Vertragsparteien
DPA Consulting
Inhaber: Ahmed Mowafek
Waldstraße 278, 63071 Offenbach am Main
E-Mail: beratung@dpa-consulting.de
Der Verantwortliche (Auftraggeber) wird individuell im Onboarding-Prozess mit voller Firmierung, Adresse und Steuernummer erfasst und im AVV-Dokument festgehalten.
Vollständigen AVV anfordern: Die rechtsverbindliche Langfassung des AVV (ca. 15 Seiten, mit Anlagen zu TOMs, Unterauftragsverarbeitern und Datenkategorien) erhalten Sie per E-Mail unter beratung@dpa-consulting.de — wir senden Ihnen das unterschriftsreife Dokument innerhalb von 24 Stunden elektronisch (DocuSign / DocuSeal) oder per PDF.
1. Gegenstand und Dauer der Verarbeitung
Dieser Vertrag regelt die Auftragsverarbeitung personenbezogener Daten durch DPA Consulting (nachfolgend „Auftragsverarbeiter") im Auftrag der Steuerberatungskanzlei (nachfolgend „Verantwortlicher") im Rahmen der Nutzung des Dienstes Dr. Mailo®.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen und nach dokumentierter Weisung des Verantwortlichen gemäß Art. 28 DSGVO.
Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrages für Dr. Mailo®. Nach Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
2. Art und Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich für folgende Zwecke:
- KI-gestützte E-Mail-Klassifizierung — Automatische Kategorisierung nach Priorität, Fachgebiet und Fristenrelevanz
- KI-gestützte E-Mail-Entwurfserstellung — Generierung von Antwort-Entwürfen im Kanzleistil
- Kalender-Synchronisation — Synchronisation von Fristen und Terminen aus E-Mails mit dem Outlook-Kalender
- DATEV-Anbindung — Erkennung und Zuordnung von Mandantendaten (Ab Tarif „Klarheit")
- Belegerfassung — Automatische Erkennung und DATEV-Upload (Ab Tarif „Entlastung")
3. Art der personenbezogenen Daten
| Datenkategorie | Details | Speicherort |
|---|---|---|
| E-Mail-Inhalte und Metadaten | Absender, Empfänger, Betreff, Inhalt, Zeitstempel, Anhänge-Metadaten | Supabase (Stockholm, EU) |
| Mandantendaten | In E-Mails enthaltene mandantenbezogene Informationen, Stammdaten, Steuer-IDs | Supabase (Stockholm, EU) |
| Finanzdokumente | Belege, OCR-Ergebnisse, DATEV-Exportdaten | Supabase Storage (Stockholm, EU) |
| Authentifizierungsdaten | Microsoft OAuth-Tokens (AES-256 verschlüsselt via Vault) | Supabase Vault (Stockholm, EU) |
| Nutzungsdaten | Einstellungen, Präferenzen, Klassifizierungsergebnisse, Entwürfe | Supabase (Stockholm, EU) |
4. Kategorien betroffener Personen
- Nutzer des Dienstes (Steuerberater, Steuerfachangestellte, Kanzleimitarbeiter)
- Mandanten der Steuerberatungskanzlei (deren Daten in E-Mails und Dokumenten enthalten sind)
- Geschäftspartner und Behördenvertreter (E-Mail-Korrespondenten)
- Sonstige in der E-Mail-Kommunikation genannte natürliche Personen
5. Pflichten des Auftragsverarbeiters
5.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
5.2 Vertraulichkeit
Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben. Dies schließt die besondere Verschwiegenheitspflicht nach § 203 StGB ausdrücklich ein.
5.3 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO: EU-Hosting, TLS-1.2+-Verschlüsselung in Transit, AES-256 at rest, Multi-Tenant-Isolation via Row-Level-Security, verschlüsselte Token-Speicherung, regelmäßige Penetrationstests. Details auf Anfrage in der AVV-Langfassung.
5.4 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden (Art. 33 Abs. 2 DSGVO).
5.5 Löschung nach Vertragsende
Nach Beendigung der Auftragsverarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche erhält vor der Löschung die Möglichkeit, einen vollständigen Datenexport durchzuführen.
6. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt die unter Ziffer 6 der Datenschutzerklärung aufgeführten Unterauftragsverarbeiter ein. Der Verantwortliche stimmt der Einschaltung dieser Dienstleister zu. Über Änderungen wird mit einer Frist von 30 Tagen schriftlich oder per E-Mail informiert; der Verantwortliche hat dann ein Widerspruchsrecht.
7. Technische und organisatorische Maßnahmen (Kurzfassung)
- Vertraulichkeit: Zutrittskontrolle (Colocation), Zugangskontrolle (MFA), Zugriffskontrolle (RLS), Trennungskontrolle (Multi-Tenancy), Pseudonymisierung
- Integrität: Weitergabekontrolle (TLS 1.2+), Eingabekontrolle (Audit-Logs)
- Verfügbarkeit: Verfügbarkeitskontrolle (Backups, HA-Setup), Wiederherstellbarkeit (Disaster Recovery)
- Belastbarkeit: Rate-Limiting, DDoS-Schutz (Vercel Edge), Penetrationstests
- Bewertung: Verfahren zur regelmäßigen Überprüfung (Security-Audits, Bug Bounty)
Die vollständige TOMs-Anlage erhalten Sie zusammen mit der AVV-Langfassung per E-Mail.
8. Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist.
9. Besondere Bestimmungen für Steuerberater (§ 203 StGB)
Der Auftragsverarbeiter erkennt die besondere Verschwiegenheitspflicht des Verantwortlichen nach § 203 StGB ausdrücklich an. Alle technischen und organisatorischen Maßnahmen sind auf diese Verschwiegenheitspflicht ausgelegt. Insbesondere:
- Keine Weitergabe von Daten an Dritte ohne Weisung
- Strikte Mandantentrennung auf Datenbank-Ebene (Row-Level-Security)
- Keine Verwendung von Kundendaten zum Trainieren von KI-Modellen
- Protokollierung aller Datenzugriffe mit Audit-Logs
10. Haftung und Schadensersatz
Die Haftung des Auftragsverarbeiters richtet sich nach den Regelungen des Hauptvertrages (AGB) sowie Art. 82 DSGVO.
11. Laufzeit und Beendigung
Der AVV gilt mit Abschluss des Nutzungsvertrages für Dr. Mailo® und endet automatisch mit dessen Beendigung. Nachgelagerte Pflichten (Löschung, Herausgabe) gelten über das Vertragsende hinaus.
12. Schlussbestimmungen
Es gilt deutsches Recht. Gerichtsstand ist Offenbach am Main. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.
AVV anfordern
Die rechtsverbindliche Langfassung des AVV (mit vollständigen TOMs und Anlagen) senden wir Ihnen gerne zur Prüfung und Unterzeichnung zu. Schreiben Sie einfach an beratung@dpa-consulting.de — wir reagieren innerhalb von 24 Stunden.