Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Stand: 7. Juli 2026
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
zwischen
dem Kunden, der den Dienst Resaldo gemäß den Allgemeinen Geschäftsbedingungen nutzt (nachfolgend „Auftraggeber" oder „Verantwortlicher"),
und
Evgenij Vyslanko, Einzelunternehmer, handelnd unter „Resaldo", Angermunder Str. 38, 40489 Düsseldorf, USt-IdNr. DE366298977, E-Mail: hello@resaldo.de (nachfolgend „Auftragnehmer" oder „Resaldo").
Präambel
Der Auftraggeber nutzt auf Grundlage der Allgemeinen Geschäftsbedingungen von Resaldo (abrufbar unter resaldo.de/agb, nachfolgend „Hauptvertrag") das webbasierte SaaS-Cockpit Resaldo. Im Rahmen der Nutzung gibt der Auftraggeber personenbezogene Daten in den Dienst ein, die Resaldo auf seiner Infrastruktur speichert und verarbeitet. Soweit Resaldo dabei personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, ist Resaldo Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO und der Auftraggeber Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Zur Erfüllung der Anforderungen des Art. 28 DSGVO schließen die Parteien die nachfolgende Vereinbarung. Ihre Erfüllung wird nicht gesondert vergütet.
Diese Vereinbarung wird elektronisch geschlossen (Art. 28 Abs. 9 DSGVO); der Auftraggeber stimmt ihr im Rahmen der Registrierung bzw. der Nutzung des Dienstes zu. Sie ist dem Auftraggeber jederzeit im Nutzerkonto als Dokument abrufbar.
§ 1 Begriffsbestimmungen
In diesem Vertrag verwendete Begriffe, die in Art. 4, 9 und 10 DSGVO definiert sind, sind im Sinne dieser gesetzlichen Definitionen zu verstehen.
§ 2 Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand der Verarbeitung ist die Speicherung und Verarbeitung personenbezogener Daten, die der Auftraggeber im Rahmen der Nutzung des Dienstes eingibt oder erzeugt, ausschließlich im Auftrag und nach Weisung des Auftraggebers. Resaldo verarbeitet diese Daten nicht zu eigenen Zwecken.
(2) Art und Zweck der Verarbeitung ist die Bereitstellung des SaaS-Cockpits, insbesondere die Speicherung und rechnerische Verarbeitung der vom Auftraggeber eingegebenen Daten zum Zweck der artikelbezogenen Gewinn- und Verlustrechnung, der Berechnung der Differenzbesteuerung nach § 25a UStG sowie der Erstellung von Eigenbelegen. Die im Auftrag verarbeiteten personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.
(3) Dem Auftraggeber obliegt die alleinige Beurteilung der Zulässigkeit der Verarbeitung nach Art. 6 DSGVO. Der Auftraggeber ist für die datenschutzrechtliche Zulässigkeit der von ihm in den Dienst eingegebenen Daten selbst verantwortlich.
(4) Diese Vereinbarung erfasst nicht solche personenbezogenen Daten, hinsichtlich derer Resaldo selbst Verantwortlicher ist (insbesondere Bestands-, Vertrags- und Abrechnungsdaten des Auftraggebers als Vertragspartner sowie Nutzungs- und Protokolldaten zur Bereitstellung des Onlineangebots). Für diese gilt die Datenschutzerklärung unter resaldo.de/datenschutz.
(5) Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags, soweit sich aus den nachfolgenden Bestimmungen keine darüber hinausgehenden Verpflichtungen ergeben.
§ 3 Ort der Verarbeitung
(1) Die Verarbeitung der Daten erfolgt in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Die eingesetzten Subunternehmer (Anlage 3) speichern und verarbeiten die Daten in Rechenzentren innerhalb der EU (Region Frankfurt).
(2) Soweit ein eingesetzter Subunternehmer einen Bezug zu einem Drittland aufweist (z. B. durch ein US-amerikanisches Mutterunternehmen), stellt Resaldo sicher, dass die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere durch einen Angemessenheitsbeschluss (EU-US Data Privacy Framework) und/oder den Abschluss von EU-Standardvertragsklauseln. Die jeweilige Grundlage ist in Anlage 3 angegeben.
§ 4 Art der Daten und Kreis der betroffenen Personen
Resaldo verarbeitet die in Anlage 1 spezifizierten Arten personenbezogener Daten der dort spezifizierten betroffenen Personen. Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung.
§ 5 Weisungsrecht des Auftraggebers
(1) Resaldo verarbeitet die Daten ausschließlich im Rahmen des Hauptvertrags und nach den dokumentierten Weisungen des Auftraggebers. Wird Resaldo durch das Recht der Union oder eines Mitgliedstaats zu einer weiteren Verarbeitung verpflichtet, teilt Resaldo dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht eine solche Mitteilung nicht verbietet.
(2) Die Weisungen des Auftraggebers werden zunächst durch diesen Vertrag und den Hauptvertrag festgelegt. Der Auftraggeber kann sie danach in Textform oder in dokumentiertem elektronischem Format ändern, ergänzen oder ersetzen. Dies umfasst Weisungen zur Berichtigung, Löschung und Einschränkung der Verarbeitung von Daten. Die weisungsberechtigte Person und der Kommunikationsweg ergeben sich aus Anlage 4.
(3) Ist Resaldo der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, weist Resaldo den Auftraggeber unverzüglich darauf hin (Art. 28 Abs. 3 S. 3 DSGVO). Resaldo ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird, und darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
§ 6 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
(1) Resaldo trifft die zur angemessenen Sicherung der Daten erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, mindestens die in Anlage 2 aufgeführten. Resaldo legt auf Anforderung des Auftraggebers die näheren Umstände der Maßnahmen offen.
(2) Eine Änderung der Sicherheitsmaßnahmen bleibt Resaldo vorbehalten, wobei das vertraglich vereinbarte Schutzniveau nicht unterschritten werden darf.
(3) Resaldo ist als Einzelunternehmer nicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO i. V. m. § 38 BDSG verpflichtet. Ansprechpartner für den Datenschutz ist: Evgenij Vyslanko, hello@resaldo.de.
(4) Resaldo gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 S. 2 lit. b DSGVO) und diese Verpflichtung auch nach Beendigung ihrer Tätigkeit fortbesteht. Erfolgt die Verarbeitung durch den Inhaber selbst, ist dieser in gleicher Weise zur Vertraulichkeit verpflichtet.
§ 7 Informations- und Unterstützungspflichten
(1) Resaldo informiert den Auftraggeber unverzüglich in Textform oder dokumentiertem elektronischem Format über Verletzungen des Schutzes personenbezogener Daten des Auftraggebers oder den begründeten Verdacht hierauf. Die Meldung enthält, soweit möglich, eine Beschreibung der Art der Verletzung (mit Kategorien und Zahl der betroffenen Personen und Datensätze), der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.
(2) Resaldo trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen, informiert den Auftraggeber und ersucht ihn um weitere Weisungen.
(3) Resaldo unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung von dessen Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung und Benachrichtigung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), Art. 28 Abs. 3 S. 2 lit. f DSGVO. Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber nimmt Resaldo nur auf dessen Weisung vor.
(4) Werden die Daten des Auftraggebers bei Resaldo durch Maßnahmen Dritter (z. B. Pfändung, Beschlagnahme, Insolvenzverfahren) gefährdet, informiert Resaldo den Auftraggeber unverzüglich, soweit nicht behördlich oder gerichtlich untersagt, und weist die handelnden Stellen darauf hin, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber liegt.
(5) Resaldo führt ein Verzeichnis aller im Auftrag des Auftraggebers durchgeführten Kategorien von Verarbeitungstätigkeiten mit den Angaben nach Art. 30 Abs. 2 DSGVO und stellt es dem Auftraggeber auf Anforderung zur Verfügung.
§ 8 Unterstützung bei Betroffenenrechten
(1) Resaldo unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nach Art. 12 bis 23 DSGVO (Art. 28 Abs. 3 S. 2 lit. e DSGVO).
(2) Wendet sich eine betroffene Person mit einem solchen Antrag unmittelbar an Resaldo, leitet Resaldo den Antrag unverzüglich an den Auftraggeber weiter und reagiert nicht selbstständig, sondern wartet die Weisung des Auftraggebers ab.
§ 9 Kontrollrechte des Auftraggebers (Nachweispflicht)
(1) Resaldo stellt dem Auftraggeber alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind, und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 S. 2 lit. h DSGVO).
