MSPercury
Anmelden Kostenlos starten

Zuletzt aktualisiert: 25. April 2026

Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Rechte und Pflichten der Parteien bei der Verarbeitung personenbezogener Daten im Rahmen der Nutzung des SaaS-Produkts MSPercury und ergänzt die bestehenden Hauptleistungsbeziehungen (Nutzungsvertrag / Terms of Service).

1. Parteien

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO (im Folgenden: „Kunde“):

______________________________________
Anschrift: ______________________________________
Vertretungsberechtigte/r: ____________________

Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO (im Folgenden: „MSPercury“):

IT Systeme Flores UG (haftungsbeschränkt)
Neufeldweg 25a
51427 Bergisch Gladbach
Deutschland
Vertreten durch: Lucas Flores
Registergericht: Amtsgericht Köln, HRB XXXXXX
USt-IdNr.: DE XXX XXX XXX
Kontakt Datenschutz: privacy@mspercury.com

2. Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch MSPercury im Auftrag des Kunden im Rahmen der Bereitstellung und des Betriebs der SaaS-Anwendung MSPercury. Art und Umfang der Verarbeitung ergeben sich aus Anlage 1.

Die Laufzeit dieses AVV entspricht der Laufzeit des Nutzungsvertrags und endet automatisch mit dessen Beendigung. Nach Beendigung gelten die Rückgabe- und Löschpflichten aus Abschnitt 10.

3. Weisungsrecht des Kunden

MSPercury verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Kunden, einschließlich der Weisungen, die sich aus diesem AVV, dem Nutzungsvertrag und der üblichen Nutzung der SaaS-Anwendung ergeben. Jede Abweichung bedarf der Zustimmung des Kunden in Textform.

Ist MSPercury der Auffassung, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, wird MSPercury den Kunden unverzüglich darauf hinweisen und die Ausführung aussetzen, bis die Weisung bestätigt oder geändert wird.

4. Pflichten des Auftragsverarbeiters

MSPercury wird:

  • personenbezogene Daten nur nach Weisung des Kunden verarbeiten (Art. 28 Abs. 3 lit. a);
  • zur Vertraulichkeit verpflichtete Beschäftigte einsetzen (Art. 28 Abs. 3 lit. b, Art. 29);
  • die in Anlage 3 beschriebenen technischen und organisatorischen Maßnahmen treffen (Art. 32);
  • Unterauftragsverarbeiter nur unter den Bedingungen des Abschnitts 5 einsetzen (Art. 28 Abs. 2, 4);
  • den Kunden bei der Einhaltung seiner Pflichten nach den Art. 32 bis 36 DSGVO unterstützen (Art. 28 Abs. 3 lit. f);
  • den Kunden bei der Beantwortung von Anträgen Betroffener nach Kapitel III DSGVO unterstützen (Art. 28 Abs. 3 lit. e);
  • personenbezogene Daten nach Wahl des Kunden nach Ende des Auftragsverhältnisses löschen oder zurückgeben (Art. 28 Abs. 3 lit. g);
  • dem Kunden alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind (Art. 28 Abs. 3 lit. h).

5. Unterauftragsverarbeiter

Der Kunde stimmt der Einschaltung der in Anlage 2 genannten Unterauftragsverarbeiter generell zu. MSPercury schließt mit jedem Unterauftragsverarbeiter einen den Anforderungen des Art. 28 DSGVO entsprechenden Vertrag ab.

Die Auswahl neuer oder der Austausch bestehender Unterauftragsverarbeiter werden dem Kunden mindestens 14 Tage im Voraus per E-Mail an die im Account hinterlegte Adresse mitgeteilt. Der Kunde kann der beabsichtigten Änderung binnen dieser Frist aus datenschutzrechtlichen Gründen widersprechen.

6. Kontrollrechte des Verantwortlichen

Der Kunde ist berechtigt, sich von der Einhaltung der Pflichten aus diesem AVV zu überzeugen. MSPercury wird ihm auf Anfrage die in Anlage 3 dokumentierten TOMs, aktuelle Audit-Berichte (soweit vorhanden) sowie die Verträge mit Unterauftragsverarbeitern in geeigneter Form vorlegen.

Vor-Ort-Kontrollen sind mit angemessener Vorankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten zulässig, soweit nicht berechtigte Interessen Dritter oder Betriebs- und Geschäftsgeheimnisse entgegenstehen.

7. Technische und organisatorische Maßnahmen

MSPercury trifft die in Anlage 3 beschriebenen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO zu gewährleisten.

8. Meldung von Datenschutzverletzungen

MSPercury meldet dem Kunden jede festgestellte Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO unverzüglich, spätestens binnen 48 Stunden nach Kenntnisnahme, per E-Mail an die im Account hinterlegte Adresse. Die Meldung enthält:

  • eine Beschreibung der Art der Verletzung
  • soweit möglich, Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
  • Kontaktdaten der Ansprechperson bei MSPercury
  • wahrscheinliche Folgen
  • getroffene und vorgeschlagene Abhilfemaßnahmen

9. Drittlandübermittlung

MSPercury verarbeitet personenbezogene Daten grundsätzlich ausschließlich innerhalb der Europäischen Union / des Europäischen Wirtschaftsraums (Hetzner-RZ Deutschland). Übermittlungen in Drittländer erfolgen nur im Rahmen der in Anlage 2 genannten Unterauftragsverarbeiter und auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO) oder EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

10. Laufzeit, Rückgabe, Löschung

Nach Beendigung wählt der Kunde zwischen:

  • Rückgabe: Datenexport als ZIP-Archiv (JSON + CSV) über die Funktion „Einstellungen → Datenexport“ binnen 30 Tagen nach Vertragsende.
  • Löschung: Nach Ablauf der 30-Tage-Frist werden die Daten unwiderruflich gelöscht; Rechnungsdaten ausgenommen (§ 147 AO).

