365 business development GmbH

Alexander-Bell-Str. 35 · 53347 Alfter · Germany

Auftragsverarbeitungsvereinbarung (AVV)

31.03.2026

365businessdev.com

Rechtliches

Auftragsverarbeitungsvereinbarung (AVV)

Standard-Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO – gültig ab 31.03.2026.

Diese Vereinbarung wird geschlossen zwischen

365 business development GmbH

Alexander-Bell-Str. 35

53347 Alfter

Deutschland

– nachfolgend Auftragsverarbeiter

und

dem jeweiligen Kunden / Vertragspartner

– nachfolgend Verantwortlicher

1. Gegenstand und Geltungsbereich

(1) Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung und Nutzung von Cloud- und API-basierten Diensten der 365 business development GmbH für Microsoft Dynamics 365 Business Central.

(2) Diese Vereinbarung gilt für alle Produkte und Leistungen des Auftragsverarbeiters, soweit und solange im Rahmen der Nutzung personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. Dies betrifft insbesondere solche Verarbeitungen, die technisch über den zentralen API- bzw. Cloud-Service des Auftragsverarbeiters erfolgen.

(3) Diese Vereinbarung ergänzt den zwischen den Parteien bestehenden Hauptvertrag über die Nutzung von Software, Cloud-Diensten, Support- oder sonstigen Leistungen des Auftragsverarbeiters. Im Fall von Widersprüchen geht diese Vereinbarung hinsichtlich des Datenschutzes und der Auftragsverarbeitung vor.

2. Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich geschuldeten Leistungen gegenüber dem Verantwortlichen.

(2) Die Verarbeitung kann insbesondere folgende Tätigkeiten umfassen:

  • Entgegennahme, technische Weiterleitung, Umwandlung, Validierung oder Verarbeitung von Daten über Cloud- oder API-Dienste,
  • Kommunikation mit Dritt- oder Zielsystemen im Auftrag des Verantwortlichen,
  • Nutzung technischer Bibliotheken, Schnittstellen oder Plattformdienste zur Ausführung der beauftragten Funktion,
  • temporäre Verarbeitung im Arbeitsspeicher,
  • Protokollierung technischer Vorgänge, soweit dies für Sicherheit, Fehleranalyse, Stabilität oder Missbrauchsverhinderung erforderlich ist.

(3) Eine inhaltliche Auswertung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht.

3. Dauer der Verarbeitung

(1) Die Verarbeitung erfolgt für die Dauer des jeweiligen Hauptvertrags bzw. solange der Auftragsverarbeiter Leistungen erbringt, bei denen eine Auftragsverarbeitung für den Verantwortlichen stattfindet.

(2) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

4. Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Je nach eingesetztem Produkt und konkretem Anwendungsfall können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Stamm- und Kontaktdaten,
  • Kommunikationsdaten,
  • Adressdaten,
  • Unternehmens- und Ansprechpartnerdaten,
  • Zahlungs- und Transaktionsdaten,
  • Vertrags- und Vorgangsdaten,
  • Steuer- und abrechnungsbezogene Daten,
  • Protokoll- und Metadaten,
  • sonstige Daten, die der Verantwortliche über die eingesetzten Produkte und Dienste verarbeitet oder übermitteln lässt.

(2) Von der Verarbeitung können insbesondere folgende Kategorien betroffener Personen erfasst sein:

  • Mitarbeiter des Verantwortlichen,
  • Ansprechpartner, Organmitglieder und sonstige Vertreter des Verantwortlichen,
  • Kunden, Interessenten, Lieferanten und Dienstleister des Verantwortlichen,
  • sonstige Geschäftspartner des Verantwortlichen,
  • weitere Personen, deren Daten vom Verantwortlichen im Rahmen der Nutzung der Leistungen verarbeitet werden.

5. Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.

(2) Der Verantwortliche stellt sicher, dass er zur Übermittlung der personenbezogenen Daten an den Auftragsverarbeiter sowie zu deren Verarbeitung im Rahmen dieser Vereinbarung berechtigt ist.

(3) Der Verantwortliche erteilt dem Auftragsverarbeiter die Weisungen vollständig, richtig und in rechtlich zulässiger Weise.

