Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: Juli 2026 · Version 1.0
zwischen
der im Bestellvorgang (Stripe-Checkout) bzw. im Hauptvertrag bezeichneten Steuerkanzlei (Name, Rechtsform und Anschrift gemäß den Angaben im Bestell-/Vertragsvorgang) – nachfolgend „Auftraggeber“ / „Verantwortlicher“ –
und
SteuerClara GmbH, Donaustraße 44, 12043 Berlin, vertreten durch den Geschäftsführer Malte Werner – nachfolgend „Auftragsverarbeiter“ –
Ansprechpartner Datenschutz: Malte Werner • E-Mail: hallo@steuerclara.de
– nachfolgend gemeinsam „Parteien“ –
Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers (nachfolgend „Hauptvertrag“). Er ist Bestandteil des Hauptvertrags über die Nutzung der Leistungen des Auftragsverarbeiters.
1. Gegenstand und Dauer der Verarbeitung
1.1 Der Auftragsverarbeiter erbringt für den Auftraggeber KI-gestützte Telefon- und Büroassistenzleistungen für Steuerkanzleien und verarbeitet dabei personenbezogene Daten ausschließlich im Auftrag und auf dokumentierte Weisung des Auftraggebers.
1.2 Dieser AVV gilt ab Leistungsbeginn für die Laufzeit des Hauptvertrags und endet automatisch mit dessen Beendigung, soweit keine gesetzlichen Aufbewahrungspflichten oder Nachlaufpflichten aus diesem AVV entgegenstehen.
1.3 Der Abschluss in elektronischer Form ist zulässig. Elektronisch geleistete Signaturen sind wirksam, soweit gesetzlich zulässig.
2. Art, Zweck und Grenzen der Verarbeitung
2.1 Art der Verarbeitung
Entgegennahme, Verarbeitung und Strukturierung eingehender Telefongespräche und Kommunikationsvorgänge;
Erfassung, Kategorisierung und Weiterleitung von Gesprächs- und Anliegeninhalten;
Terminmanagement und Rückruforganisation;
Speicherung, Auswertung, Protokollierung und Löschung nach Maßgabe dieses AVV.
2.2 Zwecke der Verarbeitung
Annahme und Bearbeitung von Anfragen von Mandanten und Interessenten des Auftraggebers;
Entlastung des Kanzleipersonals und strukturierte Aufgabenübergabe;
Qualitätssicherung und Nachweis von Prozessen.
2.3 Datenherkunft und Integrationsstatus
Der Auftragsverarbeiter verarbeitet ausschließlich Daten, die der Auftraggeber bereitstellt oder die betroffene Personen über die bereitgestellten Kommunikationskanäle übermitteln.
Es erfolgen keine eigenständigen, aktiven Datenabzüge aus den Systemen des Auftraggebers durch den Auftragsverarbeiter über die vereinbarten Schnittstellen hinaus.
2.4 Trainings- und Produktverbesserung
Kein Training produktiver KI-Modelle mit personenbezogenen Daten des Auftraggebers ohne ausdrückliche, dokumentierte Weisung des Auftraggebers.
Anonymisierte oder aggregierte Telemetrie- und Nutzungsdaten ohne Personenbezug werden ausschließlich zur Systemsicherheit, Fehlerbehebung, Stabilität und Weiterentwicklung der Leistung verarbeitet; eine Rückbeziehbarkeit auf betroffene Personen ist ausgeschlossen. Derartige anonymisierte Daten unterfallen nicht den Weisungsbeschränkungen dieses AVV.
2.5 Grenzen der Verarbeitung
Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters oder über die Weisungen des Auftraggebers hinaus ist ausgeschlossen, soweit sich nicht aus Ziffer 2.4 oder aus gesetzlichen Verpflichtungen etwas anderes ergibt.
3. Kategorien betroffener Personen
Mandanten und ehemalige Mandanten des Auftraggebers sowie Interessenten;
Mitarbeitende des Auftraggebers;
Externe Ansprechpartner (z. B. Behörden, Geschäftspartner, Dritte).
4. Kategorien personenbezogener Daten
Stammdaten (Name, Telefonnummer, E-Mail, Anschrift);
Mandantenstatus (Neu-/Bestandsmandant);
Gesprächs- und Anliegeninhalte;
Termin-, Rückruf- und Zuordnungsinformationen;
Kanzlei- bzw. fallbezogene Referenzen (z. B. Aktenzeichen);
Technische Metadaten (Zeitstempel, Log-IDs), soweit erforderlich.
4.1 Anrufaufzeichnungen werden nicht erstellt, es sei denn, der Auftraggeber weist dies ausdrücklich, dokumentiert und unter Angabe der Rechtsgrundlage sowie der erforderlichen Hinweis- und Einwilligungsprozesse an. Für das Vorliegen der Rechtsgrundlage und die Erfüllung der Informations- und Einwilligungspflichten ist allein der Auftraggeber verantwortlich.
4.2 Eine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand dieses Auftrags. Der Auftraggeber trägt dafür Sorge, dass solche Daten sowie Inhalte, die dem Steuergeheimnis oder dem Berufsgeheimnis unterliegen, nur im erforderlichen Umfang und nicht als unstrukturierter Freitext (z. B. keine IBAN, Steuer-ID oder sensible Inhalte im Freitextfeld) übermittelt werden.
5. Rolle, Verantwortlichkeit und Weisungen
5.1 Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO; der Auftragsverarbeiter ist Auftragsverarbeiter. Der Auftraggeber ist im Verhältnis der Parteien für die Zulässigkeit der Verarbeitung, insbesondere für das Vorliegen einer Rechtsgrundlage, sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
5.2 Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen erfolgen in Textform. Die im Hauptvertrag, in diesem AVV und in Anlage 3 festgelegten Verarbeitungen gelten als von Beginn an erteilte, dokumentierte Weisungen. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
5.3 Der Auftraggeber gewährleistet, dass seine Weisungen rechtmäßig sind. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, so setzt er ihre Ausführung bis zur Klärung aus und informiert den Auftraggeber; eine Prüfpflicht des Auftragsverarbeiters hinsichtlich der Rechtmäßigkeit der Weisungen besteht darüber hinaus nicht.
5.4 Die Informations- und Auskunftspflichten gegenüber betroffenen Personen verbleiben beim Auftraggeber. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter.
5.5 Weisungen, die über die im Hauptvertrag und in Anlage 3 vereinbarte Standardkonfiguration hinausgehen und beim Auftragsverarbeiter einen nicht nur unerheblichen Aufwand auslösen, kann der Auftragsverarbeiter nach vorheriger Ankündigung gegen angemessene Vergütung umsetzen (vgl. Ziffer 8.3).
6. Vertraulichkeit, Personal und Berufsgeheimnis (§ 203 StGB)
6.1 Der Auftragsverarbeiter gewährleistet die Vertraulichkeit der Verarbeitung. Die zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet und im Datenschutz geschult; die Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort.
6.2 Dem Auftragsverarbeiter ist bewusst, dass der Auftraggeber einer besonderen berufsrechtlichen Verschwiegenheitspflicht unterliegt (§ 203 StGB, § 57 StBerG, Steuergeheimnis). Der Auftragsverarbeiter sowie alle von ihm eingesetzten mitwirkenden Personen im Sinne des § 203 Abs. 3, 4 StGB sind zur Geheimhaltung der ihnen zugänglich gewordenen fremden Geheimnisse verpflichtet. Der Auftragsverarbeiter stellt sicher, dass diese Personen vor Aufnahme ihrer Tätigkeit förmlich zur Geheimhaltung verpflichtet und über die Strafbarkeit einer Verletzung nach § 203 StGB belehrt werden.
6.3 Der Auftragsverarbeiter verpflichtet auch die von ihm eingesetzten Unterauftragsverarbeiter entsprechend § 203 Abs. 4 StGB zur Geheimhaltung und stellt sicher, dass diese ihre eigenen mitwirkenden Personen in gleicher Weise verpflichten.
6.4 Betriebs- und Geschäftsgeheimnisse des Auftraggebers werden gewahrt.
7. Sicherheit der Verarbeitung (Art. 32 DSGVO)
7.1 Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen (TOM) gemäß Anlage 1 um und gewährleistet ein dem Risiko angemessenes Schutzniveau.
7.2 Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist berechtigt, die TOM anzupassen, sofern das vereinbarte Sicherheitsniveau dadurch nicht unterschritten wird. Wesentliche Änderungen werden dem Auftraggeber in geeigneter Form mitgeteilt.
7.3 Die Datenverarbeitung erfolgt ausschließlich in Cloud-Regionen innerhalb der EU bzw. des EWR.
8. Unterstützungspflichten
8.1 Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen des technisch Möglichen und Zumutbaren
bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO);
bei der Gewährleistung der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Datenschutz-Folgenabschätzung und einer etwaigen vorherigen Konsultation (Art. 32–36 DSGVO);
durch Bereitstellung der zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen.
8.2 Soweit betroffene Personen Rechte unmittelbar gegenüber dem Auftragsverarbeiter geltend machen, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
8.3 Unterstützungsleistungen, die über einen angemessenen Grundumfang hinausgehen oder auf Umständen beruhen, die der Auftragsverarbeiter nicht zu vertreten hat (insbesondere umfangreiche oder wiederholte Anfragen, Zuarbeit zu Datenschutz-Folgenabschätzungen, aufwändige Auskünfte), vergütet der Auftraggeber nach Aufwand zu den jeweils vereinbarten oder üblichen Sätzen des Auftragsverarbeiters. Der Auftragsverarbeiter kündigt einen zu erwartenden vergütungspflichtigen Aufwand zuvor an.
9. Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden. Die Meldung enthält, soweit verfügbar, Angaben zu Art und Umfang der Verletzung, den betroffenen Datenkategorien und Personen, den wahrscheinlichen Folgen sowie den ergriffenen bzw. vorgeschlagenen Maßnahmen. Der Auftragsverarbeiter unterstützt den Auftraggeber bei Meldungen an die Aufsichtsbehörde und Benachrichtigungen betroffener Personen. In der Meldung liegt kein Anerkenntnis einer Pflichtverletzung oder Haftung des Auftragsverarbeiters.
10. Unterauftragsverarbeiter
10.1 Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die jeweils aktuelle Liste der eingesetzten Unterauftragsverarbeiter ergibt sich aus Anlage 2 und wird dem Auftraggeber auf Anfrage in aktueller Fassung zur Verfügung gestellt.
10.2 Der Auftragsverarbeiter informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mit einem Vorlauf von 14 Tagen. Der Auftraggeber kann innerhalb dieser Frist aus einem wichtigen, datenschutzbezogenen Grund widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Änderung als genehmigt.
10.3 Im Fall eines berechtigten Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung. Kann der Auftragsverarbeiter die betroffene Leistung ohne den Unterauftragsverarbeiter nicht mit zumutbarem Aufwand erbringen, ist er berechtigt, die betroffene Leistung anzupassen oder den Hauptvertrag hinsichtlich der betroffenen Leistung mit angemessener Frist zu kündigen.
10.4 Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich mindestens auf das Schutzniveau dieses AVV, insbesondere zu TOM, Vertraulichkeit, Berufsgeheimnis (§ 203 StGB) und Weisungsbindung.
11. Internationale Datentransfers
11.1 Grundsätzlich erfolgen keine Übermittlungen personenbezogener Daten in Drittländer außerhalb der EU/des EWR.
11.2 Ist eine Übermittlung ausnahmsweise erforderlich, erfolgt sie nur unter Einsatz geeigneter Garantien (insbesondere EU-Standardvertragsklauseln) und erforderlicher ergänzender Maßnahmen. Der Auftraggeber wird hierüber vorab informiert.
12. Prüf- und Auditrechte
12.1 Der Auftragsverarbeiter stellt dem Auftraggeber die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO und diesem AVV erforderlichen Informationen zur Verfügung.
