Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 DSGVO · Fassung vom 14.06.2026
zwischen
dem Kunden (Vertragspartner gemäß dem bei der Registrierung bzw. in den Konto-Einstellungen angelegten Nutzerkonto / Tenant der Plattform „kvoto“; der Kunde kann gewerblicher Vermieter oder Privatperson sein)
— nachfolgend „Verantwortlicher“ —
und
Jury Schroeder (Einzelunternehmer)
Im Degen 50, 70327 Stuttgart, Deutschland
E-Mail: info@kvoto.de · Telefon: +49 155 6611 2443
— nachfolgend „Auftragsverarbeiter“ —
— gemeinsam die „Parteien“ —
Präambel
Der Auftragsverarbeiter betreibt unter kvoto.de die Software-as-a-Service-Plattform „kvoto“ zur Erstellung, Verwaltung und Versendung von Mietangeboten für Serviced Apartments und Monteurunterkünfte (nachfolgend „Plattform“). Der Verantwortliche nutzt die Plattform auf Grundlage des Nutzungsvertrags über die Plattform (nachfolgend „Hauptvertrag“). Die Plattform steht sowohl gewerblichen Nutzern als auch Verbrauchern im Sinne des § 13 BGB zur Verfügung; für die datenschutzrechtliche Rollenverteilung nach diesem AVV ist diese Unterscheidung nachrangig — der Vermieter ist in beiden Fällen Verantwortlicher für die von ihm eingegebenen Gästedaten.
Bei der Nutzung der Plattform verarbeitet der Auftragsverarbeiter personenbezogene Daten (insbesondere Daten von Gästen und Interessenten des Verantwortlichen) im Auftrag und nach Weisung des Verantwortlichen. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 Abs. 3 DSGVO.
Die Plattform befindet sich teilweise im Beta-Stadium und kann unentgeltlich oder entgeltlich bereitgestellt werden. Dieser AVV gilt unabhängig von der Entgeltlichkeit der Plattformnutzung.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand: Gegenstand des Auftrags ist der Betrieb und die Bereitstellung der Plattform kvoto einschließlich Speicherung, Verwaltung und Übermittlung der vom Verantwortlichen eingegebenen Daten (insbesondere Angebots-, Buchungs- und Gästedaten) sowie der Versand transaktionaler E-Mails (z. B. Angebote, Buchungsbestätigungen) im Namen des Verantwortlichen.
(2) Dauer: Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags (Bestehen des Nutzerkontos). Sie endet mit dessen Beendigung; § 10 (Löschung und Rückgabe) gilt darüber hinaus fort.
(3) Diese Vereinbarung geht im Hinblick auf die Verarbeitung personenbezogener Daten den Regelungen des Hauptvertrags vor.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst insbesondere folgende Tätigkeiten:
- Erhebung/Erfassung: Eingabe von Gast-, Firmen- und Buchungsdaten durch den Verantwortlichen in der Plattform.
- Speicherung: Mandanten-isolierte Speicherung der Daten (primär als JSON-Datenhaltung auf Servern in Deutschland; Datenbankspiegelung bei einem verwalteten Postgres-Dienst, siehe Anlage 2).
- Verwendung: Generierung von Angebots-Dokumenten (HTML/PDF), Preisberechnungen, Buchungsbestätigungen, Dashboard-Auswertungen für den Verantwortlichen.
- Übermittlung: Versand von E-Mails (Angebote, Bestätigungen) an die vom Verantwortlichen angegebenen Empfänger über einen E-Mail-Versanddienstleister (Absende-Domain mail.kvoto.de, Reply-To = Kontaktadresse des Verantwortlichen).
- Sicherung: Erstellung täglicher verschlüsselter Backups.
- Löschung: Löschung nach Weisung bzw. nach Vertragsende gemäß § 10.
