Zum Inhalt springen
← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO · Stand: Juni 2026 · Entwurf, noch nicht anwaltlich abgenommen

Wichtiger Hinweis - bitte zuerst lesen: Dies ist ein Entwurf. Er ist juristisch vollständig angelegt, aber noch nicht von einem Anwalt geprüft und freigegeben. Vor dem produktiven Einsatz geht dieser Text durch eine anwaltliche Abnahme (Fachanwalt für IT-/ Datenschutzrecht). Bis dahin gilt: Die KI-Reviews und die finale anwaltliche Prüfung sind die maßgebliche Quelle, nicht dieser Entwurf.

Worum es hier geht (Einordnung in einfachen Worten)

Mit Kwitto verwaltest du deine eigenen offenen Forderungen und erstellst daraus Mahnungen und Anträge. Dafür gibst du Daten über die Person oder das Unternehmen ein, das dir Geld schuldet - deine Schuldner. Diese Schuldnerdaten verarbeiten wir ausschließlich in deinem Auftrag und nach deinen Weisungen. Datenschutzrechtlich bedeutet das:

  • Du (der Gläubiger, der Kwitto nutzt) bist für diese Schuldnerdaten der Verantwortliche im Sinne der DSGVO.
  • Wir (Kwitto) sind insoweit dein Auftragsverarbeiter.

Dieser Vertrag regelt genau diese Beziehung - so, wie es Art. 28 Abs. 3 DSGVO verlangt.

Was dieser Vertrag NICHT regelt: Daten, die wir für eigene Zwecke verarbeiten - also dein Nutzerkonto, deine Anmeldung, deine Zahlungs- und Abrechnungsdaten sowie IT-Sicherheit und Missbrauchsabwehr. Dafür sind wir selbst Verantwortliche; das steht in unserer Datenschutzerklärung (insbesondere Abschnitte 3, 5 und 9), nicht in diesem AVV.

Die beiden Parteien

Verantwortlicher (im Folgenden „du" / „der Verantwortliche"): Der Nutzer von Kwitto in seiner Rolle als Gläubiger der eigenen Forderung. Deine Identität und Anschrift ergeben sich aus den Angaben in deinem Kwitto-Konto.

Auftragsverarbeiter (im Folgenden „wir" / „Kwitto"):
Tobias Mattern
Bänschstr. 37, 10247 Berlin, Deutschland
E-Mail: me@tobc.de

Wir schließen diesen Vertrag im Zusammenhang mit dem Nutzungsvertrag über Kwitto (der „Hauptvertrag"). Wo dieser AVV und der Hauptvertrag zu Fragen der Datenverarbeitung etwas Unterschiedliches sagen, geht dieser AVV vor.

§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung

(1) Gegenstand. Wir verarbeiten für dich personenbezogene Daten deiner Schuldner, die du in Kwitto eingibst, damit du deine eigenen Forderungen außergerichtlich und gerichtlich (gerichtlicher Mahnbescheid) selbst betreiben kannst.

(2) Art der Verarbeitung. Die Verarbeitung umfasst insbesondere das Erfassen, Speichern, Strukturieren, Anzeigen, Berechnen (z. B. Verzugszinsen), Verwenden in vorausgefüllten Schreiben und Anträgen sowie - soweit du es ausdrücklich auslöst - das Übermitteln an unsere Unterauftragsverarbeiter für den Brief- und E-Mail-Versand. Sie erfolgt automatisiert auf Servern innerhalb der Europäischen Union.

(3) Zweck. Zweck ist allein die Bereitstellung der von dir beauftragten Funktionen von Kwitto: Forderungsverwaltung, Mahnstrecke, Erstellung von Schreiben und Anträgen sowie deren Versand auf deine Veranlassung. Eine Verarbeitung der Schuldnerdaten zu eigenen Zwecken von Kwitto findet nicht statt.

(4) Dauer. Dieser Vertrag läuft so lange, wie der Nutzungsvertrag (Hauptvertrag) zwischen dir und uns besteht und wir in dessen Rahmen Schuldnerdaten für dich verarbeiten. Er endet automatisch mit dem Ende des Nutzungsvertrags. Die Pflichten zur Löschung oder Rückgabe (§ 9) sowie zur Vertraulichkeit (§ 4) gelten über das Vertragsende hinaus fort.

