banf24Zur Startseite

Auftragsverarbeitungsvertrag

Stand: 12. Mai 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird geschlossen zwischen

StartklarWeb
Inhaber: Hasan Mohsen
Brucknerstraße 12
46325 Borken
Deutschland
Telefon: +49 1514 4908231
E-Mail: dsgvo@banf24.de
(nachfolgend "Anbieter" oder "Auftragsverarbeiter")

und der jeweiligen Organisation, die Banf24 als Software-as-a-Service nutzt (nachfolgend "Mandant" oder "Verantwortlicher").

Der Verantwortliche nutzt die vom Anbieter betriebene SaaS-Plattform Banf24 zur Digitalisierung von Bedarfsanforderungen, Genehmigungs-Workflows, Bestellverwaltung, Rechnungsprüfung und Reporting im Beschaffungsprozess. Im Rahmen der Erbringung dieser Leistungen verarbeitet der Anbieter personenbezogene Daten im Auftrag des Verantwortlichen. Dieser AVV ergänzt den zwischen den Parteien bestehenden Hauptvertrag (Allgemeine Geschäftsbedingungen, abrufbar unter banf24.de/rechtliches/agb) und regelt die Einzelheiten der Verarbeitung personenbezogener Daten nach Art. 28 DSGVO.

Mit Annahme der AGB im Rahmen der Registrierung gilt dieser AVV zwischen den Parteien als wirksam abgeschlossen. Auf Anfrage des Verantwortlichen wird er zusätzlich separat in Textform oder Schriftform geschlossen. Anfragen sind zu richten an dsgvo@banf24.de.

§ 1 Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Verantwortlichen, soweit diese Verarbeitung zur Bereitstellung der Banf24-Leistungen gemäß Hauptvertrag erforderlich ist.

Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags. Der AVV endet automatisch mit Beendigung des Hauptvertrags. Pflichten, die ihrer Natur nach über das Vertragsende hinauswirken, insbesondere die Pflichten zur Löschung, Rückgabe und Verschwiegenheit, bleiben über das Ende des AVV hinaus bestehen.

§ 2 Art, Zweck und Umfang der Verarbeitung

Der Anbieter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der vertraglich geschuldeten Banf24-Leistungen. Dies umfasst insbesondere:

  • Bereitstellung und Betrieb der Webanwendung, einschließlich Anmeldung, Authentifizierung, Sitzungsverwaltung und Verwaltung der Organisation des Verantwortlichen.
  • Erfassung, Speicherung und Bearbeitung von Bedarfsanforderungen, Genehmigungs-Workflows, Bestellungen, Eingangsrechnungen, Lieferantenstammdaten, Katalogdaten, Kostenstellen und Maschinen-Stammdaten.
  • Versand von Transaktions-E-Mails (Genehmigungs-Anfragen, Bestell- Mails, Magic-Link-Nachrichten an externe Genehmiger).
  • Verarbeitung von durch den Verantwortlichen oder dessen Nutzer hochgeladenen Dateien (PDFs, Fotos) zum Zweck der Bedarfserkennung durch KI-Modelle.
  • Erstellung von Auswertungen, Reporting, Datenexporten und Archivierungs-Funktionen.
  • Gewährleistung von IT-Sicherheit, Fehleranalyse und Wartung des Service.

Art und Umfang der Verarbeitung sowie die Kategorien betroffener Personen und Datenkategorien ergeben sich aus Anlage 1.

§ 3 Kategorien betroffener Personen und Datenkategorien

Die Kategorien betroffener Personen und die Datenkategorien sind in Anlage 1 dieses AVV abschließend beschrieben.

§ 4 Pflichten des Anbieters

Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Als dokumentierte Weisung gelten neben den Regelungen dieses AVV insbesondere die Konfiguration des Service durch den Verantwortlichen, die Nutzungseinstellungen in der Anwendung sowie spätere Weisungen, die in Textform an dsgvo@banf24.de übermittelt werden. Hält der Anbieter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen unverzüglich mit.