(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit datenschutzrechtlichen Anforderungen feststellt.

6. Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.

(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, wird er den Verantwortlichen hierauf unverzüglich hinweisen. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

7. Vertraulichkeit und Zugriffsbeschränkung

(1) Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Der Zugriff auf personenbezogene Daten wird auf diejenigen Personen beschränkt, die ihn zur Erfüllung der vertraglich geschuldeten Leistungen benötigen.

8. Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

(2) Die Maßnahmen dienen insbesondere dazu,

  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen,
  • den Zugang zu personenbezogenen Daten zu kontrollieren,
  • die Weitergabe, Eingabe, Veränderung und Löschung von Daten nachvollziehbar zu gestalten,
  • die Wiederherstellbarkeit und Störungsresistenz der verarbeitenden Systeme zu unterstützen,
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen vorzuhalten.

(3) Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen an den Stand der Technik und an organisatorische Erfordernisse anzupassen, sofern das Schutzniveau hierdurch nicht unterschritten wird.

9. Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei der Erfüllung dessen Pflichten nach der DSGVO, insbesondere bei

  • der Beantwortung von Anträgen betroffener Personen,
  • der Einhaltung der Sicherheit der Verarbeitung,
  • der Meldung und Behandlung von Datenschutzverletzungen,
  • Datenschutz-Folgenabschätzungen und gegebenenfalls vorherigen Konsultationen,
  • der Erfüllung von Nachweis- und Informationspflichten.

(2) Soweit eine Unterstützung nicht von den vertraglich geschuldeten Standardleistungen umfasst ist, kann sie gesondert vergütet werden.

10. Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, soweit diese die Verarbeitung nach dieser Vereinbarung betrifft.

(2) Die Mitteilung erfolgt mit den dem Auftragsverarbeiter zu diesem Zeitpunkt verfügbaren Informationen, die der Verantwortliche zur Erfüllung seiner gesetzlichen Pflichten benötigt.

11. Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) zur Erbringung einzelner Leistungen einzusetzen.

(2) Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in geeigneter Weise informieren. Der Verantwortliche kann gegen eine solche Änderung aus wichtigem datenschutzrechtlichem Grund Widerspruch einlegen.

(3) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich mindestens auf ein Datenschutzniveau, das den Anforderungen dieser Vereinbarung entspricht, soweit sie personenbezogene Daten im Auftrag verarbeiten.

(4) Derzeit eingesetzte bzw. typischerweise eingesetzte Unterauftragsverarbeiter können insbesondere Hosting-, Infrastruktur-, Plattform-, Sicherheits-, Kommunikations- oder Supportdienstleister sein.

(5) Soweit Leistungen über Microsoft Azure erbracht werden, erfolgt das Hosting derzeit in der Region Germany West Central (Frankfurt am Main, Deutschland).

12. Drittlandverarbeitung

(1) Eine Verarbeitung personenbezogener Daten in einem Drittland oder durch einen Dienstleister in einem Drittland erfolgt nur, soweit die gesetzlichen Voraussetzungen hierfür erfüllt sind.

(2) Soweit erforderlich, werden geeignete Garantien gemäß Art. 44 ff. DSGVO sichergestellt.

13. Nachweismöglichkeiten und Audits

(1) Der Auftragsverarbeiter weist dem Verantwortlichen auf angemessene Anfrage die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten nach.

(2) Der Nachweis kann insbesondere durch aktuelle Zertifizierungen, Berichte, Selbstauskünfte, Dokumentationen technischer und organisatorischer Maßnahmen oder sonstige geeignete Unterlagen erfolgen.

(3) Vor-Ort-Prüfungen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer sind nach vorheriger angemessener Ankündigung, während der üblichen Geschäftszeiten und unter Berücksichtigung berechtigter Geheimhaltungs- und Sicherheitsinteressen des Auftragsverarbeiters zulässig, soweit nicht vorrangig geeignete Nachweise nach Absatz 2 ausreichen.

(4) Prüfungen dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen und sind auf das zur Prüfung der datenschutzrechtlichen Anforderungen erforderliche Maß zu beschränken.