§ 2 Art der Daten und Kategorien betroffener Personen

(1) Art der personenbezogenen Daten. Verarbeitet werden ausschließlich die Daten, die du als Gläubiger eingibst, typischerweise:

  • Stammdaten des Schuldners: Name bzw. Firma, Anschrift; soweit von dir erfasst auch Kontaktdaten (z. B. E-Mail-Adresse für den Versand).
  • Forderungs- und Vertragsdaten: Forderungsbetrag, Rechnungs- und Fälligkeitsdatum, Grund/Beschreibung der Forderung, Mahnstand und vergleichbare Angaben aus eurer Geschäfts- oder Vertragsbeziehung.

Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sollen nicht Gegenstand der Verarbeitung sein: Kwitto ist dafür nicht vorgesehen, und du bist angehalten, solche Daten nicht einzugeben - insbesondere nicht im Freitextfeld „Grund/Beschreibung der Forderung". Soweit du dort dennoch besondere Kategorien eingibst (etwa indem sich aus der Leistungsbeschreibung ein Gesundheitsbezug ergibt, z. B. „Zahnarztbehandlung"), gelten dafür dieselben technischen und organisatorischen Schutzmaßnahmen wie für die übrigen Schuldnerdaten. Als Produktmaßnahme ist ein Warnhinweis unmittelbar an diesem Feld geplant. Ob ein solcher Warnhinweis genügt oder der AVV gelegentliche Art-9-Daten ausdrücklich mitabdecken muss, ist eine offene Frage für die anwaltliche Abnahme (siehe „Offene Kernfragen für die anwaltliche Abnahme").

(2) Kategorien betroffener Personen. Betroffen sind die Schuldner des Verantwortlichen - also die natürlichen Personen (oder bei Unternehmen die dahinterstehenden natürlichen Ansprechpersonen), die dem Verantwortlichen aus einer Geschäfts- oder Vertragsbeziehung Geld schulden.

§ 3 Weisungsgebundenheit

(1) Wir verarbeiten die Schuldnerdaten ausschließlich auf deine dokumentierte Weisung und nur im Rahmen dieses Vertrags - das gilt auch für eine etwaige Übermittlung in ein Drittland oder an eine internationale Organisation (Art. 28 Abs. 3 lit. a DSGVO). Eine Verarbeitung zu eigenen Zwecken erfolgt nicht. Wenn wir gesetzlich zu einer darüber hinausgehenden Verarbeitung verpflichtet sind, teilen wir dir das vor der Verarbeitung mit, sofern das Gesetz dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Deine Weisungen ergeben sich in erster Linie aus diesem Vertrag und aus der Art und Weise, wie du Kwitto bedienst (z. B. das Anlegen einer Forderung, das Auslösen eines Versands, das Löschen eines Vorgangs). Einzelweisungen kannst du zusätzlich in Textform (z. B. per E-Mail an me@tobc.de) erteilen. Wir dokumentieren Weisungen, die über die normale Bedienung hinausgehen.

(3) Hinweis bei rechtswidriger Weisung. Sind wir der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, weisen wir dich unverzüglich darauf hin. Wir sind berechtigt, die Ausführung einer solchen Weisung auszusetzen, bis du sie bestätigst, änderst oder zurücknimmst.

§ 4 Vertraulichkeit

(1) Wir setzen für die Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung wirkt über das Ende der jeweiligen Tätigkeit hinaus fort.

(2) Wir verpflichten alle Personen, die mit der Verarbeitung der Schuldnerdaten befasst sind, vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dies umfasst sowohl die aktuell mit der Verarbeitung befassten Personen als auch künftige Beschäftigte und Auftragnehmer.

§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die konkret getroffenen Maßnahmen sind in Anlage 1 (Technische und organisatorische Maßnahmen nach Art. 32 DSGVO) beschrieben, die Bestandteil dieses Vertrags ist. Anlage 1 ist maßgeblich; sie ist als zweiseitige Vereinbarung Teil dieses AVV und kann - anders als unsere Datenschutzerklärung - nicht einseitig geändert werden. Sie ist mit Abschnitt 11 unserer Datenschutzerklärung konsistent.

