Zum Hauptinhalt springen
Invoice-Converter.comInvoice-Converter
Preise
Rechnung umwandelnUmwandeln
Umwandeln

Dieser Auftragsverarbeitungsvertrag ist in Deutsch und Englisch verfügbar. Bei Abweichungen ist die deutsche Version rechtlich bindend.

English|Deutsch

Auf dieser Seite

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Stand: 10. Juni 2026

Präambel

Dieser Auftragsverarbeitungsvertrag ("AVV") ergänzt den Hauptvertrag zwischen dem Kunden als Verantwortlichem ("Verantwortlicher") und der Sine Aspera Ad Astra GmbH, Adalbertstraße 56, 80799 München, Deutschland, vertreten durch Felix Graeber. Handelsregister: Amtsgericht München, HRB 313338. Die Gesellschaft handelt als Auftragsverarbeiter ("Auftragsverarbeiter").

Dieser AVV gilt, soweit der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit Rechnungskonvertierung, Validierung, Review, External API-Nutzung, Support, Diagnosen und verbundenen Leistungen verarbeitet.

1. Gegenstand, Dauer und Weisungen

Gegenstand ist die automatisierte und unterstützte Konvertierung von Rechnungen und rechnungsähnlichen Dokumenten in strukturierte elektronische Rechnungsformate, einschließlich Extraktion, Validierung, Standardisierung, Artefakterzeugung, strikter API-Ausstellung, Support und Fehleranalyse.

Die Laufzeit dieses AVV folgt der Laufzeit des Hauptvertrags. Dokumentierte Weisungen des Verantwortlichen sind der Hauptvertrag, diese AGB, der AVV, Order Forms, API-Dokumentation und vom Auftragsverarbeiter akzeptierte schriftliche Weisungen. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt.

2. Einzelheiten der Verarbeitung

Zweck: Bereitstellung von Rechnungskonvertierung, Validierung, Download, External API, Abrechnungssupport, Sicherheit, Fehleranalyse, Incident-Bearbeitung und Kundensupport.

Datenkategorien: Rechnungsinhalte, Lieferanten- und Käuferstammdaten, Kontaktdaten, Steuerkennzeichen, USt-IDs, Bankdaten, Rechnungsnummern, Positionen, Beträge, Leistungsbeschreibungen, Account-Nutzerdaten, Mandanten-IDs, API-Key-IDs und Präfixe, Idempotency Keys, Request Hashes, Korrelations-IDs, Nutzungs- und Audit- Ereignisse, Credit-Ledger-Daten, Validierungsnachweise, Artefakt-Hashes, Dateinamen, Supportdiagnosen und technische Metadaten.

Betroffene Personen: Nutzer, Beschäftigte oder Auftragnehmer des Verantwortlichen, Rechnungsaussteller, Rechnungsempfänger, Lieferanten, Kunden, Ansprechpartner und andere in Rechnungsinhalten genannte Personen.

Beschränkte Daten: Der Verantwortliche darf keine besonderen Kategorien personenbezogener Daten, Daten über Straftaten, Zahlungskartendaten, Ausweisdokumente, Passwörter, Geheimnisse, HR-Unterlagen, Gesundheitsakten oder sachfremde sensible Datensätze hochladen, sofern dies nicht zwingend erforderlich und ausdrücklich schriftlich vereinbart ist.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung, verpflichtet Personal zur Vertraulichkeit, setzt angemessene technische und organisatorische Maßnahmen um, unterstützt den Verantwortlichen bei Betroffenenanfragen soweit zumutbar und löscht oder gibt personenbezogene Daten wie unten beschrieben zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Kunden-Rechnungsinhalte werden nicht für Modelltraining, wiederverwendbare Datensätze, Benchmarking oder Produktanalyse genutzt, sofern der Verantwortliche nicht ausdrücklich schriftlich zustimmt.

4. Pflichten des Verantwortlichen

Der Verantwortliche ist verantwortlich für Rechtmäßigkeit der hochgeladenen Daten, Datenminimierung, Transparenz gegenüber Betroffenen, Richtigkeit der Quelldaten, Prüfung, Übermittlung, Archivierung, Steuer- und Buchhaltungsentscheidungen und dafür, dass der Dienst nicht als alleiniger Prozess für fristkritische Rechnungspflichten genutzt wird.

