Auftragsverarbeitungsvertrag (AVV)

Nach Art. 28 DSGVO · zwischen bms future energy GmbH (Auftragsverarbeiter) und dem Kunden (Verantwortlicher) · Stand: 8. Juli 2026

Präambel

Dieser Vertrag ergänzt den Nutzungsvertrag über bms ERP und regelt die Datenverarbeitung durch die bms future energy GmbH („Auftragsverarbeiter") im Auftrag des Kunden („Verantwortlicher"). Er gilt automatisch als vereinbart mit Vertragsschluss gemäß § 8 AGB.

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten des Verantwortlichen und seiner Kunden/Mitarbeiter/Lieferanten im Rahmen der SaaS-Software bms ERP. Der Vertrag läuft parallel zum Nutzungsvertrag und endet mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Verarbeitung zur Bereitstellung der Software: Speichern, Auslesen, Verändern, Löschen und Übermitteln der vom Verantwortlichen eingegebenen Daten (Rechnungen, Belege, Kunden-/Lieferantendaten, Aufträge, Projekte, Zeiterfassung, Energie-Modul).

§ 3 Art der Daten

  • Kontakt- und Firmendaten des Verantwortlichen
  • Kontaktdaten seiner Kunden/Lieferanten (Name, Adresse, E-Mail, USt-ID)
  • Rechnungs- und Zahlungsdaten
  • Optionale Zeiterfassungs-, Projekt- und Energie-Modul-Daten
  • KI-Chat-Verlauf (wenn verwendet)

§ 4 Kategorien betroffener Personen

  • Mitarbeiter des Verantwortlichen (User im ERP)
  • Kunden des Verantwortlichen
  • Lieferanten des Verantwortlichen
  • Kontaktpersonen aus Angeboten/Aufträgen/Projekten

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich weisungsgemäß zu verarbeiten
  • Vertraulichkeit aller mit der Verarbeitung befassten Personen zu gewährleisten
  • Angemessene technische und organisatorische Maßnahmen (TOM) umzusetzen (siehe Anhang TOM)
  • Betroffenenrechte zu unterstützen (Art. 15–22 DSGVO)
  • Datenschutz-Verletzungen unverzüglich (spätestens 72 h nach Kenntnis) zu melden
  • Nach Vertragsende Daten zu löschen oder zurückzugeben (nach Wahl des Verantwortlichen)

§ 6 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein — der Verantwortliche stimmt diesen mit Vertragsschluss zu:

Vercel Inc.
Hosting
USA / Frankfurt
Neon Inc.
Datenbank
USA / Frankfurt
Anthropic PBC
KI-Assistent (Zero Data Retention)
USA / EU-Region
Stripe Inc.
Zahlungen
USA / Irland
SendGrid Inc. (Twilio)
Transaktions-E-Mails
USA

Der Wechsel oder das Hinzufügen weiterer Unterauftragsverarbeiter wird mindestens 30 Tage vorher angekündigt. Der Verantwortliche kann widersprechen; führt der Widerspruch dazu, dass der Auftragsverarbeiter den Dienst nicht mehr wirtschaftlich erbringen kann, kann der Auftragsverarbeiter außerordentlich kündigen.

§ 7 Datenübermittlung in Drittländer

Alle US-Unterauftragsverarbeiter (Vercel, Anthropic, Stripe, SendGrid) sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert oder verwenden Standard-Vertrags­klauseln (SCC) der EU-Kommission. Für die eigentliche Datenspeicherung werden EU-Regionen bevorzugt (Frankfurt für Neon und Vercel).

§ 8 Kontrollrechte

Der Verantwortliche kann sich jederzeit von der Einhaltung dieser Vereinbarung überzeugen. Auskünfte erteilt der Auftragsverarbeiter zeitnah per E-Mail. Vor-Ort-Kontrollen sind nach Voranmeldung möglich, die tatsächlichen Kosten trägt der Verantwortliche.

§ 9 Haftung

Es gelten die Haftungsregelungen des Nutzungsvertrags (§ 12 AGB) sowie die gesetzlichen Bestimmungen der DSGVO (Art. 82).

§ 10 Schlussbestimmungen

Änderungen bedürfen der Schriftform (E-Mail genügt). Für diesen AVV gilt österreichisches Recht. Gerichtsstand ist Steyr, Österreich.

Vor dem Live-Betrieb prüfen

Dieser AVV-Text ist ein DSGVO-konformer Roh-Entwurf. Der finale, vom Anwalt geprüfte AVV wird auf Anfrage als unterzeichnetes PDF versendet.