Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: 04. Mai 2026 · Version 1.0
Dieser Mustertext gilt als Standardanhang zu jedem Hauptvertrag des Dienstes „Lexoffice MCP" und wird mit Vertragsabschluss gemeinsam mit den AGB und der Datenschutzerklärung Bestandteil des Vertragsverhältnisses, soweit der Kunde personenbezogene Daten Dritter (insbesondere Mandanten- oder Geschäftspartner-Daten) über den Dienst verarbeitet. Auf Wunsch wird der Vertrag zusätzlich in Textform unterzeichnet zur Verfügung gestellt — Anfrage an info@365tec.de.
1. Vertragsparteien
Auftragsverarbeiter:
Daniel Ovadia, einzelkaufmännisch handelnd unter „365tec"
Eugen-Richter-Str. 159, 76187 Karlsruhe, Deutschland
E-Mail: info@365tec.de
USt-IdNr.: DE460012778
Verantwortlicher: der Kunde, der den Hauptvertrag (Nutzungsvertrag über den Dienst „lexmcp" / „Lexoffice MCP Server") mit dem Auftragsverarbeiter abgeschlossen hat und der bei Vertragsabschluss seine Stammdaten (insbesondere E-Mail-Adresse, ggf. Firmierung und Anschrift) hinterlegt hat.
1.2 Präambel
Der Auftragsverarbeiter betreibt den Dienst „lexmcp" — einen Model-Context-Protocol-Server (MCP-Server), der dem Verantwortlichen ermöglicht, KI-gestützte Assistenten (insbesondere Claude der Anthropic PBC) mit seinem Lexoffice-Konto zu verbinden, um buchhalterische Vorgänge automatisiert auszuführen. Im Rahmen der Erbringung dieser Dienstleistung verarbeitet der Auftragsverarbeiter personenbezogene Daten ausschließlich im Auftrag und nach den Weisungen des Verantwortlichen. Dieser AVV regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO. Der Hauptvertrag bleibt unberührt; im Falle von Widersprüchen zwischen Hauptvertrag und AVV gehen die Regelungen dieses AVV in Bezug auf die Verarbeitung personenbezogener Daten vor.
2. Gegenstand und Dauer der Verarbeitung
(1) Gegenstand: Bereitstellung und Betrieb des MCP-Servers „lexmcp", über den der Verantwortliche seine Lexoffice-Buchhaltungsdaten mittels eines KI-Assistenten verwalten kann. Der Auftragsverarbeiter fungiert dabei als technische Vermittlungsschicht (Proxy) zwischen dem KI-Assistenten des Verantwortlichen und der Lexoffice-API der Lexware Office GmbH.
(2) Dauer: Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages und endet automatisch mit dessen Beendigung. Eine separate Kündigung dieses AVV ist nicht erforderlich; jedoch endet dieser AVV nicht vor vollständiger Erfüllung der Rückgabe- bzw. Löschpflichten gemäß Ziffer 14.
3. Art und Zweck der Verarbeitung
(1) Die Verarbeitung umfasst insbesondere folgende Vorgänge:
- Speichern: dauerhafte Speicherung der Account-Daten des Verantwortlichen sowie des AES-256-GCM-verschlüsselten Lexoffice-API-Keys
- Übermitteln/Weiterleiten (Transit): Durchleitung von Anfragen und Antworten zwischen dem KI-Assistenten und der Lexoffice-API
- Auslesen, Abfragen, Verwendung: ausschließlich zur Authentifizierung, Vertragsabwicklung und technischen Bereitstellung des Dienstes
- Löschen: bei Vertragsbeendigung oder auf Weisung des Verantwortlichen
(2) Zweck: ausschließlich vertragsgemäße Erbringung der Dienstleistung „lexmcp" gemäß Hauptvertrag. Eine Verarbeitung der Daten zu anderen Zwecken — insbesondere zu eigenen Geschäftszwecken, zur Profilbildung, zum Training von KI-Modellen, zu Werbezwecken oder zum Verkauf an Dritte — ist ausgeschlossen.
(3) Ort der Verarbeitung: ausschließlich auf Servern in der Bundesrepublik Deutschland (Rechenzentrum IONOS SE). Eine Verarbeitung außerhalb der EU/des EWR durch den Auftragsverarbeiter findet nicht statt; zur Drittlandübermittlung siehe Ziffer 10.
