Auftragsverarbeitungsvertrag (AVV)

Vertragsparteien

§ 1 Gegenstand und Dauer

Der Auftragnehmer stellt dem Auftraggeber eine Software-as-a-Service (SaaS) Lösung zur Erstellung von PDF-Dokumenten (Angebote, Rechnungen) sowie zur Verwaltung von Kunden- und Produktdaten bereit.

Dauer: Dieser AVV tritt mit Aktivierung Ihres InvoiceSnap-Accounts in Kraft und endet automatisch mit Beendigung des Nutzungsverhältnisses.

§ 2 Art und Zweck der Verarbeitung

Art der Verarbeitung:

• Speichern von Daten in der Firestore-Datenbank
• Automatisiertes Erstellen von PDF-Dokumenten
• KI-gestützte Extraktion von Daten aus hochgeladenen Bildern/PDFs
• Verwaltung von Kundendaten, Produktdaten und Dokumenten

Zweck: Ausschließlich die Bereitstellung der Softwarefunktionen von InvoiceSnap gemäß den Nutzungsbedingungen.

§ 3 Kategorien betroffener Personen und Datenarten

§ 4 Unterauftragsverarbeiter (Sub-Prozessoren)

Der Auftraggeber erteilt die ausdrückliche Genehmigung zum Einsatz folgender Unterauftragsverarbeiter:

Änderungen: Bei Hinzufügung/Ersetzung von Sub-Prozessoren erfolgt Benachrichtigung per E-Mail. Widerspruchsfrist: 14 Tage. Widerspricht der Auftraggeber der Änderung aus wichtigem, datenschutzrechtlichem Grund, wird der Auftragnehmer versuchen, eine Alternative anzubieten. Ist dies technisch unmöglich oder für den Auftragnehmer wirtschaftlich unzumutbar, haben beide Parteien das Recht, den Vertrag mit einer Frist von 14 Tagen außerordentlich zu kündigen.

§ 5 Pflichten des Auftraggebers

Der Auftraggeber ist allein verantwortlich für:

• Die Rechtmäßigkeit der Datenerhebung bei seinen Kunden
• Die Einhaltung der Informationspflichten gemäß Art. 13, 14 DSGVO
• Die Wahrung der Betroffenenrechte (Art. 15-22 DSGVO)
• Die Einholung erforderlicher Einwilligungen

§ 6 Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Auftraggebers.

Mitarbeiter: Nur befugte Personen werden mit der Verarbeitung betraut und zur Vertraulichkeit verpflichtet.

TOMs: Der Auftragnehmer trifft die in Anlage 1 aufgeführten technischen und organisatorischen Maßnahmen.

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO) durch folgende Funktionen:

• Auskunftsrecht (Art. 15): CSV-Export-Funktion für Kunden- und Produktdaten
• Berichtigung (Art. 16): Bearbeitungsfunktion für alle Datensätze
• Löschung (Art. 17): Löschfunktion für einzelne Datensätze sowie vollständige Account-Löschung
• Datenübertragbarkeit (Art. 20): CSV-Export in maschinenlesbarem Format

Anfragen betroffener Personen an den Auftragnehmer werden unverzüglich an den Auftraggeber weitergeleitet.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich (spätestens innerhalb von 48 Stunden) an den Auftraggeber.

Inhalt der Meldung:

• Art der Verletzung (z.B. unbefugter Zugriff, Datenverlust)
• Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

Der Auftragnehmer unterstützt bei Meldepflichten gegenüber Aufsichtsbehörden (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO).

§ 9 Löschung und Rückgabe der Daten

Account-Löschung: Bei Löschung über "Account löschen" (Einstellungen) werden alle verbleibenden Stammdaten unverzüglich und unwiderruflich gelöscht.

Rechnungs-PDFs: Werden unmittelbar nach Erstellung/Versand gelöscht und vom Auftragnehmer nicht archiviert.

Archivierungspflicht: Die Verantwortung für die GoBD-konforme Archivierung (§147 AO) liegt ausschließlich beim Auftraggeber. Der Auftragnehmer übernimmt keine Archivierungsfunktion für fertige Dokumente.

Löschbestätigung: Auf Anforderung stellt der Auftragnehmer eine schriftliche Bestätigung aus.

§ 10 Kontroll- und Prüfrechte

Der Auftraggeber kann sich die Einhaltung der Pflichten bestätigen lassen.

Bereitstellung von Nachweisen:

• Aktuelle TOMs (Technische und Organisatorische Maßnahmen)
• Liste der Sub-Prozessoren
• Informationen zur Datensicherheit

Audits: Einmal jährlich oder bei begründetem Anlass (z.B. nach Datenpanne). Qualifizierte externe Prüfer möglich.

§ 11 Datenübermittlung in Drittstaaten

Verarbeitung erfolgt primär in der EU (Frankfurt, Deutschland).

Sofern Sub-Prozessoren Daten außerhalb der EU/EWR verarbeiten, erfolgt dies auf Grundlage von:

• Angemessenheitsbeschlüssen der EU-Kommission (insb. das EU-U.S. Data Privacy Framework für zertifizierte US-Anbieter wie Google LLC und Functional Software Inc.)
• EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO (als Fallback, sofern keine Zertifizierung vorliegt)
• Zusätzlichen Schutzmaßnahmen gemäß EDPB-Empfehlungen

§ 12 Haftung

Der Auftragnehmer haftet gemäß den Regelungen der Nutzungsbedingungen von InvoiceSnap.

Haftung bei Datenschutzverstößen: Gemäß Art. 82 DSGVO haftet der Auftragnehmer für Schäden aus Datenschutzverstößen, sofern er die Pflichten nicht eingehalten hat.

Freistellung: Der Auftraggeber stellt den Auftragnehmer von Ansprüchen Dritter frei, die auf rechtswidriger Weisung beruhen.

§ 13 Schlussbestimmungen

Anwendbares Recht: Recht der Bundesrepublik Deutschland

Änderungen: Bedürfen der Schriftform (oder Textform per E-Mail)

Rangfolge: Bei Widersprüchen zwischen AVV und Nutzungsbedingungen geht der AVV vor

Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)