(2) Der Nachweis kann insbesondere durch Auskünfte, durch Vorlage vorhandener Testate, Zertifizierungen oder Berichte unabhängiger Stellen oder durch ein aktuelles Datenschutz- und Sicherheitskonzept erfolgen. Eine Vor-Ort-Prüfung kann der Auftraggeber nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst oder durch einen sachkundigen, nicht mit Resaldo im Wettbewerb stehenden Dritten durchführen; sie ist auf das erforderliche Maß zu beschränken und darf den Betrieb nicht unverhältnismäßig stören.
§ 10 Einsatz von Subunternehmern (Unterauftragsverarbeiter)
(1) Der Auftraggeber erteilt seine allgemeine Genehmigung zum Einsatz der in Anlage 3 aufgeführten Subunternehmer (Art. 28 Abs. 2 S. 1 DSGVO).
(2) Resaldo ist berechtigt, weitere Subunternehmer hinzuzuziehen oder bestehende auszutauschen. Resaldo informiert den Auftraggeber über jede beabsichtigte Änderung mindestens vier (4) Wochen vorab in Textform oder dokumentiertem elektronischem Format. Der Auftraggeber kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall eines berechtigten Widerspruchs, der eine Erbringung des Dienstes ohne den betreffenden Subunternehmer unzumutbar macht, ist jede Partei berechtigt, den Hauptvertrag zum Zeitpunkt des Wirksamwerdens der Änderung zu kündigen.
(3) Resaldo wählt Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit aus und verpflichtet sie vertraglich auf ein Datenschutzniveau, das den Anforderungen dieser Vereinbarung entspricht, insbesondere durch Abschluss einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO. Erfolgt der Einsatz mit Drittlandbezug, stellt Resaldo ein angemessenes Datenschutzniveau nach Art. 44 ff. DSGVO sicher. Resaldo weist dem Auftraggeber den Abschluss der entsprechenden Vereinbarungen auf Verlangen nach.
(4) Kein Subunternehmerverhältnis im Sinne dieser Bestimmung sind reine Nebenleistungen (z. B. Telekommunikations-, Post- oder Reinigungsleistungen).
§ 11 Beendigung — Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags hat der Auftraggeber gemäß § 9 (bzw. § 5 Abs. 3 für die Testphase) der AGB für einen Zeitraum von dreißig (30) Tagen die Möglichkeit, seine Daten im Lesezugriff einzusehen und über die bereitgestellte Exportfunktion herunterzuladen.
(2) Nach Ablauf dieser Frist löscht Resaldo die im Auftrag verarbeiteten personenbezogenen Daten; Sicherungskopien werden im Rahmen des regulären Backup-Zyklus überschrieben. Die Löschung erfolgt, sofern nicht nach dem Recht der Union oder der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung besteht. Gesetzliche Aufbewahrungspflichten des Auftraggebers (insbesondere §§ 238, 257 HGB, § 147 AO) liegen in dessen eigener Verantwortung; der Auftraggeber sichert die hierfür erforderlichen Daten vor Ablauf der Frist nach Absatz 1 eigenständig.
(3) Resaldo behandelt die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten auch über dessen Ende hinaus vertraulich. Diese Vereinbarung bleibt so lange gültig, wie Resaldo über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden.
§ 12 Haftung
(1) Auftraggeber und Resaldo haften gegenüber betroffenen Personen nach Maßgabe von Art. 82 DSGVO.
(2) Im Innenverhältnis gilt die Haftungsregelung des Hauptvertrags (§ 13 der AGB), soweit zwingendes Recht, insbesondere Art. 82 DSGVO, nicht entgegensteht.
§ 13 Außerordentliches Kündigungsrecht
Der Auftraggeber kann den Hauptvertrag aus wichtigem Grund kündigen, wenn Resaldo seinen Pflichten aus dieser Vereinbarung nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder sich den Kontrollrechten des Auftraggebers vertragswidrig widersetzt.
§ 14 Schlussbestimmungen
(1) Die Einrede des Zurückbehaltungsrechts nach § 273 BGB hinsichtlich der verarbeiteten Daten ist ausgeschlossen.
(2) Diese Vereinbarung unterliegt deutschem Recht. Im Übrigen gelten die Bestimmungen des Hauptvertrags (AGB) ergänzend. Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen hinsichtlich der Datenverarbeitung die Regelungen dieser Vereinbarung vor.
