Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA)
Büreno · druniq · Version 1.0 · Stand: 2026-06-20
Büreno · druniq · Version 1.0 · Effective date: 2026-06-20
Dieser AVV nach Art. 28 DSGVO konkretisiert die Pflichten bei der Verarbeitung personenbezogener Daten, die druniq als Auftragsverarbeiter im Auftrag des Kunden (Verantwortlicher) im Rahmen der Nutzung von Büreno durchführt. Er ergänzt die AGB und die Datenschutzerklärung. Ein gesondert unterzeichneter AVV kann auf Anfrage bereitgestellt werden.
This DPA under Art. 28 GDPR specifies the obligations for processing personal data that druniq carries out as a processor on behalf of the customer (controller) in connection with the use of Büreno. It supplements the Terms and the Privacy Policy. A separately signed DPA can be provided on request.
1. Parteien & Rollen / Parties & Roles
Verantwortlicher: der Kunde (Nutzer von Büreno). Auftragsverarbeiter: druniq – Inhaber Ron Kolditz, Am Hellmannsgrund 4, 08396 Waldenburg, Deutschland. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen.
Controller: the customer (user of Büreno). Processor: druniq – owner Ron Kolditz, Am Hellmannsgrund 4, 08396 Waldenburg, Germany. The processor processes personal data only on the documented instructions of the controller.
2. Gegenstand, Art & Zweck / Subject Matter, Nature & Purpose
Gegenstand ist die Verarbeitung personenbezogener Daten zur Bereitstellung der Funktionen von Büreno (u. a. Speicherung, Anzeige, Verwaltung und Auswertung der vom Verantwortlichen eingegebenen Daten). Zweck ist die vertragsgemäße Nutzung der Software. Die Dauer entspricht der Laufzeit des Hauptvertrags (AGB).
The subject matter is the processing of personal data to provide Büreno's functions (incl. storage, display, management and analysis of data entered by the controller). The purpose is the contractual use of the Software. The duration corresponds to the term of the main contract (Terms).
3. Datenarten & betroffene Personen / Data Types & Data Subjects
Je nach Nutzung können insbesondere verarbeitet werden:
- Datenarten: Stamm- und Kontaktdaten, Rechnungs- und Auftragsdaten, Artikeldaten, Buchhaltungsdaten, Arbeits-/Zeiterfassungsdaten (z. B. via QR/NFC), Kommunikationsdaten;
- betroffene Personen: Kunden, Lieferanten und Geschäftspartner des Verantwortlichen, dessen Mitarbeiter sowie weitere vom Verantwortlichen erfasste Personen.
Depending on use, the following may be processed in particular:
- data types: master and contact data, invoice and order data, article data, accounting data, work/time-tracking data (e.g., via QR/NFC), communication data;
- data subjects: the controller's customers, suppliers and business partners, its employees and other persons recorded by the controller.
4. Pflichten des Auftragsverarbeiters / Obligations of the Processor
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO);
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (lit. b);
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (lit. c);
- Unterstützung des Verantwortlichen bei Betroffenenrechten (lit. e) und bei den Pflichten der Art. 32–36 DSGVO (lit. f);
- Löschung oder Rückgabe der Daten nach Wahl des Verantwortlichen nach Ende der Verarbeitung (lit. g);
- Nachweis der Einhaltung und Ermöglichung von Überprüfungen (lit. h);
- unverzügliche Information, falls eine Weisung gegen Datenschutzrecht verstößt.
- processing only on documented instructions of the controller (Art. 28(3)(a) GDPR);
- commitment of persons authorized to process to confidentiality (b);
- implementation of appropriate technical and organizational measures per Art. 32 GDPR (c);
- assistance to the controller with data subject rights (e) and with the obligations of Art. 32–36 GDPR (f);
- deletion or return of data at the controller's choice after the end of processing (g);
- evidence of compliance and enabling audits (h);
- prompt notification if an instruction infringes data protection law.
5. Technische & organisatorische Maßnahmen (Art. 32) / Technical & Organizational Measures
Der Auftragsverarbeiter trifft angemessene Maßnahmen, insbesondere:
- Verschlüsselung der Übertragung (TLS) und Schutz der gespeicherten Daten;
- Zugriffskontrolle über Rollen-/Berechtigungssystem und Authentifizierung;
- Betrieb in einem ISO-27001-zertifizierten Rechenzentrum in Deutschland;
- Protokollierung, Datensicherung (Backups) und Wiederherstellbarkeit;
- Trennung der Mandantendaten (Mandantenfähigkeit) und regelmäßige Updates.
The processor takes appropriate measures, in particular:
- encryption of transmission (TLS) and protection of stored data;
- access control via role/permission system and authentication;
- operation in an ISO-27001-certified data center in Germany;
- logging, data backup and recoverability;
- separation of tenant data (multi-tenancy) and regular updates.
6. Unterauftragsverarbeiter / Sub-processors
Der Verantwortliche stimmt dem Einsatz von Unterauftragsverarbeitern zu, insbesondere des Hosting-/Rechenzentrumsdienstleisters in Deutschland. Der Auftragsverarbeiter schließt mit Unterauftragsverarbeitern Verträge mit gleichwertigen Datenschutzpflichten und informiert über beabsichtigte Änderungen, sodass der Verantwortliche widersprechen kann.
The controller consents to the use of sub-processors, in particular the hosting/data-center provider in Germany. The processor concludes agreements with sub-processors imposing equivalent data protection obligations and informs about intended changes so the controller can object.
7. Drittlandübermittlung / Third-Country Transfers
Eine Verarbeitung erfolgt ausschließlich innerhalb der EU/des EWR. Eine Übermittlung in Drittländer findet nicht statt.
Processing takes place exclusively within the EU/EEA. No transfer to third countries occurs.
8. Meldung von Datenschutzverletzungen / Breach Notification
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt bei den Pflichten nach Art. 33, 34 DSGVO.
The processor notifies the controller of personal data breaches without undue delay after becoming aware and assists with the obligations under Art. 33, 34 GDPR.
9. Kontrollrechte / Audit Rights
Der Verantwortliche kann sich von der Einhaltung der Pflichten überzeugen. Der Auftragsverarbeiter stellt die erforderlichen Informationen bereit und ermöglicht angemessene Überprüfungen (auch durch beauftragte Prüfer), unter Wahrung von Geschäftsgeheimnissen und Sicherheit.
The controller may verify compliance with the obligations. The processor provides the necessary information and enables reasonable audits (also by mandated auditors), while preserving trade secrets and security.
10. Löschung & Rückgabe / Deletion & Return
Nach Beendigung der Verarbeitung löscht oder gibt der Auftragsverarbeiter – nach Wahl des Verantwortlichen – die personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Dem Verantwortlichen stehen Exportfunktionen zur Verfügung.
After the end of processing, the processor deletes or returns the personal data – at the controller's choice – unless there is a statutory retention obligation. Export functions are available to the controller.
11. Haftung & Schlussbestimmungen / Liability & Final Provisions
Es gilt die Haftungsregelung des Art. 82 DSGVO sowie der AGB. Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen gehen hinsichtlich des Datenschutzes die Regelungen dieses AVV vor. Es gilt deutsches Recht.
The liability rules of Art. 82 GDPR and the Terms apply. In the event of conflicts between this DPA and other agreements, the provisions of this DPA prevail with regard to data protection. German law applies.
12. Kontakt / Contact
Für den Abschluss eines unterzeichneten AVV oder Rückfragen: info@druniq.com.
To conclude a signed DPA or for questions: info@druniq.com.