Wir dürfen die in Anlage 1 beschriebenen Maßnahmen im Lauf der Zeit anpassen, solange das vereinbarte Schutzniveau dabei nicht unterschritten wird. Eine bestimmte Zertifizierung (z. B. nach ISO 27001) liegt nicht vor und wird hier nicht behauptet.

§ 6 Unterauftragsverarbeiter

(1) Allgemeine Genehmigung. Du erteilst uns die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Diese unterstützen uns beim Betrieb der für Kwitto erforderlichen Infrastruktur und Dienste.

(2) Liste der eingesetzten Unterauftragsverarbeiter (Stand dieses Entwurfs):

  • Hostinger - Hosting (Anwendung, Datenbank, Dateispeicher). Ort: EU.
  • Mailgun (Sinch) - E-Mail-Versand (Anmelde-Codes, Benachrichtigungen). Ort: EU-Region; soweit Daten in Drittländer gelangen können, auf Grundlage der EU-Standardvertragsklauseln.
  • docuguide - Druck und Versand von Briefen/Einschreiben (nur auf deine ausdrückliche Bestellung). Ort: EU.

Hinweis zu Stripe: Stripe wickelt ausschließlich die Account-/Zahlungsdaten des Nutzers ab, für die Kwitto eigener Verantwortlicher ist (siehe Datenschutzerklärung). Stripe ist kein Unterauftragsverarbeiter für Schuldnerdaten und daher bewusst nicht in dieser Liste enthalten; über Stripe werden keine Schuldnerdaten verarbeitet.

(3) Gleichwertige Bindung. Bevor ein Unterauftragsverarbeiter Schuldnerdaten verarbeitet, verpflichten wir ihn vertraglich auf im Wesentlichen dieselben Datenschutzpflichten, wie sie in diesem Vertrag vereinbart sind, insbesondere auf hinreichende Garantien nach Art. 28 Abs. 4 DSGVO. Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, haften wir dir gegenüber für die Einhaltung dieser Pflichten.

(4) Information bei Wechsel und Widerspruchsrecht. Wir informieren dich über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern (z. B. per E-Mail oder durch Aktualisierung der oben stehenden Liste mit Hinweis an dich). Du kannst einer Änderung innerhalb von 14 Tagen ab Information aus wichtigem datenschutzrechtlichem Grund widersprechen. Können wir deinem Widerspruch nicht durch eine zumutbare alternative Lösung abhelfen, hast du das Recht, den betroffenen Dienst oder den Nutzungsvertrag zu kündigen.

§ 7 Unterstützung des Verantwortlichen

(1) Betroffenenrechte (Art. 12-23 DSGVO). Soweit dich ein Schuldner mit einem Antrag auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch erreicht, unterstützen wir dich mit angemessenen technischen und organisatorischen Maßnahmen, damit du deinen Pflichten als Verantwortlicher nachkommen kannst - insbesondere, indem wir dir die zu einem Vorgang gespeicherten Daten zur Verfügung stellen und einer berechtigten Lösch- oder Berichtigungsweisung von dir nachkommen. Anträge von Schuldnern, die uns direkt erreichen, beantworten wir nicht selbst, sondern leiten sie unverzüglich, in der Regel innerhalb von 7 Tagen, an dich als Verantwortlichen weiter (oder helfen dem Schuldner, dich zu erreichen).

(2) Pflichten nach Art. 32-36 DSGVO. Wir unterstützen dich unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen bei der Einhaltung deiner Pflichten zur Sicherheit der Verarbeitung (Art. 32), zur Meldung und Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34) sowie bei einer etwaigen Datenschutz-Folgenabschätzung und vorherigen Konsultation der Aufsichtsbehörde (Art. 35, 36).

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

Wir informieren dich unverzüglich, in der Regel innerhalb von 72 Stunden, nachdem uns eine Verletzung des Schutzes der von uns für dich verarbeiteten Schuldnerdaten bekannt geworden ist. Die Meldung enthält, soweit verfügbar, die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben (Art der Verletzung, betroffene Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen). Die Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO und gegebenenfalls die Benachrichtigung der betroffenen Schuldner nach Art. 34 DSGVO obliegen dir als Verantwortlichem; wir unterstützen dich dabei (§ 7 Abs. 2).