14. Rückgabe und Löschung nach Vertragsende

(1) Nach Beendigung der von dieser Vereinbarung erfassten Leistungen wird der Auftragsverarbeiter personenbezogene Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht oder sonstige gesetzliche Verpflichtung zur weiteren Speicherung besteht.

(2) Soweit im Rahmen der Leistungen keine dauerhafte Speicherung von Inhaltsdaten erfolgt, beschränkt sich die Pflicht nach Absatz 1 auf noch vorhandene personenbezogene Daten, soweit solche beim Auftragsverarbeiter noch vorhanden sind.

(3) Gesetzliche Aufbewahrungs- und Nachweispflichten bleiben unberührt.

15. Haftung

Die gesetzliche Haftung der Parteien bleibt unberührt.

16. Verhältnis zum Hauptvertrag

Soweit in dieser Vereinbarung keine spezielleren Regelungen enthalten sind, gelten ergänzend die Bestimmungen des Hauptvertrags.

17. Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform, sofern nicht gesetzlich eine strengere Form vorgeschrieben ist.

(2) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Soweit gesetzlich zulässig, gilt das Recht der Bundesrepublik Deutschland.

Anlage 1 – Beschreibung der Verarbeitung / Leistungsübersicht

Diese Vereinbarung erfasst sämtliche Produkte und Leistungen der 365 business development GmbH, soweit diese ganz oder teilweise über zentrale API- oder Cloud-Dienste erbracht werden und dabei personenbezogene Daten im Auftrag verarbeitet werden.

Dies betrifft insbesondere die auf der Website des Auftragsverarbeiters aufgeführten Produktlösungen, derzeit insbesondere:

  • 365 business Print Agent
  • 365 business ERiC
  • 365 business Banking
  • 365 business Sanction Screen
  • 365 business Address Validation
  • 365 business Proxy Application
  • 365 business E-Invoice
  • 365 business PDF
  • 365 business Barcode
  • 365 business Search & Replace

Die konkrete Verarbeitung hängt vom jeweils eingesetzten Produkt, der lizenzierten Funktionalität, der technischen Konfiguration und der tatsächlichen Nutzung durch den Verantwortlichen ab.

Anlage 2 – Beispiele für typische Verarbeitungsszenarien

Je nach Produkt können insbesondere folgende Verarbeitungsszenarien vorliegen:

  • technische Weiterleitung von Daten an externe Schnittstellen oder Zielsysteme,
  • Berechnung, Validierung, Konvertierung oder Übermittlung fachlicher Nutzdaten,
  • Verarbeitung von Dokument-, Adress-, Kommunikations-, Zahlungs-, Steuer- oder Vorgangsdaten,
  • Nutzung cloudbasierter Zusatzfunktionen, API-Aufrufe oder Broker-/Middleware-Dienste,
  • kurzfristige Zwischenspeicherung oder Verarbeitung im Arbeitsspeicher zur Durchführung der angeforderten Funktion,
  • Erstellung technischer Logeinträge mit Bezug zu Benutzer-, Mandanten-, Vorgangs- oder Systeminformationen, soweit dies für Betrieb und Sicherheit erforderlich ist.

Anlage 3 – Technische und organisatorische Maßnahmen (Kurzfassung)

Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen um. Hierzu gehören insbesondere, soweit jeweils anwendbar:

  • rollen- und berechtigungsbasierte Zugriffsbeschränkungen,
  • Authentifizierungs- und Autorisierungskonzepte,
  • Transportverschlüsselung,
  • abgesicherte Hosting- und Infrastrukturumgebungen,
  • Protokollierung sicherheitsrelevanter Ereignisse,
  • Maßnahmen zur Sicherstellung von Verfügbarkeit und Belastbarkeit,
  • Verfahren für Patch- und Schwachstellenmanagement,
  • Datensicherungs- und Wiederherstellungsverfahren, soweit für die jeweilige Leistung erforderlich,
  • interne Prozesse zum Umgang mit Sicherheitsvorfällen,
  • Verpflichtung eingesetzter Personen auf Vertraulichkeit.

Diese Kurzfassung kann durch gesonderte Informationen zu technischen und organisatorischen Maßnahmen ergänzt werden.