Zum Hauptinhalt springen

AVV — Auftragsverarbeitungsvertrag Steuerberater-OS

Stand: 23.05.2026 · gültig für alle Aufträge über /steuerberater-os.

1. Vertragsparteien

Verantwortlicher (Auftraggeber): Steuerberater-Kanzlei lt. Bestelldatensatz.

Auftragsverarbeiter: Rocket Abt Holding GmbH, Machandelweg 1a, 29525 Uelzen (nachfolgend AutomationsManufaktur).

2. Gegenstand und Dauer

Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung des Steuerberater-OS — insbesondere Mitarbeiter-Daten für die Art.-4-Schulung, Mandanten-Daten soweit sie im KI-Verzeichnis als verarbeitete Datenklassen dokumentiert werden. Dauer für die Vertragslaufzeit; Löschung gemäß Ziff. 8.

3. Art und Zweck der Verarbeitung

Beratung, Schulung, Dokumentation. Keine Verarbeitung von Mandanten-Daten zur Erbringung der Steuerberatung selbst — die AutomationsManufaktur ist nicht Steuerberater im Sinne des StBerG.

4. Kategorien betroffener Personen

  • Mitarbeiter des Auftraggebers (im Rahmen der Schulungs- Dokumentation: Name, Funktion, Datum).
  • Mandanten des Auftraggebers nur, soweit sie als Datenklassen im KI-Verzeichnis dokumentiert sind (keine Inhaltsverarbeitung).

5. Kategorien personenbezogener Daten

  • Mitarbeiter-Stammdaten (Name, Funktion).
  • Schulungs-Teilnahme-Daten (Datum, Prüfungs-Ergebnis).
  • Kontaktdaten Auftraggeber.

6. Pflichten der AutomationsManufaktur

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen, soweit nicht durch Recht der Union/der Mitgliedstaaten verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
  • Vertraulichkeit der mit der Verarbeitung befassten Personen (Art. 28 Abs. 3 lit. b).
  • Technische und organisatorische Maßnahmen (TOM) zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO. Details in Anlage 1.
  • Unterstützung des Verantwortlichen bei Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldepflicht, DSFA).
  • Löschung oder Rückgabe der Daten am Ende der Verarbeitungstätigkeit (Art. 28 Abs. 3 lit. g).
  • Bereitstellung aller für den Nachweis der Einhaltung der Pflichten erforderlichen Informationen (Art. 28 Abs. 3 lit. h).

7. Subprozessoren

Eingesetzte Subprozessoren (Stand 23.05.2026):

  • Resend, Inc. (Mail-Versand, EU-Region).
  • Vercel Inc. (Hosting-Infrastruktur, EU-Region).
  • Hetzner Online GmbH (Datenbank-Hosting, DE-Region).

Änderungen an der Subprozessoren-Liste werden 30 Tage im Voraus angekündigt. Widerspruchsrecht des Verantwortlichen.

8. Löschung und Rückgabe

Nach Abschluss der Leistungserbringung oder bei Beendigung des Vertrags werden alle Verarbeitungsdaten innerhalb von 30 Tagen gelöscht oder auf Wunsch des Verantwortlichen zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.

9. Verschwiegenheit § 57 StBerG

Die AutomationsManufaktur wird als Hilfsperson im Sinne von § 62a StBerG tätig. Sie verpflichtet sich (und ihre Mitarbeiter), Mandantengeheimnisse des Auftraggebers vertraulich zu behandeln. § 203 Abs. 4 StGB (Geheimhaltungs-Vereinbarung) wird durch die Annahme dieses AVV abgeschlossen; eine separat unterzeichnete Geheimhaltungs-Vereinbarung kann auf Wunsch erstellt werden.

10. Kontrollrechte

Der Verantwortliche hat das Recht, sich nach vorheriger Anmeldung von der Einhaltung der vereinbarten Pflichten zu überzeugen — durch Auditberichte, Zertifikate, Vor-Ort-Audit in zumutbarem Umfang.

11. Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand Hamburg. Sollten Teile dieses AVV unwirksam sein, bleibt der Rest wirksam.

Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

Detaillierte TOM-Liste (Pseudonymisierung, Verschlüsselung, Backup, Zutrittskontrollen) wird vor Vertragsschluss zusammen mit dem unterzeichneten AVV übergeben.