen, Absender- und Empfängerdaten, Anhänge | Kunden, Kontakte, ggf. Beschäftigte |
| HR-Funktionen | Mitarbeiterstammdaten, Abwesenheiten, Arbeitszeitdaten, ggf. Lohndaten (sofern aktiviert) | Beschäftigte des Auftraggebers |
| KI-Assistenzfunktionen | Vom Auftraggeber eingegebene Texte, Kontextdaten aus anderen Modulen (abhängig von Konfiguration und aktivierten Funktionen) | Abhängig von der jeweiligen Konfiguration |
Zwecke der Verarbeitung: Bereitstellung der Plattformfunktionen, Ausführung von Weisungen des Auftraggebers, technischer Betrieb, Backup und Wiederherstellung, Support.
Anlage 2: Technische und organisatorische Maßnahmen (TOMs)
Die folgenden TOMs beschreiben den Stand der Sicherheitstechnik, den der Auftragsverarbeiter für den Betrieb von Selviqo implementiert.
1. Zugangskontrolle
- Passwortbasierte Authentifizierung mit erzwungener Mindestlänge von 8 Zeichen und Bcrypt-Hashing
- Multi-Faktor-Authentifizierung (MFA) mittels TOTP (Time-based One-Time Password, z. B. Authenticator-Apps) als Option für alle Nutzer
- Passkey-Unterstützung (FIDO2/WebAuthn) als Alternative zu Passwörtern
- Session-Management über verschlüsselte Redis-Sessions mit konfigurierbaren Timeouts
- Rate Limiting auf Authentifizierungs-Endpunkten zur Abwehr von Brute-Force-Angriffen
- Kein direkter SSH-Zugang zur Produktionsinfrastruktur; Zugang ausschließlich über AWS Systems Manager (SSM) mit IAM-basierten Berechtigungen
2. Zugriffskontrolle und Mandantentrennung
- Rollenbasiertes Zugriffskontrollsystem (RBAC) mit granularen Berechtigungen je Modul und Aktion
- Strikte Mandantentrennung durch
tenant_id-Filterung auf Datenbankebene bei allen Abfragen - Trennung von Rechtseinheiten innerhalb eines Mandanten durch
legal_entity_id - Unveränderliches Audit-Log für alle fachlich relevanten Aktionen (Erstellung, Änderung, Statuswechsel, Löschung)
- TenantGuard auf allen API-Endpunkten zur Verhinderung von Cross-Tenant-Zugriffen
- Separate S3-Präfixe pro Mandant für Dateispeicher
3. Verschlüsselung
- Alle Verbindungen über TLS 1.2 oder höher (HTTPS); HTTP wird automatisch auf HTTPS umgeleitet
- EBS-Volumes (EC2-Festplatten) mit AWS-verwalteten Schlüsseln verschlüsselt (AES-256)
- RDS-Datenbank mit Verschlüsselung im Ruhezustand (encryption at rest)
- S3-Objekte serverseitig verschlüsselt (SSE-S3 / AES-256)
- ElastiCache (Redis) mit TLS-Verbindungen und Verschlüsselung im Ruhezustand
- Offsite-Backups verschlüsselt vor der Übertragung
- Secrets und Zugangsdaten ausschließlich in AWS Secrets Manager (keine Klartext-Credentials im Code oder in Umgebungsvariablen auf Produktionssystemen)
4. Protokollierung und Nachvollziehbarkeit
- Anwendungsseitiges Audit-Log für alle datenschutzrechtlich relevanten Vorgänge (append-only, nicht veränderbar durch Anwendungslogik)
- Eindeutige Request-IDs für alle API-Anfragen zur Nachvollziehbarkeit im Fehlerfall
- AWS CloudTrail für alle Infrastrukturaktionen auf AWS-Ebene
- Protokollierung von Anmelde- und Authentifizierungsereignissen
5. Verfügbarkeit und Ausfallsicherheit
- AWS RDS mit automatisierten täglichen Backups und Point-in-Time Recovery (PITR)
- Verschlüsselte Offsite-Backups mit regelmäßigen Restore-Tests
- Containerisierte Deployments (Docker) mit Health Checks und automatischem Neustart bei Fehler
- Nginx als Reverse Proxy mit TLS-Terminierung und Failover-Konfiguration
6. Löschung und Datenminimierung
- Soft Delete (logische Löschung) als Standard; keine Hard Deletes auf buchungsrelevanten und belegrelevanten Tabellen
- Aufbewahrungsfristen gemäß Anlage 4 (Löschkonzept)
- Anonymisierung statt Löschung, wo Aufbewahrungspflichten bestehen
- Backups werden nach 30 Tagen Rolling-Cycle automatisch überschrieben
7. Patch- und Update-Management
- Regelmäßige Aktualisierung von Betriebssystem-Images, Anwendungsabhängigkeiten und Docker-Basis-Images
- Sicherheitsrelevante Patches werden priorisiert eingespielt
- Docker-Images werden bei jedem Deployment neu gebaut und mit aktualisierten Basis-Images versehen
8. KI-Dienste
- KI-Funktionen sind pro Mandant separat aktivierbar und standardmäßig deaktiviert
- Unterstützung für mandantenspezifische API-Schlüssel (keine Vermischung von Mandantendaten bei der Übermittlung)
- Keine persistente Speicherung von Eingabedaten bei KI-Providern durch den Auftragsverarbeiter (soweit vertraglich mit dem KI-Provider vereinbart)
Anlage 3: Unterauftragsverarbeiter
Die folgenden wesentlichen Unterauftragsverarbeiter werden zum Zeitpunkt der Erstellung dieses AVV eingesetzt. Die jeweils aktuelle Liste ist unter selviqo.com/legal/unterauftragsverarbeiter verfügbar.