Der Anbieter verpflichtet sich:

  • alle mit der Verarbeitung betrauten Personen schriftlich zur Vertraulichkeit zu verpflichten oder einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterstellen (Art. 28 Abs. 3 lit. b DSGVO);
  • geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen; Einzelheiten ergeben sich aus Anlage 2;
  • den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seinen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Betroffenenrechte nachzukommen (Art. 28 Abs. 3 lit. e DSGVO);
  • den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen, insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Datenschutz-Folgenabschätzung und der vorherigen Konsultation (Art. 28 Abs. 3 lit. f DSGVO);
  • dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme, gemäß § 8 mitzuteilen;
  • dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen.

§ 5 Pflichten des Verantwortlichen

Der Verantwortliche bleibt im Verhältnis zu den betroffenen Personen für die Rechtmäßigkeit der Erhebung und Verarbeitung der personenbezogenen Daten verantwortlich (Art. 24 DSGVO). Er gewährleistet insbesondere:

  • die Rechtmäßigkeit der Erhebung und Bereitstellung der Daten an den Anbieter, einschließlich einer etwaig erforderlichen Rechtsgrundlage oder Einwilligung;
  • die Wahrnehmung der Rechte der betroffenen Personen, insbesondere die Beantwortung von Auskunfts-, Berichtigungs- und Löschungs- Anfragen;
  • eine Pseudonymisierung der Daten, soweit technisch möglich und zumutbar;
  • die Information der betroffenen Personen über die Verarbeitung durch Banf24, soweit gesetzlich erforderlich (insbesondere Art. 13 und 14 DSGVO).

Der Verantwortliche benennt eine kontaktfähige Stelle, an die der Anbieter sich bei Fragen wenden kann. Sofern keine besondere Stelle benannt ist, gilt die im Mandantenkonto hinterlegte Administrator-Adresse als Kontakt.

§ 6 Sub-Auftragsverarbeiter

Der Verantwortliche erteilt dem Anbieter die allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Sub-Auftragsverarbeiter) im Sinne von Art. 28 Abs. 2 Satz 1 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 3 aufgeführt und werden hiermit ausdrücklich genehmigt.

Der Anbieter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Sub-Auftragsverarbeitern mindestens 14 Tage vor der Änderung per E-Mail an die im Mandantenkonto hinterlegte Administrator-Adresse. Der Verantwortliche hat das Recht, einer solchen Änderung innerhalb dieser Frist aus wichtigem Grund zu widersprechen.

Im Fall eines berechtigten Widerspruchs werden die Parteien gemeinsam eine einvernehmliche Lösung suchen. Lässt sich eine solche Lösung nicht erzielen, ist der Verantwortliche berechtigt, den Hauptvertrag außerordentlich zu kündigen.

Der Anbieter verpflichtet die Sub-Auftragsverarbeiter vertraglich auf Datenschutzpflichten, die den in diesem AVV vereinbarten Pflichten gleichwertig sind, insbesondere durch Abschluss eines AVV mit entsprechenden Garantien gemäß Art. 28 Abs. 4 DSGVO.

§ 7 Technische und organisatorische Maßnahmen

Der Anbieter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO. Die Maßnahmen werden vom Anbieter regelmäßig überprüft und an den Stand der Technik angepasst. Wesentliche Änderungen werden dokumentiert. Der Anbieter ist berechtigt, einzelne Maßnahmen anzupassen, solange das Schutzniveau insgesamt nicht unterschritten wird.

§ 8 Mitteilung von Verletzungen des Schutzes personenbezogener Daten

Der Anbieter teilt dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme, mit. Die Mitteilung erfolgt per E-Mail an die im Mandantenkonto hinterlegte Administrator-Adresse und enthält die Angaben gemäß Art. 33 Abs. 3 DSGVO, soweit sie dem Anbieter zum Zeitpunkt der Mitteilung vorliegen, insbesondere:

  • eine Beschreibung der Art der Verletzung, soweit möglich unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze;
  • den Namen und die Kontaktdaten der Anlaufstelle beim Anbieter;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
  • eine Beschreibung der vom Anbieter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und gegebenenfalls zur Abmilderung der Folgen.

Der Anbieter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Mitteilung an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO und gegebenenfalls zur Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO.

