Stand: März 2026 (zuletzt aktualisiert am 15.03.2026)
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen:
Auftraggeber: Der registrierte Nutzer der Plattform „Zack“ (nachfolgend „Verantwortlicher“)
Auftragnehmer:
Mark Sitko
Heeresstraße 47
56218 Mülheim-Kärlich
E-Mail: hey@zack-rechnung.de
(nachfolgend „Auftragsverarbeiter“)
Dieser AVV wird mit der Registrierung bei Zack Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) und ergänzt diese um die datenschutzrechtlichen Pflichten gemäß Art. 28 DSGVO.
Begriffe, die in diesem AVV nicht gesondert definiert sind, haben die ihnen in der DSGVO oder den AGB zugewiesene Bedeutung.
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der E-Rechnungsplattform Zack.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrages gemäß § 5 der AGB. Der AVV endet automatisch mit Beendigung des Nutzungsvertrages.
Die Verarbeitung umfasst folgende Tätigkeiten im Auftrag des Verantwortlichen:
Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:
Eine detaillierte Aufstellung der erhobenen Daten findet sich in Abschnitt 4 der Datenschutzerklärung.
Von der Verarbeitung betroffen sind:
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 DSGVO verantwortlich. Er stellt sicher, dass die Übermittlung der personenbezogenen Daten an den Auftragsverarbeiter und die Verarbeitung im Auftrag auf einer gültigen Rechtsgrundlage beruhen.
(2) Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen in Bezug auf die Verarbeitung der Daten. Die AGB und dieser AVV bilden die Basisweisungen.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland — sofern er nicht durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO).
(2) Die AGB und dieser AVV bilden die Basisweisungen. Darüber hinausgehende Weisungen bedürfen der Textform.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
(1) Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(2) Der Zugang zu personenbezogenen Daten wird auf das für die Leistungserbringung erforderliche Personal beschränkt.
(1) Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuell umgesetzten Maßnahmen sind in Abschnitt 10 der Datenschutzerklärung beschrieben und umfassen insbesondere:
(2) Der Auftragsverarbeiter darf die technischen und organisatorischen Maßnahmen während der Vertragslaufzeit anpassen, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) gemäß Art. 28 Abs. 2 DSGVO hinzuzuziehen.
(2) Zum Zeitpunkt des Vertragsschlusses setzt der Auftragsverarbeiter folgende Unterauftragsverarbeiter ein:
| Anbieter | Sitz | Standort Daten | Zweck | Absicherung |
|---|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Deutschland | Hosting Anwendungsserver | AVV |
| Cloudflare, Inc. | USA | EU-Rechenzentrum | Archiv-Speicher | SCCs + DPF + AVV |
| Laravel LLC (Nightwatch) | USA | EU-Rechenzentrum | Application Monitoring | DPF + AVV |
| webgo GmbH | Deutschland | Deutschland | SMTP E-Mail-Versand | AVV |
(3) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail.
(4) Der Verantwortliche kann der Änderung innerhalb von 30 Tagen nach Benachrichtigung widersprechen. Bei berechtigtem Widerspruch steht dem Verantwortlichen ein Sonderkündigungsrecht zum Zeitpunkt der beabsichtigten Änderung zu.
(5) Der Auftragsverarbeiter stellt sicher, dass den Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, die in diesem AVV festgelegt sind.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(2) Der Verantwortliche kann die im Auftrag verarbeiteten Kundenstammdaten jederzeit eigenständig über die Plattform bearbeiten, exportieren und löschen.
(3) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
Soweit erforderlich, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie bei der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO), sofern die Verarbeitung im Rahmen dieses AVV betroffen ist.
(1) Nach Beendigung des Nutzungsvertrages hat der Verantwortliche 30 Tage Zeit, seine Daten über die im Dienst bereitgestellte Exportfunktion zu exportieren (gemäß § 5 Abs. 6 der AGB).
(2) Nach Ablauf der Exportfrist löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten unwiderruflich, einschließlich aller archivierten Rechnungsdokumente und Kundenstammdaten.
(3) Eine Aufbewahrung über das Vertragsende hinaus findet nicht statt, sofern nicht eine gesetzliche Verpflichtung des Auftragsverarbeiters zur Speicherung besteht.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
(2) Anfragen auf Nachweise oder Informationen sind in Textform an den Auftragsverarbeiter zu richten.
(3) Der Auftragsverarbeiter ermöglicht Überprüfungen — einschließlich Inspektionen — die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden. Vor-Ort-Audits sind mit angemessener Vorankündigung und unter Berücksichtigung der betrieblichen Abläufe des Auftragsverarbeiters durchzuführen.
(4) Die Kosten einer Überprüfung trägt der Verantwortliche, sofern die Überprüfung keine Verstöße des Auftragsverarbeiters gegen diesen AVV ergibt.
(1) Bei Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen haben die Regelungen dieses AVV in Bezug auf den Schutz personenbezogener Daten Vorrang.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB).
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Die salvatorische Klausel gemäß § 15 der AGB gilt entsprechend.
Stand: März 2026 (zuletzt aktualisiert am 15.03.2026)