4. Kategorien der personenbezogenen Daten
(1) Persistent gespeicherte Daten auf Servern des Auftragsverarbeiters:
| Kategorie | Inhalt | Speicherort |
|---|---|---|
| Account-Daten | E-Mail-Adresse, optional Display-Name | PostgreSQL |
| Authentifizierungsdaten | OAuth-Tokens, Session-Identifier (gehasht) | PostgreSQL / Redis |
| Lexoffice-API-Schlüssel | API-Key des Verantwortlichen, AES-256-GCM-verschlüsselt | PostgreSQL |
| Steuerliche Identifier (Unternehmer) | USt-IdNr. und/oder Steuernummer, jeweils verschlüsselt | PostgreSQL |
| Zahlungsidentifier | Mollie-Customer-ID, Mollie-Payment-ID | PostgreSQL |
| Vertrags- und Abrechnungsdaten | Tarif (Pro/Business/Kanzlei), Vertragsbeginn, Zahlungsstatus | PostgreSQL |
| Technische Logs | IP-Adresse, Zeitstempel, Request-Metadaten (PII-gemaskt; nach 7 Tagen anonymisiert) | Logfiles |
(2) Im Transit verarbeitete Daten (keine persistente Speicherung):
- Rechnungsdaten (Rechnungsnummern, Beträge, Positionen, Zahlungsstatus)
- Kontakt- und Mandantendaten des Verantwortlichen
- Belege und Belegmetadaten
- Buchungsvorgänge und Buchhaltungsdaten
- sonstige über die Lexoffice-API ausgetauschte Inhalte
Diese Inhalte werden ausschließlich für die Dauer der einzelnen API-Anfrage im Arbeitsspeicher gehalten und unmittelbar nach Beantwortung verworfen. Eine Speicherung in Datenbanken, Logfiles oder Backups findet nicht statt.
5. Kategorien der betroffenen Personen
- Der Verantwortliche selbst (sofern natürliche Person oder einzelvertretungsberechtigt)
- Mandanten und Kunden des Verantwortlichen (überwiegend B2B; bei Einzelunternehmern auch B2C)
- Lieferanten und Geschäftspartner des Verantwortlichen
- Mitarbeiter des Verantwortlichen, soweit diese in Belegen, Rechnungen oder Buchungen erscheinen
- Sonstige Dritte, deren Daten in über die API geleiteten Inhalten enthalten sind
6. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich, die Verarbeitung gemäß den Vorgaben des Art. 28 Abs. 3 DSGVO durchzuführen, insbesondere:
(1) Verarbeitung nach Weisung (Art. 28 Abs. 3 lit. a DSGVO): Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen. Hauptvertrag und dieser AVV gelten als initiale Weisung. Einzelweisungen können in Textform (E-Mail an info@365tec.de) erteilt werden.
(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO): Der Auftragsverarbeiter handelt als Einzelunternehmer ohne weitere Mitarbeiter; die Vertraulichkeitsverpflichtung gilt für die Person des Inhabers selbst sowie für etwaige extern beauftragte Dienstleister (siehe Ziffer 9).
(3) Sicherheit der Verarbeitung (Art. 28 Abs. 3 lit. c i.V.m. Art. 32 DSGVO): siehe Ziffer 8 sowie das separate TOM-Dokument unter lexmcp.365tec.de/toms.html.
(4) Subprozessoren (Art. 28 Abs. 3 lit. d DSGVO): nur unter den Bedingungen der Ziffer 9.
(5) Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO): siehe Ziffer 11.
(6) Unterstützung bei Pflichten nach Art. 32–36 DSGVO (Art. 28 Abs. 3 lit. f DSGVO): siehe Ziffer 12.
(7) Rückgabe oder Löschung (Art. 28 Abs. 3 lit. g DSGVO): nach Beendigung der Erbringung der Verarbeitungsleistungen werden alle personenbezogenen Daten gemäß Ziffer 14 gelöscht oder zurückgegeben.
(8) Nachweispflicht und Auditrechte (Art. 28 Abs. 3 lit. h DSGVO): Der Auftragsverarbeiter gewährt dem Verantwortlichen:
- Einsicht in das aktuelle TOM-Dokument (toms.html)
- auf schriftliche Anfrage in Textform: schriftliche Auskunft über Verarbeitungsvorgänge innerhalb von 30 Tagen
- auf begründete Anforderung: Möglichkeit zur Vor-Ort-Kontrolle nach mindestens 14-tägiger Vorankündigung, höchstens einmal pro Jahr, während üblicher Geschäftszeiten
- alternativ: Anerkennung von Zertifikaten oder Auditberichten anerkannter Prüfstellen
Die Kosten einer Vor-Ort-Kontrolle trägt grundsätzlich der Verantwortliche, es sei denn, die Kontrolle ergibt eine vom Auftragsverarbeiter zu vertretende Pflichtverletzung.
(9) Hinweispflicht bei rechtswidrigen Weisungen (Art. 28 Abs. 3 Satz 3 DSGVO): Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
(10) Kein Eigeninteresse: Verarbeitung ausschließlich im Auftrag und Interesse des Verantwortlichen. Kein Training von KI-Modellen, keine Profilbildung, keine Vermarktung.
7. Weisungsrechte des Verantwortlichen
(1) Der Verantwortliche ist allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung und die Wahrung der Rechte der betroffenen Personen. Er behält sich ein umfassendes Weisungsrecht vor, das er durch Einzelweisungen konkretisieren kann.
(2) Form: Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungen, die über die im Hauptvertrag und diesem AVV festgelegten Leistungen hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
(3) Adresse: info@365tec.de. Weisungsbefugt ist die im Account hinterlegte Kontaktperson bzw. die gesetzlichen Vertreter.
(4) Dokumentation: Weisungen und ihre Umsetzung werden vom Auftragsverarbeiter dokumentiert und für die Vertragsdauer sowie für drei Jahre nach Vertragsende aufbewahrt.
8. Technische und organisatorische Maßnahmen (TOM)
(1) Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Die jeweils aktuellen TOM sind unter lexmcp.365tec.de/toms.html abrufbar und Bestandteil dieses Vertrages. Der Verantwortliche kann jederzeit die zum Zeitpunkt des Vertragsschlusses geltende Fassung in Textform anfordern.
(2) Wesentliche Maßnahmen im Überblick:
- Verschlüsselung im Ruhezustand: Lexoffice-API-Keys und steuerliche Identifier mittels AES-256-GCM verschlüsselt; Master-Key außerhalb der Datenbank
- Verschlüsselung in der Übertragung: ausschließlich TLS 1.2/1.3, HSTS preload (2 Jahre)
- Zugangskontrolle: SSH-Key-Authentifizierung, kein Passwort-Login auf Server
- Zugriffskontrolle: rollenbasiert, Tenant-Isolation per AsyncLocalStorage
- Eingabekontrolle: Audit-Log für sicherheitsrelevante Vorgänge
- Trennungskontrolle: separate Mandanten-Tokens im Business-/Kanzlei-Tarif
- Backup: tägliche, AES-256-verschlüsselte Backups, Off-Site-Speicherung
- Verfügbarkeitskontrolle: nginx-Rate-Limiting, PM2-Auto-Restart, fail2ban
- Auftragskontrolle: AVV mit Subprozessoren
- Datenminimierung: API-Inhalte nur im Transit, keine Persistierung
- Sicherheits-Updates: Patch-Management, keine EOL-Komponenten
(3) Änderungen, die zu einer Absenkung des Sicherheitsniveaus führen, sind unzulässig und bedürfen einer schriftlichen Vereinbarung mit dem Verantwortlichen.
9. Unterauftragsverhältnisse (Subprozessoren)
(1) Der Verantwortliche genehmigt mit Abschluss dieses AVV die Einbindung folgender Subprozessoren:
| Subprozessor | Sitz | Zweck | Datenkategorien |
|---|---|---|---|
| IONOS SE | Elgendorfer Str. 57, 56410 Montabaur, Deutschland | Hosting, Rechenzentrum, E-Mail-Versand (smtp.ionos.de) | persistent gespeicherte Daten gemäß Ziffer 4.1, E-Mail-Inhalte transaktionaler Mails |
| Mollie B.V. | Keizersgracht 126, 1015 CW Amsterdam, Niederlande | Zahlungsabwicklung (SEPA, Kreditkarte, PayPal, Rechnung/Billie) | Account-E-Mail, Zahlungsbetrag, Zahlungsstatus, Mollie-IDs |
Mit allen vorgenannten Subprozessoren bestehen vertragliche Vereinbarungen, die den Anforderungen des Art. 28 Abs. 4 DSGVO genügen.
