Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen dem Kunden der SaaS-Plattform "PDF UA Kit" (nachfolgend "Verantwortlicher")

und

Manuel Christlieb, Einzelunternehmer Beim Schnarrbrunnen 4, 86150 Augsburg E-Mail: [email protected] (nachfolgend "Auftragsverarbeiter")

Stand: Februar 2026

§ 1 Präambel und Definitionen

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Auftragsverarbeitung gemäß Art. 28 DSGVO, die sich aus der Nutzung der SaaS-Plattform "PDF UA Kit" (nachfolgend "Plattform") ergeben.

(2) Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters, abrufbar unter https://pdfuakit.com/de/terms, und wird mit Abschluss des Nutzungsvertrags wirksam.

(3) Im Sinne dieses AVV gelten folgende Definitionen:

a) Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO); b) Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO); c) Verantwortlicher: der Kunde, der über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; d) Auftragsverarbeiter: Manuel Christlieb / PDF UA Kit, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

§ 2 Gegenstand, Dauer, Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Plattform. Gegenstand der Verarbeitung ist die Erbringung folgender Leistungen:

a) Erstellung von PDF-Dokumenten (PDF/UA, PDF/A) auf Basis der vom Verantwortlichen eingegebenen Daten; b) Erstellung elektronischer Rechnungen (ZUGFeRD, XRechnung) mit den vom Verantwortlichen bereitgestellten Rechnungsdaten; c) Validierung hochgeladener PDF-Dokumente auf Barrierefreiheitskonformität; d) Speicherung und Bereitstellung erstellter Dokumente und Vorlagen im Kundenkonto.

(2) Die Verarbeitung erfolgt ausschließlich zum Zweck der vertragsgemäßen Leistungserbringung gemäß den AGB und den Weisungen des Verantwortlichen.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Nach Vertragsende richtet sich die Löschung nach § 11 dieses AVV.

(4) Die Art der Verarbeitung umfasst das Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten im Rahmen der automatisierten Datenverarbeitung.

§ 3 Art der personenbezogenen Daten

Die Verarbeitung betrifft folgende Arten personenbezogener Daten, die der Verantwortliche über die Plattform eingibt oder hochlädt:

a) Kontakt- und Adressdaten (Name, Anschrift, E-Mail-Adresse, Telefonnummer) von Rechnungsempfängern, Kunden oder Geschäftspartnern des Verantwortlichen; b) Unternehmensdaten (Firmenname, Umsatzsteuer-ID, Handelsregisternummer); c) Rechnungs- und Zahlungsdaten (Rechnungspositionen, Beträge, Bankverbindungen, Zahlungsbedingungen); d) Dokumenteninhalte, die personenbezogene Daten enthalten können (Texte, Tabellen, Formulardaten in hochgeladenen oder erstellten PDF-Dokumenten); e) sonstige personenbezogene Daten, die der Verantwortliche im Rahmen der Plattformnutzung eingibt.

§ 4 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

a) Kunden und Geschäftspartner des Verantwortlichen; b) Rechnungsempfänger und Lieferanten des Verantwortlichen; c) Mitarbeiter und Ansprechpartner des Verantwortlichen und seiner Geschäftspartner; d) sonstige Personen, deren personenbezogene Daten der Verantwortliche über die Plattform verarbeitet.

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(3) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die konkreten Maßnahmen sind in Anlage A zu diesem AVV beschrieben.

(4) Der Auftragsverarbeiter beachtet die in § 7 dieses AVV festgelegten Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern (Art. 28 Abs. 3 lit. d DSGVO).

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte gemäß Kapitel III DSGVO (Art. 28 Abs. 3 lit. e DSGVO).

(6) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Art. 28 Abs. 3 lit. f DSGVO), insbesondere bei:

a) der Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen (Art. 32 DSGVO); b) der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO); c) der Benachrichtigung der betroffenen Person bei Verletzungen des Schutzes personenbezogener Daten (Art. 34 DSGVO); d) der Datenschutz-Folgenabschätzung (Art. 35 DSGVO); e) der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

(7) Der Auftragsverarbeiter löscht oder gibt nach Wahl des Verantwortlichen nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO). Näheres regelt § 11 dieses AVV.