Zweck ist ausschließlich die Erbringung der Plattform-Leistungen für den Verantwortlichen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters (z. B. Werbung, Profilbildung, Verkauf von Daten) findet nicht statt. Hiervon unberührt bleibt die Verarbeitung aggregierter bzw. vollständig anonymisierter Daten ohne Personenbezug (z. B. technische Betriebsmetriken, fehlerfreie Anfragezähler).
§ 3 Kategorien betroffener Personen
- Gäste des Verantwortlichen (Mieter/Bewohner der angebotenen Unterkünfte),
- Interessenten (Personen, die ein Angebot erhalten, ohne zu buchen),
- Ansprechpartner bei Firmenkunden des Verantwortlichen (z. B. entsendende Unternehmen bei Monteurunterkünften),
- Mitarbeiter und sonstige Nutzer des Verantwortlichen, die mit Zugangsdaten in der Plattform arbeiten (Konto-/Login-Daten).
§ 4 Arten der personenbezogenen Daten
- Kontaktdaten: Name, ggf. Firma, E-Mail-Adresse, ggf. Telefonnummer der Gäste/Interessenten und Ansprechpartner,
- Buchungs- und Aufenthaltsdaten: Zeitraum (An-/Abreise), Personenzahl, gebuchte bzw. angebotene Unterkunft, Zusatzleistungen, Status des Angebots,
- Angebots- und Preisdaten: Preise, Rabatte, Kautionen, Steuersätze, Angebotsnummern, Angebots-/Bestätigungsdokumente,
- Konto-/Nutzungsdaten der Mitarbeiter des Verantwortlichen: E-Mail-Adresse, Passwort-Hash (bcrypt), Rolle, Login-Zeitpunkte/technische Protokolle.
Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) sind Vertragsgegenstand. Der Verantwortliche verpflichtet sich, keine Daten besonderer Kategorien sowie keine Daten zu strafrechtlichen Verurteilungen (Art. 10 DSGVO) in Freitextfelder der Plattform einzugeben.
§ 5 Pflichten und Weisungsrecht des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
(1) Der Verantwortliche ist im Verhältnis der Parteien allein verantwortlich für die Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO) sowie die Wahrung der Rechte der betroffenen Personen, insbesondere für die Erfüllung der Informationspflichten nach Art. 13/14 DSGVO gegenüber seinen Gästen und Interessenten.
(2) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Als allgemeine Weisung gilt die Nutzung der Plattformfunktionen durch den Verantwortlichen (z. B. Anlegen, Senden, Löschen von Angeboten). Ergänzende Einzelweisungen bedürfen der Textform (z. B. E-Mail an info@kvoto.de).
(3) Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtswidrig, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 Satz 3 DSGVO). Er ist berechtigt, die Ausführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
(4) Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, kann der Auftragsverarbeiter als Änderungsverlangen behandeln; ein Anspruch auf Umsetzung individueller Sonderweisungen außerhalb der Plattformfunktionen besteht nicht, soweit gesetzlich nichts anderes vorgeschrieben ist.
§ 6 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO): Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Derzeit hat ausschließlich Jury Schroeder als Einzelunternehmer administrativen Zugriff auf die Produktionssysteme.
(3) Datengeheimnis: Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung dieser Vereinbarung fort.
(4) Der Auftragsverarbeiter benennt derzeit keinen Datenschutzbeauftragten, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen (Ein-Personen-Betrieb).
(5) Der Auftragsverarbeiter unterhält ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO (als Auftragsverarbeiter).
(6) Erfolgt die Administration der Server (SSH-Zugriff) vom Home-Office aus, stellt der Auftragsverarbeiter sicher, dass die technischen und organisatorischen Maßnahmen der Anlage 1 auch dort eingehalten werden (insb. Schlüssel-/Secret-Verwaltung, gesperrte Geräte, verschlüsselte Datenträger).
§ 7 Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c DSGVO)
(1) Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und entwickelt diese unter Berücksichtigung des Stands der Technik fort. Maßnahmen dürfen durch gleichwertige oder bessere Maßnahmen ersetzt werden, ohne dass das Schutzniveau insgesamt sinkt; wesentliche Änderungen werden dokumentiert.