5. Unterauftragsverarbeitung und Transfers

Der Verantwortliche genehmigt die in Anhang 1 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter kann Unterauftragsverarbeiter ersetzen oder ergänzen, wenn er mindestens 14 Kalendertage vorher per E-Mail, Account-Hinweis, Changelog oder über einen anderen angemessenen Kanal informiert. Der Verantwortliche kann aus wesentlichen Datenschutzgründen widersprechen. Drittlandtransfers werden, soweit erforderlich, durch Standardvertragsklauseln und zusätzliche Schutzmaßnahmen abgesichert.

6. Sicherheitsmaßnahmen

  • Transportverschlüsselung über HTTPS/TLS für externe Servicekommunikation.
  • Rollenbasierter administrativer Zugriff und Least-Privilege-Zugriffskontrollen.
  • Logische Mandantentrennung für Konto-, API-, Task-, Abrechnungs- und Artefaktdaten.
  • Gehashte API-Keys; Klartext-Live-API-Keys werden nur bei Erstellung angezeigt.
  • Rate Limits, Request-Größenlimits, Missbrauchskontrollen und Sicherheits-Audit-Logging.
  • Temporäre Artefaktaufbewahrung statt dauerhafter Archivierung von Rechnungsinhalten.
  • Trennung von Produktions- und Nicht-Produktionsumgebungen, soweit betrieblich anwendbar.
  • Fehlerfilterung und Telemetrie-Minimierung, soweit technisch möglich.
  • Auswahl von Unterauftragsverarbeitern mit vertraglichen Schutzmaßnahmen und Transfermechanismen.
  • Incident-Prüfung und Kundenbenachrichtigung, soweit gesetzlich erforderlich.

7. Audits und Nachweise

Der Auftragsverarbeiter stellt angemessene Remote-Nachweise zur Verfügung, zum Beispiel diesen AVV, Unterauftragsverarbeiterliste, TOMs, Aufbewahrungsübersicht, Incident-Prozess und schriftliche Antworten auf Sicherheitsfragebögen. Vor-Ort-Audits, Quellcodezugriff, Infrastrukturzugriff, Secrets, Zugangsdaten, nicht kundenbezogene Logs oder Zugriff auf andere Mandanten sind nicht enthalten, sofern nicht separat schriftlich vereinbart.

8. Verletzungen personenbezogener Daten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bestätigung einer Verletzung personenbezogener Daten, die personenbezogene Daten des Verantwortlichen betrifft, und stellt verfügbare Informationen für gesetzliche Meldungen des Verantwortlichen bereit, sobald diese verfügbar sind. Es gilt keine harte 12- oder 24-Stunden-Frist, Vertragsstrafe oder Service Credit, sofern nicht ausdrücklich schriftlich vereinbart.

9. Löschung, Rückgabe und Aufbewahrung

Der Auftragsverarbeiter betreibt kein dauerhaftes zentrales Archiv von Kunden-Rechnungsdokumenten. Abgeschlossene Verarbeitungstasks sind in der Regel etwa 10 Minuten nach Abschluss oder Fehlschlag verfügbar. External API-Idempotenzdaten laufen standardmäßig nach 24 Stunden ab. Debug-Bundles werden standardmäßig bis zu 14 Tage aufbewahrt. Event-Logs folgen der deployten Retention-Einstellung, derzeit voraussichtlich 30 Tage, sofern nicht geändert; aggregierte Logs können standardmäßig bis zu 365 Tage aufbewahrt werden. Abrechnungs- und Buchhaltungsdaten werden aufbewahrt, soweit gesetzlich erforderlich.

Nach Vertragsende löscht oder gibt der Auftragsverarbeiter personenbezogene Daten innerhalb einer angemessenen Frist zurück, sofern keine gesetzlichen Aufbewahrungs-, Sicherheits-, Betrugspräventions-, Streitbeilegungs-, Backup- oder Audit-Integritätsgründe eine längere Aufbewahrung rechtfertigen.

10. Haftung

Zwingende Haftung gegenüber Betroffenen nach Art. 82 DSGVO bleibt unberührt. Im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter unterliegen vertragliche und interne Ersatzansprüche aus oder im Zusammenhang mit diesem AVV den Haftungsbeschränkungen des Hauptvertrags und anwendbarer Order Forms, soweit gesetzlich zulässig. Der Auftragsverarbeiter akzeptiert keine unbeschränkten Freistellungen, Vertragsstrafen oder pauschalierten Schadensersatz, sofern dies nicht in einer separaten unterzeichneten Vereinbarung ausdrücklich geregelt ist.

