Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: 31. März 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) ergänzt die Allgemeinen Geschäftsbedingungen (AGB) der Greyt GmbH und regelt die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen des SaaS-Dienstes „Business OS“ durchführt.
Auftragsverarbeiter:
Greyt GmbH, Am Wissenschaftspark 9, 54296 Trier, Deutschland
(nachfolgend „Auftragnehmer“)
Verantwortlicher:
Der Kunde gemäß den AGB
(nachfolgend „Auftraggeber“)
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung des SaaS-Dienstes „Business OS“. Gegenstand der Auftragsverarbeitung ist die technische Vermittlung von Daten zwischen dem Auftraggeber und Drittanbietern (insbesondere DATEV, Bankschnittstellen via Salt Edge/fino, Mobility Box) über die vom Auftragnehmer bereitgestellte API.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (SaaS-Abonnement gemäß AGB).
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
a) Entgegennahme, Zwischenspeicherung und Weiterleitung von Daten zwischen den Systemen des Auftraggebers und den Drittanbieter-Schnittstellen (DATEV, Bankschnittstellen, ÖPNV-Ticketing);
b) Verschlüsselung und sichere Speicherung von Zugangsdaten (DATEV Account Keys mittels AES-256-GCM);
c) Verwaltung von Banking-Verbindungen und Synchronisation von Kontodaten (Kontostände, Transaktionen, Kontoinhaberdaten);
d) Initiierung von Zahlungen (SEPA, SEPA Instant) im Auftrag des Auftraggebers;
e) Verwaltung von ÖPNV-Tickets und Kundendaten im Rahmen des Mobility-Moduls;
f) Versand von E-Mail-Benachrichtigungen (z.B. Banking-Connection-Expiry) an Nutzer des Auftraggebers.
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
a) Stammdaten: Name, E-Mail-Adresse, Unternehmensdaten der Nutzer des Auftraggebers;
b) Finanzdaten: Kontoinformationen (IBAN, Kontoinhaber, Salden), Transaktionsdaten (Beträge, Verwendungszweck, Datum), Zahlungsaufträge;
c) Buchhaltungsdaten: Belege, Buchungsvorschläge, Kontakte, Stammdaten aus DATEV-Systemen;
d) Nutzungsdaten: API-Aufrufprotokolle, Credit-Verbrauch, Verbindungsstatus;
e) Mobilitätsdaten: Kundennamen, E-Mail-Adressen, Ticketdaten, Rechnungsdaten im Rahmen des ÖPNV-Moduls.
§ 4 Kategorien betroffener Personen
a) Mitarbeiter und Bevollmächtigte des Auftraggebers;
b) Kunden und Geschäftspartner des Auftraggebers, deren Daten über die API verarbeitet werden;
c) Kontoinhaber, deren Bankdaten über die Banking-Schnittstelle abgerufen werden;
d) Endnutzer des ÖPNV-Ticketing-Moduls.
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich aus diesem AVV, den AGB und den vom Auftraggeber vorgenommenen Konfigurationen im SaaS-Dienst (z.B. Auswahl der Schnittstellen, API-Aufrufe).
(2) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit etc.) im Rahmen seiner technischen Möglichkeiten.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:
Verschlüsselung: AES-256-GCM für DATEV-Zugangsdaten; TLS 1.2+ für alle Datenübertragungen; HTTPS-only für alle API-Endpunkte und Webhooks.
Zugriffskontrolle: API-Key-basierte Authentifizierung mit SHA-256 Hashing; rollenbasierte Zugriffskontrolle (RBAC) im Agenturmodell; Supabase Row-Level Security (RLS) für Datenisolierung zwischen Organisationen.
Verfügbarkeit und Belastbarkeit: Hosting auf Google Cloud Run (EU) und Vercel (EU Frankfurt); automatische Skalierung; Datenbank-Backups durch Supabase (EU Frankfurt/AWS).
Verfahren zur regelmäßigen Überprüfung: Regelmäßige Security-Audits; Rate Limiting auf allen API-Endpunkten; Webhook-Signaturvalidierung (HMAC-SHA256); SSRF-Schutz bei Webhook-URL-Konfiguration.
Pseudonymisierung und Datenminimierung: Salt Edge Customer-IDs sind pseudonymisierte Identifikatoren (Format: bos_org_{id}_{api}); IP-Adressen werden in Analytics anonymisiert.
§ 7 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Auftraggeber die Möglichkeit, gegen diese Änderungen Einspruch zu erheben.
(2) Aktuelle Unterauftragsverarbeiter:
| Unternehmen | Sitz | Zweck |
|---|---|---|
| Synergetic GmbH | Lippstadt, DE | Technischer Betrieb der Plattform (Backend, API) |
| Supabase Inc. | EU Frankfurt (AWS) | Authentifizierung, Datenbank, Nutzerverwaltung |
| Vercel Inc. | EU Frankfurt | Hosting der Webanwendung |
| Stripe Payments Europe Ltd. | Dublin, IE | Zahlungsabwicklung |
| fino run GmbH / Salt Edge Limited | Kassel, DE / Harrow, UK | Banking-Schnittstelle (AIS, PIS) — BaFin-reguliert |
| Maesn GmbH | Deutschland | DATEV-Schnittstellenanbindung (OAuth2-Proxy) |
| Resend Inc. | USA (zu prüfen) | E-Mail-Versand (Benachrichtigungen) |
| Mobility Box (moovel Group GmbH) | Deutschland | ÖPNV-Ticketing-Schnittstelle |
(3) Für den Transfer personenbezogener Daten an Salt Edge Limited (UK) besteht ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO (Beschluss vom 28.06.2021).
§ 8 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden.
(2) Die Meldung enthält mindestens: eine Beschreibung der Art der Verletzung, die betroffenen Datenkategorien und die ungefähre Anzahl der betroffenen Personen, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.
§ 9 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Auf Wunsch des Auftraggebers stellt der Auftragnehmer die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zur Verfügung.
(3) Die Löschung umfasst insbesondere: verschlüsselte DATEV-Zugangsdaten, Banking-Verbindungsdaten, API-Nutzungslogs und alle in Supabase gespeicherten organisationsbezogenen Daten.
§ 10 Kontroll- und Prüfrechte
(1) Der Auftraggeber hat das Recht, die Einhaltung dieses AVV durch den Auftragnehmer zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Inspektionen und Audits können nach angemessener Vorankündigung (mindestens 14 Werktage) während der üblichen Geschäftszeiten durchgeführt werden. Der Auftragnehmer kann alternativ aktuelle Zertifizierungen, Audit-Berichte oder vergleichbare Nachweise vorlegen.
§ 11 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil der AGB und tritt mit Registrierung des Auftraggebers für den SaaS-Dienst in Kraft.
(2) Änderungen dieses AVV bedürfen der Schriftform. Der Auftragnehmer wird den Auftraggeber über Änderungen rechtzeitig informieren.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragnehmers.