gemäß Art. 28 DSGVO · Stand: 08.06.2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“) wird geschlossen zwischen
dem Kunden – der natürlichen oder juristischen Person, die über ein QROVA-Nutzerkonto Verarbeitungsvorgänge auslöst – nachfolgend „Verantwortlicher“ –
und
Miliienko Studio, Inhaber Oleksandr Miliienko, Ober-Erler-Straße 34, 53547 Kasbach-Ohlenberg, Deutschland (Betreiber der Software „QROVA“, erreichbar unter qrova.io) – nachfolgend „Auftragsverarbeiter“ –
– gemeinsam die „Parteien“ –
Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Software QROVA. Er kommt durch Aktivierung der entsprechenden Checkbox im Onboarding-Prozess wirksam zustande und gilt für die Dauer der Nutzung von QROVA durch den Verantwortlichen.
(1) Gegenstand des Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zur Bereitstellung der Funktionen der Software QROVA, insbesondere:
a) Erstellung und Verwaltung dynamischer QR-Codes einschließlich Scan-Tracking und statistischer Auswertung;
b) Selbstbuchführungs- und Belegverwaltungsfunktionen einschließlich KI-gestützter Beleg-OCR und KI-Chatfunktion („LISA“);
c) Verwaltung von Kontakt-, Kunden- und Rechnungsdaten des Verantwortlichen.
(2) Die Art der Verarbeitung umfasst das Erheben, Erfassen, Speichern, Organisieren, Auslesen, Verändern, Abfragen, Übermitteln (an die in § 7 genannten Unterauftragsverarbeiter), Einschränken und Löschen personenbezogener Daten in automatisierter Form.
(3) Zweck der Verarbeitung ist ausschließlich die Erbringung der vertraglich vereinbarten Leistungen gemäß den Nutzungsbedingungen von QROVA. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.
(4) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsverhältnisses. Der Vertrag endet automatisch mit Beendigung des Nutzungsverhältnisses, unbeschadet der Pflichten aus § 9.
(1) Im Rahmen der Nutzung von QROVA werden insbesondere folgende Arten personenbezogener Daten verarbeitet:
(2) Kategorien betroffener Personen sind insbesondere:
(3) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags. Der Verantwortliche verpflichtet sich, keine solchen Daten in QROVA zu verarbeiten, soweit dies nicht ausdrücklich und gesondert vereinbart wurde.
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich (Art. 4 Nr. 7 DSGVO).
(2) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist. In diesem Fall teilt er dem Verantwortlichen die rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(3) Die Konfiguration und Nutzung der Software durch den Verantwortlichen gilt als dessen Weisung. Einzelweisungen, die über die Funktionen der Software hinausgehen, bedürfen der Textform (E-Mail an info@qrova.io genügt).
(4) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich. Er ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
(1) Der Auftragsverarbeiter verarbeitet die Daten vertraulich. Er stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).
(2) Da der Auftragsverarbeiter als Einzelunternehmen ohne weitere mit der Verarbeitung befasste Beschäftigte tätig ist, gilt diese Verpflichtung unmittelbar für den Inhaber. Werden künftig Beschäftigte oder Hilfspersonen eingesetzt, werden diese vor Aufnahme der Tätigkeit auf die Vertraulichkeit verpflichtet.
(1) Der Auftragsverarbeiter trifft die zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Diese sind in der Anlage 1 (TOM) beschrieben, die wesentlicher Bestandteil dieses Vertrags ist.
(2) Die TOM unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter ist berechtigt, alternative, gleichwertige Maßnahmen umzusetzen, sofern das Sicherheitsniveau der vereinbarten Maßnahmen nicht unterschritten wird.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Anträge betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(3) Soweit der Unterstützungsaufwand über das vertraglich geschuldete Maß hinausgeht und vom Verantwortlichen oder einer ihm zurechenbaren Person veranlasst ist, kann der Auftragsverarbeiter eine angemessene Vergütung nach Aufwand verlangen.
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in der Anlage 2 (Subprozessoren-Liste) aufgeführt und vom Verantwortlichen genehmigt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann einer Änderung innerhalb von vierzehn (14) Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Falle eines berechtigten Widerspruchs sind die Parteien um eine einvernehmliche Lösung bemüht; gelingt diese nicht, steht dem Verantwortlichen ein Sonderkündigungsrecht zu.
(3) Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter zu denselben Datenschutzpflichten, wie sie in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO). Erfolgt eine Übermittlung in ein Drittland, stellt der Auftragsverarbeiter geeignete Garantien gemäß Kapitel V DSGVO sicher (Angemessenheitsbeschluss, insbesondere EU-US Data Privacy Framework, oder Standardvertragsklauseln nebst ergänzenden Maßnahmen).
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden, in der Regel innerhalb von 48 Stunden. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar.
(2) Die Erfüllung der Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und der Benachrichtigungspflicht gegenüber betroffenen Personen (Art. 34 DSGVO) obliegt dem Verantwortlichen.
(1) Nach Beendigung des Nutzungsverhältnisses löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.