§ 9 Löschung oder Rückgabe nach Ende der Verarbeitung

(1) Nach Abschluss der Verarbeitung - spätestens mit Beendigung des Nutzungsvertrags - löschen wir die für dich verarbeiteten Schuldnerdaten oder geben sie an dich zurück, nach deiner Wahl, und löschen anschließend auch bestehende Kopien, es sei denn, eine gesetzliche Verpflichtung zur Speicherung steht entgegen (Art. 28 Abs. 3 lit. g DSGVO). Triffst du keine Wahl, löschen wir die Daten nach Ablauf einer angemessenen Frist.

(2) Soweit Schuldnerdaten in Kwitto für dich gespeichert sind, kannst du sie in der Regel selbst exportieren (Rückgabe) und löschen (z. B. durch Löschen einer Forderung oder deines Kontos).

(3) Aufbewahrungspflichten. Von der Löschung ausgenommen sind Daten, die wir aufgrund einer gesetzlichen Aufbewahrungspflicht weiter speichern müssen. Solche Daten verarbeiten wir bis zum Ablauf der jeweiligen Frist ausschließlich zum Zweck der Erfüllung dieser Pflicht und schränken die Verarbeitung im Übrigen ein. Hinweis zur Abgrenzung: Uns als Auftragsverarbeiter treffen bezüglich der reinen Schuldnerdaten dieses AVV im Regelfall keine handels- oder steuerrechtlichen Aufbewahrungspflichten. Die typischen Aufbewahrungspflichten (z. B. §§ 147 AO, 257 HGB) betreffen vielmehr unsere eigenen Ausgangsrechnungen an dich (die Abrechnungs- und Rechnungsdaten), für die Kwitto eigener Verantwortlicher ist - nicht die in deinem Auftrag verarbeiteten Schuldnerdaten. Ob einzelne Schuldner-Rechnungsangaben (etwa Rechnungsnummer, Rechnungsdatum, Betrag) im Einzelfall dennoch unter §§ 147 AO, 257 HGB fallen können, ist eine offene Frage für die anwaltliche Abnahme (siehe „Offene Kernfragen für die anwaltliche Abnahme").

§ 10 Nachweise und Überprüfungen

(1) Wir stellen dir alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO und in diesem Vertrag genannten Pflichten erforderlich sind.

(2) Wir ermöglichen Überprüfungen - einschließlich Inspektionen -, die du oder ein von dir beauftragter Prüfer durchführst, und tragen dazu bei. Solche Überprüfungen erfolgen verhältnismäßig: in der Regel durch Auskünfte, geeignete Nachweise und Dokumentationen, mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne unverhältnismäßige Störung unseres Betriebs. Sie finden in der Regel höchstens einmal jährlich statt; bei berechtigtem Anlass (z. B. nach einer Datenpanne oder auf Verlangen einer Aufsichtsbehörde) auch außerturnusmäßig. Ein von dir beauftragter Prüfer darf nicht in Wettbewerb zu uns stehen und ist zur Vertraulichkeit zu verpflichten. Eine Vor-Ort-Prüfung kommt nur in Betracht, soweit die Auskunft im Einzelfall nicht ausreicht.

(3) Wir informieren dich unverzüglich, wenn wir der Auffassung sind, dass eine im Rahmen der Überprüfung erteilte Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt (Art. 28 Abs. 3 lit. h DSGVO).

§ 11 Drittlandbezug

(1) Die Verarbeitung der Schuldnerdaten findet in der Europäischen Union statt: Das Hosting (Anwendung, Datenbank, Dateispeicher) erfolgt bei Hostinger in der EU, der E-Mail-Versand über Mailgun in der EU-Region, der Briefversand über docuguide in der EU.

(2) Soweit beim E-Mail-Versand ausnahmsweise ein Drittlandbezug entstehen kann, ist dieser über die EU-Standardvertragsklauseln (Standard Contractual Clauses) und ergänzende Maßnahmen nach Kapitel V DSGVO abgesichert. Eine etwaige Übermittlung in ein Drittland erfolgt nur auf deine dokumentierte Weisung oder aufgrund einer gesetzlichen Verpflichtung (siehe § 3 Abs. 1). Eine Kopie der jeweiligen Garantien stellen wir dir auf Anfrage über me@tobc.de zur Verfügung.