§ 9 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich vor Beginn der Verarbeitung sowie regelmäßig während der Vertragslaufzeit von der Einhaltung der in diesem AVV getroffenen Pflichten, insbesondere der technischen und organisatorischen Maßnahmen, zu überzeugen.

Audits sind dem Anbieter schriftlich mit einer Vorlaufzeit von mindestens 14 Kalendertagen anzukündigen. Der Verantwortliche kann einmal pro Kalenderjahr eine Überprüfung kostenfrei durchführen lassen. Für jede darüber hinausgehende Überprüfung ist der Anbieter berechtigt, einen angemessenen Aufwandsersatz zu verlangen. Die Kosten der eigentlichen Durchführung eines Audits, insbesondere Reise- und Personalkosten externer Prüfer, trägt der Verantwortliche.

Der Anbieter kann anstelle eines Vor-Ort-Audits geeignete Nachweise in Form von Zertifizierungen (zum Beispiel ISO 27001 oder SOC 2 der unter Anlage 3 genannten Sub-Auftragsverarbeiter), Selbstauskünften oder externen Prüfberichten beibringen, sofern diese geeignet sind, die Einhaltung der Pflichten aus diesem AVV nachzuweisen.

Der Verantwortliche stellt sicher, dass Audits den Geschäftsbetrieb des Anbieters nicht unangemessen beeinträchtigen und dass alle im Rahmen des Audits erlangten Informationen vertraulich behandelt werden.

§ 10 Drittlandsübermittlung

Einzelne in Anlage 3 aufgeführte Sub-Auftragsverarbeiter haben ihren Sitz in einem Drittland, insbesondere in den Vereinigten Staaten von Amerika. Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Soweit kein Angemessenheitsbeschluss gemäß Art. 45 DSGVO besteht, stützt der Anbieter Drittlandsübermittlungen auf Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Ist ein Anbieter unter dem EU-US Data Privacy Framework zertifiziert, gilt dieser Beschluss zusätzlich als geeignete Garantie nach Art. 45 DSGVO.

Ergänzend werden technische und organisatorische Schutzmaßnahmen getroffen, insbesondere Verschlüsselung der Daten während der Übertragung (TLS 1.3) sowie Verschlüsselung der Daten im Ruhezustand (AES-256). Für die KI-Verarbeitung gelten zusätzlich die Regelungen zum Verzicht auf Trainings- und Speichernutzung (Zero-Data-Retention) gemäß Anlage 3.

§ 11 Löschung und Rückgabe von Daten nach Vertragsende

Nach Beendigung des Hauptvertrags räumt der Anbieter dem Verantwortlichen eine Karenzzeit von 30 Tagen ein, in der die im Service gespeicherten Daten in gängigen Formaten (CSV, Excel) exportiert werden können. Während der Karenzzeit bleibt der Zugang zum Service in einem für den Export geeigneten Modus bestehen.

Nach Ablauf der Karenzzeit löscht der Anbieter die personenbezogenen Daten des Verantwortlichen aus seinen produktiven Systemen innerhalb weiterer 30 Tage vollständig (Hard-Delete). Backups und Snapshots werden im Rahmen der ohnehin vorgesehenen Rotation innerhalb von weiteren 90 Tagen überschrieben.

Von der Löschung ausgenommen sind Daten, die der Anbieter aufgrund gesetzlicher Aufbewahrungspflichten weiter aufbewahren muss, insbesondere Buchungs- und Geschäftsbelege nach § 257 HGB und § 147 AO (Aufbewahrungsfrist bis zu zehn Jahre). Diese Daten werden für weitere Verarbeitungen gesperrt und ausschließlich zum Zweck der Erfüllung der Aufbewahrungspflichten aufbewahrt. Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden auch diese Daten gelöscht.

Der Anbieter bestätigt dem Verantwortlichen auf Anfrage die Löschung in Textform.

§ 12 Haftung

Die Haftung der Parteien für Verstöße gegen datenschutzrechtliche Vorschriften richtet sich nach Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für die von ihr zu verantwortenden Verstöße.

Im Übrigen gelten die Haftungsregelungen aus § 10 der Allgemeinen Geschäftsbedingungen.