12.2 Der Nachweis der Einhaltung der TOM erfolgt vorrangig durch Vorlage geeigneter Dokumentation, aktueller Testate, Zertifizierungen oder Berichte anerkannter unabhängiger Prüfer (z. B. nach ISO 27001 oder vergleichbaren Standards). Solche Nachweise sind als vorrangiges Prüfmittel anzuerkennen.
12.3 Reichen diese Nachweise im Einzelfall nicht aus, kann der Auftraggeber ein Vor-Ort-Audit durchführen. Dieses ist auf einmal je Kalenderjahr beschränkt (zzgl. anlassbezogener Audits bei konkreten, dokumentierten Anhaltspunkten für einen erheblichen Verstoß oder auf Verlangen einer Aufsichtsbehörde), mit einer Ankündigungsfrist von mindestens 30 Tagen, während der üblichen Geschäftszeiten und ohne unangemessene Beeinträchtigung des Geschäftsbetriebs durchzuführen.
12.4 Audits dürfen nicht durch unmittelbare Wettbewerber des Auftragsverarbeiters durchgeführt werden. Eingesetzte Prüfer sind zuvor auf Vertraulichkeit zu verpflichten. Die Vertraulichkeit sowie der Schutz der Daten anderer Kunden des Auftragsverarbeiters sind jederzeit zu wahren; ein Zugriff auf produktive Daten anderer Kunden ist ausgeschlossen.
12.5 Jede Partei trägt ihre eigenen Kosten des Audits. Den beim Auftragsverarbeiter durch die Unterstützung des Audits entstehenden angemessenen Aufwand vergütet der Auftraggeber nach Aufwand, sofern das Audit nicht einen vom Auftragsverarbeiter zu vertretenden erheblichen Verstoß aufdeckt.
13. Löschung, Rückgabe und Nachweis
13.1 Nach Beendigung des Vertrags und nach Wahl des Auftraggebers gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten zurück oder löscht sie einschließlich vorhandener Kopien. Gesetzliche Aufbewahrungspflichten bleiben unberührt; entsprechende Daten werden bis zur zulässigen Löschung gesperrt.
13.2 Die Standard-Löschfristen gemäß Anlage 4 werden automatisiert eingehalten.
13.3 Löschungen und Rückgaben werden dokumentiert (Löschprotokoll).
13.4 Exportfenster: Auf Wunsch stellt der Auftragsverarbeiter innerhalb von 30 Tagen nach Vertragsende einen maschinenlesbaren Export bereit. Die anschließende Löschung erfolgt binnen weiterer 30 Tage, sofern keine gesetzlichen Pflichten entgegenstehen. Daten in verschlüsselten Backups werden im Rahmen der regulären Backup-Rotation gelöscht bzw. überschrieben.
14. Haftung
14.1 Es gelten die gesetzlichen Regelungen, insbesondere Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für die ihr zurechenbaren Pflichtverstöße.
14.2 Im Übrigen gelten die Haftungsregelungen und Haftungsbegrenzungen des Hauptvertrags ergänzend auch für diesen AVV, soweit dies datenschutzrechtlich zulässig ist. Die Haftung des Auftragsverarbeiters für Vermögensschäden ist – außer bei Vorsatz und grober Fahrlässigkeit – der Höhe nach auf die vom Auftraggeber in den zwölf Monaten vor dem schadensauslösenden Ereignis an den Auftragsverarbeiter gezahlten Vergütungen begrenzt.
14.3 Die Haftung für mittelbare Schäden, Folgeschäden und entgangenen Gewinn ist ausgeschlossen, soweit gesetzlich zulässig.
14.4 Die Haftungsbeschränkungen nach Ziffer 14.2 und 14.3 gelten nicht bei Vorsatz und grober Fahrlässigkeit, bei der Verletzung von Leben, Körper oder Gesundheit, bei Ansprüchen nach dem Produkthaftungsgesetz sowie im Umfang zwingender, unabdingbarer gesetzlicher Haftung.
15. Verantwortungsbereich und Mitwirkung des Auftraggebers
15.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung, insbesondere für das Vorliegen einer Rechtsgrundlage, die Erfüllung der Informationspflichten gegenüber betroffenen Personen sowie die Richtigkeit und Zulässigkeit der von ihm bereitgestellten Daten und Weisungen verantwortlich.
