AvoTax
Plattform Für wen Preise Hilfe Blog
Anmelden Jetzt starten
Plattform Für wen Preise Hilfe Blog

Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026 (Version 2026-06-3)

Dieser Auftragsverarbeitungsvertrag („AVV“) ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung der Eco-Coin GmbH für die Nutzung von AvoTax.

1. Parteien und Rollen

Auftragsverarbeiter:
Eco-Coin GmbH, Wegerhofstraße 22, 47877 Willich, Deutschland
E-Mail: info@eco-coin-gmbh.de

Verantwortlicher (Auftraggeber): der Kunde, der AvoTax nutzt und personenbezogene Daten in den Dienst einstellt oder verarbeiten lässt (z. B. Unternehmen, Freiberufler, Steuerkanzlei als Mandanten-Inhaber).

Der AVV wird mit Nutzung des Dienstes und Einstellung personenbezogener Daten wirksam. Unternehmer können auf Anfrage eine PDF-Fassung zur Unterzeichnung erhalten: info@eco-coin-gmbh.de.

2. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zur Bereitstellung des cloudbasierten Dienstes AvoTax (Speicherung, Anzeige, Verarbeitung, Backup, Export, technische Hilfsfunktionen). Die Dauer entspricht der Laufzeit des Hauptvertrags (AGB) zuzüglich gesetzlicher Aufbewahrungsfristen.

3. Art und Zweck der Verarbeitung

Art der Verarbeitung: Erheben, Speichern, Organisieren, Abfragen, Übermittlung innerhalb des Dienstes, Löschen, Sperren.

Zwecke: Bereitstellung von Buchhaltungs-, Beleg- und Organisationsfunktionen; Mandanten- und Benutzerverwaltung; optionale Funktionen (z. B. OCR, FinTS, E-Mail-Belegimport, KI-Vorschläge nach Einwilligung, Prüfungsmodus); IT-Sicherheit, Missbrauchsprävention und Protokollierung.

4. Kategorien betroffener Personen und Daten

Betroffene Personen können insbesondere sein: Kunden und Mitarbeiter des Verantwortlichen, Geschäftspartner, Steuerberater, Prüfer.

Kategorien personenbezogener Daten: Stammdaten, Zugangsdaten (Passwort-Hash), Buchungs- und Belegdaten, Bankumsätze, Kommunikationsinhalte im Dienst, technische Protokolldaten. Details siehe Datenschutzerklärung.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, sofern nicht EU-/Mitgliedstaatsrecht eine Verarbeitung vorschreibt;
  • verpflichtete Personen zur Vertraulichkeit zu verpflichten;
  • geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO umzusetzen;
  • Unterauftragsverarbeiter nur unter Einhaltung von Art. 28 Abs. 2–4 DSGVO einzusetzen (siehe Ziffer 7);
  • den Verantwortlichen bei Auskunftsersuchen und bei Datenschutz-Folgenabschätzungen soweit zumutbar zu unterstützen;
  • Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Kenntnis zu melden;
  • nach Vertragsende auf Wahl des Verantwortlichen Daten zu löschen oder zurückzugeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen;
  • dem Verantwortlichen erforderliche Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO zur Verfügung zu stellen und Audits zu ermöglichen, soweit zumutbar.

6. Pflichten des Verantwortlichen

Der Verantwortliche ist insbesondere verantwortlich für:

  • Rechtsgrundlage und Berechtigung zur Verarbeitung und Einbindung von AvoTax;
  • Wahrung der Rechte betroffener Personen;
  • Auswahl berechtigter Nutzer, Rollen und Einladungen (z. B. Steuerberater, Teammitglieder);
  • fachliche Prüfung von Buchungs-, Steuer- und KI-Vorschlägen;
  • rechtzeitige Exporte und eigene Datensicherungen, soweit erforderlich.

7. Unterauftragsverarbeiter

Eigenbetrieb (kein externer Cloud-Hoster): Eigenbetrieb durch die Eco-Coin GmbH auf eigener Server-Infrastruktur in Deutschland (containerisierte Anwendung, lokale Datenbank, angebundene Speicher- und Fileserver-Systeme im eigenen Verantwortungsbereich). Die Speicherung und Verarbeitung der Kundendaten im Rahmen von AvoTax erfolgt damit überwiegend ohne Einsatz eines externen Hosting-Dienstleisters als Unterauftragsverarbeiter.

