Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO
Hashfox GmbH - GiroCode API
Stand: 29.11.2025
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AV-Vertrag") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Rahmen der Nutzung der GiroCode API.
Der AV-Vertrag wird automatisch mit Registrierung und Nutzung der GiroCode API zwischen dem Kunden (nachfolgend „Verantwortlicher") und der Hashfox GmbH (nachfolgend „Auftragsverarbeiter") geschlossen.
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand der Auftragsverarbeitung
Gegenstand der Auftragsverarbeitung ist die Generierung von EPC069-12 konformen GiroCodes (SEPA QR-Codes) über die GiroCode API. Der Auftragsverarbeiter verarbeitet hierbei personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen.
1.2 Dauer der Verarbeitung
Die Auftragsverarbeitung erfolgt für die Dauer des Hauptvertrages (Nutzungsvertrag der GiroCode API). Sie beginnt mit der Registrierung und endet mit der Kündigung des Nutzungsvertrages und der vollständigen Löschung aller personenbezogenen Daten.
§ 2 Art und Zweck der Verarbeitung
2.1 Art der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Entgegennahme von Zahlungsdaten über die API
- Generierung von QR-Codes auf Basis der übermittelten Daten
- Rückgabe des generierten QR-Codes als Bilddatei
- Protokollierung von API-Zugriffen (ohne Speicherung der Zahlungsdaten)
2.2 Zweck der Verarbeitung
Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Dienstleistung, nämlich der Generierung von GiroCodes zur Verwendung durch den Verantwortlichen oder dessen Endkunden.
2.3 Keine dauerhafte Speicherung von Zahlungsdaten
Wichtig: Die übermittelten Zahlungsdaten (IBAN, BIC, Empfängername, Betrag, Verwendungszweck) werden nicht dauerhaft gespeichert. Sie werden ausschließlich für die Dauer der QR-Code-Generierung im Arbeitsspeicher verarbeitet und unmittelbar nach Auslieferung des QR-Codes verworfen.
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
| Datenkategorie | Speicherung | Zweck |
|---|---|---|
| IBAN | Durchleitung (keine Speicherung) | QR-Code-Generierung |
| BIC | Durchleitung (keine Speicherung) | QR-Code-Generierung |
| Empfängername | Durchleitung (keine Speicherung) | QR-Code-Generierung |
| Betrag | Durchleitung (keine Speicherung) | QR-Code-Generierung |
| Verwendungszweck | Durchleitung (keine Speicherung) | QR-Code-Generierung |
| E-Mail-Adresse des Kunden | Gespeichert | Account-Verwaltung, Login |
| IP-Adresse | Gespeichert (max. 50.000 Einträge) | Sicherheit, Logging |
§ 4 Kategorien betroffener Personen
Die Verarbeitung betrifft folgende Kategorien betroffener Personen:
- Kunden des Verantwortlichen: Deren Zahlungsdaten werden zur QR-Code-Generierung an die API übermittelt
- Der Verantwortliche selbst: E-Mail-Adresse und Account-Daten zur Nutzung des Dienstes
§ 5 Pflichten des Auftragsverarbeiters
5.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen. Die Weisungen ergeben sich aus diesem AV-Vertrag, dem Hauptvertrag und der API-Dokumentation. Weitergehende Weisungen bedürfen der Textform.
5.2 Vertraulichkeit
Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Sicherheit der Verarbeitung
Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Die technischen und organisatorischen Maßnahmen sind in Anlage 1 zu diesem Vertrag beschrieben.
5.4 Unterauftragsverarbeiter
Der Auftragsverarbeiter bedient sich folgender Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Leistung | Standort |
|---|---|---|
| Stripe, Inc. | Zahlungsabwicklung | USA (EU-Standardvertragsklauseln) |
| OVHcloud | Bare-Metal-Server (Dedicated Server) | Frankfurt, Deutschland |
| Wasabi Technologies | Verschlüsselter Backup-Speicher (S3) | Europa (EU) |
Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Der Auftragsverarbeiter wird den Verantwortlichen über Änderungen informieren.
5.5 Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:
- Der Beantwortung von Anfragen betroffener Personen
- Der Einhaltung der Pflichten aus Art. 32-36 DSGVO
- Der Meldung von Datenschutzverletzungen
5.6 Löschung und Rückgabe
Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung erfolgt spätestens 30 Tage nach Vertragsende.
5.7 Nachweispflichten
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
§ 6 Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er hat insbesondere sicherzustellen, dass:
- Eine Rechtsgrundlage für die Verarbeitung der Daten seiner Endkunden vorliegt
- Betroffene Personen gemäß Art. 13/14 DSGVO informiert werden
- Anfragen betroffener Personen bearbeitet werden
- Die Nutzung der API den datenschutzrechtlichen Vorgaben entspricht
§ 7 Kontrollrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Anforderungen zu überprüfen. Der Auftragsverarbeiter ermöglicht Überprüfungen, einschließlich Inspektionen.
(2) Inspektionen vor Ort sind nach vorheriger Anmeldung (mindestens 14 Tage) während der üblichen Geschäftszeiten möglich. Die Kosten trägt der Verantwortliche.
(3) Alternativ kann der Nachweis durch Vorlage aktueller Zertifikate oder Berichte unabhängiger Instanzen erbracht werden.
Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)
1. Zutrittskontrolle
Die Bare-Metal-Server befinden sich im OVHcloud-Rechenzentrum in Frankfurt, Deutschland. Das Rechenzentrum verfügt über physische Zugangskontrollen, 24/7-Überwachung und Zutritt nur für autorisiertes Personal. OVHcloud hat keinen logischen Zugriff auf die Server oder Daten – die vollständige Kontrolle liegt bei der Hashfox GmbH.
2. Zugangskontrolle
- Authentifizierung über API-Keys (UUID v4)
- Timing-safe Credential-Vergleich gegen Timing-Angriffe
- Session-basierte Authentifizierung mit automatischem Ablauf (30 Tage)
- OTP-basierter Login (6-stellig, 10 Minuten Gültigkeit)
3. Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (Admin/User)
- API-Kontingentierung nach Tarifstufe
- Separierung von Admin- und User-Bereichen
4. Weitergabekontrolle
- TLS/HTTPS-Verschlüsselung für alle Datenübertragungen
- Keine Weitergabe von Zahlungsdaten an Dritte
- Stripe-Integration ausschließlich für Zahlungsabwicklung
5. Eingabekontrolle
- Protokollierung aller API-Zugriffe (ohne Zahlungsdaten)
- Admin-Audit-Log für administrative Aktionen
- Automatische Log-Rotation (max. 50.000 Einträge)
6. Auftragskontrolle
- Klare vertragliche Regelungen mit Unterauftragsverarbeitern
- Sorgfältige Auswahl von Dienstleistern
- Dokumentation aller Unterauftragsverarbeiter
7. Verfügbarkeitskontrolle
- Regelmäßige verschlüsselte Backups auf Wasabi S3-Speicher in Europa
- Bare-Metal-Server ohne Zugriff durch den Hosting-Provider
- Monitoring und Alerting
- USV-geschützte Rechenzentrumsinfrastruktur
8. Trennungskontrolle
- Logische Trennung der Kundendaten
- Separate Datenbanktabellen pro Funktion
- Keine Vermischung von Produktiv- und Testdaten
Kontakt für Datenschutzanfragen
Hashfox GmbH
Datenschutzbeauftragter
Gartenstraße 42
53859 Niederkassel
Deutschland
E-Mail: datenschutz@hashfox.com
Telefon: +49 (0) 228 / 763 636 50