(2) Der Verantwortliche hat die Maßnahmen der Anlage 1 geprüft und erkennt sie — vorbehaltlich eigener weitergehender Anforderungen, die er vor Vertragsschluss mitzuteilen hat — als angemessen an. Der Verantwortliche bleibt für die Beurteilung der Angemessenheit im Hinblick auf seine konkreten Verarbeitungen verantwortlich (Art. 24, 32 DSGVO).
§ 8 Subprozessoren / weitere Auftragsverarbeiter (Art. 28 Abs. 2 und 4 DSGVO)
(1) Allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO): Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung der in Anlage 2 aufgeführten Subprozessoren.
(2) Informations- und Widerspruchsmodell: Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung eines Subprozessors mindestens 30 Tage im Voraus in Textform (E-Mail an die im Konto hinterlegte Adresse und/oder Hinweis in der Plattform). Der Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Zugang der Information in Textform widersprechen. Im Fall des Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung; gelingt diese nicht, sind beide Parteien berechtigt, den Hauptvertrag mit einer Frist von 14 Tagen zu kündigen. Datenexport gemäß § 10 bleibt unberührt.
(3) Back-to-back-Pflicht (Art. 28 Abs. 4 DSGVO): Mit jedem aktiven Subprozessor wird ein Vertrag geschlossen (DPA), der dem Subprozessor dieselben Datenschutzpflichten auferlegt wie diese Vereinbarung dem Auftragsverarbeiter; bleibt der Subprozessor hinter diesen Pflichten zurück, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin in vollem Umfang.
(4) Nicht als Subprozessoren gelten reine Hilfsleistungen ohne weisungsabhängigen Zugriff auf Auftragsdaten (z. B. Telekommunikationsdienste, Reinigung, Wartung ohne Datenzugriff sowie Steuer-/Rechtsberatung als eigenständig Verantwortliche).
§ 9 Drittlandtransfers (Art. 44 ff. DSGVO)
9.1 Grundsatz EU/EWR
Die Verarbeitung findet grundsätzlich in der EU/dem EWR statt (Hosting und primäre Datenhaltung in Deutschland, E-Mail-Versand in der EU durch Brevo/FR, siehe Anlage 2).
9.2 Drittlandtransfers (Stand: 14.06.2026)
(a) Neon, LLC (Affiliate der Databricks, Inc.), USA — Postgres-Datenbank (aktiv während Beta)
Neon, LLC (nach Übernahme durch Databricks, Inc.) wird während der Beta-Phase genutzt. Ein Wechsel zu einem EU/DE-Datenbankdienst ist nach Abschluss der Beta-Phase geplant. Bis dahin gelten folgende Transfergrundlagen:
- Primär: EU-US Data Privacy Framework (Art. 45 DSGVO); Databricks, Inc. und Neon, LLC sind unter dem DPF zertifiziert (databricks.com/legal/dpf), sofern DPF aktiv und gültig. Hinweis: Der DPF-Angemessenheitsbeschluss ist Gegenstand eines beim EuGH anhängigen Berufungsverfahrens (Latombe, T-553/23); der Auftragsverarbeiter hält daher den SCC-Fallback aktiv vor.
- Subsidiär: EU-Standardvertragsklauseln (SCC) gemäß Beschluss (EU) 2021/914 — Modul 2 (Controller→Processor) für Konto-/Nutzungsdaten; Modul 3 (Processor→Sub-Processor) für Gästedaten.
(b) Stripe Payments Europe, Ltd. / Stripe, Inc. (USA) — Zahlungsabwicklung (geplant, noch nicht aktiv)
Stripe ist als Subprozessor in Anlage 2 gelistet, aber nicht aktiv. Stripe wird erst nach Abschluss der Beta-Phase und nach Benachrichtigung der Kunden gemäß § 8 Abs. 2 aktiviert. Zum Zeitpunkt des Abschlusses dieses AVV findet keine Datenübermittlung an Stripe statt.