(8) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen, einschließlich Inspektionen, bei, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO). Näheres regelt § 9 dieses AVV.

(9) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt.

§ 6 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß der DSGVO und den einschlägigen nationalen Datenschutzvorschriften verantwortlich.

(2) Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen hinsichtlich der Verarbeitung personenbezogener Daten. Die zum Zeitpunkt des Vertragsschlusses erteilten Weisungen sind in Anlage C dokumentiert. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Änderungsantrag behandelt.

(3) Der Verantwortliche hat den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Verarbeitungsergebnisse feststellt.

(4) Der Verantwortliche benennt auf Anfrage eine Kontaktperson für im Rahmen dieses AVV auftretende datenschutzrechtliche Fragestellungen.

(5) Der Verantwortliche stellt sicher, dass er zur Eingabe personenbezogener Daten Dritter in die Plattform berechtigt ist und die betroffenen Personen gemäß Art. 13 und 14 DSGVO informiert hat.

§ 7 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) im Sinne des Art. 28 Abs. 2 DSGVO hinzuzuziehen.

(2) Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage B zu diesem AVV aufgeführt.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann gegen derartige Änderungen innerhalb von vierzehn (14) Tagen nach Zugang der Mitteilung Einspruch erheben. Der Einspruch muss sachlich begründet sein. Erhebt der Verantwortliche keinen fristgerechten Einspruch, gilt die Genehmigung als erteilt.

(4) Erhebt der Verantwortliche einen berechtigten Einspruch, bemühen sich die Parteien um eine einvernehmliche Lösung. Ist eine solche nicht möglich, steht beiden Parteien ein Sonderkündigungsrecht zum geplanten Zeitpunkt der Änderung zu.

(5) Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt bekommen, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Insbesondere muss der Unterauftragsverarbeiter hinreichende Garantien bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

§ 8 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung erfolgt an die vom Verantwortlichen benannte Kontaktstelle, hilfsweise per E-Mail an die im Kundenkonto hinterlegte E-Mail-Adresse.

(2) Die Meldung enthält mindestens folgende Informationen, soweit diese zum Zeitpunkt der Meldung vorliegen:

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datensätze; b) den Namen und die Kontaktdaten der Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung; d) eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(3) Soweit die Informationen nicht gleichzeitig zur Verfügung gestellt werden können, werden sie ohne unangemessene Verzögerung schrittweise mitgeteilt.

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und der betroffenen Person (Art. 34 DSGVO).

§ 9 Weisungs- und Kontrollrechte

(1) Der Verantwortliche hat das Recht, vor Beginn und während der Verarbeitung Überprüfungen beim Auftragsverarbeiter durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragsverarbeiter stellt sicher, dass der Verantwortliche sich von der Einhaltung der Pflichten dieses AVV überzeugen kann.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV und in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(3) Inspektionen vor Ort sind nach vorheriger Anmeldung mit einer Frist von vierzehn (14) Tagen und während der üblichen Geschäftszeiten zulässig. Der Auftragsverarbeiter kann verlangen, dass ein angemessenes Geheimhaltungsabkommen unterzeichnet wird, sofern Betriebs- oder Geschäftsgeheimnisse betroffen sein könnten.

(4) Der Auftragsverarbeiter kann den Nachweis der Einhaltung der Pflichten aus diesem AVV auch durch Vorlage eines aktuellen Testats, Berichts oder Berichtsauszugs einer unabhängigen Stelle (z. B. Wirtschaftsprüfer, Datenschutzauditor, Zertifizierung nach Art. 42 DSGVO) erbringen.

(5) Weisungen des Verantwortlichen sind grundsätzlich in Textform (E-Mail) zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

§ 10 Drittlandtransfers

(1) Eine Verarbeitung personenbezogener Daten in einem Drittland (ausserhalb des Europaeischen Wirtschaftsraums) findet ausschliesslich im Rahmen der in Anlage B genannten Unterauftragsverarbeiter statt. Soweit ein Unterauftragsverarbeiter Daten in einem Drittland verarbeitet (derzeit: Resend, Inc., USA fuer den Versand transaktionaler E-Mails), ist ein angemessenes Datenschutzniveau durch die Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europaeischen Kommission gemaess Art. 45 DSGVO) gewaehrleistet.

