PPartnerDesk

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Dieser AVV ist als Vertragsmuster zwischen dem Kunden („Verantwortlicher") und der Prozessfaktor GmbH („Auftragsverarbeiter") konzipiert. Tenants erhalten eine vorausgefüllte, mit eigenen Stammdaten versehene PDF-Fassung im Admin-Portal unter Einstellungen → Datenschutz → AVV als PDF herunterladen.

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter erbringt die in den AGB („Hauptvertrag") näher beschriebenen Leistungen der SaaS-Plattform PartnerDesk und verarbeitet dabei personenbezogene Daten im Auftrag des Verantwortlichen.

(2) Im Konfliktfall gehen die Regelungen dieses AVV den Bestimmungen des Hauptvertrags vor.

(3) Die Dauer der Auftragsverarbeitung entspricht der Dauer des Hauptvertrags.

§ 2 Beschreibung der Datenverarbeitung

2.1 Art und Zweck

  • Bereitstellung der SaaS-Plattform PartnerDesk
  • Klick-Tracking und Provisions-Attribution
  • Provisionsberechnung
  • Erstellung von Provisionsgutschriften nach § 14 UStG
  • Auszahlungsabwicklung
  • Webhook-Empfang von Payment-Providern
  • E-Mail-Versand an Partner (transaktional)
  • Push-Benachrichtigungen
  • Selbstbedienungs-Funktionen (Datenexport, Account-Löschung)
  • Webanalyse und Reporting

2.2 Kategorien betroffener Personen

  • Partner / Affiliates des Verantwortlichen (Endnutzer)
  • Endkunden des Verantwortlichen (nur identifizierende Daten zur Provisions-Attribution)
  • Mitarbeiter / Tenant-Administratoren des Verantwortlichen

2.3 Kategorien verarbeiteter Daten

  • Stammdaten: Name, E-Mail, Anschrift, USt-IdNr.
  • Bankdaten / Zahlungsdaten: IBAN, BIC, Stripe-Account-ID
  • Tracking-Daten: Klick-IDs, gekürzte IP-Adressen, User-Agent
  • Transaktionsdaten: Anonymisierte Order-IDs, Beträge, Produktbezeichnungen
  • Login-Daten: bcrypt-Passwort-Hashes, JWT-Tokens, IP-Adressen
  • Audit-Logs: Aktionen, Akteure, Zeitstempel, IP-Adressen
  • Kommunikationsdaten: E-Mail-Inhalte (transaktional), Notifications

2.4 Besondere Datenkategorien

Es findet keine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO statt.

§ 3 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung. Er hat insbesondere:

  • die erforderlichen Rechtsgrundlagen sicherzustellen
  • die Betroffenen über die Datenverarbeitung zu informieren
  • Anfragen nach Art. 15 bis 22 DSGVO zu beantworten
  • die im Hauptvertrag und in diesem AVV definierten Konfigurationsmöglichkeiten verantwortungsvoll zu nutzen

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Eine Weisung gilt im Rahmen der Standard-Funktionen der Plattform als durch die Nutzung erteilt.

(2) Der Auftragsverarbeiter wird:

  • zur Vertraulichkeit verpflichtete Personen mit der Datenverarbeitung betrauen
  • die nach Art. 32 DSGVO erforderlichen TOM treffen (siehe unten)
  • den Verantwortlichen unverzüglich bei einer Datenschutzverletzung informieren
  • den Verantwortlichen bei der Erfüllung der Pflichten aus Art. 32-36 DSGVO unterstützen
  • ein Verzeichnis der Verarbeitungstätigkeiten führen
  • nach Beendigung der Auftragsverarbeitung alle Daten innerhalb von 30 Tagen löschen oder zurückgeben

§ 5 Subunternehmer / Subprozessoren

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Subprozessoren. Eine aktuelle Liste: Subprozessoren.

(2) Änderungen werden mit mindestens 30 Tagen Vorlauf angekündigt. Der Verantwortliche kann aus berechtigtem datenschutzrechtlichem Grund Einspruch erheben.

(3) Subprozessoren werden auf dasselbe Datenschutzniveau verpflichtet.

§ 6 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt bei Pflichten aus Art. 12 bis 22 DSGVO durch geeignete TOM, soweit möglich.

