Auftragsverarbeitungs-Vertrag (AV-Vertrag · DPA)
nach Art. 28 DSGVO zwischen dem Kunden („Verantwortlicher") und Liberix · Christian Hesselmann („Auftragsverarbeiter"). Stand: 21.04.2026. Version 1.0.
Praeambel
Der Verantwortliche nutzt die Dienste des Auftragsverarbeiters gemaess dem abgeschlossenen Hauptvertrag (AGB von Liberix). Im Rahmen dieser Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Dieser Vertrag regelt die Pflichten der Parteien nach Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten zur Erbringung der in Annex 1 beschriebenen Leistungen (Schulden- und Forderungsmanagement-Software). Die Dauer entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende gilt § 10.
§ 2 Art, Zweck und Umfang der Verarbeitung
Art und Zweck ergeben sich aus Annex 1. Umfang umfasst insbesondere das Speichern, Auslesen, Analysieren (inkl. KI-gestuetzter Textanalyse), Aenderung, Uebermittlung (Brief-/E-Mail-Versand) und Loeschen von Daten.
§ 3 Kategorien betroffener Personen und Datenarten
Siehe Annex 1.
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- Daten nur nach dokumentierter Weisung des Verantwortlichen zu verarbeiten (Art. 28 III a DSGVO). Weisungen koennen in Textform (E-Mail an datenschutz@liberix.de) oder ueber die Produkt-Oberflaeche (Einstellungen, Consent-Center, Export-/ Loeschbutton) erteilt werden.
- zur Vertraulichkeit zu verpflichtende Personen einzusetzen (Art. 28 III b DSGVO).
- die in Annex 2 beschriebenen technischen und organisatorischen Massnahmen (TOMs) umzusetzen und aufrecht zu erhalten (Art. 28 III c, Art. 32 DSGVO).
- Unterauftragsverarbeiter nur nach Massgabe des § 7 dieses Vertrags einzuschalten (Art. 28 III d DSGVO).
- den Verantwortlichen bei der Erfuellung von Betroffenenrechten angemessen zu unterstuetzen (Art. 28 III e DSGVO). Produktseitig stellt Liberix dafuer Werkzeuge bereit: Consent-Center, Export (Art. 20), Kontoloeschung (Art. 17).
- den Verantwortlichen bei Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, DSFA) zu unterstuetzen (Art. 28 III f DSGVO).
- nach Ende der Erbringung alle personenbezogenen Daten nach Wahl des Verantwortlichen zurueckzugeben oder zu loeschen (Art. 28 III g DSGVO; siehe § 10).
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfuegung zu stellen und Audits zu ermoeglichen (Art. 28 III h DSGVO; siehe § 8).
§ 5 Pflichten des Verantwortlichen
- Der Verantwortliche ist fuer die Rechtmaessigkeit der Datenverarbeitung sowie die Wahrung der Betroffenenrechte verantwortlich.
- Er erteilt Weisungen grundsaetzlich in Textform und benennt die weisungsberechtigten Personen (in der Regel der Org-Admin im Liberix-Produkt).
- Er informiert den Auftragsverarbeiter unverzueglich ueber Fehler oder Unregelmaessigkeiten bei der Pruefung der Ergebnisse der Auftragsverarbeitung.
§ 6 Technische und organisatorische Massnahmen (TOMs)
Die aktuell umgesetzten TOMs sind in Annex 2 beschrieben. Der Auftragsverarbeiter ist berechtigt, die TOMs zur Anpassung an den Stand der Technik einseitig zu aktualisieren, solange das Schutzniveau nicht unterschritten wird. Wesentliche Aenderungen werden dem Verantwortlichen mit einer Frist von 30 Tagen angekuendigt.
§ 7 Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung zur Einschaltung der in Annex 3 gelisteten Unterauftragsverarbeiter (Art. 28 II Satz 2 DSGVO). Neue oder abgeloeste Subprozessoren werden dem Verantwortlichen per E-Mail und Update-Hinweis im Produkt mit einer Frist von 30 Tagen vor Produktivstellung angekuendigt. Der Verantwortliche kann innerhalb dieser Frist begruendeten Einspruch einlegen; in diesem Fall koennen beide Parteien den Hauptvertrag mit einer Frist von 14 Tagen kuendigen.
Jeder Subprozessor wird vertraglich zur Einhaltung eines gleichwertigen Datenschutz-Niveaus verpflichtet (Art. 28 IV DSGVO).
§ 8 Kontrollrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags durch geeignete Stichproben, Selbstauskuenfte oder unabhaengige Zertifikate (z.B. SOC2, ISO 27001 — sofern vorhanden) zu ueberpruefen. Vor-Ort-Audits sind mit einer Frist von mindestens 14 Tagen anzukuendigen, hoechstens einmal pro Kalenderjahr und gegen Kostenuebernahme — ausgenommen im Fall eines konkreten Verdachts einer Pflichtverletzung.
§ 9 Meldung von Schutzverletzungen
Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten unverzueglich, spaetestens jedoch innerhalb von 24 Stunden nach Kenntnis, per E-Mail an die vom Verantwortlichen hinterlegte Admin-Adresse sowie an datenschutz@liberix.de. Die Meldung enthaelt die nach Art. 33 III DSGVO erforderlichen Angaben.
§ 10 Rueckgabe und Loeschung
Nach Beendigung des Hauptvertrags loescht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen. Auf Wunsch des Verantwortlichen wird vor Loeschung ein vollstaendiger Datenexport nach Art. 20 DSGVO (maschinenlesbares JSON) bereitgestellt. Gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO — 10 Jahre fuer Buchhaltung) bleiben unberuehrt; in diesem Umfang werden die Daten gesperrt und ausschliesslich fuer die gesetzliche Pflicht vorgehalten.
