Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag gilt zwischen dem Nutzer des Dienstes eRechnung Tool (nachfolgend „Verantwortlicher“) und Burim Kasami, Norbert-Schmid-Platz 11, 22399 Hamburg, Betreiber des Dienstes eRechnung Tool (nachfolgend „Auftragsverarbeiter“), für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Dienstes.
Präambel
Der Verantwortliche nutzt die Software des Auftragsverarbeiters zur automatisierten Umwandlung von Rechnungsdokumenten in strukturierte elektronische Rechnungsformate (insbesondere XRechnung und ZUGFeRD). Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten, die der Verantwortliche als Verantwortlicher im Sinne der DSGVO bereitstellt. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO. Er gilt ergänzend zu den Nutzungsbedingungen; bei Widersprüchen in datenschutzrechtlichen Fragen geht dieser Vertrag vor.
§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung
- Gegenstand der Verarbeitung ist die Bereitstellung der Software zur Umwandlung der vom Verantwortlichen hochgeladenen Rechnungsdokumente (PDF) in strukturierte elektronische Rechnungsformate sowie die damit verbundene automatisierte Texterkennung, Datenextraktion und Validierung.
- Art und Zweck der Verarbeitung: ausschließlich automatisierte Verarbeitung der bereitgestellten Daten zum Zweck der vom Verantwortlichen beauftragten Formatumwandlung und deren technischer Validierung. Eine Nutzung der Daten für eigene Zwecke des Auftragsverarbeiters findet nicht statt.
- Dauer: Dieser Vertrag tritt mit Beginn der Verarbeitung personenbezogener Daten in Kraft und endet mit Abschluss sämtlicher Verarbeitungsvorgänge bzw. mit Beendigung der Nutzung des Dienstes. Die Verarbeitung der Rechnungsinhalte erfolgt ausschließlich für die Dauer der technischen Verarbeitung; nach deren Abschluss werden die hochgeladenen Dokumente und erzeugten Ergebnisse unverzüglich gelöscht. Eine dauerhafte Speicherung der Rechnungsinhalte findet nicht statt. Kurzzeitige, technisch erforderliche Zwischenspeicherungen während der Verarbeitung bleiben hiervon unberührt.
§ 2 Art der Daten und Kategorien betroffener Personen
- Kategorien personenbezogener Daten (soweit in den hochgeladenen Rechnungen enthalten): Stammdaten (Namen, Firmierungen von Einzelunternehmern/natürlichen Personen); Kontaktdaten (Anschrift, Ansprechpartner, E-Mail, Telefon); Vertrags-/ Rechnungsdaten (Leistungs- und Positionsdaten, Beträge, Daten); Bank- und Zahlungsdaten (z. B. IBAN); steuerliche Kennungen (z. B. USt-IdNr., soweit natürliche Personen).
- Kategorien betroffener Personen: Geschäftspartner des Verantwortlichen (Rechnungssteller und -empfänger, deren Ansprechpartner, Einzelunternehmer und sonstige natürliche Personen), soweit deren Daten in den verarbeiteten Dokumenten enthalten sind.
§ 3 Weisungsgebundenheit
- Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
- Die Nutzung der Funktionen der Software durch den Verantwortlichen gilt als Einzelweisung. Weisungen erfolgen im Übrigen in Textform an kontakt@erechnung-tool.de und werden dokumentiert.
- Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich.
§ 4 Pflichten des Auftragsverarbeiters
- Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO).
- Technische und organisatorische Maßnahmen (TOMs): Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen Maßnahmen nach Art. 32 DSGVO und hält diese während der Vertragsdauer auf einem dem Risiko angemessenen Stand.
- Unterstützung des Verantwortlichen: Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei den Pflichten nach Art. 32–36 DSGVO — einschließlich der Datensicherheit (Art. 32), der Meldung von Datenschutzverletzungen (Art. 33, 34), der Datenschutz-Folgenabschätzung (Art. 35) und der vorherigen Konsultation (Art. 36). Er unterstützt den Verantwortlichen zudem bei Anfragen und Prüfungen der zuständigen Aufsichtsbehörde.
- Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden.
- Löschung/Rückgabe: Nach Abschluss der Verarbeitung werden die Rechnungsinhalte unverzüglich gelöscht (siehe § 1 Abs. 3). Eine gesonderte Rückgabe ist aufgrund der transienten Verarbeitung nicht erforderlich; auf Wunsch bestätigt der Auftragsverarbeiter die Löschung.
- Nachweis: Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen gemäß § 6.
- Ansprechpartner, Verzeichnis, Datenschutzbeauftragter: Datenschutzanfragen sind zu richten an kontakt@erechnung-tool.de. Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO. Ein Datenschutzbeauftragter wurde nicht bestellt, da die gesetzlichen Voraussetzungen (§ 38 BDSG) nicht vorliegen.
§ 5 Unterauftragsverarbeiter
- Der Verantwortliche erteilt die allgemeine schriftliche Genehmigung (Art. 28 Abs. 2 DSGVO) zur Beauftragung der in Anlage 2 genannten Unterauftragsverarbeiter.
- Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung/Austausch) rechtzeitig vorab. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.
- Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich auf dieselben Datenschutzpflichten, die diesem Vertrag zugrunde liegen (Art. 28 Abs. 4 DSGVO).