§ 13 Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

Bei Widersprüchen zwischen den Regelungen dieses AVV und Regelungen des Hauptvertrags oder anderer Vereinbarungen der Parteien gehen die Regelungen dieses AVV vor, soweit es um Fragen der Verarbeitung personenbezogener Daten geht.

Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Regelungslücke.

Auf diesen AVV findet ausschließlich das Recht der Bundesrepublik Deutschland Anwendung. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Münster, soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Anlage 1: Kategorien betroffener Personen und Datenkategorien

Kategorien betroffener Personen:

  • Mitarbeiterinnen und Mitarbeiter des Verantwortlichen in den Rollen Anforderer, Genehmiger, Einkäufer und Administrator.
  • Externe Ansprechpartner auf Lieferantenseite, soweit deren Kontaktdaten (Name, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer) im Rahmen von Bestell-Mails oder Lieferantenstammdaten verarbeitet werden.
  • Externe Genehmiger im Magic-Link-Verfahren (zum Beispiel delegierte Vorgesetzte), soweit der Verantwortliche externe Personen zur Genehmigung einzelner Vorgänge einbindet.

Datenkategorien:

  • Stammdaten: Name, geschäftliche E-Mail-Adresse, Rolle innerhalb der Organisation, Zuordnung zum Mandanten, gegebenenfalls Kostenstelle.
  • Aktionsdaten: angelegte Bedarfsanforderungen, Genehmigungs- Entscheidungen, Bestellungen, Kommentare, Statuswechsel, Audit-Log-Einträge mit Akteur und Zeitstempel.
  • Nutzungsdaten: Login-Zeiten, IP-Adresse, User-Agent, Session-Identifier, aufgerufene Ressourcen.
  • Inhaltsdaten: erfasste Bedarfstexte, hochgeladene Anhänge (PDFs, Fotos), Eingangsrechnungen einschließlich darin enthaltener personenbezogener Bezüge.
  • AI-Verarbeitung: zur Extraktion an Sub-Auftragsverarbeiter übermittelte Texte und Bilder. Es gelten die Bestimmungen zur Zero-Data-Retention gemäß Anlage 3.

Anlage 2: Technische und organisatorische Maßnahmen

Der Anbieter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit:

  • Zutrittskontrolle: Die produktiven Systeme werden in gehärteten Rechenzentren der Sub-Auftragsverarbeiter (insbesondere Vercel und Neon) betrieben, die nach internationalen Standards (zum Beispiel ISO 27001 und SOC 2) zertifiziert sind. Der Anbieter selbst betreibt keine eigenen Rechenzentren.
  • Zugangskontrolle: Authentifizierung über den Identitätsdienst Clerk mit Passwort-Policy, Schutz gegen Brute-Force-Angriffe und Empfehlung zur Aktivierung der Zwei-Faktor-Authentifizierung (MFA).
  • Zugriffskontrolle: rollenbasiertes Berechtigungsmodell (Anforderer, Genehmiger, Einkäufer, Administrator) sowie mandantenbezogene Trennung der Daten durch eine tenant_id und erzwungene Trennung auf Datenbankebene (Row-Level-Security in PostgreSQL).
  • Trennungskontrolle: jede Organisation arbeitet in einem logisch getrennten Mandantenraum; ein Zugriff auf Daten anderer Mandanten ist technisch ausgeschlossen.
  • Pseudonymisierung: Audit-Log-Einträge werden, soweit technisch möglich, pseudonymisiert geführt.

Integrität:

  • Eingabekontrolle: vollständiges Audit-Log mit Akteur, Zeitstempel und Art der Aktion für alle datenschutzrelevanten Verarbeitungsschritte.
  • Weitergabekontrolle: Verschlüsselung sämtlicher Datenübertragungen per TLS 1.3. Versand von Bestell- und Genehmigungs-Mails über authentifizierte SMTP-Verbindungen.

