← Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · SteuerdokHub

Stand: April 2026

Auftragsverarbeiter (Anbieter): Eiki So (Einzelunternehmen), Bei den Mühren 1, 20457 Hamburg, hallo@steuerdokhub.de

Verantwortlicher (Kanzlei): Im Registrierungsvorgang angegebene Kanzlei / Steuerberatungsgesellschaft

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der SaaS-Plattform SteuerdokHub.

Die Kanzlei („Verantwortlicher" i. S. d. Art. 4 Nr. 7 DSGVO) nutzt den Dienst SteuerdokHub, um von ihren Mandanten Belege, Quittungen und sonstige steuerrelevante Dokumente digital einzusammeln und zu verwalten. Im Rahmen dieser Tätigkeit verarbeitet der Anbieter Eiki So („Auftragsverarbeiter" i. S. d. Art. 4 Nr. 8 DSGVO) personenbezogene Daten der Mandanten des Verantwortlichen ausschließlich auf Weisung des Verantwortlichen.

Dieser AVV tritt ergänzend zu den Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters in Kraft. Soweit Regelungen dieses AVV von den AGB abweichen, gehen die Regelungen dieses AVV vor.

Hinweis zur Geltung: Dieser AVV gilt für alle Kanzleien, die SteuerdokHub nutzen, und wird durch die Zustimmung in den Einstellungen der Plattform angenommen. Eine gesonderte Ausfertigung als unterzeichnetes Dokument kann unter hallo@steuerdokhub.de angefordert werden.

§ 1 Gegenstand und Dauer

(1) Gegenstand. Der Auftragsverarbeiter erbringt für den Verantwortlichen die im Nutzungsvertrag beschriebenen SaaS-Dienstleistungen (Entgegennahme, Speicherung und Bereitstellung von Mandantendokumenten). Im Rahmen dieser Dienstleistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten gemäß den Vorgaben dieses AVV.

(2) Dauer. Dieser AVV gilt für die Dauer des Nutzungsvertrags. Er endet automatisch mit der Beendigung des Nutzungsvertrags, unbeschadet der Regelungen zur Datenlöschung in §7.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung. Erhebung, Speicherung, Übermittlung, Bereitstellung, Abruf, Löschung sowie alle sonstigen Verarbeitungsvorgänge, die im Rahmen des bestimmungsgemäßen Betriebs des Dienstes anfallen.

(2) Zweck der Verarbeitung. Ausschließlich zur Bereitstellung der SteuerdokHub-Funktionen: Entgegennahme von Dokumenten über Upload-Links, Speicherung, strukturierte Übersicht und Abrufmöglichkeit für die Kanzlei, sowie GoBD-konforme Protokollierung von Upload-Vorgängen.

(3) Art der betroffenen Daten. Identifikationsdaten der Mandanten (Name, ggf. Kontaktdaten), Dokumente und Dateien (Belege, Rechnungen, Kontoauszüge und ähnliche steuerrelevante Unterlagen), Metadaten (Zeitstempel, Dateiname, Dateigröße, Hashwert), technische Zugriffsdaten (IP-Adressen beim Upload, soweit für Protokollierung erforderlich).

(4) Kreis der Betroffenen. Mandanten des Verantwortlichen (natürliche Personen und deren Angehörige, soweit deren Daten in übermittelten Dokumenten enthalten sind).

(5) Keine Eigennutzung. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich für Zwecke der Auftragserfüllung. Eine Nutzung für eigene Zwecke, Profiling oder Weitergabe an Dritte außerhalb der in §5 genannten Unterauftragsverarbeiter findet nicht statt.

§ 3 Pflichten des Auftragsverarbeiters

(1) Weisungsgebundenheit. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet. Die im bestimmungsgemäßen Betrieb des Dienstes anfallenden Verarbeitungen gelten als dokumentierte Weisung.

(2) Vertraulichkeit. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Unterstützung des Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei, seinen Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, Vorabkonsultation) nachzukommen.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO folgende Maßnahmen:

Zugangs- und Zugriffskontrolle

  • Authentifizierung aller Nutzer (Kanzlei-Accounts) mittels gesicherter E-Mail/Passwort-Zugangsdaten (Passwörter werden ausschließlich als gehashte Werte gespeichert via Supabase Auth). Zwei-Faktor-Authentifizierung (2FA) ist zum aktuellen Zeitpunkt nicht verfügbar; eine Implementierung ist für eine zukünftige Version geplant.
  • Rollenbasiertes Berechtigungskonzept: Mandanten haben ausschließlich schreibenden Zugriff über Upload-Links ohne Lesezugriff auf andere Daten; Kanzleien haben Lesezugriff auf ihre eigenen Mandantendaten
  • Produktionsdaten sind für den Anbieter nur im technisch notwendigen Rahmen (Support, Fehlerdiagnose) zugänglich