(2) Selbstbedienungs-Funktionen (Datenexport, Account-Löschung) sind integriert und im Tenant-Bereich verwaltbar.

(3) Direkt an den Auftragsverarbeiter gerichtete Anfragen werden unverzüglich an den Verantwortlichen weitergeleitet.

§ 7 Audit-Rechte

(1) Der Verantwortliche kann sich von der Einhaltung dieses AVV überzeugen durch Einsicht in Zertifikate, Audit-Berichte (auf Anfrage in elektronischer Form) oder schriftliche Auskunftsanfragen.

(2) Vor-Ort-Audits nur in begründeten Einzelfällen, mit mindestens 30 Tagen Vorlauf, auf eigene Kosten. Audit-Umfang aus Sicherheitsgründen begrenzbar.

§ 8 Haftung

(1) Die Haftungsregelungen des Hauptvertrags gelten entsprechend, soweit nicht gesetzlich zwingend andere Regelungen (Art. 82 DSGVO) Anwendung finden.

(2) Im Innenverhältnis hat der jeweils andere für seinen Anteil an der Verantwortlichkeit Regress zu leisten.

§ 9 Geltung, Schriftform, Beendigung

(1) Dieser AVV gilt für die Dauer des Hauptvertrags und endet automatisch mit dessen Beendigung. Datenschutzpflichten, die ihrer Natur nach über die Vertragsdauer hinaus gelten, bleiben bestehen.

(2) Änderungen bedürfen der Textform.

(3) Salvatorische Klausel: Unwirksame Bestimmungen lassen die übrigen unberührt.

§ 10 Anwendbares Recht, Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragsverarbeiters.

Anhang A — Technische und organisatorische Maßnahmen (TOM)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Hosting durch Hetzner Online GmbH in zertifizierten Rechenzentren (ISO 27001) in Deutschland. Mehrstufige Sicherheitssysteme im Rechenzentrum.

Zugangskontrolle: Eindeutige Benutzer-IDs, bcrypt-Passwort-Hashes, optionale 2FA, SSO via OAuth 2.0 / OIDC mit PKCE, JWT mit Ablaufzeit, Rate-Limiting, SSH-Key-Login auf Servern.

Zugriffskontrolle: Rollen- und rechtebasiertes Zugriffsmodell (RBAC), Multi-Tenant-Isolation auf tenant_id, Audit-Logs, Sicherheits-Reviews vor Deployment.

Trennungskontrolle: Logische Trennung pro Tenant, separate Datenbanken Produktion/Staging/Entwicklung.

Pseudonymisierung: Anonymisierte Order-IDs in Gutschriften, IP-Adressen nach 7 Tagen anonymisiert, Hashing von Kunden-E-Mails.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: TLS ≥ 1.2 für alle externen Verbindungen, HSTS, Webhook-Signatur-Validierung (HMAC), VAPID-Verschlüsselung für Web-Push, verschlüsselte DB-Verbindungen.

Eingabekontrolle: Audit-Log mit Akteur/Aktion/Diff, Doctrine-Lifecycle-Events, Versionierung kritischer Konfigurationsänderungen.

3. Verfügbarkeit und Belastbarkeit

Tägliche automatisierte verschlüsselte DB-Backups (AES-256), Retention 14 Tage + monatliche 12 Monate, geografisch getrennte Speicherung (Falkenstein ↔ Nürnberg), Health-Check-Endpoint, Sentry-Monitoring.

RTO < 4h Vollwiederherstellung, RPO < 24h Datenverlust im Worst-Case.

4. Regelmäßige Überprüfung

Halbjährliche Zugriffsrechte-Reviews, Dependency-Vulnerability-Scans bei jedem Deployment, Live-Überwachung via Sentry, DSGVO-Schulungen, Incident-Response dokumentiert.

5. Auftragskontrolle

Schriftliche Auftragsverarbeitungsverträge mit allen Subprozessoren, regelmäßige Überprüfung.

6. Datenschutz durch Technikgestaltung (Art. 25 DSGVO)

Privacy-by-Design (Minimierung, anonymisiertes Klick-Tracking), Privacy-by-Default (SSO + Push standardmäßig deaktiviert), integrierter Self-Service für Betroffene (Export/Löschung), cookie- und IP-freie Analytics.

Stand: 27.05.2026