(2) Sämtliche Server und Infrastrukturkomponenten, auf denen personenbezogene Daten des Verantwortlichen verarbeitet oder gespeichert werden, befinden sich in der Bundesrepublik Deutschland bzw. der Europäischen Union.

(3) Soweit ein Unterauftragsverarbeiter gemäß § 7 Daten in einem Drittland verarbeitet, stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, insbesondere durch:

a) einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO; b) geeignete Garantien gemäß Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln; oder c) verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) gemäß Art. 47 DSGVO.

§ 11 Datenrückgabe und Löschung

(1) Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Verantwortlichen seine gespeicherten Daten für einen Zeitraum von dreißig (30) Tagen zum Download im Kundenkonto bereit. Der Verantwortliche ist für die rechtzeitige Sicherung seiner Daten selbst verantwortlich.

(2) Nach Ablauf der in Absatz 1 genannten Frist löscht der Auftragsverarbeiter sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten unwiderruflich, einschließlich aller vorhandenen Kopien, soweit nicht eine gesetzliche Aufbewahrungspflicht nach Unionsrecht oder dem Recht der Mitgliedstaaten entgegensteht.

(3) Hochgeladene PDF-Dokumente, die ausschließlich zum Zweck der Validierung übermittelt werden, werden unmittelbar nach Abschluss der Verarbeitung automatisch gelöscht.

(4) Der Auftragsverarbeiter bestätigt dem Verantwortlichen die vollständige Löschung auf Anfrage in Textform.

§ 12 Haftung

(1) Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie den anwendbaren nationalen Haftungsvorschriften.

(2) Im Innenverhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter haftet der Auftragsverarbeiter für Schäden, die durch eine nicht den Bestimmungen der DSGVO entsprechende Verarbeitung oder durch eine Verarbeitung unter Verstoß gegen die Weisungen des Verantwortlichen verursacht wurden.

(3) Die Haftungsbegrenzungen der AGB (§ 9 der AGB) gelten ergänzend, soweit sie nicht im Widerspruch zu den zwingenden Bestimmungen der DSGVO stehen.

§ 13 Laufzeit und Kündigung

(1) Dieser AVV wird mit Abschluss des Nutzungsvertrags wirksam und endet automatisch mit Beendigung des Nutzungsvertrags, unbeschadet der Pflichten zur Datenrückgabe und Löschung gemäß § 11.

(2) Der Verantwortliche kann diesen AVV jederzeit außerordentlich kündigen, wenn der Auftragsverarbeiter seinen Pflichten aus diesem AVV oder den Anforderungen der DSGVO schwerwiegend oder wiederholt nicht nachkommt und den Verstoß trotz Abmahnung nicht innerhalb einer angemessenen Frist abstellt. Die Kündigung des AVV berechtigt zugleich zur außerordentlichen Kündigung des Nutzungsvertrags.

(3) Die Pflichten aus diesem AVV, die ihrer Natur nach über das Vertragsende hinaus fortgelten, bleiben von der Beendigung unberührt, insbesondere die Pflichten zur Vertraulichkeit, Löschung und Haftung.

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel selbst.

(2) Sollte eine Bestimmung dieses AVV unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Bei Widersprüchen zwischen diesem AVV und den AGB gehen die Bestimmungen dieses AVV in datenschutzrechtlichen Belangen vor.

(4) Für diesen AVV gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand richtet sich nach den Bestimmungen der AGB.

Anlage A: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

  • Die Infrastruktur wird bei professionellen Hosting-Anbietern innerhalb der EU betrieben, die über zertifizierte Rechenzentren (ISO 27001) verfügen.
  • Der physische Zugang zu den Serverräumen wird durch den Hosting-Anbieter mittels Zutrittskontrollsystemen, Videoüberwachung und Sicherheitspersonal beschränkt.

Zugangskontrolle:

  • Zugang zu Produktionssystemen erfolgt ausschließlich über verschlüsselte Verbindungen (SSH mit Schlüsselauthentifizierung).
  • Passwörter werden ausschließlich als gesalzene Hashes (bcrypt) gespeichert.
  • Zwei-Faktor-Authentifizierung (2FA) für administrative Zugänge.