Übertragungssicherheit

  • Verschlüsselung aller Datenübertragungen mittels HTTPS/TLS (TLS 1.2 oder höher)
  • Upload-Links sind kryptographisch zufällig generiert und nicht erratbar

Verschlüsselung gespeicherter Daten

  • Verschlüsselung der gespeicherten Dokumente und Datenbankdaten at rest (AES-256 oder gleichwertig) durch die eingesetzten Hosting-Dienste (Hetzner, Supabase)

Integrität und Nachvollziehbarkeit

  • SHA-256-Hashwert für jede hochgeladene Datei — Änderungen sind nachweisbar
  • GoBD-konformes Protokoll: Zeitstempel, Dateiname, Hashwert unveränderlich gespeichert

Verfügbarkeit und Wiederherstellbarkeit

  • Automatisierte tägliche Datenbankbackups durch Supabase (Umfang gemäß aktivem Supabase-Serviceplan). Point-in-Time Recovery (PITR) ist derzeit nicht aktiviert; für produktive Nutzung mit Aufbewahrungspflicht empfohlen.
  • Serverinfrastruktur in deutschem Rechenzentrum (Hetzner, Nürnberg/Falkenstein)

Datentrennung

  • Mandantendaten werden kanzleibezogen getrennt gespeichert (Row-Level Security); eine Kanzlei hat keinen Zugriff auf Daten anderer Kanzleien

§ 5 Unterauftragsverarbeiter

(1) Allgemeine Genehmigung. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung für den Einsatz der folgenden Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen rechtzeitig.

(2) Genehmigte Unterauftragsverarbeiter:

AnbieterSitzZweckTransfergrundlage
Supabase Inc.USA (EU-Hosting: Frankfurt / AWS eu-central-1)Datenbank, AuthentifizierungsdiensteArt. 45 DSGVO (EU-US Data Privacy Framework) + SCCs
Hetzner Online GmbHDeutschlandServerhosting, ObjektspeicherVerarbeitung innerhalb EU/EWR
Vercel Inc.USA (EU-Region Frankfurt)Anwendungs-Hosting, Log-DatenArt. 45 DSGVO (EU-US Data Privacy Framework)
Brevo SASFrankreich (EU)E-Mail-Versand (Upload-Benachrichtigungen)Verarbeitung innerhalb EU/EWR
Stripe Inc.USA (EU-Niederlassung Irland)Zahlungsabwicklung (nur bei kostenpflichtiger Nutzung)Art. 45 DSGVO + Standardvertragsklauseln

(3) Weitergabe. Der Auftragsverarbeiter legt den genannten Unterauftragsverarbeitern dieselben Datenschutzpflichten auf, die ihm gegenüber dem Verantwortlichen obliegen, insbesondere in Form entsprechender vertraglicher Vereinbarungen gemäß Art. 28 Abs. 4 DSGVO.

§ 6 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (Mandanten), einschließlich Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO).

Gehen beim Auftragsverarbeiter direkt Anfragen von betroffenen Personen ein, leitet er diese unverzüglich an den Verantwortlichen weiter.

§ 7 Datenlöschung und Rückgabe

(1) Aufbewahrungspflicht. Hochgeladene Dokumente können steuerrelevante Belege sein, die gesetzlichen Aufbewahrungsfristen von 10 Jahren unterliegen (§ 147 AO). Eine vorzeitige Löschung ist ausgeschlossen, solange keine ausdrückliche Weisung des Verantwortlichen vorliegt und die Aufbewahrungsfristen abgelaufen sind.

(2) Dateirückgabe nach Vertragsende. Nach Beendigung des Nutzungsvertrags werden dem Verantwortlichen seine Daten für 30 Tage zum Download bereitgestellt. Danach löscht der Auftragsverarbeiter die Daten endgültig, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 8 Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen ohne unangemessene Verzögerung, soweit möglich innerhalb von 72 Stunden nach Bekanntwerden, jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 2 DSGVO. Die Meldung erfolgt per E-Mail an die im Konto des Verantwortlichen hinterlegte E-Mail-Adresse.

§ 9 Schlussbestimmungen

(1) Kontrollrechte. Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu kontrollieren — durch Anforderung von Nachweisen oder schriftliche Anfragen an hallo@steuerdokhub.de. Kontrollen vor Ort bedürfen angemessener Ankündigung.

(2) Anwendbares Recht. Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hamburg.

(3) Änderungen. Wesentliche Änderungen werden dem Verantwortlichen mit angemessener Frist angekündigt.

(4) Salvatorische Klausel. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anbieter: Eiki So · Bei den Mühren 1, 20457 Hamburg · hallo@steuerdokhub.de
AVV Stand: April 2026

DatenschutzerklärungAGBImpressum