(2) Klarstellung Anthropic PBC (kein Subprozessor): Der Verantwortliche nutzt zur Verbindung mit dem Dienst „lexmcp" einen KI-Assistenten der Anthropic PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA). Die Vertragsbeziehung des Verantwortlichen mit Anthropic ist eine eigene, vom Auftragsverarbeiter unabhängige Rechtsbeziehung. Der Auftragsverarbeiter gibt keine Daten an Anthropic weiter und ist nicht verantwortlich für die Datenverarbeitung durch Anthropic. Anthropic ist daher kein Subprozessor im Sinne des Art. 28 DSGVO.
(3) Genehmigung künftiger Änderungen (Art. 28 Abs. 2 Satz 2 DSGVO): Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zur Einbindung weiterer oder zur Ablösung bestehender Subprozessoren, sofern:
- der Auftragsverarbeiter mindestens 30 Tage vor Beauftragung in Textform informiert (Name, Sitz, Verarbeitungszweck, Datenkategorien)
- der Verantwortliche innerhalb von 30 Tagen Widerspruch in Textform aus berechtigten datenschutzrechtlichen Gründen erheben kann (sonst Genehmigungsfiktion)
- bei berechtigtem Widerspruch und ausbleibender Einigung innerhalb von 30 Tagen ein außerordentliches Kündigungsrecht besteht
(4) Der Auftragsverarbeiter verpflichtet jeden Subprozessor vor dessen Einsatz schriftlich auf Datenschutzpflichten, die mindestens den in diesem AVV vereinbarten entsprechen, und haftet für deren Einhaltung (Art. 28 Abs. 4 Satz 3 DSGVO).
10. Datenübermittlung in Drittländer
(1) Die persistent gespeicherten Daten gemäß Ziffer 4.1 verbleiben innerhalb der EU (Server-Hosting in Deutschland; Mollie B.V. in den Niederlanden). Eine Übermittlung in Drittländer durch den Auftragsverarbeiter findet nicht statt.
(2) Sollte ein Subprozessor (insbesondere Mollie B.V.) in Einzelfällen technisch erforderliche Datenflüsse in Drittländer veranlassen (etwa bei Karteneinlösung über internationale Zahlungsnetzwerke), erfolgen diese auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere Standardvertragsklauseln (SCC) der EU-Kommission in der Fassung des Beschlusses (EU) 2021/914.
(3) Hinweis zu Anthropic PBC (USA): Der vom Verantwortlichen genutzte KI-Assistent wird durch Anthropic PBC mit Sitz in den USA betrieben. Die Übermittlung personenbezogener Daten an Anthropic erfolgt nicht durch den Auftragsverarbeiter, sondern unmittelbar durch den vom Verantwortlichen eingesetzten KI-Client (Claude Desktop, Claude Code, claude.ai). Der Verantwortliche ist eigenverantwortlich verpflichtet, die datenschutzrechtliche Zulässigkeit dieser Übermittlung sicherzustellen, insbesondere durch Abschluss der von Anthropic angebotenen Auftragsverarbeitungs- und/oder Datenübermittlungsverträge, Prüfung der Anwendbarkeit des EU-US Data Privacy Framework, Vornahme einer Transfer Impact Assessment (TIA) und Information der betroffenen Personen gem. Art. 13/14 DSGVO.
11. Unterstützung bei Betroffenenrechten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Art. 28 Abs. 3 lit. e DSGVO mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Rechte der betroffenen Personen gemäß Art. 12–23 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(2) Wendet sich eine betroffene Person mit einem Antrag unmittelbar an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich, spätestens innerhalb von 3 Werktagen, an den Verantwortlichen weiter und beantwortet den Antrag selbst nicht inhaltlich.
(3) Auf Weisung des Verantwortlichen unterstützt der Auftragsverarbeiter durch Bereitstellung der gespeicherten Daten in maschinenlesbarem Format, Berichtigung oder Löschung sowie Einschränkung der Verarbeitung.
(4) Vergütung: Unterstützungsleistungen sind vom monatlichen Entgelt des Hauptvertrages umfasst, soweit sie sich im üblichen Rahmen bewegen. Aufwändige Einzelleistungen können nach Aufwand zu marktüblichen Sätzen abgerechnet werden, sofern dies vorab in Textform angekündigt wurde.
12. Meldepflichten bei Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung in Textform.
(2) Inhalt der Meldung (soweit verfügbar): Beschreibung der Verletzung, Kategorien und ungefähre Zahl betroffener Personen/Datensätze, Kontaktdaten, wahrscheinliche Folgen, ergriffene Maßnahmen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Pflichten nach Art. 33 DSGVO (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden) und Art. 34 DSGVO (Benachrichtigung der betroffenen Personen).