KI-Verarbeitung: KI-Verarbeitung ausschließlich über ein vom Betreiber betriebenes, Ollama-kompatibles KI-Gateway auf eigener Infrastruktur in Deutschland – ohne Übermittlung an externe KI-Cloud-Dienste.

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der nachfolgenden externen Unterauftragsverarbeiter, soweit diese für den jeweiligen Vorgang erforderlich sind. Die aktuelle, versionierte Liste mit Zweck, Datenarten, Land, Rechtsgrundlage sowie AVV- und TOM-Status ist jederzeit abrufbar unter /subprocessors (Stand 2026-06-3).

Zusammenfassung der derzeit eingetragenen Dienste (ohne Gewähr auf Vollständigkeit gegenüber der Live-Liste):

  • Stripe Technology Europe Ltd. (verbundene Unternehmen u. a. Stripe Inc., USA) – Zahlungsabwicklung für Abonnements und Zahlungen, nur bei Nutzung des Onlinezahlungsdienstes.
  • IONOS SE (smtp.ionos.de) – Versand transaktionaler E-Mails (z. B. Rechnungen, technische Mitteilungen) aus Deutschland (EU).
  • Meta Platforms Ireland Ltd. / Meta Platforms Inc. – optionale Marketing-Messung, nur bei erteilter Einwilligung (Marketing-Messung in der Datenschutzerklärung).
  • Reddit, Inc. – optionale Marketing-Messung, nur bei erteilter Einwilligung (Marketing-Messung in der Datenschutzerklärung).

OCR (Tesseract), FinTS-Bankabruf, IMAP-Belegimport und Mandantenspeicher auf angebundenen Systemen im eigenen Verantwortungsbereich werden nicht als separate externe Unterauftragsverarbeitung geführt, sofern kein externer SaaS-Dienst eingeschaltet wird.

Der Auftragsverarbeiter informiert über wesentliche Änderungen bei Unterauftragsverarbeitern in der Liste der Unterauftragsverarbeiter und in der Datenschutzerklärung. Der Verantwortliche kann innerhalb von 30 Tagen nach Mitteilung aus wichtigem datenschutzrechtlichem Grund widersprechen; bei berechtigtem Widerspruch kann der Auftragsverarbeiter den betroffenen Teil des Dienstes anpassen oder das Vertragsverhältnis kündigen.

8. Drittlandübermittlungen

Übermittlungen in Drittländer erfolgen nur, soweit für den Dienst erforderlich und mit geeigneten Garantien (insbesondere EU-Standardvertragsklauseln). Einzelheiten zu Drittlandübermittlungen in der Datenschutzerklärung.

9. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt angemessene TOM um, insbesondere Zugriffsbeschränkungen, Verschlüsselung von Passwörtern (Hashing), HTTPS in der Produktionsumgebung, rollenbasierte Berechtigungen, Protokollierung sicherheitsrelevanter Ereignisse und Mandantentrennung. Eine Zusammenfassung der Verarbeitung und Protokollierung enthält die interne Systemdokumentation des Betriebs.

10. Löschung und Rückgabe

Nach Vertragsende werden personenbezogene Daten des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten (z. B. handels- und steuerrechtlich) oder laufende Rechtsstreitigkeiten entgegenstehen. Belege und Buchungsunterlagen können bis zu 10 Jahre aufbewahrt werden (Speicherdauer und Löschung in der Datenschutzerklärung).

11. Schlussbestimmungen

Es gilt deutsches Recht. Bei Widersprüchen zwischen AVV und AGB gehen die datenschutzrechtlichen Regelungen dieses AVV für die Auftragsverarbeitung vor. Änderungen dieses AVV werden auf dieser Seite veröffentlicht; wesentliche Änderungen werden mitgeteilt.

Kontakt für datenschutzrechtliche Anfragen zum AVV: info@eco-coin-gmbh.de

AvoTax

Die Buchhaltung und Steuerberater verbindet.

Produkt

  • Funktionen
  • Preise
  • Hilfe
  • Blog
  • Ratgeber

Mehr erfahren

  • Buchhaltung mit Steuerberater
  • Buchhaltung für E-Commerce
  • Buchhaltung für Agenturen
  • Alternative zu sevDesk & Lexware
  • Wechsel von sevDesk
  • Wechsel von lexoffice
  • Kanzlei-Digitalisierung

Rechtliches

  • Impressum
  • Datenschutz
  • Betroffenenrechte
  • AVV
  • Unterauftragsverarbeiter
  • AGB

Konto

  • Anmelden
  • Registrieren

© 2026 Eco-Coin GmbH · AvoTax