§ 11 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und dem Hauptvertrag. Im Innenverhaeltnis haftet der Auftragsverarbeiter ausschliesslich fuer Schaeden, die aus einer Verletzung seiner spezifischen Pflichten als Auftragsverarbeiter resultieren.
§ 12 Schlussbestimmungen
Aenderungen dieses Vertrags beduerfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der uebrigen unberuehrt. Gerichtsstand ist Bochum, soweit gesetzlich zulaessig.
Annex 1 — Gegenstand der Verarbeitung
Zweck
Betrieb der Software „Liberix" zur Verwaltung von Schulden, Forderungen, Mahnungen, Fristen, Budgets und zugehoerigen Dokumenten — inklusive KI-gestuetzter Dokumenten-Extraktion, Brief-Entwurf und Fristberechnung.
Art der Daten
- Stammdaten: Name, Anschrift, E-Mail, Telefon, Geburtsdatum.
- Finanzdaten: Forderungshoehen, Verzugszinsen, Mahngebuehren, Pfaendbarer Betrag (§ 850c ZPO), Budget-Posten, Einkommensdaten.
- Dokumente: Mahnschreiben, Vollstreckungsbescheide, Vertragsunterlagen, Gehalts- abrechnungen, selbst hochgeladene Korrespondenz.
- Kommunikation: Versand- und Eingangsprotokolle, Brief-Texte, Nachrichten zwischen Nutzer und Berater.
Betroffene Personen
- Endnutzer / Schuldner des Verantwortlichen.
- Glaeubiger, Rechtsanwaelte und Ansprechpartner (Kontaktdaten).
- Mitarbeiter des Verantwortlichen, die das System nutzen.
Sensitivitaet
Es werden keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO bewusst verarbeitet. Dokumenten-Uploads koennen in Einzelfaellen sensible Informationen enthalten (z.B. Gesundheitsdaten in Arztrechnungen) — hierzu hat der Verantwortliche seine Endnutzer gesondert zu informieren.
Annex 2 — Technische und organisatorische Massnahmen (TOMs)
Zutrittskontrolle (physisch)
Kein eigener Serverraum. Hosting erfolgt in zertifizierten Rechenzentren der Subprozessoren (Annex 3) — diese halten die Zutrittskontrolle nach ISO 27001 oder vergleichbar.
Zugangskontrolle (System-Login)
- Supabase-Auth mit Passwort-Hashing (Argon2id) und optional Magic Link.
- MFA fuer Admin-Accounts verpflichtend.
- Service-Role-Keys werden ausschliesslich server-seitig ueber Vercel Environment Variables gehalten; kein Key im Client-Bundle.
Zugriffskontrolle (Row Level Security)
- Alle Mandanten-Tabellen erzwingen Row-Level Security ueber den Postgres-Helper
current_tenant_ids()— Cross-Tenant-Zugriff ist technisch ausgeschlossen. - Admin-/Service-Zugriff ist auf dokumentierte Wartungsfaelle beschraenkt und wird im Audit-Log festgehalten.
Uebertragungskontrolle
- TLS 1.3 fuer alle externen Verbindungen.
- Storage-Objekte werden ausschliesslich per Signed URL mit TTL ausgeliefert.
- Briefversand (DPost/Pingen/Resend) ueber TLS-gesicherte API-Calls; keine unverschluesselten E-Mail-Inhalte.
Eingabekontrolle (Audit-Log)
- Alle mandantenrelevanten Mutationen werden in der
events-Tabelle festgehalten — append-only (Trigger blockiert UPDATE/DELETE). - Die Tabelle ist per Hash-Chain (SHA-256) verkettet; nachtraegliche Manipulationen sind detektierbar.
Auftragskontrolle
Liberix verarbeitet Daten ausschliesslich nach dokumentierter Weisung des Verantwortlichen (siehe § 4).
Verfuegbarkeit
- Automatisierte Datenbank-Backups (Point-in-time Recovery 7 Tage, Supabase).
- RTO < 24 h, RPO < 1 h fuer Produktivsysteme.
Trennbarkeit
Logische Mandantentrennung durch organization_id + RLS. Keine mandanten-uebergreifenden Aggregationen ohne explizite Einwilligung („Anonymous Benchmarks", Consent-Typ).
Datenschutz-Freundliche Voreinstellungen (Art. 25 DSGVO)
- KI-Verarbeitung ist Opt-in (Consent-Typ
ai_processing). - Daten werden nicht fuer KI-Training Dritter verwendet (Anthropic Zero-Data-Retention).
- Loeschkonzept: 14 Tage Widerrufsfrist vor Hard-Delete (Art. 17).
Annex 3 — Unterauftragsverarbeiter (Stand: 21.04.2026)
| Dienstleister | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Storage | EU — Frankfurt am Main |
| Vercel Inc. | Hosting der Web-Anwendung, CDN | EU-Regionen |
| Anthropic PBC | KI-gestuetzte Dokumenten-Extraktion und Brief-Entwurf | EU — Frankfurt am Main (Zero Data Retention) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Abo-Rechnungen) | Irland / EU |
| Resend Inc. | Transaktions-E-Mails (Reminder, Bestaetigungen) | EU-Region |
| Pingen AG / Deutsche Post | Postalischer Brief-Versand (Mahnungen) | Schweiz / DE |
| PostHog Inc. | Produktanalyse (nur bei Consent) | EU-Region |
| Sentry.io | Error-Tracking (keine PII, EU-DSN) | EU-Region |
Dieser DPA-Text wird vor oeffentlichem Launch von einem externen Datenschutz- Juristen final geprueft. Bis dahin dient er als Baseline und darf vom Verantwortlichen im Einzelfall durch Individualabrede ersetzt werden.
Zurueck zur Datenschutzerklaerung.