(c) Brevo/Sendinblue SAS (Frankreich, EU) — E-Mail-Versand
Brevo ist ein EU-Anbieter (Paris, FR) — kein Drittland im Sinne von Kapitel V DSGVO. Brevo speichert Daten nach eigener Angabe auf EU-Servern.
9.3 Fortlaufende Überwachung
Der Auftragsverarbeiter überwacht den Fortbestand der jeweiligen Transfergrundlage (DPF-Zertifizierungsstatus, SCC-Gültigkeit) und informiert den Verantwortlichen, falls eine Grundlage entfällt und ersetzt werden muss. Jährliche Überprüfung mindestens im Rahmen des TOM-Reviews (Anlage 1 Ziff. 4).
§ 10 Löschung und Rückgabe nach Vertragsende (Art. 28 Abs. 3 lit. g DSGVO)
(1) Während der Vertragslaufzeit kann der Verantwortliche seine Daten jederzeit selbst in der Plattform einsehen, berichtigen und löschen.
(2) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter — nach Wahl des Verantwortlichen — sämtliche Auftragsdaten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht eine gesetzliche Pflicht zur weiteren Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).
(3) Datenexport: Auf Anforderung in Textform stellt der Auftragsverarbeiter dem Verantwortlichen vor der Löschung einen Export seiner Mandanten-Daten in einem gängigen, maschinenlesbaren Format (JSON und/oder CSV) bereit. Bis zur Implementierung einer Self-Service-Exportfunktion erfolgt der Export manuell auf Anforderung innerhalb von 14 Tagen nach Eingang der Textform-Anforderung.
(4) Erfolgt innerhalb von 30 Tagen nach Vertragsende keine Export-Anforderung, werden die Auftragsdaten vollständig gelöscht. Diese Frist gilt einheitlich und stimmt mit den Regelungen des Hauptvertrags (AGB) überein.
(5) Daten in verschlüsselten Backups werden im Rahmen der regulären Backup-Rotation überschrieben bzw. gelöscht; maximale Backup-Aufbewahrungsdauer: 30 Tage nach Vertragsende (konsistent mit Abs. 4). Bis zum Ablauf dieser Frist ist eine Wiederherstellung aus Backups nur zur Erfüllung gesetzlicher Pflichten oder zur Behebung von Datenverlust (Datensicherheit) zulässig.
(6) Die Löschung wird auf Verlangen in Textform bestätigt.
§ 11 Unterstützungspflichten (Art. 28 Abs. 3 lit. e und f DSGVO)
(1) Betroffenenrechte (Art. 28 Abs. 3 lit. e DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen (Art. 12–22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten — primär dadurch, dass der Verantwortliche die betreffenden Daten in der Plattform selbst einsehen, berichtigen und löschen kann; darüber hinaus auf Anforderung in Textform. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.
(2) Meldepflichten (Art. 33/34 DSGVO; Art. 28 Abs. 3 lit. f DSGVO): Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die Auftragsdaten betrifft, unverzüglich (d. h. ohne schuldhaftes Zögern, in der Regel binnen 24 Stunden) nach Bekanntwerden (Art. 33 Abs. 2 DSGVO) an die im Konto hinterlegte E-Mail-Adresse, mit den ihm verfügbaren Informationen nach Art. 33 Abs. 3 DSGVO; Informationen können schrittweise nachgereicht werden. Die Bewertung der Meldepflicht gegenüber Aufsichtsbehörde und Betroffenen obliegt dem Verantwortlichen.
(3) Art. 32–36 DSGVO: Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Meldungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(4) Unterstützungsleistungen nach diesem § 11 sind unentgeltlich, soweit sie gesetzlich verpflichtend sind und einen angemessenen Umfang nicht überschreiten. Für Bezahlpläne kann der Auftragsverarbeiter für überobligatorische Unterstützungsleistungen (z. B. manuelle Datenextraktion, Gutachten, Auditor-Unterstützung) eine angemessene Vergütung verlangen.