(2) Der Verantwortliche kann seine Daten während der Laufzeit und bis zur endgültigen Löschung jederzeit über die in der Software bereitgestellten Exportfunktionen (PDF, CSV, DATEV) selbst sichern. Es obliegt dem Verantwortlichen, vor Vertragsende einen vollständigen Datenexport vorzunehmen.
(3) Die endgültige Löschung erfolgt innerhalb von dreißig (30) Tagen nach Vertragsende, vorbehaltlich gesetzlicher Aufbewahrungsfristen. Backups werden im Rahmen der regulären Backup-Rotation gelöscht.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
(2) Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden. Der Nachweis kann vorrangig durch geeignete Dokumentation, die Vorlage der TOM oder vorhandener Zertifikate/Berichte geführt werden.
(3) Vor-Ort-Kontrollen sind mit angemessener Vorankündigung von mindestens vierzehn (14) Tagen, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen. Der mit der Unterstützung verbundene angemessene Aufwand kann dem Verantwortlichen in Rechnung gestellt werden, sofern die Kontrolle nicht durch einen konkreten Verdacht veranlasst ist.
(1) Für die Haftung der Parteien gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der Allgemeinen Geschäftsbedingungen von QROVA, soweit diese mit zwingendem Datenschutzrecht vereinbar sind.
(2) Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen Dritter frei, die auf einer rechtswidrigen Verarbeitung beruhen, welche der Auftragsverarbeiter auf Weisung oder durch zulässige Konfiguration des Verantwortlichen vorgenommen hat, soweit den Auftragsverarbeiter kein eigenes Verschulden trifft.
(1) Bei Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen der Parteien gehen die Regelungen dieses Vertrags in datenschutzrechtlicher Hinsicht vor.
(2) Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.
gemäß Art. 32 DSGVO
Der Auftragsverarbeiter (Miliienko Studio) betreibt QROVA auf Shared-Hosting-Infrastruktur eines EU-Anbieters (Hostinger). Eine Zertifizierung nach ISO 27001 oder vergleichbaren Normen wird ausdrücklich nicht behauptet.
Stand: 08.06.2026
| Unterauftragsverarbeiter | Zweck | Standort | Transfergrundlage |
|---|---|---|---|
| Hostinger (Hostinger International Ltd.) | Hosting der Anwendung und Datenbank, Speicherung, E-Mail-Versand | EU / EWR | Verarbeitung innerhalb der EU – kein Drittlandtransfer |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung der Abonnements | Irland (EU); konzernintern ggf. USA | Art. 45 DSGVO (EU-US Data Privacy Framework) bzw. Standardvertragsklauseln nach Art. 46 DSGVO |
| OpenAI (OpenAI Ireland Ltd. / OpenAI, L.L.C.) | KI-Chat-Assistent „LISA“ und KI-gestützte Beleg-OCR | EU-Vertragspartner; Verarbeitung ggf. USA | Art. 45 DSGVO (EU-US Data Privacy Framework) bzw. Standardvertragsklauseln nach Art. 46 DSGVO |
| MailerLite (UAB „MailerLite“) | Versand von Newslettern und Service-E-Mails (sofern aktiviert) | EU / EWR (Litauen) | Verarbeitung innerhalb der EU – kein Drittlandtransfer |
Hinweis zu Drittlandübermittlungen (USA): Bei der Nutzung von Stripe und OpenAI kann es zu einer Verarbeitung personenbezogener Daten in den USA kommen. Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Data Privacy Framework (sofern der jeweilige Anbieter zertifiziert ist) und hilfsweise auf Grundlage der EU-Standardvertragsklauseln (SCC) ergänzt um geeignete zusätzliche Schutzmaßnahmen. Die lokale GeoIP-Auswertung beim QR-Scan erfolgt serverseitig ohne Drittübermittlung.
Bereitgestellt durch QROVA zur Verwendung in Ihrer (des Verantwortlichen) Datenschutzerklärung. Sie sind für die korrekte Einbindung und Aktualität selbst verantwortlich.
Wir setzen zur Bereitstellung und Auswertung von QR-Codes den Dienst QROVA (Anbieter: Miliienko Studio, Inhaber Oleksandr Miliienko, Ober-Erler-Straße 34, 53547 Kasbach-Ohlenberg) ein. Wenn Sie einen unserer QR-Codes scannen, werden zur statistischen Auswertung und zur Weiterleitung an das hinterlegte Ziel folgende Daten verarbeitet:
Diese Daten dienen ausschließlich der statistischen Auswertung der Nutzung unserer QR-Codes. Eine Identifizierung einzelner Personen ist hiermit nicht beabsichtigt und durch die Pseudonymisierung der IP-Adresse nicht ohne Weiteres möglich. Rechtsgrundlage ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Sofern für den Zugriff auf Informationen in Ihrem Endgerät eine Einwilligung erforderlich ist, erfolgt die Verarbeitung auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Die Verarbeitung erfolgt in unserem Auftrag durch QROVA als Auftragsverarbeiter auf Grundlage eines Vertrags nach Art. 28 DSGVO. Die Daten werden auf Servern innerhalb der EU gespeichert.
Bei Fragen zum Datenschutz oder zum Abschluss dieses AVV: info@qrova.io