Zugriffskontrolle:

  • Rollenbasiertes Berechtigungskonzept innerhalb der Plattform.
  • Mandantentrennung: Kundendaten sind strikt voneinander getrennt; ein teambasiertes Berechtigungsmodell verhindert unbefugten Zugriff.
  • Protokollierung administrativer Zugriffe auf personenbezogene Daten.

Trennungskontrolle:

  • Logische Trennung der Kundendaten durch mandantenspezifische Datenbankzuordnungen.
  • Trennung von Entwicklungs-, Test- und Produktionsumgebungen.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

  • Transportverschlüsselung mittels TLS 1.2 oder höher für sämtliche Datenübertragungen.
  • HTTPS-Erzwingung für die gesamte Plattform.
  • Verschlüsselte Datenbankverbindungen.

Eingabekontrolle:

  • Protokollierung von Änderungen an wesentlichen Datensätzen.
  • Nachvollziehbarkeit der Dateneingabe über Kundenkonto-Zuordnungen.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Verfügbarkeitskontrolle:

  • Regelmäßige, automatisierte Datensicherungen (Backups).
  • Georedundante Datenhaltung innerhalb der EU.
  • Monitoring der Systemverfügbarkeit und automatische Benachrichtigung bei Störungen.
  • Getestete Wiederherstellungsverfahren für den Katastrophenfall.

Belastbarkeit:

  • Skalierbare Infrastruktur zur Bewältigung von Lastspitzen.
  • DDoS-Schutzmaßnahmen durch den Infrastrukturanbieter.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen.
  • Regelmäßige Sicherheitsupdates und Patch-Management.
  • Sensibilisierung und Schulung der Mitarbeiter im Bereich Datenschutz und Informationssicherheit.

Anlage B: Unterauftragsverarbeiter

Unterauftragsverarbeiter Sitz Verarbeitungszweck Verarbeitungsort Schutzmechanismus
Hetzner Online GmbH Gunzenhausen, Deutschland Server-Hosting und Infrastruktur Deutschland / EU Verarbeitung innerhalb der EU — kein Drittlandtransfer
Paddle.com Market Limited London, Vereinigtes Koenigreich Zahlungsabwicklung (Merchant of Record) EU / UK UK-Angemessenheitsbeschluss der EU-Kommission
Resend, Inc. San Francisco, USA Versand transaktionaler E-Mails USA / EU EU-US Data Privacy Framework (DPF)

Der Auftragsverarbeiter informiert den Verantwortlichen gemäß § 7 Abs. 3 dieses AVV vorab über Änderungen an dieser Liste.

Anlage C: Genehmigte Weisungen

Der Verantwortliche erteilt dem Auftragsverarbeiter folgende allgemeine Weisungen für die Verarbeitung personenbezogener Daten:

  1. Verarbeitungszweck: Personenbezogene Daten dürfen ausschließlich zum Zweck der vertragsgemäßen Erbringung der Plattformleistungen verarbeitet werden, insbesondere zur Erstellung, Validierung und Speicherung von PDF-Dokumenten und elektronischen Rechnungen.

  2. Datenspeicherung: Personenbezogene Daten sind ausschließlich auf Servern innerhalb der Bundesrepublik Deutschland bzw. der Europäischen Union zu speichern.

  3. Löschung: Hochgeladene PDF-Dokumente, die ausschließlich zur Validierung übermittelt werden, sind unmittelbar nach Abschluss der Verarbeitung zu löschen. Alle übrigen Daten sind gemäß § 11 des AVV nach Vertragsende zu löschen.

  4. Zugangsberechtigungen: Der Zugang zu personenbezogenen Daten des Verantwortlichen ist auf das für die Leistungserbringung erforderliche Minimum zu beschränken.

  5. Unterauftragsverarbeiter: Die Beauftragung von Unterauftragsverarbeitern richtet sich nach § 7 dieses AVV und der in Anlage B geführten Liste.

Weitere oder abweichende Weisungen bedürfen der Textform und werden als Ergänzung zu dieser Anlage dokumentiert.

Bleiben Sie informiert

Abonnieren Sie unseren Newsletter für die neuesten Updates zur PDF-Barrierefreiheit.