§ 12 Nachweise und Kontrollrechte (Art. 28 Abs. 3 lit. h DSGVO)
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
(2) Nachweise werden vorrangig erbracht durch: aktuelle TOM-Beschreibung (Anlage 1), Subprozessoren-Liste (Anlage 2) einschließlich der DPAs/Zertifizierungen der Subprozessoren sowie schriftliche Auskünfte (Selbstauskunft/Fragebogen) innerhalb angemessener Frist (in der Regel 14 Tage).
(3) Der Verantwortliche ist berechtigt, Überprüfungen (Audits) — auch durch einen zur Verschwiegenheit verpflichteten, nicht im Wettbewerb zum Auftragsverarbeiter stehenden Prüfer — durchzuführen. Vor-Ort-Inspektionen erfolgen nach Vorankündigung mit angemessener Frist (in der Regel 14 Tage), während der üblichen Geschäftszeiten, ohne unverhältnismäßige Störung des Betriebs und höchstens einmal pro Kalenderjahr; weitergehende Prüfungen bei konkretem Anlass (insbesondere nach einer Datenschutzverletzung oder auf Anordnung einer Aufsichtsbehörde) bleiben unberührt.
(4) Der Aufwand des Auftragsverarbeiters für Vor-Ort-Audits ohne konkreten Anlass kann angemessen in Rechnung gestellt werden; dies gilt nicht für Prüfungen aufgrund eines vom Auftragsverarbeiter zu vertretenden Vorfalls.
§ 13 Haftung
(1) Für die Haftung der Parteien im Außenverhältnis gegenüber betroffenen Personen gilt Art. 82 DSGVO; für Geldbуßen gilt Art. 83 DSGVO. Diese gesetzliche Haftung wird durch diese Vereinbarung nicht beschränkt.
(2) Im Innenverhältnis der Parteien gelten die Haftungsregelungen des Hauptvertrags entsprechend.
(3) Die Parteien stellen sich im Innenverhältnis von Ansprüchen betroffener Personen und von Geldbуßen insoweit frei, wie der jeweils andere Teil den Verstoß zu vertreten hat (entsprechend Art. 82 Abs. 5 DSGVO).
(4) Klarstellung zur Verantwortungsabgrenzung: Für die vom Verantwortlichen in der Plattform hinterlegten Inhalte — insbesondere eigene Hausregeln, Vertragsstraf- und sonstige Vertragsklauseln gegenüber seinen Gästen — ist ausschließlich der Verantwortliche verantwortlich. Der Auftragsverarbeiter stellt insoweit nur die technische Infrastruktur bereit; eine inhaltliche oder rechtliche Prüfung solcher Klauseln durch den Auftragsverarbeiter findet nicht statt.
§ 14 Vertragsschluss, Form, Schlussbestimmungen
(1) Elektronischer Abschluss (Art. 28 Abs. 9 DSGVO): Diese Vereinbarung wird elektronisch geschlossen, indem der Verantwortliche sie im Rahmen der Registrierung bzw. in den Konto-Einstellungen der Plattform ausdrücklich akzeptiert (Checkbox mit Verweis auf den Volltext). Sie erfüllt damit das Erfordernis eines Vertrags „in einem elektronischen Format“ (Art. 28 Abs. 9 DSGVO) und genügt der Textform (§ 126b BGB). Der Auftragsverarbeiter protokolliert Zeitpunkt und Version der Annahme und stellt dem Verantwortlichen den Vertragstext dauerhaft abrufbar zur Verfügung unter kvoto.de/avv.
(2) Änderungen: Änderungen dieser Vereinbarung bedürfen der Textform. Bei Aktualisierungen (z. B. neue AVV-Version) informiert der Auftragsverarbeiter den Verantwortlichen in Textform mindestens 30 Tage vor Inkrafttreten; § 8 Abs. 2 gilt für Subprozessor-Änderungen.