15.2 Der Auftraggeber stellt den Auftragsverarbeiter von Ansprüchen Dritter, betroffener Personen oder Aufsichtsbehörden frei, die darauf beruhen, dass der Auftraggeber gegen seine Pflichten aus Ziffer 15.1 verstoßen, insbesondere unrechtmäßige oder unzureichend legitimierte Weisungen erteilt hat, es sei denn, der Auftragsverarbeiter hat die Pflichtverletzung zu vertreten.
16. Dokumentation, Aufbewahrung, Nachvollziehbarkeit
Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO). Zugriffe auf Produktivdaten sowie sicherheitsrelevante Ereignisse werden protokolliert und gemäß Anlage 1 aufbewahrt. Verarbeitungstätigkeiten, Löschvorgänge und Weisungen werden dokumentiert.
17. Anwendbares Recht, Textform, Rangfolge
17.1 Es gilt das Recht der Bundesrepublik Deutschland. Änderungen und Ergänzungen dieses AVV bedürfen der Textform; dies gilt auch für die Änderung dieses Textformerfordernisses.
17.2 Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in datenschutzrechtlichen Belangen Vorrang.
17.3 Sollte eine Bestimmung dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen Zweck am nächsten kommt.
18. Elektronische Unterzeichnung und Annahme
18.1 Der Abschluss dieses AVV kann in elektronischer Form erfolgen; die rechtliche Wirksamkeit besteht, soweit gesetzlich zulässig.
18.2 Dieser AVV ist Bestandteil des Hauptvertrags. Mit Abschluss der Bestellung über den Zahlungsvorgang (Stripe-Checkout) – insbesondere durch aktives Bestätigen dieses Auftragsverarbeitungsvertrags im Bestellprozess – nimmt der Auftraggeber diesen AVV in der zum Zeitpunkt der Bestellung geltenden Fassung an. Der Auftraggeber wird durch die im Bestellvorgang angegebenen Stammdaten (Kanzleiname, Rechtsform, Anschrift, E-Mail) sowie die zugehörige Bestell-/Transaktionsreferenz eindeutig identifiziert. Ein Nachweis über Zeitpunkt und Fassung der Annahme wird dokumentiert.
Annahme im Bestellprozess
Mit dem Abschluss der Bestellung über den Stripe-Checkout bestätigt der Auftraggeber, diesen Auftragsverarbeitungsvertrag gelesen zu haben und ihn als Bestandteil des Hauptvertrags anzuerkennen. Eine gesonderte handschriftliche Unterzeichnung ist hierfür nicht erforderlich. Auf Wunsch stellt der Auftragsverarbeiter zusätzlich eine unterzeichnete Fassung (elektronische Signatur oder PDF) bereit.
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
A. Organisation & Governance
Datenschutz- und Informationssicherheitsrichtlinie mit klaren Verantwortlichkeiten;
Ansprechpartner Datenschutz: Malte Werner, E-Mail: hallo@steuerclara.de;
regelmäßige Datenschutz- und Sicherheitsschulungen; Vertraulichkeitsvereinbarungen und Verpflichtung nach § 203 StGB.
B. Physische Sicherheit / Umgebung
Betrieb in zertifizierten EU/EWR-Cloud-Regionen; Zutrittskontrollen der Rechenzentren;
redundante Strom- und Netzanbindung; Klimaüberwachung.
C. Zugriffsschutz
Mehrfaktor-Authentifizierung für Admin- und Supportzugänge;
Rollen- und Berechtigungskonzept (Least Privilege, Need-to-know), regelmäßige Re-Zertifizierung;
Passwort- und Schlüsselmanagement inkl. Rotation und Secret Management;
Netzwerksegmentierung, Firewalling, Security Groups.
D. Verschlüsselung
In Transit: TLS 1.2+ für alle Kommunikationskanäle;
At Rest: AES-256 für produktive Datenbestände;
KMS/HSM-gestützte Schlüsselverwaltung; mandantengetrennte Schlüssel, soweit technisch vorgesehen.