(3) Hinweis (vom Anbieter zu verifizieren): Mailgun gehört zum Sinch-Konzern (US-Mutter). Die strikte EU-Konfiguration der eingesetzten Mailgun-EU-Region und der Ausschluss eines regelmäßigen Drittlandtransfers der Schuldnerdaten sind beim Anbieter zu verifizieren und vor dem produktiven Einsatz zu dokumentieren. Solange diese Verifikation nicht vorliegt, behaupten wir hier ausdrücklich nicht, dass jeder Drittlandbezug ausgeschlossen ist; abgesichert wird ein etwaiger Bezug über die Standardvertragsklauseln nach Abs. 2.

§ 12 Wie dieser Vertrag zustande kommt (Vorschlag zum Annahme-Mechanismus)

Damit Art. 28 DSGVO erfüllt ist, muss dieser AVV zwischen dir und uns wirksam vereinbart werden, bevor wir die ersten Schuldnerdaten für dich verarbeiten. Vorgeschlagener Ablauf (so geplant, noch nicht zwingend technisch umgesetzt):

  • Beim Onboarding erhältst du zwei getrennte Bestätigungen (Checkboxen), die du jeweils aktiv anhaken musst:
    1. Kenntnisnahme der AGB und der Datenschutzerklärung.
    2. Ausdrücklicher Abschluss dieses AVV für die Verarbeitung der Schuldnerdaten - mit Link zum Volltext dieses AVV.
  • Beide Bestätigungen werden vor der ersten Eingabe von Schuldnerdaten verlangt.
  • Wir dokumentieren deine Zustimmung (Zeitpunkt, Nutzer-ID, Versionsnummer des AVV) und versionieren den AVV, sodass jederzeit nachvollziehbar ist, welcher Fassung du zugestimmt hast.
  • Die jeweils gültige Fassung dieses AVV ist über Kwitto abrufbar und kann von dir gespeichert/gedruckt werden.
  • Wesentliche Änderungen dieses AVV (z. B. ein neuer Unterauftragsverarbeiter, siehe § 6 Abs. 4) teilen wir dir mit; greifen sie in deine Rechte ein, holen wir deine erneute Zustimmung ein bzw. räumen dir das Widerspruchs-/Kündigungsrecht ein.

Dieser Abschnitt beschreibt eine vorgeschlagene Umsetzung. Er behauptet nicht, dass der Mechanismus bereits implementiert ist; die technische Umsetzung steht noch aus und ist ein Pre-Launch-Pflichtpunkt. Die finale Ausgestaltung (Zeitpunkt, Form, Dokumentation der Zustimmung) wird im Rahmen der anwaltlichen Abnahme festgelegt.

§ 13 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.

(2) Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland unter Beachtung der unmittelbar anwendbaren Vorschriften der DSGVO.

Offene Kernfragen für die anwaltliche Abnahme

Dieser Abschnitt sammelt die Punkte, die der Entwurf bewusst nicht selbst auflöst, weil sie eine anwaltliche Bewertung erfordern. Sie sind vor dem produktiven Einsatz zu klären. Daneben bestehen die im Text einzeln markierten Verifikationspunkte (EU-Konfiguration Mailgun in § 11, Verschlüsselung im Ruhezustand in Anlage 1, Annahme-Mechanismus in § 12, Aufbewahrungspflichten in § 9 Abs. 3).

1. Rolle: Auftragsverarbeiter oder gemeinsame Verantwortlichkeit (Art. 26 DSGVO)?

Kwitto gibt über Templates, die Verzugszins-Berechnung und die Logik der Mahnstrecke einen erheblichen Teil des „Wie" der Verarbeitung vor. Ein Prüfer könnte daraus eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) statt einer reinen Auftragsverarbeitung herleiten. Die hier gewählte Einordnung als Auftragsverarbeitung ist verteidigbar, weil Kwitto ein Self-Service-Werkzeug ist und der Nutzer allein bestimmt, ob, wen, wie viel und wann er mahnt - die Mittel-/Zweck-Hoheit über die Schuldnerdaten liegt bei ihm. Diese Einordnung muss der Anwalt jedoch ausdrücklich begründen (Referenz: EDPB-Guidelines 07/2020 zu den Begriffen Verantwortlicher/Auftragsverarbeiter). Kippt sie in Richtung gemeinsamer Verantwortlichkeit, braucht es ein anderes Vertragsmodell (Vereinbarung nach Art. 26 statt dieses AVV).