(3) Rangfolge: Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag geht hinsichtlich des Datenschutzes diese Vereinbarung vor. Zwingende gesetzliche Regelungen bleiben unberührt.
(4) Recht und Gerichtsstand: Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist — soweit gesetzlich zulässig (Vertrag unter Kaufleuten/B2B) — Stuttgart. Gegenüber Verbrauchern gilt der gesetzliche Gerichtsstand.
(5) Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Stand: 14.06.2026. Beschreibung des Ist-Zustands; Fortentwicklung nach § 7 dieser Vereinbarung.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle (physisch)
- Produktivsysteme in Rechenzentren der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, DE (Zutrittskontrolle, Videoüberwachung, Sicherheitspersonal durch den Rechenzentrumsbetreiber; ISO-27001-Zertifizierung).
Zugangskontrolle (Systeme)
- Server-Administration ausschließlich über SSH mit Public-Key-Authentifizierung; kein Passwort-Login.
- Anwendungs-Login: JWT-basierte Authentifizierung; Passwörter ausschließlich als bcrypt-Hashes gespeichert; Rate-Limiting auf Login-Endpunkte; einheitliche Fehlermeldungen gegen User-Enumeration; Double-Opt-In (E-Mail-Verifikation).
- Rollenmodell in der Anwendung (admin/operator).
- Secret-Management: Zugangsdaten/API-Keys ausschließlich in nicht versionierter Umgebungskonfiguration; Secrets rotiert 2026-06.
Zugriffskontrolle (Daten)
- Mandantentrennung (Tenant-Isolation): Jeder Kunde (Tenant) erhält einen vollständig getrennten Datenbestand. Ein programmatischer Path-Guard in der Speicherschicht verhindert den Ausbruch aus dem Mandanten-Verzeichnis; sämtliche API-Handler sind tenant-isoliert. Cross-Tenant-Zugriffe liefern HTTP 404 (extern verifiziert).
- Postgres-Datenbank (Neon): mandantenbezogene Trennung der Datensätze auf Datenbankebene.
Trennungskontrolle
- Logische Trennung der Mandanten auf Speicherebene (s. o.).
- Trennung von Produktions- und Entwicklungsumgebung (Entwicklung lokal).
Pseudonymisierung/Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Transportverschlüsselung: TLS 1.2/1.3 (Let’s Encrypt, automatische Erneuerung) für alle Web- und API-Zugriffe; HTTP→HTTPS-Redirect; E-Mail-Versand über TLS; SPF/DKIM/DMARC für mail.kvoto.de konfiguriert.
- Backups: Tägliche Sicherungen, verschlüsselt (GPG/AES-256); Auslagerung auf Hetzner Storage Box (Deutschland) als Off-Site-Ziel.
- Encryption at Rest: Verschlüsselung ruhender Daten beim Datenbank-Subprozessor Neon gemäß dessen Sicherheitsdokumentation (AES-256 at rest).
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Eingabekontrolle: Änderungen an Auftragsdaten nur durch authentifizierte Nutzer des jeweiligen Mandanten; serverseitige Validierung; Zeitstempel an Datensätzen.
- Weitergabekontrolle: Datenübermittlung ausschließlich über TLS; E-Mail-Versand nur an vom Verantwortlichen eingegebene Empfänger; kein Verkauf/keine Weitergabe an Dritte außerhalb der Anlage 2.
- Containerisierter Betrieb (Docker) mit versionsfixierten Images (Dependency-Pinning).
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b/c DSGVO)
- Tägliche verschlüsselte Backups mit Rotations- und Wiederherstellungsverfahren; Aufbewahrung 30 Tage (konsistent mit § 10 Abs. 5).
- Infrastruktur bei Hetzner (USV, Redundanz auf RZ-Ebene durch den Betreiber); Monitoring-Endpoint (
/api/health); automatische Startup-Migrationen.