11. Haftung und Schlussbestimmungen

Die Haftung der Parteien richtet sich nach den allgemeinen gesetzlichen Vorschriften (insb. Art. 82 DSGVO) sowie den Regelungen des Nutzungsvertrags.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit zulässig, Bergisch Gladbach, Germany.

Anlage 1 — Gegenstand, Art, Zweck der Verarbeitung

Gegenstand

Bereitstellung und Betrieb der SaaS-Anwendung MSPercury zur Erfassung von IT-CheckUps, Erstellung von Angeboten, Verwaltung von Kundenstammdaten sowie Abrechnung.

Art der Verarbeitung

  • Erheben, Speichern, Strukturieren, Anzeigen, Abrufen, Ändern, Löschen
  • Übermittlung an Unterauftragsverarbeiter gemäß Anlage 2
  • Export/Rückgabe an den Verantwortlichen

Kategorien personenbezogener Daten

  • Kundenstammdaten der Endkunden des Kunden: Firmenname, Kontaktperson, E-Mail, Telefon, Anschrift, USt-IdNr.
  • Projektparameter: Anzahl Arbeitsplätze je OS, Server, Nutzer, Infrastruktur-Fotos, Notizen.
  • CheckUp-Daten: Fragenantworten, Findings, Lösungshinweise, Priorisierung, Fotos.
  • Nutzerdaten der Mitarbeiter des Kunden: Name, E-Mail, Rolle, Passwort-Hash, ggf. M365-Object-ID.
  • Log- und Sicherheitsdaten: IP, User-Agent, Zeitstempel.

Kategorien betroffener Personen

  • Mitarbeiter und Ansprechpartner des Kunden
  • Ansprechpartner und Mitarbeiter der Endkunden des Kunden

Anlage 2 — Unterauftragsverarbeiter

UnterauftragnehmerSitzLeistungTransfergrundlage
Hetzner Online GmbH, Gunzenhausen Deutschland (RZ Falkenstein/Nürnberg) VPS-Hosting, Mail-Relay, Off-site-Backup Art. 28 DSGVO (EU)
Stripe Payments Europe, Ltd., Dublin Irland / ggf. USA Zahlungsabwicklung (Checkout, Tax) Art. 28 + Art. 46(2)(c) SCCs / Art. 45 EU-US DPF
Microsoft Ireland Operations Ltd. Irland / USA OAuth-Authentifizierung (nur bei M365-SSO) Art. 28 + Art. 46/45

Anlage 3 — Technische und organisatorische Maßnahmen (TOMs)

Zutrittskontrolle

  • Produktivumgebung ausschließlich bei Hetzner Online GmbH (ISO-27001-zertifiziert, 24/7-Bewachung, Videoüberwachung).
  • Physischer Zugriff von MSPercury-Personal auf Kundendaten findet nicht statt.

Zugangskontrolle (System-Login)

  • TLS 1.3 end-to-end; HSTS aktiv (1 Jahr).
  • bcrypt-Passwort-Hashing (cost factor ≥ 12).
  • Session-Cookies mit Flags HttpOnly, Secure, SameSite=Lax.
  • Optional M365-Single-Sign-On via Entra ID.
  • Rate-Limiting auf Login; SSH nur per Key + IP-Whitelist.

Zugriffskontrolle (Daten-Isolation)

  • Strikte Multi-Tenant-Isolation via organizationId in jeder Query.
  • Rollenkonzept: Admin / Mitglied.
  • Privilegierte Admin-Zugriffe werden protokolliert.

Weitergabekontrolle

  • HTTP ausschließlich über TLS 1.3.
  • Kein Versand unverschlüsselter personenbezogener Daten per E-Mail.

Eingabekontrolle

  • Finalisierte CheckUps sind unveränderlich.
  • Audit-Log für sicherheitskritische Änderungen (in Vorbereitung, vor Go-Live aktiv).

Verfügbarkeitskontrolle

  • Tägliche SQLite-Backups; Off-site-Replikation auf Hetzner Storage Box, 30 Tage Retention.
  • Monitoring via PM2-Autorestart + externer Uptime-Check.
  • Quartalsweiser Restore-Test.

Trennungsgebot

  • Logische Trennung pro Kunde via organizationId.
  • Dev/Staging/Prod physisch und konfigurativ getrennt.

Unterzeichnung

Dieser AVV tritt mit Unterzeichnung durch beide Parteien in Kraft. Bitte senden Sie den ausgefüllten und unterzeichneten AVV per E-Mail an privacy@mspercury.com — wir unterzeichnen gegen und senden das Gegenexemplar zurück.

   
Ort, Datum, Unterschrift — Verantwortlicher (Kunde) Ort, Datum, Unterschrift — Auftragsverarbeiter (IT Systeme Flores UG)