| Anbieter | Standort / Datenverarbeitung | Zweck | Verarbeitete Daten | Rechtsgrundlage Drittlandübermittlung |
|---|---|---|---|---|
| Amazon Web Services (AWS) | EU-West-1 (Frankfurt) | Cloud-Infrastruktur: Compute (EC2), Datenbank (RDS), Cache (ElastiCache), Dateispeicher (S3), E-Mail-Versand (SES), Secret Management (Secrets Manager) | Alle personenbezogenen Daten | AWS Data Processing Addendum (EU-Standardvertrag) |
| Dropbox, Inc. | EU / USA | Verschlüsselte Offsite-Backups | Alle Daten (ausschließlich in verschlüsselter Form, kein Klartextzugriff durch Dropbox) | EU-Standardvertragsklauseln (SCCs) + DPA |
| Anthropic PBC | USA | KI-Textgenerierung (nur bei zentraler Aktivierung durch den Auftragsverarbeiter; nicht bei kundeneigenen API-Keys) | Vom Auftraggeber eingegebene Texte und Kontextdaten | EU-Standardvertragsklauseln (SCCs) |
| OpenAI, L.L.C. | USA | KI-Textgenerierung (nur bei zentraler Aktivierung durch den Auftragsverarbeiter; nicht bei kundeneigenen API-Keys) | Vom Auftraggeber eingegebene Texte und Kontextdaten | EU-Standardvertragsklauseln (SCCs) |
Hinweis zu kundeneigenen API-Keys: Sofern der Auftraggeber eigene API-Schlüssel eines KI-Anbieters in Selviqo hinterlegt, besteht zwischen dem Auftraggeber und dem jeweiligen KI-Anbieter ein direktes Vertragsverhältnis. In diesem Fall ist der Auftraggeber selbst für die Einhaltung der datenschutzrechtlichen Anforderungen gegenüber dem KI-Anbieter verantwortlich. Die oben genannten KI-Unterauftragsverarbeiter gelten in diesem Fall nicht als Unterauftragsverarbeiter im Sinne dieses AVV.
Anlage 4: Löschkonzept
Das folgende Löschkonzept beschreibt die Aufbewahrungsfristen und Löschmethoden für die wesentlichen Datenkategorien in Selviqo.
| Datenkategorie | Rechtsgrundlage der Aufbewahrung | Aufbewahrungsfrist | Löschmethode |
|---|---|---|---|
| Rechnungen und Rechnungsbelege | § 14b UStG, § 147 AO | 10 Jahre ab Ausstellungsdatum | Datensatz wird gesperrt (kein Zugriff durch Anwendung), Löschung nach Fristablauf |
| Buchungsjournale und Buchungsbelege | § 147 AO, § 257 HGB | 10 Jahre | Append-only, keine Änderung oder Löschung möglich |
| Geschäftsbriefe und kaufmännische Korrespondenz | § 257 HGB | 6 Jahre | Soft Delete; Löschung oder Anonymisierung nach Fristablauf |
| CRM-Stammdaten (Kunden, Lieferanten) | Art. 17 DSGVO (Löschpflicht nach Wegfall des Zwecks) | Solange aktives Vertragsverhältnis besteht; nach Kündigung 30 Tage Export, dann Anonymisierung | Anonymisierung (Name, Adresse, Kontaktdaten werden gelöscht) |
| Benutzerdaten (Nutzerkonten des Auftraggebers) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | 90 Tage nach Kontolöschung oder Vertragsende | Hard Delete (vollständige Löschung aus Produktivsystemen) |
| Backups (verschlüsselte Offsite-Sicherungen) | Interne Policy (Verfügbarkeit und Notfallwiederherstellung) | 30 Tage (Rolling Cycle) | Automatisches Überschreiben nach Ablauf des Backup-Zyklus |
Ablauf nach Vertragsende
- Phase 1 — Export (0–30 Tage nach Vertragsende): Der Auftraggeber erhält Zugang zu einer Export-Funktion für alle eigenen Daten. Der Zugang kann auf einen read-only-Modus beschränkt sein.
- Phase 2 — Löschung aktiver Daten (30–90 Tage nach Vertragsende): Personenbezogene Daten in aktiven Produktivsystemen, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, werden gelöscht oder dauerhaft anonymisiert.
- Phase 3 — Gesperrte Daten (bis Ablauf gesetzlicher Fristen): Daten mit gesetzlichen Aufbewahrungspflichten (z. B. Rechnungen, Buchungsbelege) werden gesperrt und nach Ablauf der jeweiligen Frist gelöscht.
- Phase 4 — Backups: Verschlüsselte Backups werden im Rahmen des 30-Tage-Rolling-Cycle automatisch überschrieben. Eine selektive Löschung einzelner Datensätze aus Backups ist technisch nicht möglich.
Hinweis: Dieser AVV wird automatisch Bestandteil des Vertrags, wenn Sie sich für Selviqo registrieren. Mit der Registrierung akzeptieren Sie diese Bedingungen. Bei Fragen wenden Sie sich bitte an datenschutz@molotow-web.com.