Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und der MUCA Software UG (haftungsbeschränkt) (nachfolgend „Auftragsverarbeiter") geschlossen und ist Bestandteil des Nutzungsvertrags für die Software Carmuca.

Präambel

Der Auftragsverarbeiter verarbeitet im Rahmen der vertraglich vereinbarten Dienstleistungen personenbezogene Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO. Dieser AVV regelt die Rechte und Pflichten beider Parteien im Bereich des Datenschutzes.

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand der Datenverarbeitung ist die Bereitstellung der Carmuca Dealer-Management-Software als SaaS-Lösung einschließlich aller damit verbundenen Datenspeicherungs-, Verarbeitungs- und Übermittlungsvorgänge personenbezogener Daten.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag).

§ 2 Art der Daten und Kategorien von Betroffenen

Kategorien personenbezogener Daten

  • Kontaktdaten (Name, Adresse, E-Mail-Adresse, Telefonnummer)
  • Kundendaten (Kommunikationsverlauf, Kaufhistorie)
  • Fahrzeugdaten (Fahrgestellnummer, Kennzeichen, technische Daten)
  • Transaktionsdaten (Verträge, Rechnungen, Zahlungen, Kassenbucheinträge)
  • Bankdaten (IBAN, BIC, Kontoumsätze: Betrag, Datum, Verwendungszweck, Gegenkontoinhaber) — ausschließlich über den regulierten Kontoinformationsdienst finAPI GmbH (PSD2/BaFin-lizenziert) abgerufen; Carmuca speichert keine Bankzugangsdaten
  • Nutzerdaten des Autohauses (Benutzername, E-Mail-Adresse, Rolle)

Kategorien von Betroffenen

  • Kunden und Interessenten des Autohauses
  • Mitarbeiter und Nutzer des Autohauses
  • Lieferanten und Geschäftspartner

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — im Rahmen des Nutzungsvertrags — und nicht für eigene Zwecke.

Alle in die Verarbeitung eingebundenen Personen unterliegen einer Vertraulichkeitsverpflichtung oder einer gesetzlichen Verschwiegenheitspflicht.

Der Auftragsverarbeiter setzt alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen um (siehe § 4 dieses AVV).

Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO.

§ 4 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen implementiert:

  • Verschlüsselung: Transportverschlüsselung (TLS 1.2/1.3) und Verschlüsselung der Daten in der Datenbank (Verschlüsselung ruhender Daten)
  • Zugangskontrolle: Sicheres Passwort-Hashing (bcrypt), rollenbasiertes Berechtigungsmanagement, Prinzip der minimalen Rechtevergabe
  • Pseudonymisierung: Pseudonymisierung sensibler Felder (z. B. Bankverbindungen mittels AES-256-GCM-Verschlüsselung)
  • Datensicherung: Regelmäßige automatisierte Datensicherungen mit Wiederherstellungsfähigkeit
  • Serverstandorte: Ausschließlich innerhalb der EU (Frankfurt, Deutschland)
  • Audit-Logging: Umfassendes Audit-Log-System zur Nachverfolgbarkeit von Datenänderungen
  • Monitoring: Kontinuierliches Fehler- und Sicherheitsmonitoring
  • Mandantentrennung: Strikte logische Trennung der Daten aller Kunden mittels Autohaus-ID-basierter Zugriffssteuerung

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz der nachfolgend aufgelisteten Unterauftragsverarbeiter. Der Auftragsverarbeiter wird den Verantwortlichen über geplante Änderungen (Hinzufügung oder Ersetzung) mit angemessener Voranküpfigung informieren.

Der Verantwortliche kann geplanten Änderungen innerhalb von 14 Tagen nach Benachrichtigung aus datenschutzrechtlichen Gründen widersprechen.