E. Mandantentrennung & Datenminimierung
logische Mandantentrennung je Kanzlei; Minimaldatensätze;
Pseudonymisierung oder Maskierung in Test- und Supportumgebungen.
F. Protokollierung & Monitoring
Protokollierung administrativer Zugriffe, sicherheitsrelevanter Ereignisse und Datenexporte;
manipulationssichere Log-Ablage; Aufbewahrung: 180 Tage;
zentrales Monitoring, Alerting, Reaktions-Playbooks.
G. Backup & Notfallmanagement
regelmäßige, verschlüsselte Backups; Wiederherstellungstests;
Business Continuity und Disaster Recovery: RPO ≤ 24 h, RTO ≤ 24 h.
H. Software-Sicherheit
Secure SDLC (Code Reviews, Dependency-Scanning, SAST/DAST);
Schwachstellenmanagement mit SLAs (kritisch ≤ 72 h);
Patch- und Change-Management inkl. Freigabe- und Rollback-Verfahren.
I. Auftragsverarbeiter-Management
sorgfältige Auswahl und Überwachung; vertragliche Verpflichtung nach DSGVO und § 203 StGB.
J. Privacy by Design / by Default (Art. 25 DSGVO)
Standard-Löschfristen und restriktive Voreinstellungen;
rollenbasierte Sichtbarkeit und granulare Berechtigungen.
K. Lösch- und Aufbewahrungskonzepte
Prozesse für fristgerechte Löschung/Anonymisierung gemäß Anlage 4 und Weisungen;
Sperrkonzepte bei gesetzlichen Aufbewahrungsfristen.
L. Verantwortliche Kontakte
Datenschutz: Malte Werner, E-Mail: hallo@steuerclara.de;
Meldung von Sicherheitsvorfällen an: hallo@steuerclara.de.
Anlage 2: Genehmigte Unterauftragsverarbeiter
Die jeweils aktuelle Liste wird dem Auftraggeber auf Anfrage bereitgestellt und fortlaufend aktualisiert. Sie umfasst je Unterauftragsverarbeiter mindestens Name, Anschrift, Leistungsgegenstand und Verarbeitungsort (EU/EWR).
[Bitte vor dem Livegang mit den echten Dienstleistern füllen, z. B.: Klardaten GmbH (DATEV-Schnittstelle) • Cloud-/Hosting-Anbieter (EU/EWR-Region) • Sprach-/KI-Verarbeitungsdienstleister (EU/EWR) • E-Mail-/Kommunikationsdienst]
Anlage 3: Dokumentierte Weisungen des Auftraggebers
Primärzwecke: Telefonannahme, Qualifizierung, Terminierung, Informationsweitergabe;
Kommunikationskanäle und Zeiten gemäß Weisung des Auftraggebers;
Protokollierung: Umfang und Aufbewahrungsdauer gemäß Weisung (Mindeststandard siehe Anlage 1);
Zugriffsberechtigungen: Rollen und Freigabeprozesse gemäß Weisung;
Umgang mit sensiblen Inhalten: keine IBAN oder Steuer-ID im Freitext;
Eskalationswege und Kontakte gemäß Weisung des Auftraggebers.
Anlage 4: Lösch- und Aufbewahrungsfristen (verbindlich)
Gesprächsnotizen und Tickets: Löschung 90 Tage nach Erledigung;
Termin- und Rückrufdaten: Löschung 180 Tage nach Erledigung;
Protokolle und Logs (Sicherheit/Administration): Löschung 180 Tage nach Erstellung;
Backups: verschlüsselte Rotation; maximale Vorhaltezeit 90 Tage;
Export nach Vertragsende: Bereitstellung binnen 30 Tagen; Löschung binnen weiterer 30 Tage (sofern keine gesetzlichen Pflichten entgegenstehen);
Abweichungen nur auf dokumentierte Weisung oder bei gesetzlichen Pflichten; Sperrung bis zur Löschung.
SteuerClara GmbH · Donaustraße 44 · 12043 Berlin · hallo@steuerclara.de
Stand: Juli 2026 · Version 1.0