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Automatisierte Test-Suite (300+ Tests) vor jedem Deployment; Code-Reviews.
- Regelmäßige Überprüfung und Rotation von Secrets; Überprüfung der Subprozessoren-Garantien (DPAs, Zertifizierungen, DPF-Status) mindestens jährlich.
- Incident-Response: Meldeweg nach § 11 Abs. 2; interne Dokumentation von Vorfällen.
Stand: 14.06.2026. Änderungen nach dem Verfahren in § 8 (Information + Widerspruch, Mindestfrist 30 Tage).
| # | Subprozessor | Sitz | Leistung | Verarbeitungsort | Drittlandtransfer | Garantie / Rechtsgrundlage |
|---|---|---|---|---|---|---|
| 1 | Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen, DE |
Deutschland (EU) | VPS-Hosting der Plattform inkl. primärer Datenhaltung; Storage Box für verschlüsselte Off-Site-Backups | Rechenzentrum Nürnberg/Falkenstein, DE | Nein | AVV nach Art. 28 DSGVO mit Hetzner (im Kundenkonto) |
| 2 | Strato AG Otto-Ostrowski-Str. 7 10249 Berlin, DE |
Deutschland (EU) | DNS-Verwaltung der Domain kvoto.de; E-Mail-Postfach info@kvoto.de (eingehende Kommunikation) | Deutschland | Nein | AVV nach Art. 28 DSGVO mit Strato |
| 3 | Brevo (Sendinblue SAS) 106 boulevard Haussmann 75008 Paris, FR |
Frankreich (EU) | Transaktionaler E-Mail-Versand (Angebote, Bestätigungen, Auth-Mails) über die Domain mail.kvoto.de | EU (Frankreich / EU-Rechenzentren) | Kein Drittland-Transfer für Brevo selbst (EU-Anbieter) | DPA nach Art. 28 DSGVO mit Brevo |
| 4 | Neon, LLC (Affiliate der Databricks, Inc.) USA (EU-Region konfiguriert) |
USA | Managed-Postgres-Datenbank (Produktionsdatenbank, aktiv während Beta). EU-DB-Wechsel nach Beta geplant. | EU-Region (lt. Projektkonfiguration) | Ja (US-Unternehmen; Fernzugriff aus USA möglich) | EU-US Data Privacy Framework (Angemessenheitsbeschluss 10.07.2023; Databricks, Inc. und Neon, LLC DPF-zertifiziert lt. databricks.com/legal/dpf); subsidiär: EU-Standardvertragsklauseln (SCC) gemäß Beschluss (EU) 2021/914, Modul 2 und Modul 3; neon.com/dpa. Unter-Subprozessoren: Amazon Web Services, Microsoft Azure, Salesforce, Grafana (jeweils USA). |
| 5 | Stripe Payments Europe, Ltd. / Stripe, Inc. (geplant/inaktiv bis nach Beta-Go-Live) |
Irland (EU) / USA | Zahlungsabwicklung für künftige Bezahlpläne — kein aktiver Transfer zum Zeitpunkt des AVV-Abschlusses | EU / USA | Noch nicht relevant (inaktiv). Bei Aktivierung: EU-US DPF (Stripe DPF-zertifiziert). | Vor Aktivierung: Subprozessor-Benachrichtigung nach § 8 Abs. 2 (30 Tage Vorlauf); Stripe-DPA (stripe.com/legal/dpa) |
Kettenverantwortung: Die Subprozessoren setzen ihrerseits Unterauftragnehmer ein (z. B. Amazon Web Services, Microsoft Azure, Salesforce und Grafana für Neon). Maßgeblich sind die von den Subprozessoren gepflegten Listen; Änderungen dort, die die Verarbeitung von Auftragsdaten betreffen, gelten als Subprozessor-Änderung im Sinne von § 8 und werden soweit möglich durch Benachrichtigungs-Abonnements überwacht.