Aktuelle Unterauftragsverarbeiter

  • Supabase Inc. — Datenbankhosting und Authentifizierung (AWS eu-central-1, Frankfurt, Deutschland) — Standardvertragsklauseln gem. Art. 46 DSGVO
  • Hetzner Online GmbH — Objektspeicher (Nürnberg, Deutschland) — EU-Rechenzentrum
  • Mollie B.V. — SEPA-Lastschriftverarbeitung (Amsterdam, Niederlande) — EU-Rechenzentrum
  • Stripe Payments Europe Ltd. — Zahlungsabwicklung (Dublin, Irland) — EU-Rechenzentrum
  • Functional Software Inc. (Sentry) — Fehler- und Performance-Monitoring (USA) — Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
  • finAPI GmbH — BaFin-regulierter Kontoinformationsdienst (AIS) gemäß PSD2 für den Abruf von Bankumsätzen (München, Deutschland) — EU-Rechenzentrum; Carmuca speichert keine Bankzugangsdaten — diese verbleiben ausschließlich bei finAPI
  • OpenAI, L.L.C. — KI-Verarbeitung (Chat Completions API) für optional freigeschaltete Funktionen, insbesondere den KI Copilot sowie weitere KI-gestützte Text-, Bild- und OCR-Funktionen (USA) — Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO; API-Daten werden gemäß OpenAI Business/API-Bedingungen nicht zum Training der Modelle verwendet

§ 5a Optionale KI-Verarbeitung (KI Copilot)

Sofern der Verantwortliche den KI Copilot in den Einstellungen aktiviert, verarbeitet der Auftragsverarbeiter Chat-Anfragen von berechtigten Nutzern des Autohauses mittels der OpenAI API im Auftrag des Verantwortlichen.

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen durch Aktivierung der Funktion und Vergabe der Berechtigung ai_agent. Der Verantwortliche ist dafür verantwortlich, Betroffene angemessen zu informieren und die Datenminimierung zu beachten.

Chat-Verläufe und ausstehende Aktionen werden zusätzlich in der Carmuca-Datenbank (EU) gespeichert, bis sie gelöscht werden oder die Session endet.

Der Verantwortliche kann die Funktion jederzeit deaktivieren; danach werden keine neuen KI-Anfragen mehr an OpenAI übermittelt.

§ 6 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich und zumutbar bei der Erfüllung von Betroffenenrechten gemäß Art. 12–23 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch).

Datenexport- und Löschfunktionen stehen dem Verantwortlichen direkt in der Software zur Verfügung.

§ 7 Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Verantwortlichen für 30 Tage aufbewahrt, um einen abschließenden Datenexport zu ermöglichen. Anschließend werden die Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Der Verantwortliche kann jederzeit — insbesondere vor der Löschung — einen vollständigen Datenexport in maschinenlesbarem Format anfordern.

Bankumsatzdaten werden gemäß dem vom Verantwortlichen konfigurierten Aufbewahrungszeitraum (1–4 Monate) automatisch gelöscht. Beim Trennen einer Bankverbindung werden die zugehörigen finAPI-Tokens (Access/Refresh) und die zwischengespeicherten Umsatzdaten unverzüglich aus den Systemen des Auftragsverarbeiters gelöscht. Die Löschung beim Unterauftragsverarbeiter finAPI GmbH wird automatisch veranlasst.

§ 8 Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften und der vereinbarten Maßnahmen durch den Auftragsverarbeiter in angemessenem Umfang zu überprüfen oder durch Dritte überprüfen zu lassen.

Kontrollen sind unter Wahrung der betrieblichen Abläufe des Auftragsverarbeiters mit mindestens 14 Tagen Vorankündigung durchzuführen und auf das notwendige Maß zu beschränken.

§ 9 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden.

Die Meldung an den Verantwortlichen erfolgt unverzüglich. Der Verantwortliche ist selbst für die Meldung an die zuständige Aufsichtsbehörde verantwortlich (gemäß Art. 33 DSGVO: soweit möglich innerhalb von 72 Stunden nach Bekanntwerden beim Verantwortlichen).

§ 10 Drittlandübermittlungen

Einige Unterauftragsverarbeiter (insbesondere Supabase Inc., Functional Software Inc./Sentry und — bei aktiviertem KI Copilot oder anderen KI-Funktionen — OpenAI, L.L.C.) haben ihren Sitz in den USA oder verarbeiten Daten auf Servern außerhalb der EU. Für diese Übermittlungen kommen die Standardvertragsklauseln (SCC) der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO zur Anwendung. Eine aktuelle Übersicht der Übermittlungsgrundlagen ist beim Anbieter auf Anfrage erhältlich.

§ 11 Ansprechpartner

Für datenschutzrechtliche Anfragen im Rahmen dieses AVV ist der Anbieter wie folgt erreichbar:

MUCA Software UG (haftungsbeschränkt)
E-Mail: info@carmuca.de

Ein gesetzlich bestellter Datenschutzbeauftragter ist derzeit nicht erforderlich. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

Stand: Juni 2026