2. Besondere Kategorien (Art. 9 DSGVO) im Freitextfeld „Grund/Beschreibung der Forderung".

Nutzer können in dieses Feld Angaben eingeben, aus denen sich besondere Kategorien personenbezogener Daten ergeben (z. B. ein Gesundheitsbezug bei „Zahnarztbehandlung"). Der bloße Ausschluss in § 2 („bitte nicht eingeben") genügt rechtlich nicht, solange das System die Eingabe technisch zulässt. Anwaltsfrage: Reicht ein Warnhinweis unmittelbar am Feld als Produktmaßnahme (geplant), oder muss der AVV gelegentliche Art-9-Daten ausdrücklich mitabdecken und mit zusätzlichen Garantien absichern? Davon hängt ab, ob § 2 und die TOM (Anlage 1) ergänzt werden müssen.

Ende des Entwurfs. Dieser Text ersetzt keine Rechtsberatung. Maßgeblich sind die anwaltliche Abnahme und die zugrunde liegenden KI-Reviews.

Anlage 1 - Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Entwurf - Bestandteil des AVV, gegliedert nach den Schutzzielen des Art. 32 DSGVO. Aufgeführt sind ausschließlich die tatsächlich getroffenen Maßnahmen; es werden keine Zertifizierungen behauptet. Einzelne Punkte sind als „vom Anbieter zu verifizieren" gekennzeichnet, soweit sie von der Konfiguration des Hosters abhängen.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Die Server stehen in einem Rechenzentrum des Hosting-Anbieters innerhalb der EU; der physische Zutritt wird vom Rechenzentrumsbetreiber kontrolliert.
  • Zugangskontrolle: Die Anmeldung der Nutzer erfolgt passwortlos über Einmal-Code bzw. Passkey (better-auth); es werden keine Passwörter gespeichert. Der administrative Server-Zugang erfolgt ausschließlich per SSH-Schlüssel. Die Datenbank (Postgres) ist nur über localhost erreichbar und nicht öffentlich exponiert.
  • Zugriffskontrolle: Datenzugriffe in der Anwendung sind mandantengetrennt (tenant-gescopt), sodass ein Nutzer nur auf seine eigenen Schuldnerdaten zugreift. Geheimnisse und Umgebungsdateien (Env-Dateien) sind mit restriktiven Dateirechten geschützt (640, Eigentümer root:kwitto).

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Eingabevalidierung der über die Anwendung verarbeiteten Daten.
  • Weitergabe von Schuldnerdaten (E-Mail-/Briefversand) nur bei einem vom Nutzer ausdrücklich ausgelösten Versand.
  • Firewall (ufw) und fail2ban zur Abwehr unbefugter Zugriffe.
  • Automatische Sicherheitsupdates des Servers.

3. Verfügbarkeit und Wiederherstellbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

  • Tägliches Backup: lokaler Datenbank-Dump sowie ein verschlüsseltes Offsite-Backup mit restic auf eine separate Storage Box.
  • Die Wiederherstellung aus dem Backup wird getestet.

4. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  • Transportverschlüsselung: Die Verbindung zwischen dem Gerät des Nutzers und Kwitto ist mit TLS/SSL verschlüsselt.
  • Die Offsite-Backups sind verschlüsselt (restic).
  • Verschlüsselung der Datenbank im Ruhezustand (encryption at rest): vom Anbieter zu verifizieren - abhängig vom Datenträger bzw. der Storage-Konfiguration des Hosters. Wird hier nicht als gegeben behauptet.

5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

  • IP-Adressen werden in den Protokollen pseudonymisiert.
  • Forderungs- und Schuldnerdaten erscheinen in den Protokollen grundsätzlich nicht.

6. Belastbarkeit und regelmäßige Überprüfung (Art. 32 Abs. 1 lit. b und d DSGVO)

  • Wiederherstellungstests der Backups.
  • Überprüfung der technischen und organisatorischen Maßnahmen bei Änderungen an der Infrastruktur.