(4) Sofortmaßnahmen: Unabhängig von Meldepflichten ergreift der Auftragsverarbeiter unverzüglich alle erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen.
(5) Datenschutz-Folgenabschätzung (Art. 35/36 DSGVO): auf Anforderung Unterstützung mit den verfügbaren Informationen.
13. Haftung und Vertragsstrafen
(1) Im Außenverhältnis zu betroffenen Personen haften Verantwortlicher und Auftragsverarbeiter nach Maßgabe des Art. 82 DSGVO.
(2) Im Innenverhältnis haftet der Auftragsverarbeiter dem Verantwortlichen nur, soweit er seine spezifischen Pflichten aus diesem AVV oder aus der DSGVO verletzt hat. Im Übrigen gelten die Regelungen des Hauptvertrages.
(3) Haftungsbeschränkung: Soweit gesetzlich zulässig wird die Haftung für leicht fahrlässig verursachte Schäden auf den Betrag des innerhalb von zwölf Monaten vor dem schadensursächlichen Ereignis gezahlten Nettoentgelts begrenzt. Nicht gilt die Begrenzung für Vorsatz und grobe Fahrlässigkeit, Personenschäden, Produkthaftung, Bußgelder oder Schadensersatzansprüche, die der Verantwortliche aufgrund einer vom Auftragsverarbeiter zu vertretenden Datenschutzverletzung erfüllen muss.
(4) Es werden keine pauschalen Vertragsstrafen vereinbart. Etwaige Bußgelder oder Sanktionen trägt diejenige Partei, die die Verletzung zu vertreten hat (Art. 82 Abs. 5 DSGVO).
14. Beendigung, Datenrückgabe und -löschung
(1) Dieser AVV endet mit Beendigung des Hauptvertrages.
(2) Wahlrecht: Nach Beendigung hat der Verantwortliche innerhalb von 30 Tagen das Wahlrecht zwischen:
- (a) Rückgabe sämtlicher personenbezogener Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON oder CSV)
- (b) Löschung sämtlicher personenbezogener Daten
Übt der Verantwortliche das Wahlrecht nicht aus, erfolgt die Löschung gemäß Abs. 3.
(3) Automatische Löschung: Spätestens 30 Tage nach Beendigung bzw. nach Abschluss einer angeforderten Rückgabe Löschung sämtlicher personenbezogener Daten aus produktiven Systemen (Account-Daten, verschlüsselter API-Key, Mollie-Identifier soweit nicht handelsrechtlich aufzubewahren, Logfiles soweit nicht aus Sicherheitsgründen weiter benötigt).
(4) Backup-Lebenszyklus: Daten in Backups werden im Rahmen des regulären Backup-Lebenszyklus überschrieben und spätestens nach 90 Tagen vollständig entfernt.
(5) Aufbewahrungspflichten: Soweit gesetzlich zur Aufbewahrung verpflichtet (insbesondere § 257 HGB, § 147 AO), bleiben Daten bis zum Ablauf der Frist gespeichert, in der Verarbeitung jedoch eingeschränkt (Art. 18 DSGVO).
(6) Nachweis: Auf Anforderung bestätigt der Auftragsverarbeiter die erfolgte Löschung in Textform.
15. Schlussbestimmungen
(1) Vorrang dieses AVV: Bei Widersprüchen zwischen Hauptvertrag und diesem AVV gehen die Regelungen dieses AVV in Datenschutzfragen vor.
(2) Schriftform / Textform: Änderungen und Ergänzungen bedürfen der Textform (§ 126b BGB).
(3) Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Anwendbares Recht: deutsches Recht unter Ausschluss des UN-Kaufrechts. Vorrang behalten die DSGVO, das BDSG sowie zwingendes Datenschutzrecht.
(5) Gerichtsstand: Karlsruhe, soweit der Verantwortliche Kaufmann oder juristische Person des öffentlichen Rechts ist oder keinen allgemeinen Gerichtsstand in Deutschland hat.
(6) Kontakt: Daniel Ovadia, 365tec, Eugen-Richter-Str. 159, 76187 Karlsruhe, info@365tec.de. Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i.V.m. § 38 BDSG nicht zu benennen (Einzelunternehmer ohne weitere mit Verarbeitung beschäftigte Personen).
(7) Inkrafttreten: Dieser AVV tritt mit Abschluss des Hauptvertrages in Kraft.