11. Schlussbestimmungen

Es gilt deutsches Recht. Änderungen dieses AVV müssen in Textform dokumentiert werden, sofern keine strengere Form vorgeschrieben ist. Sollten einzelne Bestimmungen unwirksam sein, bleiben die übrigen Bestimmungen wirksam. Soweit gesetzlich zulässig, sind die Gerichte am Sitz des Auftragsverarbeiters zuständig.

Anhang 1: Genehmigte Unterauftragsverarbeiter

Nr.UnterauftragsverarbeiterLeistungVerarbeitungsortDatenzugriff
1OpenAI Ireland Ltd. / OpenAI, L.L.C.KI-API für Rechnungsextraktion und Transformation strukturierter DatenEU/EWR und USA mit Transfer-SchutzmaßnahmenRechnungsinhalte und Metadaten, wenn der Workflow OpenAI-Modelle nutzt
2Mistral AIKI-API für Rechnungsextraktion und Transformation strukturierter DatenEU/EWRRechnungsinhalte und Metadaten, wenn der Workflow Mistral-Modelle nutzt
3Google Ireland Ltd. / Google LLCOCR- und KI-Verarbeitung, wenn Gemini-/OCR-Workflows aktiviert sindEU/EWR und USA mit Transfer-SchutzmaßnahmenRechnungsinhalte und Metadaten, wenn der Workflow Google-Dienste nutzt
4Koyeb SASBackend-Hosting und LaufzeitinfrastrukturEU/EWRRechnungsinhalte, erzeugte Artefakte und technische Metadaten
5Vercel, Inc.Frontend-Hosting, Edge-Auslieferung und Preview-/Runtime-InfrastrukturEU/EWR und USA mit Transfer-SchutzmaßnahmenRequest-Metadaten und je nach Route begrenzte Inhalte
6Cloudflare, Inc.DNS, CDN, WAF, DDoS-Schutz und NetzwerksicherheitGlobal mit Transfer-SchutzmaßnahmenRequest-Metadaten und vorübergehende Verkehrsdaten
7Supabase, Inc.Authentifizierung, Datenbank, Speicher, Audit-Datensätze und MandantendatenHosting in EU/EWR mit Schutzmaßnahmen für Support-/AdminzugriffeKontodaten, Mandantenmetadaten, Artefakte, Logs und API-Datensätze
8Stripe Technology Europe, Limited / Stripe, Inc.Zahlungsabwicklung, Rechnungsstellung, Abonnement- und Credit-AbrechnungEU/EWR und USA mit Transfer-SchutzmaßnahmenAbrechnungs-, Zahlungs-, Kunden-, Rechnungs- und Transaktionsmetadaten
9BrevoTransaktionale und zulässige Marketing-E-Mail-ZustellungEU/EWRE-Mail-Adresse, Nachrichtenmetadaten, Sprache und Abmeldestatus
10PostHog, Inc.Einwilligungsbasierte Produktanalyse und Session ReplayEU/EWR-Cloud mit Support-SchutzmaßnahmenProdukttelemetrie und Metadaten; Rechnungsinhalte werden konzeptionell vermieden
11SentryFehlerüberwachung, Performance-Telemetrie und Incident-DiagnostikEU/EWR-Ingestion, soweit konfiguriert, sowie USA/Support mit SchutzmaßnahmenFehlermetadaten, Stacktraces, Pfade, Korrelations-IDs und Diagnosen

Invoice-Converter.com

Wir helfen Unternehmen in ganz Europa, Rechnungen mit Validierungsunterstützung in XRechnung und andere E-Rechnungsformate umzuwandeln. Prüfen Sie Grenzfälle vor der Einreichung.

20.000+ Rechnungen verarbeitet
Schnell & Sicher
Hunderte zufriedene Kunden

Funktionen

PDF umwandeln & erstellen

  • PDF zu XRechnung
  • PDF zu UBL
  • PDF zu XRechnung (CII)
  • PDF zu ZUGFeRD
  • PDF zu Factur-X
  • XRechnung erstellen
  • XRechnung zu PDF

Ansehen & validieren

  • XRechnung/XML Viewer
  • XRechnung Validator

Schnellzugriff

  • Ressourcen
  • Vertrauens- und Sicherheitscenter
  • Developer-API-Dokumentation
  • Blog
  • FAQ
  • Preise
  • Klimabeitrag

Rechtliches

  • Impressum
  • Datenschutz
  • Auftragsverarbeitungsvertrag
  • AGB
  • Geld-zurück-Garantie

Kontakt aufnehmen

contact@invoice-converter.com
Jetzt umwandeln
© 2026 Invoice-Converter.com.Gemacht mit in Europa
DSGVO-konform
Deutsche Server