(3) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 — Art der Daten und Kreis der betroffenen Personen
Kategorien betroffener Personen:
- Private Verkäufer / Ankaufspartner des Auftraggebers (natürliche Personen, von denen der Auftraggeber Gegenstände ankauft).
- Käufer und sonstige Geschäftspartner des Auftraggebers, soweit der Auftraggeber entsprechende Angaben eingibt oder importiert.
Arten der verarbeiteten Daten:
- Stammdaten privater Verkäufer: Name und Anschrift (im Rahmen der Eigenbeleg-Funktion zur Dokumentation des Ankaufs; auch in den erzeugten Eigenbeleg-Dokumenten enthalten).
- Käufer- bzw. Nutzerkennungen (z. B. Käufer-Benutzername aus Verkaufsdaten, auch bei Datenimporten).
- Gegebenenfalls weitere Angaben, die der Auftraggeber in Freitextfeldern (z. B. „Ankaufsort", Notizen zu Artikeln, Verkäufen und Retouren) eingibt.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): keine.
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit:
- Zutrittskontrolle: Datenhaltung ausschließlich in Rechenzentren der eingesetzten Subunternehmer in der EU (Region Frankfurt); physische Sicherung durch die zertifizierten Rechenzentrumsbetreiber.
- Zugangskontrolle: Authentifizierung der Nutzer über E-Mail/Passwort; sitzungsbasierte Anmeldung; administrativer Zugang zur Datenbank ausschließlich für den Inhaber mit gesonderten Zugangsdaten.
- Zugriffskontrolle: mandantengetrennte Datenhaltung durch auf Datenbankebene aktivierte Row-Level-Security (Zugriff je Nutzer auf die eigenen Datensätze beschränkt); Vergabe von Zugriffsrechten nach dem Prinzip der minimalen Rechtevergabe.
Integrität:
- Weitergabekontrolle: Verschlüsselung sämtlicher Datenübertragungen über TLS/HTTPS.
- Eingabekontrolle: Protokollierung sicherheitsrelevanter Vorgänge (Logins, Zugriffe) über Server-Logfiles.
Verfügbarkeit und Belastbarkeit:
- Betrieb auf gehosteter, gemanagter Infrastruktur mit regelmäßigem Backup-Zyklus; Verschlüsselung gespeicherter Daten („at rest") gemäß dem Standard des eingesetzten Datenbankanbieters.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO):
- Sicherheitsbezogene Aktualisierungen der Anwendung und der Infrastruktur; Berücksichtigung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).
Löschkonzept:
- Automatisierte, fristgebundene Löschung nicht mehr benötigter Daten nach Beendigung des Vertragsverhältnisses (30-Tage-Frist gemäß § 9 AGB) durch einen täglichen automatisierten Löschlauf; vollständige Löschung über kaskadierende Datenbankbeziehungen.
Anlage 3 — Genehmigte Subunternehmer (Unterauftragsverarbeiter)
| Subunternehmer | Anschrift | Leistung | Ort der Verarbeitung | Drittlandgrundlage |
|---|---|---|---|---|
| Supabase, Inc. | 548 Market St, San Francisco, CA 94104, USA | Datenbank- und Authentifizierungsdienste (Speicherung der Daten) | EU, Region Frankfurt (eu-central-1) | EU-Standardvertragsklauseln |
| Vercel Inc. | 440 N Barranca Avenue #4133, Covina, CA 91723, USA | Hosting-Plattform und CDN; Serverless Functions in Frankfurt (fra1) | EU, Region Frankfurt | EU-US Data Privacy Framework, EU-Standardvertragsklauseln |
| ALL-INKL.COM — Neue Medien Münnich, Inhaber René Münnich | Hauptstraße 68, 02742 Friedersdorf, Deutschland | Versand von Transaktions-E-Mails (SMTP) | Deutschland | — (EU) |
Anlage 4 — Weisungsberechtigte Personen und Kommunikationsweg
- Weisungsberechtigt aufseiten des Auftraggebers: die im Nutzerkonto hinterlegte kontoführende Person des Auftraggebers.
- Weisungsempfänger aufseiten von Resaldo: Evgenij Vyslanko.
- Kommunikationsweg für Weisungen: in Textform an hello@resaldo.de oder über die im Nutzerkonto bereitgestellten Funktionen.