Verfügbarkeit und Belastbarkeit:

  • Verfügbarkeitskontrolle: tägliche automatische Backups der Datenbank sowie Point-in-Time-Recovery (PITR) über sieben Tage durch den Datenbank-Anbieter Neon.
  • Wiederherstellbarkeit: verschlüsselte Snapshots und regelmäßige Tests der Wiederherstellungs-Prozesse.
  • Verschlüsselung im Ruhezustand: AES-256 auf Ebene der Datenbank und des Datei-Storage (Vercel Blob).

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung:

  • Fehler-Telemetrie über Sentry (aktuell deaktiviert, kann bei Bedarf und mit gesonderter Bewertung aktiviert werden).
  • Durchführung einer Datenschutz-Folgenabschätzung bei wesentlichen Änderungen der Verarbeitung.
  • Jährliche Überprüfung der hier beschriebenen technischen und organisatorischen Maßnahmen.

Auftragskontrolle:

  • Weisungen des Verantwortlichen werden ausschließlich über die im Service vorgesehenen Konfigurations-Funktionen, über Support-Tickets oder über dsgvo@banf24.de entgegengenommen und dokumentiert.
  • Eingesetzte Sub-Auftragsverarbeiter werden in Anlage 3 dokumentiert und vertraglich auf die Einhaltung gleichwertiger Datenschutzpflichten verpflichtet.

Anlage 3: Sub-Auftragsverarbeiter

Zum Zeitpunkt des Vertragsschlusses werden folgende Sub-Auftragsverarbeiter eingesetzt:

  • Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Zweck: Hosting der Webanwendung sowie der Serverless- und Edge-Funktionen, Vercel AI Gateway (Vermittlung von KI-Anfragen), Vercel Analytics (optionale Reichweitenmessung) und Vercel Blob (Datei-Storage für Anhänge und PDFs). Serverstandort der Anwendung: Frankfurt am Main (Region fra1). Rechtsgrundlage für Drittlandsübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie Data Processing Addendum von Vercel.
  • Neon, Inc. (Neon Database), San Francisco, USA. Zweck: verwalteter PostgreSQL-Datenbankdienst für die Speicherung aller Mandanten- und Vorgangsdaten. Serverstandort: Frankfurt am Main. Rechtsgrundlage für Drittlandsübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Clerk, Inc., San Francisco, USA. Zweck: Authentifizierung, Sitzungsverwaltung, Multi-Tenant-Organisationen. Rechtsgrundlage für Drittlandsübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Resend (Resend, Inc. mit Sitz in den USA beziehungsweise Resend GmbH in der Europäischen Union). Zweck: Versand von Transaktions-E-Mails wie Genehmigungs-Anfragen, Bestell-Mails und Magic-Link-Nachrichten an externe Genehmiger. Rechtsgrundlage für Drittlandsübermittlung bei US-Bezug: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Anthropic PBC (vermittelt über Vercel AI Gateway), San Francisco, USA. Zweck: Bereitstellung von Claude-Modellen zur KI-gestützten Extraktion aus Texten, PDFs und Bildern. Vertraglich zugesichert ist Zero Data Retention für Banf24-Traffic; die übermittelten Inhalte werden nicht zu Trainingszwecken verwendet und nach Abschluss der jeweiligen Anfrage gelöscht beziehungsweise nur für einen kurzen Zeitraum zu Missbrauchs- und Sicherheitszwecken aufbewahrt. Rechtsgrundlage für Drittlandsübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • OpenAI OpCo, LLC (vermittelt über Vercel AI Gateway), San Francisco, USA. Zweck: Bereitstellung von GPT-Modellen zur KI-gestützten Extraktion, soweit der Anbieter diesen Modell-Anbieter einsetzt. Vertraglich zugesichert ist Zero Data Retention für Banf24-Traffic. Rechtsgrundlage für Drittlandsübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Functional Software, Inc. (Sentry), San Francisco, USA. Zweck: Fehler-Telemetrie und Stabilitäts-Monitoring. Aktuell deaktiviert; kann bei Bedarf nachträglich aktiviert werden. Rechtsgrundlage für Drittlandsübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Über Änderungen an dieser Liste informiert der Anbieter den Verantwortlichen gemäß § 6.

Stand: 12.05.2026

Impressum · Datenschutz · AGB