Version vom 10. April 2026
Dieser Auftragsverarbeitungsvertrag („AVV“, engl. Data Processing Agreement, „DPA“) wird Bestandteil des Hauptvertrags zwischen dem Kunden („Verantwortlicher“) und Moritz Nonnemann – Software & Game Development („Auftragsverarbeiter“), sobald der Kunde personenbezogene Daten Dritter (z. B. seiner eigenen Kunden, Mitarbeitenden oder Lieferanten) über Kontara verarbeitet. Er konkretisiert die Anforderungen nach Art. 28 DSGVO.
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten, die der Verantwortliche im Rahmen der Nutzung von Kontara in den Dienst einstellt oder über Integrationen zugänglich macht. Der AVV gilt für die Laufzeit des Hauptvertrags und endet mit dessen Beendigung.
Die Verarbeitung dient der Bereitstellung der vereinbarten SaaS-Leistungen (Rechnungserstellung, Belegverwaltung, Bankabgleich, Cashflow-Analyse, Benachrichtigungen). Verarbeitet werden insbesondere Kontaktdaten der Kunden und Lieferanten des Verantwortlichen, Rechnungs- und Zahlungsdaten sowie – bei Nutzung der Lohn-Vorbereitung – Beschäftigtendaten.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich nach dokumentierter Weisung des Verantwortlichen, die regelmässig durch die produktbezogene Konfiguration und Nutzung erfolgt. Der Auftragsverarbeiter verpflichtet die zur Verarbeitung eingesetzten Personen auf Vertraulichkeit, implementiert angemessene technische und organisatorische Massnahmen (Art. 32 DSGVO) und unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten sowie bei Sicherheitsvorfällen. Bei einem Datenschutzvorfall, der voraussichtlich meldepflichtig im Sinne von Art. 33 DSGVO ist, wird der Verantwortliche unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme, informiert.
Der Verantwortliche genehmigt die im Trust Center und in der Datenschutzerklärung aufgelisteten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert über geplante Änderungen mit einer Vorankündigungsfrist von mindestens 30 Tagen. Der Verantwortliche kann aus wichtigem Grund innerhalb dieser Frist widersprechen; bei Nicht-Einigung steht beiden Parteien ein ausserordentliches Kündigungsrecht zu.
Übermittlungen personenbezogener Daten in Drittländer (insbesondere USA) finden ausschliesslich statt, soweit dies für die vom Verantwortlichen aktivierten Integrationen technisch erforderlich ist. Solche Übermittlungen werden durch Standardvertragsklauseln nach Art. 46 DSGVO bzw. – sofern einschlägig – den EU-US Data Privacy Framework abgesichert.
Der Auftragsverarbeiter unterstützt den Verantwortlichen durch technisch-organisatorische Massnahmen bei der Erfüllung von Auskunfts-, Berichtigungs-, Lösch- und Einschränkungsansprüchen. Self-Service-Werkzeuge für Datenexport, Kontoschliessung und Audit-Einsicht sind im Produkt unter /account/export, /account/close sowie im Konto-Bereich verfügbar.
Nach Ende des Hauptvertrags werden personenbezogene Daten – vorbehaltlich gesetzlicher Aufbewahrungspflichten und aktiver Legal Holds – gelöscht oder anonymisiert. Ein Datenexport bleibt dem Verantwortlichen bis zur Kontoschliessung zugänglich.
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zur Verifikation der vereinbarten Massnahmen erforderlichen Informationen zur Verfügung, insbesondere in Form aktueller Trust-Center-Nachweise und – sofern vorhanden – einschlägiger Prüfberichte. Darüber hinausgehende Vor-Ort-Audits sind nach vorheriger Abstimmung und zu üblichen Geschäftszeiten möglich.
Mit der Bestätigung der Nutzungsbedingungen und dem fortgesetzten Betrieb des Accounts gilt dieser AVV als geschlossen. Ein unterzeichnetes Gegenexemplar stellen wir auf Anfrage unter [email protected] bereit.