- Drittlandbezug: Soweit personenbezogene Daten außerhalb der EU/des EWR verarbeitet werden, erfolgt dies ausschließlich auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO — insbesondere EU-US Data Privacy Framework) oder geeigneter Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertrags klauseln).
§ 6 Kontrollrechte
- Der Verantwortliche ist berechtigt, sich von der Einhaltung dieses Vertrags zu überzeugen. Der Auftragsverarbeiter erteilt hierzu die erforderlichen Auskünfte und weist die getroffenen Maßnahmen nach — vorrangig durch Vorlage geeigneter Dokumentation (z. B. TOM-Beschreibung, Nachweise/Zertifikate der eingesetzten Rechenzentren).
- Soweit der Auftragsverarbeiter aktuelle Zertifizierungen, Prüf- oder Auditberichte (z. B. ISO 27001 oder SOC 2 der eingesetzten Infrastruktur-Anbieter) zur Verfügung stellt, sollen diese Vor-Ort-Kontrollen vorrangig ersetzen.
- Vor-Ort-Kontrollen erfolgen mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs.
§ 7 Löschung nach Vertragsende
Aufgrund der transienten Verarbeitung bestehen nach Beendigung des Vertrags keine beim Auftragsverarbeiter gespeicherten Rechnungsinhalte des Verantwortlichen. Kontodaten des Verantwortlichen werden gemäß der Datenschutzerklärung und den gesetzlichen Aufbewahrungsfristen behandelt.
§ 8 Haftung
Für die Haftung gelten die Vorgaben des Art. 82 DSGVO. Im Übrigen gelten ergänzend die Haftungsregelungen der Nutzungsbedingungen, soweit diese datenschutzrechtlich zulässig sind.
§ 9 Schlussbestimmungen
- Änderungen und Ergänzungen bedürfen der Textform.
- Bei Widersprüchen zwischen diesem Vertrag und den Nutzungsbedingungen gehen in datenschutzrechtlichen Fragen die Regelungen dieses Vertrags vor.
- Es gilt das Recht der Bundesrepublik Deutschland.
- Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Datenminimierung / Speicherbegrenzung: Verarbeitung der Rechnungsinhalte ausschließlich für die Dauer der technischen Verarbeitung; keine dauerhafte Speicherung; unverzügliche Löschung nach Umwandlung. Keine Protokollierung von Rechnungsinhalten.
Verschlüsselung: Transportverschlüsselung (TLS) für alle Verbindungen zwischen Nutzer und Diensten.
Verarbeitungsort: Verarbeitung in Rechenzentren innerhalb der EU (Region Frankfurt am Main), die durch die eingesetzten Infrastruktur-Anbieter nach ISO 27001 zertifiziert sind.
Zugriffs- und Berechtigungskontrolle: Zugriff nur für berechtigte Personen über authentifizierte, verschlüsselte Verbindungen; Rollen- und Berechtigungskonzept nach dem Prinzip der geringsten Rechte; Mehr-Faktor-Authentifizierung (MFA) für administrative Zugänge; Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit.
Integrität: technische Validierung der erzeugten Formate gegen die offiziellen Standards (XRechnung/ZUGFeRD).
Verfügbarkeit und Belastbarkeit: Betrieb auf redundanter Cloud-Infrastruktur der eingesetzten Anbieter; Backup- Konzept für Kontodaten (Rechnungsinhalte werden nicht gespeichert und daher nicht gesichert).
Betrieb und Überwachung: Patch- und Update-Management (überwiegend durch die verwalteten Cloud-Dienste); Monitoring sowie Protokollierung administrativer Zugriffe; Prozess zur Behandlung von Sicherheitsvorfällen und Datenschutzverletzungen (Incident Response) einschließlich Meldung an den Verantwortlichen.
Auftragskontrolle: Abschluss von Auftragsverarbeitungsverträgen mit allen eingesetzten Unterauftragsverarbeitern; regelmäßige Überprüfung und Aktualisierung der Maßnahmen.
Anlage 2 — Genehmigte Unterauftragsverarbeiter
Verarbeitung der Rechnungsinhalte (Controller-Daten des Verantwortlichen):
| Unterauftragsverarbeiter | Zweck | Verarbeitungsort | Transfergrundlage |
|---|---|---|---|
| Amazon Web Services (AWS) | Cloud-Infrastruktur sowie automatisierte Texterkennung und Datenextraktion aus den hochgeladenen Rechnungen | Frankfurt (EU) | Konzernmutter USA → Art. 45 DPF bzw. Art. 46 SCC |
| Vercel Inc. | Bereitstellung der Webanwendung sowie Serverless-Ausführung der Anwendung | Frankfurt (EU) | US-Unternehmen → Art. 45 DPF bzw. Art. 46 SCC |
Hinweis / Abgrenzung: Die folgenden Dienstleister verarbeiten keine Rechnungsinhalte des Verantwortlichen, sondern Daten, für die der Auftragsverarbeiter selbst Verantwortlicher ist (Kontoverwaltung, Zahlung, Reichweitenmessung, Einwilligungsverwaltung). Sie sind daher nicht Gegenstand dieses AVV, sondern in der Datenschutzerklärung dargestellt: Supabase (Kontodaten), Stripe (Zahlungsabwicklung), PostHog (cookielose Reichweitenanalyse), Usercentrics (Consent-Management).
Stand: Juli 2026
